A.

TUJUAN PENGENDALIAN INTERNAL

Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang manajemen dengan
keyakinan memadai agar entitas mencapai tujuan dan sasarannya. Kebijakan-kebijakan dan
prosedur-prosedur ini sering disebut pengendalian dan secara kolektif membentuk pengendalian
internal entitas.
Secara lebih teknis, SA 315. 4 (c) mendefinisikan pengendalian internal sebagai berikut:
Proses yang dirancang, diimplementasikan, dan dipelihara oleh pihak yang bertanggung jawab
atas kelola, manajemen, dan personel lain untuk menyediakan keyakinan memadai tentang
pencapaian tujuan entitas yang berkaitan dengan keandalan pelaporan keuangan, efisiensi dan
efektivitas operasi, dan kepatuhan terhadap peraturan perundang-undangan. Istilah
pengendalian mengacu pada setiap aspek dari satu atau lebih komponen pengendalian internal.
Pada umumnya manajemen memiliki tiga tujuan umum dalam merancang suatu sistem pengendalian
internal yang efektif, yakni:
1. Keandalan pelaporan keuangan entitas. Manajemen memiliki tanggung jawab hukum dan
professional untuk memastikan bahwa informasi telah disajikan secara wajar sesuai dengan
persyaratan pelaporan yang ditetapkan oleh IAI dan IFRS. Tujuan pengendalian internal
yang efektif atas pelaporan keuangan adalah untuk memenuhi tanggung jawab pelaporan
keuangan.
2. Efektivitas dan efisiensi operasi entitas. Pengendalian dalam suatu entitas akan mendorong
efektivitas dan efisiensi penggunaan sumber-sumber secara optimal untuk mencapai tujuan
entitas. Tujuan utama pengendalian ini adalah untuk memberi informasi keuangan dan
nonkeuangan yang akurat tentang operasi entitas untuk pengambilan keputusan.
3. Kesesuaian dengan undang-undang dan peraturan-peraturan. Entitas-entitas publik,
nonpublik, dan dan organisasi nirlaba berkewajiban untuk mentaati undang-undang dan
peraturan-peraturan yang berlaku. Sebagian diantaranya hanya menyangkut akuntansi secara
tak langsung, namun ada juga yang langsung berkaitan dengan akuntansi, seperti misalnya
undang-undang perpajakan.
B. TANGGUNG JAWAB MANAJEMEN DAN TANGGUNG JAWAB AUDITOR ATAS
PENGENDALIAN INTERNAL
Manajemen dan auditor memiliki tanggung jawab yang berbeda atas pengendalian internal.
Manajemen bertanggung jawab untuk menetapkan dan memelihara pengendalian internal entitas.

1
Sedangkan auditor berkewajiban untuk memahami dan melakukan pengujian pengendalian internal
untuk pelaporan keuangan.
1. Tanggung Jawab Manajemen Untuk Menetapkan Pengendalian Internal
Manajemen, bukan auditor, harus menetapkan dan memelihara pengendalian internal entitas.
Konsep ini sejalan dengan persyaratan bahwa manajemen, bukan auditor, berkewajiban untuk
menyusun laporan keuangan sesuai dengan standar akuntansi yang ditetapkan oleh IAI dan
IFRS. Ada dua konsep yang melandasi rancangan dan penerapan pengendalian internal oleh
manajemen, yaitu:
1) Keyakinan Memadai
Entitas harus mengembangkan pengendalian internal yang memberi keyakinan memadai
bahwa laporan keuangan disajikan secara wajar. Pengendalian internal dikembangkan
manajemen setelah mempertimbangkan manfaat dan biaya pengendalian. Konsep keyakinan
memadai tidak memberi jaminan pasti bahwa kesalahan penyajian material akan bisa dicegah
atau dideteksi secara tepat waktu oleh pengendalian internal.
2) Keterbatasan Inheren
Pengendalian internal tidak akan pernah efektif sepenuhnya meskipun telah dirancang dan
ditetapkan dengan sungguh-sungguh. Meskipun manajemen dapat merancang sistem yang
ideal, namun efektivitasnya tergantung pada kompetensi dan kejujuran orang-orang yang
menggunakannya.
2. Tanggung Jawab Auditor Untuk Memahami Pengendalian Internal
SA 315.12 menyatakan tanggung jawab auditor yang berkaitan dengan pengendalian internal
entitas sebagai berikut:

Auditor harus memperoleh suatu pemahaman atas pengendalian internal yang relevan dengan
audit. Meskipun sebagian besar pengendalian yang relevan dengan audit kemungkinan
berhubungan dengan pelaporan keuangan, namun tidak semua engendalian yang berhubungan
dengan laporan keuangan relevan dengan audit.

Suatu pemahaman atas pengendalian internal membantu auditor dalam mengidentifikasikan tipe-
tipe kesalahan penyajian yang potensial dan faktor-faktor yang memengaruhi risiko kesalahan
penyajian material, serta dalam merancang sifat, saat, dan luas prosedur audit lebih lanjut.

