You are on page 1of 21

KUALITAS STRUKTUR PENGENDALIAN INTERN DAN RELEVANSINYA

DALAM PEKERJAAN AUDIT


Disusun Untuk Memenuhi Tugas Audit

Disusun Oleh:
Khansa Shahibah 160020110011001

Muhamad Dinul Khaiyat 160020110011007

Dewa Ayu Sri Swasti Putri Wiryani 160020110011005

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS BRAWIJAYA

MALANG

2017
A. Pengendalian Internal

Gambar ini menjelaskan bahwa:


1. Perusahaan atau entitas membangun, melaksanakan, dan memelihara lingkungan dan
sistem pengendalian internal agar laporan keuangan bebas dari salah saji yang material, baik
yang disebabkan oleh kesalahan (eror) maupun kecurangan (fraud). Lingkungan dan sistem
pengendalian internal memitigasi RSSM (Risiko Salah Saji Material) dengan
mempertimbangkan biaya dan manfaat dari lingkungan dan sistem pengendalian internal.
2. Risiko yang dihadapi entitas pada gambar dari kiri ke kanan berkisar dari risiko
rendah (low risk) disebelah kiri, risiko moderat (moderate risk), dan risiko tinggi (high risk).
3. Membaca gambar dari atas ke bawah, kita akan melihat berbagai jenis risiko yakni,
risiko bawaan (inhern risk), risiko pengendalian (control risk), dan RSSM (risk of material
misstatement).
4. Risiko bawaan terdiri atas risiko bisnis (bussiness risk) dan risiko kecurangan (fraud
risk). Risiko bawaan menghambat entitas mencapai tujuannya. Manajemen menanggapi
risiko pengendalian dengan membangun pengendaian internal. Pengendalian internal
menanggulangi (mitigate) risiko yang diidentifikasi manajemen. Dengan pengendalian
internal yang baik pun, masih akan ada risiko pengendalian yang tidak sepenuhnya
tertanggulangi. Sisa risiko yang tidak tertanggulangi disebut managements residual risk.
5. Manajemen dan Those Charge with Governance (TCWG) berupaya menekan
management residual risk dengan mempertimbangkan manfaat dan biaya prosedur
pengendalian tambahan. Kolusi dan manajemen override (penyalahgunaan oleh manajemen
yang membuat pengendalian tidak berfungsi) menghancurkan sistem pengendalian internal
yang baik sekalipun.
Pengendalian internal dirancang, diimplementasikan dan dipelihara TCWG,
manajemen dan karyawan lain untuk menangani risiko bisnis dan risiko kecurangan yang
mengancam pencapaian tujuan entitas, seperti pelaporan keuangan yang andal dan dapat
dipercaya
Pengendalian merupakan tanggapan terhadap suatu ancaman. Pengendalan
yang tidak merupakan jawaban terhadap ancaman, adalah kesia-siaan. Oleh karena itu,
langkah pertama adalah menentukan risiko apa yang perlu di mitigasi. Langkah kedua bagi
manajemen, TCWG, dan auditor adalah pastikan bahwa sistem pengendalian yang dibangun
memang menangkal risiko.

Tujuan Pengendalian Internal


Pengendalian internal memiliki tujuan dan secara garis besar dibagi menjadi 4
kelompok, yaitu:
1. Tujuan strategis, dengan sasaran utamanya untuk mendukung misi entitas
2. Tujuan pelaporan keuangan, agar laporan keuangan bebas dari salah saji material
tepat waktu dan tepat guna
3. Tujuan operasional, dimana pengendalian mengamankan operasi entitas yang dikenal
dengan operasional controls
4. Tujuan kepatuhan terhadap hukum dan ketentuan perundang undangan.
Tujuan pengendalian internal yang relevan untuk suatu audit adalah
pengendalian dengan tujuan pelaporan keuangan, khususnya yang berhubungan dengan
tujuan entitas membuat laporan keuangan untuk keperluan eksternal.
Pengendalian untuk tujuan operasional, seperti penjadwalan produksi dan
karyawan (production and staff scheduling) , pengedalian mutu (quality control), dan
kepatuhan terhadap ketentuan mengenai kesehatan karyawan dan keselamatan kerja biasanya
tidak relevan untuk suatu audit, kecuali:
a. Informasi digunakan untuk prosedur analitikal, atau
b. Informasi diperlukan untuk pengungkapan dalam laporan keuangan
Sebagai contoh, jika statistik produksi digunakan untuk membuat prosedur
analitikal, pengendalian yang memastikan keakuratan data itu akan relevan untuk audit.
Begitu juga dengan ketidakpatuhan terhadap hukum dan perundang-undangan yang
berdampak langsung terhadap laporan keuangan.; pengendalian untuk mendeteksi dan
melaporkan ketidakpatuhan itu menjadi relevan untuk audit.