2
 1. Sifat Karakteristik Umum Pengendalian Internal
Sebagaimana telah ditujuntukkan dalam definisi pengendalian internal, pengendalian
internal dirancang, diimplementasikan, dan dipelihara untuk merespon risiko bisnis yang
teridentifikasi yang mengancam pencapaian tujuan entitas yang berkaitan dengan:
 Keandalan pelaporan keuangan entitas.
 Efektivitas dan efisiensi operasi entitas.
 Kepatuhan entitas terhadap peraturan perundang-undangan yang berlaku.

Auditor tidak begitu menaruh perhatian pada pengendalian yang mempengaruhi

efisiensi dan efektivitas operasi entitas, karena pengendalian semacam itu tidak langsung
berpengaruh terhadap kewajaran penyajian laporan keuangan.

Auditor mempunyai tanggung jawab yang signifikan untuk menemukan adanya

kecurangan pelaporan keuangan dan penyalahgunaan aset serta pengaruh langsung dari
tindakan melawan hukum. Oleh karena itu, auditor sangat menaruh perhatian terhadap
pengendalian internal klien yang berhubungan dengan pengamanan aset dan kesesuaian
dengan undang-undang dan peraturan yang berlaku apabila hal tersebut berpengaruh
terhadap kewajaran laporan keuangan. Apabila dirancang dan diterapkan dengan benar,
pengendalian internal akan dapat mencegah dan mendeteksi kecurangan secara efektif.

2. Pengendalian yang Relevan dengan Audit

Terdapat hubungan langsung antara tujuan entitas pengendalian yang
diimplementasikan oleh entitas untuk menyediakan keyakinan memadai tentang pencapaian
tujuan tersebut. Tujuan entitas, termasuk pengendalian internal entitas, berkaitan dengan
pelaporan keuangan, operasi, dan kepatuhan, namun tidak semua tujuan dan pengendalian
tersebut relevan dengan penilaian risiko auditor.
Faktor-faktor yang relevan dengan pertimbangan auditor tentang apakah suatu
pengendalian, baik secara individu maupun bersama dengan pengendalian lain, adalah
relevan dengan audit dapat mencakup hal-hal sebagai berikut:
 Materialitas.
 Signifikansi risiko yang terkait.
 Ukuran entitas.
 Sifat bisnis entitas, termasuk karakteristik organisasi dan kepemilikannya.

3
  Keberagaman dan kompleksitas operasi entitas.
 Ketentuan hukum dan peraturan yang berlaku.
 Kondisi dan komponen pengendalian internal yang berlaku.
 Sifat dan kompleksitas sistem yang merupakan bagian pengendalian internal entitas,
termasuk organisasi jasa.
 Apakah dan bagaimana, suatu pengendalian tertentu, baik secara individu atau bersama
dengan pengendalian lain mencegah, atau mendeteksi dan mengoreksi, kesalahan
penyajian material.

Pengendalian terhadap kelengkapan dan keakuratan informasi yang dihasilkan oleh entitas
dapat menjadi relevan dengan audit jika auditor bermaksud untuk menggunakan informasi
tersebut dalam merancang dan melaksanakan prosedur lanjutan serta jika pengendalian
tersebut berkaitan dengan data yang dievaluasi atau digunakan oleh auditor dalam menerapkan
prosedur audit.

3. Sifat dan Luas Pemahaman dan Pengendalian Relevan

Pengevaluasian atas racangan suatu pengendalian melibatkan pertimbangan atas apakah
pengendalian tersebut baik secara individu maupun bersama dengan pengendalian lain, dapat
secara efektif mencegah, atau mendeteksi dan mengoreksi, kesalahan penyajian material.
Implementasi suatu pengendalian berarti bahwa pengendalian tersebut ada dan digunakan oleh
entitas. Penilaian terhadap pengimplementasian suatu pengendalian yang tidak efektif kurang
bermakna, dan oleh karena itu, pertimbangan atas rancangan suatu pengendalian harus
dilakukan lebih dahulu. Suatu pengendalian yang dirancang secara tidak tepat dapat
mengakibatkan suatu efisiensi signifikan pengendalian internal.
Pemerolehan suatu pemahaman tentang pengendalian suatu entitas tidak cukup untuk
menguji efektivitas operasi pengendalian tersebut, kecuali terdapat beberapa otomatisasi yang
menyediakan operasi pengendalian yang konsisten.
4. Komponen Pengendalian Internal
Komponen pengendalian internal adalah butir keempat yang harus dipahami auditor.
Mengingat banyak dan luasnya materi yang harus dipahami, maka hal ini akan dijelaskan
dalam sub bab tersendiri di bawah ini.

4
C. KOMPONEN-KOMPONEN PENGENDALIAN INTERNAL
Untuk tujuan standar audit, pembagian pengendalian internal ke dalam lima komponen di bawah ini
menyediakan suatu kerangka yang bermanfaat bagi auditor untuk mempertimbangkan bagaimana
berbagi aspek pengendalian internal yang berbeda pada entitas dapat memengaruhi audit (SA 315.
A51):
1. Lingkungan pengendalian.
2. Proses penilaian risiko entitas.
3. Sistem informasi yang relevan dengan pelaporan keuangan, termasuk proses bisnis yang terkait
dan komunikasi.
4. Aktivitas pengendalian.
5. Pemantauan terhadap pengendalian.

Pembagian tersebut belum tentu mencerminkan bagaimana suatu entitas merancang,

mengimplementasikan, dan memelihara pengendalian internal, atau bagaimana entitas
mengklasifikasikan komponen tertentu. Auditor dapat menggunakan terminologi atau kerangka
yang berbeda untuk menjelaskan berbagai aspek pengendalian internal dan pengaruhnya terhadap
audit daripada yang digunakan dalam standar audit, selama seluruh komponen yang dijelaskan
dalam standar audit tercakup.

Lingkungan pengendalian berperan sebagai payung bagi empat komponen lainnya. Tanpa suatu
lingkungan pengendalian yang efektif, keempat komponen lain mustahil dapat menghasilkan
pengendalian internal yang efektif, bagaimanapun baiknya komponen tersebut.

1. Lingkungan Pengendalian
Lingkungan pengendalian terdiri dari tindakan-tindakan, kebijakan-kebijakan, dan
prosedur-prosedur yang mencerminkan perilaku menyeluruh manajemen puncak, para
direktur, dan pemilik entitas tentang pengendalian internal dan arti pentingnya bagi entitas.
Lingkungan pengendalian meliputi unsur-unsur sebagai berikut:
a) Komunikasi dan penegakan nilai integritas dan etika. Integritas dan perilaku etis
merupakan produk standar etika dan perilaku entitas, bagaimana standar tersebut
dikomunikasikan, dan bagaimana standar tersebut diperkuat dalam praktik. Komunikasi
kebijakan entitas tentang nilai integritas dan etika dapat mencakup komunikasi standar

5
 perilaku kepada personel melalui pernyataan kebijakan dan kode etik, serta contoh yang
diberikan.
b) Komitmen terhadap kompetensi. Komitmen terhadap kompetensi mencakup
pertimbangan manajemen tentang tingkat kompetensi untuk tugas tertentu dan bagaimana
hal tersebut diterjemahkan ke dalam persyaratan keterampilan dan pengetahuan.
c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola. Pentingnya tanggung
jawab pihak yang bertanggung jawab atas tata kelola dinyatakan dalam kode etik dan
peraturan perundang-undangan, atau panduan yang dikeluarkan mencakup pengawasan
atas rancangan dan pengoperasian secara efektif.
d) Filosofi dan gaya operasi manajemen. Melalui aktivitasnya, manajemen harus memberi
sinyal yang jelas tentang pentingnya pengendalian internal. Pemahaman tentang hal ini dan
aspek-aspek serupa dari falsafah dan gaya operasi manajemen akan memberikan kepada
auditor gambaran tentang bagaimana sikap manajemen terhadap pengendalian internal.
e) Struktur organisasi. Struktur organisasi entitas merumuskan garis pertanggungjawaban
dan kewenangan. Dengan memahami struktur organisasi entitas, auditor akan dapat
mempelajari manajemen dan elemen-elemen fungsional dari bisnis serta melihat
bagaimana pengendalian diterapkan.
f) Pemberian wewenang dan tanggung jawab. Pemberian wewenang dan tanggung jawab
dapat mencakup kebijakan yang berkaitan dengan praktik bisnis yang tepat, pengetahuan
dan pengalaman personel kunci, dan sumber daya yang tersedia untuk melaksanakan tugas.
g) Kebijakan dan praktik sumber daya manusia. Aspek terpenting dan pengendalian
internal adalah manusia. Orang-orang yang jujur dan efisien akan dapat mencapai kinerja
yang tinggi, walaupun hanya sedikit pengendalian yang ditetapkan entitas. Namun
demikian, karyawan yang kompeten dan bisa dipercaya juga masih tetap memiliki
kelemahan.

Unsur-unsur lingkungan pengendalian yang mungkin relevan ketika memperoleh suatu

pemahaman atas lingkungan pengendalian mencakup hal-hal sebagai berikut:

a) Komunikasi dan penegakan integritas dan nilai etika: Ini merupakan unsur-unsur
esensial yang memengaruhi efektivitas rancangan, pengelolaan, dan pemantauan
pengendalian.

6
b) Komitmen terhadap kompetensi: Hal-hal seperti pertimbangan manajemen tentang
tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat-tingkat tersebut
diterjemahkan ke dalam keahlian dan pengetahuan yang disyaratkan.
c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola: Atribut pihak yang
bertanggung jawab atas tata kelola adalah:
 Independensi mereka dari manajemen.
 Pengalaman dan reputasi mereka.
 Seberapa luas keterlibatan mereka dan informasi yang diterimanya, dan inspeksi atas
aktivitas.
 Ketepatan tindakan mereka, termasuk mengajukan pertanyaan-pertanyaan sulit kepada
manajemen dan mengejar jawabannya, serta interaksi mereka dengan auditor internal
dan eksternal.
d) Filosofi dan gaya operasi manajemen: Karakteristik manajemen seperti:
 Pendekatan dalam pengambilan dan pengelolaan risiko bisnis.
 Sikap dan tindakan terhadap pelaporan keuangan.
 Sikap terhadap pengolahan informasi dan fungsi akuntansi serta personel.
e) Struktur organisasi: Kerangka yang di dalamnya aktivitas entitas untuk mencapai tujuan
entitas direncanakan, dilaksanakan, dikendalikan, dan ditelaah.
f) Pemberian wewenang dan tanggung jawab: Hal-hal seperti bagaimana wewenang dan
tanggung jawab atas aktivitas operasi diberikan dan bagaimana hubungan pelaporan
hierarki otorisasi diterapkan.
g) Kebijakan dan praktik sumber daya manusia: Kebijakan dan praktik yang berkaitan
dengan, sebagai contoh, rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi,
kompensasi, dan tindakan perbaikan