Komponen Pengendalian Internal

Control Environtment
Lingkungan pengendalian berurusan dengan fungsi pengelolaan (management)
dan pengawasan (governance) di tingkat tertinggi dalam entitas. Ia juga mengetur perilaku,
kesadaran berpengendalian, serta tindakan managemen dan TCWG mengenai pengendalian
internal entitas.
Pengendalian dalam lingkungan pengendalian bersifat pervasif, berdampak
pada seluruh komponen pengendalian yang lain. Pengendalian ini secara tidak langsung
mencegah, mendeteksi, dan mengkoreksi salah saji material dala laporan keuangan.
Pengendalian ini menjadi dasar bagi seluruh komponen pengendalian internal lainnya.
Komponen dalam Penjelasan
lingkungan pengendalian
Komunikasi dan pelaksanaan Nilai nilai ini sangat penting dan merupakan
nilai integritas dan nilai lainnya komponen dasar yang mempengaruhi efektifnya
rancangan, pelaksanaan, dan pemantauan
pengendalian lainnya
Komitmen terhadap Hal ini berkenaan dengan pandangan dan
kompetensi pertimbangan manajemen mengenai tingkat
kompetensi dari setiap tugas , dan persyaratan
pengetahuan, keterampilan dan pengalaman untuk
tugas yang bersangkutan.
Keikutsertaan TCWG Ciri-ciri TCWG:
Independen dari manajemen
Pengalaman dan penghargaan orang
sekitarnya
Seberapa banyak mereka ikut terlibat dalam
pengawasan, informasi apa yang mereka terima,
dan penelitian yag mendalam atas kegiatan yang
penting
Tepatnya sikap dan tindakan mereka ketika
berurusan dengan manajemen, auditor internal dan
ekstern, terutama jika mengalami masalah berat.
Gaya kepemimpinan pada Pendekatan manajemen dalam mengambil dan
umumnya mengelola risiko bisnis, sikap dan tindakan dalam
pelaporan keuangan (misalnya dalam mengatur
jumah omset laba), dan proses informasi dan
akuntansi pada umumnya, dan sikapnya dalam
masalah sumber daya manusia.
Struktur organisasi Ini adalah kerangka dimana tujuan entitas
direncanakan, dilaksanakan, dikendalikan dan
direview
Pembagian tugas dan tanggung Ini menunjukkan bagaimana tugas dan tanggung
jawab jawab ditetapkab hubungan antar pegawai dan
atasan dan hirarkie wewenang dalam entitas itu.
Kebijakan dan prosedur SDM Ini berkenaan dengan fungsi SDM , yakni
rekrtument, orientation, training, evaluating,
counselling, promoting, compesating, dan remidial
actions.
Risk Assestment (Penilaian Risiko)
Istilah risk assestment atau penilaian risiko dapat dilihat dari sisis entitas dan
auditor. Entitas menilai resiko dari sudut pandang ancaman terhadap pencapaian tujuan
entitas, diantaranya menghasilkan laporan keuangan yang bebas dari salah saji material.
Untuk itu, entitas wajib merancang, mengimplementasikan, dan memelihara pengendalian
internal. Dipihak lain, auditor menilai risiko sebagai bagian dari proses auditnya. Dalam
pembahasan komponen kedua dari pengendalian ini, kita akan melihat persinggungan antara
kepentingan entitas dan auditor.
Jika proses penilaian risiko pada entitas (PPRE) sudah sesuai dengan situasi
yang dihadapi entitas, maka PPRE mendukung upaya auditor untuk menilia seberapa
besarnya risiko salah saji yang material dalam laporan keuangan yang diauditnya. PPRE pada
umumnya berurusan dengan hal berikut:
1. Perubahan dalam lingkungan operasi entitas
2. Pejabat atau karyawan senior yang baru bergabung dengan entitas
3. Sistem yang baru atau yang mengalami perubahan besar besaran
4. Pertumbuhan yang cepat
5. Teknologi baru
6. Model bisnis, produk atau kegiatan baru
7. Restrukturisasi koporasi
8. Perluasan kegiatan diluar negeri
9. Terbitnya pernyataan akuntansi (accounting pronouncements) yang baru
Hal hal yang perlu menjadi perhatian auditor:
1. Penentuan mengenai risiko yang relevan terhadap pelaporan keuangan
2. Penaksiran seberapa signifikan dampak risiko
3. Penilaian tentang seberapa besar potensi terjadinya risiko
4. Putusan mengenai bagaimana menangani risiko tersebut dalam konteks auditnya.
Jika auditor menemukan risiko-risiko yang gagal ditemukan oleh manajemen,
auditor perlu menanyakan hal hal berikut:
1. Apa yang menyebabkan manajemen gagal menemukan risiko?
2. Apakah PPREnya tepat pada situasi entitas?
Jika auditor menemukan kelemahan dalam PPRE atau PPRE tidak ada atau
tidak berfungsi, auditor wajib mengkomunikasikan hal tersebut kepada manajemen dan
TCWG.
Sistem Informasi
Manajemen dan TCWG memerlukan informasi yang andal untuk:
1. Mengelola entitas, seperti perencanaan(planing), penganggaran (budgeting),
pemantauan kinerja (monitoring performance), pengalokasian sumberdaya (allocating
resources), penetapan harga (pricing), dan pembuatan laporan keuangan
2. Mencapai tujuan entitas
3. Mengidentifikasi, menilai, dan menanggapi faktor risiko
Sistem infrmasi yang relevan untuk tujuan pelaporan keuangan, meliputi
proses bisnnis dan sistem akuntansi dari entitas yang bersangkutan
Proses bisnis (penjuaan, Proses bisnis merupakan perangkat terstruktur dari
pembelian, dan lain lain) kegiatan-kegiatan yang menghasilkan output tertentu.
Hasil proses bisnis ini adalah transaksi yang dicatat,
diolah dan dilaporkan oleh sistem informasi.
Sistem akuntansi Meliputi perangkat lunak akuntansi, lembar berkolom
elektronis dan kebijakan serta prosedur untuk pembuatan
laporan keuangan berkala dan laporan keuangan akhir
tahun, beserta pengungkapannya.
Komunikasi merupakan unsur kunci dalam suksesnya sistem informasi.
Komunikasi yang efektif secara internal membantu karyawan memahami tujuan
pengendalian internal, proses bisnis dan peran serta tanggung jawab masing masing pegawai.
Ia juga membantu memahami hubungan antara kegiatan mereka dalam kegiatan orang lain,
dan cara cara melaporkan penyimpangan kepada atasan yang tepat dalam entitas.
Entitas kecil mungkin mempunyai dokumentasi yang kurang canggih, jika hal
ini terjadi pemahaman yang wajib diperoleh auditor sangat tergantung pada inquiry(tanya
jawan dengan karyawan) dan melalui pengamatan (observation) dan bukannya melalui
penelaahan dokumen (review of documentation)
Kegiatan Pengendalian (Control Activities)
Kegiatan pengendalian merupakan kebijakan dan prosedur yang memastikan
bahwa petunjuk dan arahan manajemen dilaksanakan. Kegiatan pengendalian dirancang
untuk menanggulangi risiko yang bisa terjadi dalam kegiatan sehari hari seperti pengolahan
transaksi (penjualan, pembelian, pembayaran, dan transaksi lainnya) dan pengamanan aset
(safe huarding of assets).
Proses bisnis merupakan perangkat terstruktur dari kegiatankegiatan yang
menghasilkan output tertentu. Pengendalian proses bisnis lazimnya dapat di golongkan
sebagai preventif atau mencegah, detective atau menemukan dan corrective atau
mengkoreksi. Untuk corrective controls juga terdapat istilah lain, tergantung konteksnya
seperti compesating control dan steering controls.
Klasifikasi Pengendalian Penjelansan
Preventive Controls Mencegah kesalahan (errors) dan
penyimpangan(irregularities)
Detective controls Menemukan kesalahan dan hal hal yang
tidak lazim untuk kemudian dikoreksi atau
tindakan perbaikan dapat diambil
Compesating Controls Merupakan corrective controls,
memberikan jaminan ketika ada kendala
sumber daya yang membuat
pengendalianlangsung tidak dapat
dilakukan
Steering controls Merupakan corrective controls
mengarahkan tindakan koreksi untuk
mencapai hasil yang diinginkan
Monitoring (Pemantauan)
Pemantauan menilai efektifnya kinerja pengendalian internal dengan
berjalannya waktu. Tujuannya adalah untuk memastikan bahwa pengendalian berjalan
sebagaimana harusnya, jika tidak, maka tindakan perbaikan diambil.
Pemantauan memberikan umpan balik kepada manajemen mengenai apakah
sistem pengendalian internal yang dirancang untuk mengatasi (mitigate) risiko:
1. Efektif dalam mencapai tujuan pengendalia yang ditetapkan
2. Dilaksanakan dan dipahami dengan baik oleh karyawan
3. Digunakan dan ditaati setiap hari
4. Dimodifikasi atau disempurnakan sesuai dengan perubahan kondisi
Manajemen dapat memantau melalui kegiatan yang sedang berjalan (on going
activities), dengan evaluasi terpisah, atau kombinasi dari keduanya. Pemantauan kegiatan
yang sedang berjalan dalam entitas kecil bersifat informal, dan biasanya merupakan kegiatan
normal yang berulang ulang terjadi. Ini meliputi kegiatan manajemen dan pengawasan yang
reguler, dan penelaahan atas laporan penyimpangan yang dihasilkan sistem informasi. Jika
manajemen terlibat dalam operasi dari dekat, sering kali manajemen melihat perbedaan yang
signifikan dari ekspektasi dan tindakan korektif untuk menyempurnakan pengendalian.
Pemantauan berkala (periodic monitoring) berupa evaluasi terpisah dari
kegiatan yang sedang berjalan, misalnya yang dijalankan oleh audit internal dalam entitas
besar, tidak lazim dilakukan entitas. Kegiatan pemantauan oleh manajemen juga dapat
meliputi penggunaan informasi dari pihak eksternal yang mengindikasikan masalah atau
menyoroti area yang memerlukan penyempurnaan, seperti keluhan pelanggan, komentar dari
lembaga keuangan, dan komunikasi mengenai pengendalian internal dari auditor dan
konsultan eksternal.
Ketika auditor mengevaluasi pemantauan atas pengendalian, ia perlu
memahami:
1. Sumber informasi yang berkaitan dengan kegiatan pemantauan
2. Apa yang mendasari kesimpulan manajemen bahwa informasi tersebut cukup handal
untuk tujuan pemantauan.
B. Memahami Pengendalian Internal
Auditor harus memperoleh pemahaman mengenai pengendalian internal dalam semua
penugasan audit. Pemahaman yang cukup mengenai pengendalian internal adalah
pemahaman mengenai hal-hal yang relevan untuk melaksanakan audit. Ini meliputi
pelaksanaan prosedur penilaian risiko untuk mengidentifikasi pengendalian yang secara
langsung atau tidak langsung menanggulangi salah saji yang material. Informasi yang
diperoleh, akan membantu auditor dalam:

1. Menilai risiko residual.


Risiko residual adalah risiko bawaan dan risiko pengendalian.

2. Merancang prosedur audit selanjutnya, untuk menanggapi risiko yang dinilai.


Tidak semua kegiatan pengendalian relevan untuk melaksanakan audit. Auditor tidak perlu
memahami kegiatan pengendalian yang tidak relevan dengan auditnya. Perhatian auditor
ialah pada pengendalian yang menanggulangi risiko salah saji material dalam laporan
keuangan. Kegiatan pengendalian diluar itu, tidak relevan dengan audit, dan dapat
dikeluarkan sama sekali dari lingkup audit.

Risiko dan Pengendalian

Risiko bawaan (inherent risks) yang merupakan risiko bisnis (business risks) maupun
risiko kecurangan (fraud risks) diidentifikasi dalam tahap identifikasi dan penilaian risiko.
Manajemen menanggulangi risiko ini dengan merancang dan mengimplementasikan
pengendalian intern yang akan menurunkan risiko ini ketingkat rendah yang dapat diterima.
Risiko yang tersisa, sesudah pengendalian intern dirancang dan diimplementasi, disebut
residual risk atau risiko sisa. Risiko sisa ini tidak lain dari risiko salah saji material. Idealnya,
manajemen merancang pengendalian yang cukup agar residual risk ditekan ke tingkat rendah
yang dapat diterima, untuk tujuan internal (manajemen) maupun eksternal (auditor).
Memahami Komponen Pengendalian Intern

a. Pemahaman Lingkungan Pengendalian


SA 319.26 menyatakan bahwa auditor harus memperoleh pengetahuan mengenai
lingkungan pengendalian yang mencukupi untuk memahami sikap dan tindakan manajemen
serta dewan direksi berkenaan dengan lingkungan pengendalian, dengan mempertimbangkan
baik substansi pengendalian maupun dampak kolektif mereka pada pengendalian lain.
b. Pemahaman Penilaian Risiko
SA 319.30 menyatakan bahwa auditor harus menentukan bagaimana manajemen
mengidentifikasi resiko yang relevan terhadap penyajian laporan keuangan yang wajar,
kepedulian mengenai bagaimana ia menilai signifikasi dari risiko tersebut dan bagaimana ia
memutuskan aktivitas pengendalian atau tindakan lain berkenaan dengan risiko tersebut.
c. Pemahaman Informasi dan Komunikasi
Suatu sistem informasi entitas secara signifikan mempengaruhi risiko salah saji material
dalam laporan keuangan. Secara khusus, sistem akuntansi yang dirancang dengan baik secara
efektif beroperasi harus menyediakan data akuntansi yang dapat diandalkan, sementara
sistem yang dirancang dengan buruk akan memberikan hasil sebaliknya. SA 319.36
mengindikasikan bahwa auditor harus memperoleh pengetahuan yang mencukupi mengenai
sistem informasi yang relevan dengan pelaporan keuangan untuk memahami:
1. Golongan transaksi dalam operasi entitas yang signifikan terhadap laporan
keuangan.
2. Bagaimana transaksi-transaksi tersebut dimulai.
3. Catatan akuntansi, dokumen pendukung, dan akun-akun spesifik dalam
laporan keuangan yang terlibat dalam pemrosesan dan pelaporan transaksi.
4. Pemrosesan akuntansi yang terlibat dalam pengerjaan transaksi hingga
pemasukannya dalam laporan keuangan, termasuk cara elektronik (seperti
pertukaran data elektronik dan komputer) yang digunakan untuk mengirim,
memroses, memelihara dan mengakses informasi.
5. Proses pelaporan keuangan yang digunakan untuk menyusun laporan
keuangan entitas, termasuk estimasi dan pengungkapan akuntansi yang
signifikan.
d. Pemahaman Aktivitas Pengendalian
SA 319.33 menunjukkan bahwa auditor harus memperoleh suatu pemahaman tentang
aktivitas pengendalian yang relevan dengan perencanaan audit. Dalam memperoleh suatu
pemahaman mengenai lingkungan pengendalian, penilaian risiko, informasi dan komunikasi,
serta komponen pemantauan dari pengendalian intern, auditor secara tidak langsung akan
memperoleh pengetahuan mengenai beberapa aktivitas pengendalian.
e. Pemahaman Pemantauan
Menurut SA 319.39 penting untuk memahami jenis aktivitas yang digunakan oleh entitas,
manajemen puncak, manajemen akuntansi, dan auditor internal untuk memantau efektivitas
pengendalian intern dalam memenuhi tujuan pelaporan keuangan. Pengetahuan bagaimana
tindakan perbaikan dimulai juga harus diperoleh berdasarkan informasi yang sedikit dari
aktivitas pemantauan. Informasi yang diperoleh dari prosedur pemantauan yang dilaksanakan
oleh auditor internal dapat berguna secara khusus bagi auditor eksternal.