Efektivitas rancangan lingkungan pengendalian dalam hubungannya dengan partisipasi oleh

pihak yang bertanggung jawab atas tata kelola dipengaruhi oleh hal-hal berikut:

 Independensi mereka dari manajemen dan kemampuan mereka untuk mengevaluasi

tindakan manajemen.
 Tingkat pemahaman mereka atas transaksi bisnis entitas.

7
  Luas evaluasi mereka terhadap kesesuaian laporan keuangan dengan kerangka pelaporan
keuangan yang berlaku.
2. Proses Penilaian Risiko Entitas
Penilaian risiko untuk pelaporan keuangan adalah identifikasi dan analisis risiko yang
dilakukan manjemen berkaitan dengan penyusunan laporan keuangan yang sesuai dengan
kerangka pelaporan keuangan entitas yang berlaku. Ketepatan atas kesesuaian proses penilaian
risiko entitas dengan kondisinya ditentukan oleh pertimbangan auditor.
Risiko yang relevan dengan pelaporan keuangan yang andal mencakup peristiwa,
transaksi, atau kondisi eksternal dan internal yang dapat terjadi dan memengaruhi secara buruk
kemampuan entitas untuk menginisiasi, mencatat, mengolah, dan melaporkan data keuangan
yang konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau
berubah karena kondisi-kondisi seperti berikut:
 Perubahan dalam lingkungan operasi. Perubahan dalam lingkungan peraturan atau
lingkungan operasi dapat mengakibatkan perubahan dalam tekanan yang kompetitif dan
dalam risiko yang berbeda secara signifikan.
 Personal baru. Personal baru dapat memiliki fokus yang berbeda atas, dan pemahaman
tentang pengendalian internal.
 Sistem informasi baru atau yang ditingkatkan. Perubahan yang signifikan dan pesat
dalam sistem informasi dapat mengubah risiko yang berkaitan dengan pengendalian
internal.
 Pertumbuhan yang pesat. Ekspansi operasi yang signifikan dan pesat dapat melemahkan
pengendalian dan meningkatkan risiko kerusakan dalam pengendalian.
 Teknologi baru. Penggunaan teknologi baru dalam proses produksi atau sistem informasi
dapat mengubah risiko yang terkait dengan pengendalian internal.

Apabila manajemen menilai dan menanggapi risiko secara efektif, auditor biasanya akan
mengumpulkan bukti yang lebih sedikit, dibandingkan dengan bilamana manajemen tidak
cermat mengidentifikasi dan menanggapi risiko secara signifikan.

8
3. Sistem Informasi, Termasuk Proses Bisnis Yang Terkait, Pelaporan Keuangan Yang
Relevan, Dan Komunikasi
Suatu sistem informasi terdiri dari infrastruktur (komponen fisik dan perangkat keras),
perangkat lunak, orang, prosedur, dan data. Banyak sistem informasi menggunakan teknologi
informasi secara ekstensif.
Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup sistem
pelaporan keuangan, mencakup metode dan catatan yang:
 Mengidentifikasi dan mencatat seluruh transaksi yang valid.
 Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk memungkinkan
klasifikasi transaksi yang tepat untuk pelaporan keuangan.
 Mengukur nilai transaksi dengan suatu cara yang memungkinkan pencatatan nilai moneter
transaksi tersebut secara tepat dalam laporan keuangan.
 Menentukan periode terjadinya transaksi yang memungkinkan pencatatan transaksi tersebut
dalam periode akuntansi yang tepat.
 Menyajikan transaksi dan pengungkapan terkait secara tepat dalam laporan keuangan.

Sistem informasi pada suatu entitas umumnya mencakup penggunaan entri jurnal standar
yang dibutuhkan secara berulang untuk mencatat transaksi. Proses pelaporan keuangan sutau
entitas juga mencakup penggunaan entri jurnal nonstandar untuk mencatat transaksi atau
penyesuaian yang tidak berulang dan tidak biasa. Kualitas informasi yang dihasilkan dan sistem
memengaruhi kemampuan manajemen untuk membuat keputusan yang tepat dalam mengelola
dan mengendalikan aktivitas entitas dan untuk menyusun laporan keuangan yang andal.

Proses bisnis suatu entitas adalah aktivitas yang dirancang untuk:

 Mengembangkan, membeli, memproduksi, menjual, dan mendistribusikan produk dan jasa

suatu entitas.
 Menjamin kepatuhan terhadap peraturan perundang-undangan.
 Mencatat informasi, termasuk informasi akuntansi dan pelaporan keuangan.