Prosedur untuk Memperoleh suatu Pemahaman

SA 319.41 menyarankan agar prosedur untuk memperoleh suatu pemahaman terdiri dari:
a. Review pengalaman masa lalu dengan klien
b. Mengajukan pertanyaan kepada manajemen, pengawas dan staf personel yang
tepat
c. Memeriksa dokumen dan catatan
d. Mengamati aktivitas dan operasi entitas

Tidak Adanya Pengendalian Internal

Jika tidak ada banyak kegiatan pengendalian (control activities) yang bisa diidentifikasi,
auditor mempertimbangkan apakah:

1. Mungkin menangani asersi-asersi relevan dengan melaksanakan proseur audit


selanjutnya yang terutama merupakan prosedur substantif; atau
2. Ketiadaan kegiatan pengendalian atau komponen pengendalian lainnya (sangat jarang
terjadi) tidak memungkinkan auditor memperoleh bukti audit yang cukup dan tepat. Hal-hal
lain menimbulkan tanda tanya mengenai apakah audit seharusnya dijalankan, seperti berikut:

a. Keraguan mengenai integritas manajemen, perilaku non-etis, atau sikap yang


mengabaikan pengendalian internal

b. Kekhawatiran mengenai kondisi dan keandalan catatan entitas yang membuat auditor
tidak mungkin memperoleh bukti audit yang cukup dan tepat untuk memberikan pendapat
wajar tanpa pengecualian.
Jika keraguan dan kekhawatiran di atas terjadi, auditor perlu mempertimbangkan dan
memodifikasi laporan auditornya atau mengundurkan diri dari penugasan sama sekali.

Pengendalian Internal Yang Relevan Untuk Audit

Tidak semua pengendalian relevan bagi audit itu. Auditor hanya perlu memperhatikan
pemahaman dan evaluasi atas pengendalian yang menanggulangi risiko salah saji yang
material dalam laporan keuangan (karena kecurangan atau kesalahan). Ini berarti,
pengendalian tertentu dapat dikeluarkan dari lingkup audit, seperti pengendalian yang:

a. Tidak berurusan dengan pelaporan keuangan


b. Sekalipun tidak ada, kemungkinan terjadinya salah saji material dalam laporan
keuangan sangat kecil.
Mendokumentasikan Pemahaman

1. Kuesioner
Kuesioner terdiri dari serangkaian pertanyaan mengenai pengendalian intern yang perlu
dipertimbangkan auditor untuk mencegah salah saji yang material dalam laporan
keuangan.beberapa kantor akuntan menggunakan kuesioner yang berbeda untuk klien besar
dan klien kecil.
Kebaikan penggunaan kuisoner pengendalian intern baku adalah memeberikan pedoman
bagi auditor dalam mengajukan pertanyaan mengenai informasi struktur pengendalian intern
yang berlaku dalam berbagai jenis perusahaan. Dilain pihak, kelemahan dari penggunaan
kuisoner pengendalian intern baku adalah:
a. Kemungkinan menimbulkan kecenderungan bagi penanya untuk menyalin data
jawaban yang pernah diperoleh dari tahun sebelumnya
b. Seringkali kuesioner pengendalian intern baku yang hanya merupakan cara untuk
mengumpulkan data, dianggap sebagai hasil akhir sehingga penanya seringkali tidak
memahami kenyataan yang ada dibalik jawaban ya dan tidak yang tercantum didalamnya.
2. Bagan Arus
Bagan arus (flowcharts) adalah suatu diagram sistematik dengan menggunakan simbol-
simbol terstandarisasi, garis arus yang saling berhubungan, dan keterangan yang
menggambarkan langkah-langkah yang terlibat dalam memproses informasi melalui sistem
informasi.
Bagan arus dirancang untuk bekerja dengan suatu uraian naratif yang menggambarkan
pengendalian dalam detail tambahan. Bagan arus menunjukkan:
a. Alur transaksi dari mulainya ttransaksi hingga pengikhtisaran dalam buku
besar umum
b. Fungsi-fungsi penting yang dimasukkan dalam bagan arus
c. Pendokumentasian jejak audit
d. Laporan penting yang diproduksi oleh sistem akuntansi
e. Program dan arsip komputer dimana informasi disimpan
3. Memorandum Naratif
Memorandum naratif terdiri dari komentar-komentar tertulis berkenaan dengan
pertimbangan auditor atas pengendalian intern. Memorandum dapat digunakan untuk
melengkapi bagan arus atau bentuk pendokumentasian lain dengan meringkas keseluruhan
pemahaman auditor mengenai pengendalian intern, komponen individu dari pengendalian
intern, atau kebijakan.
C. Mengevaluasi Pengendalian Internal

Dalam melaksanakan tugasnya, auditor diwajibkan melakukan evaluasi


terhadap pengendalian internal kliennya. Kewajiban ini dijelaskan pada International
Standard on Auditing (ISA) 315 sehubungan dengan evaluasi pengendalian intern, dan
pendokumentasian hasilnya.

Dalam memperoleh pemahaman mengenai pengendalian yang relevan dengan audit, auditor
wajib mengevaluasi rancangan dari pegendalian tersebut dan menentukan apakah
pengendalian tersebut sudah diimplementasi, dengan melaksanakan prosedur tambahan di
samping bertanya kepada pegawai (ISA 315.13).

Jika auditor sudah menentukan adanya risiko signifikan, aiditor wajib memperoleh
pemahaman mengenai pengendalian entitas termasuk kegiatan pengendalian, yang relevan
dengan risiko tersbut (ISA 315.29)

Dalam ISA 315.32 auditor juga wajib memasukkan dalam dokumentasi audit, antara lain:

a) Pembahasan di antara anggota tim (penugasan) audit seperti yang diharuskan dalam
alinea 10 dan keputusan signifikan yang dicapai;
b) Unsur utama pemahaman yang diperoleh mengenai setiap aspek tentang entitas dan
lingkugannya seperti yang disebutkan dalam alinea 11 dan setiap komponen pengendallian
internal yang disebutkan dalam alinea 14-24; sumber informasi dari mana pemahaman itu
diperoleh; dan prosedur penilaian risiko yang dilaksanakan;
c) Risiko (salah saji material) yang diidentifikasi dan dilnilai pada tingkat laporan
keuangan dan pada tingkat asersi seperti yang diharuskan dalam alinea 25; dan
d) Risiko yang diidentifikasi, dan pengendalian terkait yang dipahami, sebagai hasil
(pelaksanaan) kewajiban dalam alinea 27-30.

Evaluasi Rancangandan Implementasi Pengendalian Internal

Seperti yang sudah dijelaskan sebelumnya, bahwa auditor wajib mengevaluasi


rancangan dan implementasi pengendalian yang akhirnya menjadi bahan pertimbangan untuk
melaksanakan uji pengendalian (test of control) atau tidak. Adapun langkah-langkah dalam
mengevaluasi pengendalian adalah sebagai berikut:

Langkah 1 RisikoApa yang Harus Dimitigasi?


Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor risiko yang
signifikan dan faktor risiko lain yang ada. Beberapa sumber risiko yang sering ditemukan dan
jenis pengendalian yang dapat memitigasi risiko terbut dapat diringkas dalam tabel sebagai
berukut:

Apa yang bisa Sumber risiko Pengendalian penanggulangan


salah?
Laporan keuangan Faktor industri/eksternal Pengendalian dari proses pada
yang tidak andal Sifat entitas tingkat entitas
(risiko pervasive) Kebijakan akuntansi Pengendalian TI (Teknologi
Tujuan dan sasaran entitas Informasi) umum
Pengukuran kinerja Pengendalian transaksional
Kecurangan
Salah saji ketika Estimasi akuntansi Pengedalian pada tingkat entitas
menyiapkan laporan Penyisihan Pengendalian TI (Teknologi
keuangan (risiko Kebijakan akuntansi Informasi) umum
pervasive) Penggunaan lembar kerja Pengendalian transaksional
Transaksi nonrutin
Journal entries, rekonsisiasi
Info untuk pengungkapan
(disclosure)
Transakdi yang Identifikasi/pencatatan akuntansi Pengendalian transaksional
tidak diolah atau yang sudah disetujui Pengendalian aplikasi TI
dicatat dengan akurat Klasifikasi transaksi Beberapa pengendalian pada
Pengukuran, pisah batas tingkat entitas yang spesifik.
Pengamanan aset

Langkah 2 Apakah Pengendalian Memitigasi Risiko?


Dalam mengevaluasi apakah pengendalian sudah dirancang dengan tepat oleh manajemen,
auditor menilai apakah pengendalian yang diideentifikasi (secara sendiri-sendiri atau
dikombinasikan dengan pengendalian lainnya) benar benar akan menangkal atau memitigasi
faktor risiko. Ini berarti, manajemen harus memperhatikan apakah pengendalian itu efektif
untuk (a) mencegah (preventing) terjadinya salah saji maerial, atau: (b)
menemukan/mengungkapkan (detecting) dan mengoreksi (correcting) salah saji material,
setelah salah saji itu terjadi.
Ada dua cara yang lazimnya digunakan untuk menyandingkan pengendalian internal dengan
faktor atau tujuan pengendaliannya yang dirancang untuk menangkal risiko. Kedua
pendekatan ini adalah one-risk-to-many controls (satu risiko dengan banyak pengendalian)
dan many-risks-to-many controls (banyak risiko dengan banyak pengendalian).
One-Risk-to-many Controls
Dalam pendekatan ini, setiap faktor risiko dipertimbangkan satu per satu. Semau
pengendalian menangani faktor risiko tersebut, diidentifikasi. Pendekatan ini sangat
bermanfaat khusunya dalam memetakan atau menyandingkan faktor risiko pervaasif pada
tingkat entitas beserta pengendaliannya. Berikut contoh pendekatan One-Risk-to-many
Controls:

FAKTOR RISIKO/ ASERSI PENGENDALIAN YANG


TUJUAN PENGENDALIAN MENANGKAL RISIKO
Faktor risiko C 1. Prosedur pengendalian A
2. Prosedur pengendalian B
3. Prosedur pengendalian C
4. Prosedur pengendalian D
Faktor risiko EA 1. Prosedur pengendalian E
2. Prosedur pengendalian F
3. Prosedur pengendalian G
4. Prosedur pengendalian H
Faktor risiko A 1. Prosedur pengendalian I
2. Prosedur pengendalian J
3. Prosedur pengendalian K
4. Prosedur pengendalian L
Faktor risiko CA 1. Prosedur pengendalian M
2. Prosedur pengendalian N
3. Prosedur pengendalian O
4. Prosedur pengendalian P

Pendekatann satu risiko, banyak pengendalan ini sering digunakan untuk memetakkan
semua jenis pengendalian, termasuk pengendalian transaksional. Namun, satu pendekatan
transaksional sering kali dapat menangani lebih dari satu resiko; karenanya, satu
pengendalian ditampilkan berulang-ulang dalam pendekatan ini.
Many-Risk-to-Many Controls
Bila pendekatan satu risiko banyak pengendalian memungkinkan satu pengendalian
ditampilkan berulang-ulang maka pendekatan banyak risiko banyak pengendalian
dianggaplebih efisien.
Untuk risiko spesifik dan risiko transaksional, pendekatan yang paling umum digunakan
mengevaluasi rancangan pengendalian,ialah dengan menggunakan apa yang dikenal dengan
control design matrix. Matriks ini memungkinkan auditor secara sekilas dengan capt dapat
melihat:
Hubungan banyak-dengan-banyak (many-to-many relationship) antara risiko dan
pengendalian;
Di mana kuatnya pengendalian internal;
Di mana lemahnya pengendalian internal; dan
Pengendalian utama yang menanggapi banyak risiko/asersi dan dapat diuji efetif
tidaknya pengendalian tersebut.