Proses bisnis menghasilkan transaksi yang dicatat, diolah, dan dilaporkan oleh sistem
informasi. Pemerolehan suatu pemahaman tentang proses bisnis entitas, yang meliputi
bagaimana transaksi diawali, membantu auditor dalam memperoleh suatu pemahaman tentang

9
 sistem informasi entitas yang relevan terhadap pelaporan keuangan dengan cara yang tepat sesuai
dengan kondisi entitas.

Komunikasi oleh entitas tentang peran dan tanggung jawab pelaporan keuangan dan hal-hal
signifikan yang berkaitan dengan pelaporan keuangan mencakup penyediaan pemahaman peran
dan tanggung jawab individu terkait dengan pengendalian internal atas pelaporan keuangan.
Komunikasi dapat berupa manual kebijakan, manual akuntansi dan pelaporan keuangan, serta
memorandum. Komunikasi juga dapat dilakukan secara elektronis, lisan, dan melalui tindakan
manajemen.

4. Aktivitas Pengendalian

Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang tercakup dalam keempat
komponen pengendalian yang lain, yang membantu dalam memastikan bahwa tindakan yang
diperlukan dilakukan untuk menghadapi resiko guna tercapainya tujuan entitas. Pada umumnya,
aktivitas pegendalian yang relevan dengan suatu audit dapat dikategorikan sebagai kebijakan dan
prosedur yang berkaitan dengan hal-hal sebagai berikut :

 Penelaahan kinerja. Aktivitas pengendalian ini mencakup penelaahan dan analisis kinerja
aktual dibandingkan dengan anggaran, perkiraan, dan kinerja periode lalu;menghubungkan
serangkaian data yang berbeda(data operasi dari data keungan) satu sama lainnya, bersama
dengan analisis hubungan dan tindakan investigatif dan korektif;membandingkan data
internal dengan sumber informasi eksternal; serta menelaah kinerja fungsional atau kinerja
aktivitas
 Pengolahan informasi. Dua pengelompokan besar atas aktivitas pengendalian sistem
informasi: (1) pengendalian aplikasi, yaitu pengendalian yang diterapkan atas pengolahan
aplikasi individu. Contoh: pengecekapan keakurasian perhitungan atas catatan, memelihara
dan menelaah akun dan neraca saldo, pengendalian terotomatisasi seperti pengecekan edit
atas data masukan dan pengecekan urutan numerik, dan penindaklanjutan secara manual
atas laporan penyimpangan. (2) pengendalian informasi teknologi umum, yaitu
pengendalian berupa kebijakan dan prosedur yang berhubungan dengan banyak aplikasi
yang mendukung berfungsinya pengendalian aplikasi secara efektif dengan membantu
untuk menjamin beroperasinya sistem informasi secara tepat dan berkelanjutan. Contoh:
pengendalian perubahan program, pengendalian atas implementasi paket aplikasi
10
 perangkan lunak baru, dan pengendalian atas perangkat lunak sistem yang membatasi akses
terhadao atau yang memantau utilitas sistem yang dapat mengubah data atau catatan
keuangan tanpa meninggalkan jejak audit.
 Pengendalian fisik. Pengendalian ini mencakup : (1) pengamanan yang memadai atas fisik
aset, seperti fasilitas yang aman atas akses terhadao aset dan catatan. (2) otoritas atas akses
terhaap program komputer dan file data. (3) penghitungan dan pembandingan dengan
jumlah yang tercantum dan catatan pengendalian secara periodik.
 Pemisahan tugas. Pemberian tanggungjawab kepada individu yang berbeda dalam
pengotorisasian dan pencatatan transaksi, serta penyimpanan aset. Pemisahan tugas
dimaksudkan untuk mengurangi peluang kemungkinan individu manapun untuk berada
dalam suatu posisi yang memungkinkannya untuk melakukan dan menyembunyikan
kesalahan atau kecurangan dalam tugas normalnya.

5. Pemantauan Terhadap Pengendalian

Pemantauan pengendalian adalah suatu proses untuk menilai efektivitas pelaksanaan

pengendalian internal. Manajemen melakukan pemantauan pengendalian melalui aktivitas
yang sedang berlangsung, pengevaluasian secara terpisah, atau kombinasi dari keduanya.
Tanggungjawab paling penting manajemen aalah menetapkan dan memelihara pengendalian
internal secara berkelanjutan. Pemantauan pengendalian oleh manajemen mencakup
pertimbangan apakah pengendalian tersebut beroprasi sebagaimana yang dimaksudkan dan
pengendalian tersebut dimodifikasi sebagaimana diperlukan sehubungan dengan perubahan
dalam kondisi. Pemantauan pengendalian dapat mencakup aktivitas seperti penelaahan
manajemen tentang apakah rekonsiliasi bank dibuat secara tepat waktu, evaluasi auditor
internal atas kepatuhan personel penjualan terhadap kebijakan entitas atas ketentuan kontrak
penjualan, dan pengawasan departemen legal atas kepatuhan terhadap kebijakan etika atau
kebijakan praktik bisnis. Pemantauan juga dilakukan untuk menjamin bahwa pengendalian
beroprasi secara efektif secara berkelanjutan sepanjang waktu. Aktivitas pemantauan dapat
mencakup penggunaan informasi yang berasal dari komunikasi dengan pihak eksternal yang
dapat mengindikasikan masalah atau area yang menjadi perhatian yang memerlukan perbaikan.

11
 PENGENDALIAN INTERNAL
Komponen Deskripsi Komponen Subkomponen
Lingkungan Tindakan, kebijakan, dan Integritas dan nilai etika
pengendalian prosedur yang Komitmen terhadap kompetensi
mecerminkan perilaku
manajemen puncak, Partisipasi pihak yang bertanggungjawab atas tata
dewan komisaris, dan kelola(dewan komisaris dan komite audit)
pemilik entitas tentang Falsafah dan gaya operasi manajemen
pengendalian internal dan Struktur organisai
arti penting pengendalian Pemberian wewenang dan tanggungjawab
internal Kebijakan dan praktik tentang sumber daya manusia
Proses Identifikasi dan analisis Proses penilaian risiko:
Penilaian oleh manajemen tentang Mengidentifikasi faktor-faktor yang mempengaruhi
Risiko risiko yang relevan risiko
Entitas dengan penyusunan Menilai signifikasi risiko dan kemungkinan terjadinya
laporan keuangan yang Menentukan tindakan yang diperlukan untuk mengelola
sesuai dengan SAK-IAI risiko
Kategori asersi manajemen yang harus dipenuhi:
Asersi-asersi tentang golongan transaksi dan kejadian
lainnya
Asersi-asersi tentang saldo akun
Asersi-asersi tentang penyajian dan pengungkapan
Informasi Metoda yang digunakan Mengidentifikasi dan mencatat seluruh transaksi yang
dan ntuk menginisiasi, valid
Komunikasi mencatat, mengolah dan Mendeskripsikan transaksi
melaporkan transaksi Menentukan periode terjadinya transaksi
perusahaan dan untuk
Menyajikan transaksi dan pengukapan terkait
menjaga akuntabilitas atas
aset-aset yang
bersangkutan

Aktivitas dan Kebijakan dan prosedur Jenis-jenis aktivitas pengendalian spesifik:

pengendalian yang ditetapkan Otoritas
manajemen untuk
Penelaahan kinerja
memenuhi tujuan
pelaporan keuangan Pengolahan informasi
Pengendalian fisik
Pemisahan tugas
Pemantauan Penilaian yang dilakukan
Pengendalian manajemen secara terus
menerus dan periodik
tentang kinerja
pengendalian internal
untuk memastikan apakah
pengendalian berjalan
sebagaimana dikehendaki
dan dimodifikasi bila
dibutuhkan

12
D. MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL

Proses Mendapatkan Pemahaman Pengendalian

Internal dan Penilaian Risiko Pengendalian
Tahap 1 Mendapatkan dan mendokumentasikan
pemahaman tentang rancangan dan
pengoperasian pengendalian internal
Tahap 2 Menetapkan risiko pengendalian
Tahap 3 Merancang, melaksanakan, dan
mengevaluasi pengujian pengendalian
Tahap 4 Menetapkan risiko deteksi direncanakan dan
pengujian substantive

Dokumentasi pengendalian internal yang diselenggarakan manajemen adalah sumber utama untuk
memperoleh pemahaman bagi auditor. Sebagai bagian dari prosedur penilaian risiko pengendalian,
auditor menggunakan prosedur untuk mendapatkan pemahaman, yang meliputi pengumpulan
bukti rancangan pengendalian internal dan apakah rancangan tersebut telah diimplementasikan.
Sebagaimana disebutkan dalam SA 315.13 :

“Pada waktu memperoleh pemahaman tentang pengendalian yang relevan dan audit, auditor harus
mengevaluasi rancangan pengendalian dan menentukan apakah pengendalian tersebut telah
diimplementasikan, dengan melaksanakan prosedur sebagai tambahan terhadap permintaan
keterangan dari personel entitas.”

Auditor biasanya menggunakan empat dari delapan jenis bukti yang telah dijelaskan dalam bab
yang lalu untuk mendapatkan pemahaman tentang rancangan dan penerapan pengendalian, yaitu :
dokumentasi, meminta keterangan dan personil entitas, mengobservasi bagaiamana pegawai
entitas melaksanakan proses pengendalian, dan melakukan ulang dengan cara menelusur satu atau
sejumlah transaksi melalui sistem akuntansi dari awal sampai akhir (SA 315.A67)

Auditor biasanya menggunakan tiga jenis dokumen unutk mendapatkan dan mendokumentasikan
pemahamannya tentang rancangan pengendalian internal, yaitu :

1) Naratif, adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada entitas klien.
Narasi dari suatu sistem akuntansi yang baik dan pengendalian terkait menjelaskan empat hal : (1)

13
sumber dari semua dokumen dan laporan dalam sistem. Contoh : deskripsi harus menerangkan
dari mana order pembelian berasal dan bagaimana faktur penjualan dibuat. (2) Semua pengolahan
data yang dilakukan. Contoh : jika jumlah rupiah penjualan ditentukan oleh program komputer
yang mengalikan jumlah barang yang dikirim dengan harga jual standar yang tersimpan dalam
master file harga, maka prosesnya harus dijelaskan. (3) Disposisi setiap dokumen dan catatan
dalam sistem. Pengisian dokumen, pengirimannya kepada konsumen, atau pemusnahannya harus
dijelaskan. (4) Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian. Hal ini
meliputi pemisahan tugas otoritas dan pemberian persetujuan, dan verifikasi internal.