Adapun contoh sededrhana dari control ddesign matrix dapat dilihat sebagai berikut:

Proses: Penjualan

Faktor risiko material Risiko Risiko Risiko Risiko Pengendalian


A B C D utama
Asersi C EA AC CE

Pengendali Komponen
an pengendalian intern
Prosedur 1 Lingkungn D
pengendalian
Prosedur 2 Sistem informasi D
Prosedur 3 Kegiatan pengendalian P P P Ya

Prosedur 4 Pemantauan D

Prosedur 5 Kegiatan pengendalian P P Ya

Prosedur 6 Kegiatan pengendalian

Prosedur 7 Sistem informasi D D D

Apakah rancangan pengendalian Ya Ya Tidak Ya


baik? Atau, apakah pengedalian
memitigasi risiko?

Singkatan untuk pengendalian: Singkatan untuk asersi:


P = Prevent C = Completeness
D = Mendeteksi dan mengoreksi A = Accuracy

Matriks diatas berisi informasi sebagai berikut


Risk factor (faktor risiko) yang jika tidak dimitigasi/ditangkal, mungkin menyebabkan
salah saji yang material dalam laporan keuangan.
Asersi yang menjadi perhatian
Dalam hal prosedur pengendalian intern bersinggungan dengan risiko, ada catatan
apakah prosedur pengendalian itu mencegah salah saji atau menemukan dan kemudian
memperbaiki salah saji yang terjadi.
Matriks semacam inidapat diperluas untuk memasukkan informasi lain seperti:
Frekuensi pengendalian, msalnya terus-menerus, mingguan, bulanan, dan seterusnya;
Apakah pengendalian itu dilakukan secara manual atau diotomatisasi; dan
Kendalan yang diharapkan dari pengendalian ini untuk suatu periode tertentu.
Bagaimana Mengidentifikasi PI yang Relevan
Umumnya pengendalian internal diidentifikasi melalui diskusi atau wawancar dengan
mereka yang bertanggungjawab untuk mengelola suatu risiko. Berikut adalah contoh
bagaimana auditor mengidentifikasi pengendalian internal yang relevan.
TINDAKAN PENJELASAN
Identifikasi risiko bawaan Identifikasi risiko pervasif entitas dan risiko transaksional
spesifik yang perlu dimitigasi melalui prosedur PI, untuk
mencegah atau mendeteksi dan mengoreksi salah saji material.
Tanya prosedur PI yang Tanya owner-manager atau penanggung jawab, apakah ada
menangani risiko tersebut prosedur PI di entitas itu untuk memitigasi setiap faktor risiko,
(periksa setiap faktor risiko, satu demi satu. Dokumentasikan PI yang diidentifikasikan
satu demi satu) dengan menggunakan bahasa/istilah yang digunakan orang
yang diwawancarai.

Ketika auditor melihat (berdasarkan kearifan profesionalnya)


bahwa cukup banyak PI sudah diidentifikasi untuk memitigasi
risiko, hentkan pertanyaan mengeni PI tambahan.tidak perlu
membuat daftar dari PI lainnya untuk memitigasi satu
risikokecuali secara khusus diminta untuk tujuan lain.
Dokumentasikan hasilnya PI yang diidentifikasi dapat didokumentasikan dengan
berbagai cara. PI yang diidentifikasi dapat dirinci untuk setiap
faktor risiko, atau dirinci dalam control matrix dan
dihubungkan dengan berbagai faktor risiko terkait.

Yang penting ialah pastikan prosedur PI yang diidentifikasi,


dihubungkan dengan berbagai faktor risiko yang harus
dimitigasi oleh prosedur PI tadi. Ini memungkinkan auditor
menilai apakah PI yang diidentifikasi benar-benar memitigasi
risiko. Jika control matrix digunakna:
Catat prosedur PI yang diidentifikasi ke matriks
tersebut dan indikasikan apakah PI itu mencegah atau
mendeteksi dan mengoreksi salah saji material; dan
Pertimbangkan apakah PI itu juga efektif memitigasi
faktor risiko lain. Suatu prosedur PI mungkin mencegah atau
mendeteksi beberapa faktor risiko.

Dalam hal belum ada PI yang diidentifikasi menangani


risiko, auditor segera mengingatkan manajemen tentang
kelemahan PI (yang mungkin merupakan kelemahan PI yang
signifikan) untuk ditindaklanjuti.

Menyimpulkan Rancangan Pengendalian


Langkah terakhir dalam menilai rancangan pengendalian adalah menarik kesimpulan
mengenai apakah pengendalian yang diidentifikasi memang benar-benar memitigasi faktor
risiko tertentu. Untuk setiap asersi yang relevan atau faktor risiko, perhatikan apakah
tanggapan manajemen cukup untuk menekan risiko salah saji material ke tingkat rendah yang
dapat diterima (Acceptably low level). Jika pendekatan control design matrix digunkaan, baris
bawah matriks tersebut dapat digunakan untuk mendokumentasikan apakah pengendalian
cukup memitigasi setiap faktor risiko.
Ringkasan evaluasi pengendalian menyeluruh untuk kelima komponen pengendalian dapat
dilihat pada gambar dibawah ini:

Langkah 3 Apakah Pengendalian itu Berfungsi?