2) Bagan Alir atu flowchart adalah suatu diagram dari dokumen-dokumen klien dan urutan
alirannya dalam organisasi. Bagan alir memiliki dua keunggulan : (1) mudah dibaca, (2) mudah
direvisi untuk dimutakhir. Bagan alir tidak dapat digunakan berbarengan dengan naratif untuk
sistem yang sama karena keduanya menerangkan tentang informasi yang sama.

3) Daftar Pertanyaan Pengendalian Internal menanyakan serangkaian pertanyaan tentang

pengendalian pada setiap bidang yang diaudit sebagai cara untuk mengidentifikasi defisiensi
pengendalian internal. Daftar pertanyaan kebanyakan berbentuk jawaban “Ya” atau “Tidak”.
Jawaban “Tidak” mengidentifikasikan kelemahan dalam sistem. Dengan menggunalam daftar
pertanyaan, auditor dapat mencakup setiap bidang audit dengan cukup cepat. Ada dua kelemahan
dari daftar pertanyaan : (1) tidak dapat memberi gambaran keseluruhan sistem, (2) tidak dapat
diterapkan pada bidang-bidang audit tertentu, terutama pada entitas kecil. Penggunaan daftar
pertanyaan dan bagan alir secara berrbarengan berguna untuk mendapatkan pemahaman tentang
rancangan pengendalian internal klien dan untuk mengidentifikasi defisiensi pengendalian
internal. Bagan alir memberikan gambaran tentang sistem secara utuh, sedangkan daftar
pertanyaan berfungsi sebagai daftae pengecekan untuk mengingatkan auditor akan berbagai
macam jenis pengendalian internal yang harus ada.

1. Penilaian Implementasi Pengendalian Internal

Selain harus mendapatkan pemahaman tentang rancangan pengendalian internal, auditor harus
mengevaluasi apakah rancangan pengendalian internal harus diterapkan. Dalam praktik, proses
mendapatkan pemahaman rancangan dan penerapan seringkali dilakukan secara ersaman.
Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan implementasi
pengendalian yang relevan dapat mencakup (SA315.67)

14
 1) Memutakhirkan dan Mengevaluasi Pengalaman Masa Lalu Auditor dengan Klien
(Entitas)

Setelah audit tahun pertama, auditor memili banyak informasi dari tahun lalu tentang pengendalian
internal klien. Informasi ini sangat berguna untuk menentukan apakah pengendalian yang pada
tahun lalu tidak berjalan dengan efektif telah diperbaiki.

2) Meminta Keterangan dari Personel Entitas

Auditor harus mengajukan pertanyaan kepada manajemen, pengawas dan staf agar menjelaskan
tugas mereka. Pengajuan pertanyaan yang cermat kepada personel yang tepat akan membantu
auditor dalam mengevaluasi apakah para pegawai memahami tugas mereka dan menjalankan apa
yang diuraikan dalam dokumentasi pengendalian internal klien.

3) Menginspeksi Dokumen dan Laporan

Dengan memeriksa dokumen, catatan, dan file-file komputer yang telah digunakan, auditor dapat
mengevaluasi apakah informasi yang diuraikan dalam bagan alir dan narasi telah diterapkan.

4) Mengamati Penerapan Pengendalian Tertentu

Manakala auditor mengamati personil klien dalam menjalankan aktivitas akuntansi dan
pengendalian normal, termasuk baggaiaman mereka menyiapkan dokumen dan catatan hal itu akan
melengkaoi pemahaman dan pengetahuan editor tentang bagaimana pengendalian diterapkan.

5) Menelusuri Transaksi Melalui Sistem Informasi yang Relevan dengan Pelaporan

Keuangan

Dalam mengikuti penelusuran jejak (walkthrough) suatu transaksi, auditor memilih satu atau
beberapa dokumen dari suatu jenis transaksi dan menelusurnya seja dari awal terjadinya transaksi
sampai selesainya proses akuntansi.

E. PENILAIAN RISIKO PENGENDALIAN

1. Menetapkan Apakah Laporan Keuangan bisa Diaudit atau Tidak

Ada dua faktor yang mempengaruhi apaah laporan keuangan bisa diaudit atau tidak (auditabilitas)
yaitu : integritas manajemen dan kecukupan catatan akuntansi.

15
Catatan akuntansi adalah sumber utama bukti audit untuk sebagian besar tujuan audit. Apabila
catatan akuntansi tidak memdai, bukti audit yang diperlukan biasanya tidak akan tersedia.

Apabila klien menerapkan teknologi informasi yang kompleks, banyak informasi transaksi hanya
tersedua dalam bentuk elektronik tanpa menghasilkan jejak audit dokumen dan catatan yang
terlihat kasat mata.