Sekedar bertanya kepada manajemen tidak cukup untuk mengevaluasi rancangan
prosedur pengendalian internal atau apakah prosedur pengendalian internal itu sudah
diimplementasi. Itu sebabnya auditor perlu mengamati pengendalian yang sedang berjalan.
Alasannya karena:
Proses dapat berubah dengan perubahan waktu, mungkin karena adanya produk atau
jasa baru, adanya efisiensi dalam operasi, pergantian, pergantian pegawai, dan
implementasnya
Pegawai entitas mungkin menjelaskan bagaimana suatu sistam seharusnya berfungsi,
dan bukan bagaimana sistem itu dalam kenyataannya berfungsi
Beberapa aspek dari suatu sistem secara tidak sengaja terabaikan dalam upaya
memahami pengendalian internal.
Prosedur penilaian risiko (risk assessment procedures) yang diwajibkan untuk memperoleh
bukti audit mengenai diimplementasikannya pengendalian meliputi:
Bertanya (inquiry) kepada pegawai entitas;
Mengamati (observing) atau mengulangi (re-performing) aplikasi dari pengendalian
tertentu;
Menginspekasi dokumen dan laporan; dan
Menelusuri satu atau beberapa transaksi melalui sistem informasi yang relevan untuk
pelaporan keuangan.penelusuran ini sering disebut walkthrough (napak tilas)

Implementasi atas pegendalian membuktikan apakah pengendalian benar-benar


dilaksanakan pada waktu-waktu tertentu. Pemeriksaan mengenai implikasi ini tidak
membuktikan bahwa pengendalian efektif selama periode yang diaudit. Bukti mengenai
efektifnya pengendalian (jika ini menjadi bagian dari strategi audit yang dikembangkan) akan
diperoleh melalui uji pengendalian (test of controls) yang mengumpulkan bukti
mengenaiberfungsinya pengendalian selama periode audit,misalnya satu tahun.
Langkah 4 Apakah Pengendalian Sudah Didokumentasi?
Tujuan dari langkah ini adalah untuk memberikan informasi tentang beroperasinya
pengendalian yang relevan, yang diidentifikasi dalam langkah 2. Berapa luas/banyaaknya
dokumentasi, ditentukan oleh kearifan profesional auditor.
Dokumentasi yang baik akan membantu auditor:
Mehamami sifat, operasi (menyiapkan, memproses, mencatat, dan seterusnya), dan
konteks dari pengendalian yang diidentifikasi; dan
Menentukan apakah pengendalian itu andal dan berfungsi efektif. Jika memang
demikian, dapat diuji sebagai bagian dari tanggapan audit terhadap risiko yang dinilai
Beberapa hal yang perlu dipertimbangkan dalam mendokumentasikan pengendalian intern
yang relevan, yang diidentifikasi dalam dua langkah:
Bagaimana transaksi signifikan disiapkan, diotorisasi, dicatat, diolah dan dilaporkan;
Arus transaksi dalam detail yang cukup untuk menentukan titik-titik dimana salah saji
material
Pengendalian intern selama periode proses pelaporan keuangan

Bentuk dokumentasi yang paling umum dibuat oleh manajemen atau auditor adalah:

Penjelasan naratif atau memo;


Bagan arus (flow chart)
Kombinasi antara flow chart dan penjelasan naratif;
Kuesioner dan daftar ujji

Sifat dan luas/banyaknya dokumentasi yang diperlukan, ditentukan oleh kearifan


profesional auditor. Faktor-faktor yang perlu diperhatikan adalah:
Sifat, ukuran dan kompleksitas entitas dan pengendalian intern;
Tersedianya informasi pada entitas;
Metodologi dan teknologi audit yang digunakan.

Pemutakhiran Dokumentasi di Tahun Mendatang

Auditor dapat menggunakan dokumentasi yang dibuat atau didapat dalam audit
periode yang lalu, ketika merencanakan audit tahun berikutnya. Pemutakhiran ini meliputi:

Buat salinan dari kertas kerja tahun yang lalu, sabagai tolok ukur pemutakhiran di
tahun berjalan
Metakhirkan daftar risiko yang diimitigasi oleh pengendalian
Identifikasikan perubahan dalam pengendalian intern pada tingkat entitas dan tingkat
transaksional
Jika ditemukan ada perubahan ( risiko atau pengendalian), tentukan apakah
pengendalian intern yang baru sudah dirancang dan diimplementasikan
Mutakhirkan keterkaitan antara pengendalian intern dengan faktor risiko yang tepaat
Mutakhirkan kesimpulan pada risiko pengendalian

Representasi Tertulis tentang Pengendalian Internal

Representasi atau pernyataan tertulis tentang pengendalian intern harus diminta dari
manjemen yang mengakui bertanggung jawab untuk mengadakan dan memelihara
pengendalian intern yang menurutnya diperlukan untuk membuat laporan keuangan yang
bebas dari salah saji yang material, yang disebabkan oleh kesalahan atau kecurangan.

You might also like