2. Menetapkan Risiko Pengendalian Dengan Didukung Oleh Pemahaman yang Diperoleh

Setelah mendapatkan pemahaman tentang pengendalian internal, auditor melakukan oenilaian

awal risiko pengendalian sebagai bagian dari penilaian menyeluruh risiko kesalahan penyajian
material. Penilaian ini merupakan ukuran tentang ekspektasi auditor bahwa pengendalian internal
akan dapat mencegah terjadinya kesalahan penyajian material atau mendeteksi dan
membetulkannya jika itu terjadi. Kebanyakan auditor mengawali kegiatan ini dengan menetapkan
pengendalian level-entitas. Pada hakekatnya pengendalian level-entitas, seperti kebanyakan
elemen dalam lingkungan pengendalian, penilaian risiko, dan komponen pemantauan, memiliki
dampak yang luas pada kebanyakan transaksi. Setelah auditor menentukan bahwa pengendalian
level-entitas telah dirancang dan dijalankan, selanjutnya auditor membuat penilaian awal untuk
setiap tujuan audit transaksi bagi setiap transaksi utama dalam setiap transaksi siklus transaksi.

3. Menggunakan Matrix Risiko Pengendalian untuk Menetapkan Risiko Pengendalian

Banyak auditor menggunakan matrix risiko pengendalian untuk membantu dalam proses penilaian
risiko pengendalian pada level transaksi.hal ini dimaksudkan untuk memudahkan
pengorganisasian penilaian risiko pengendalian untuk setiap tujuan audit.

1) Mengidentifikasi Tujuan Audit

Langkah pertama dalam penilaian risiko pengendalian adalah mengidentifikasikan tujuan

audit untuk setiap golongan transaksi, saldo akun dan penyajian serta pengungkapan yang
akan ditetapkan risiko pengendaliannya. Hal ini dilakukan untuk golongan transaksi
dengan menerapkan tujuan audit untuk transaksi tertentu seperti telah diterangkan di atas
dalam bentuk yang umum, untuk jenis-jenis transaksi utama dalam entitas yang
bersangkutan.

16
2) Mengidentifikasi Pengendalian yang Ada
Langkah berikutnya, tahap mendapatkan dan mendokumentasikan pengendalian internal
untuk mengidentifikasi pengendalian-pengendalian yang mempunyai kontribusi untuk
mencapai tujuan audit transaksi. Salah satu cara yang digunakan auditor untuk melakukan
hal ini adalah mengidentifikasi pengendalian yang memenuhi tujuan audit. Hal yang
bermanfaat bagi auditor adalah menggunakan kelima aktivitas
pengendalian(pengotorisasian yang tepat, penelaahan kinerja, pengolahan informasi,
pengendalian fisik, dan pemisahan tugas) sebagai pengingat-ingat. Audotpr harus
mengidentfikasi dan hanya memasukkan pengendalian-pengendalian yang diperkirakan
memiliki pengaruh paling besar dalam memenuhi tujuan audit transaksi. Hal ini sering
disebut sebagai pengendalian kunci. Alasan mengapa hanya memasukkan pengendalian
kunci adalah karena pengendlaian-pengendalian tersebut telah memadai untuk mencapai
tujuan audit transaksi dan demi efisiensi audit. Sebagaimana disebutkan dalam SA315.20:
“.....Suatu audit tidak membutuhkan suatu pemahaman tentang seluruh aktivitas
pengendalian yang terkait dengan setiap golongan transaksi signifikan, saldo akun, dan
pengungkapan dalam laporan keuangan, atau setiap arsesi yang relevan dengannya”
3) Mengaitkan Pengendalian dengan Tujuan udit yang Bersangkutan
Setiap pengendalian memenuhi satu atau beberapa tujuan audit tertentu. Matrix digunakan
untuk menunjukkan bagaimana pengendalian berkontribusi untuk mencapai satu atau lebih
tujuan audit transaksi. Dalam contoh ini, huruf C dicantumkanpada setiap sel yang
pengendaliannya sebagian atau seluruhnya memenuhi tujuan. Matrix risiko pengendalian
serupa bisa dibuat untuk tujuan audit saldo dan tujuan audit penyajian dan pengungkapan.

17
 Matrix Risiko Pengendalian – Penjualan

TUJUAN AUDIT TRANSAKSI-PENJUALAN

PENGENDALIAN INTERNAL (a) (b) (c) (d) (e) (f)

Pemberian persetujuan kredit

secara otomatis dengan
komputer dengan P
membandingkan pada batas
kredit yang disetujui
perusahaan (P1)

P Penjualan dicatat dengan

didukung oleh bukti
E pengiriman yang telah
mendapat persetujuan dan
P P

N order dari pembeli yang telah

disetujui(P2)
G
E Terdapat pemisahan wewenang
antara bagian pembuatan P P P
faktur, pencatatan penjualan,
N dan penanganan penerimaan
kas (P3)
D
A Dokumen pengiriman barang
setiap hari diteruskan ke bagian P P
L pembuatan faktur dan faktur
dibuat pada hari berikutnya
I (P4)

A Dokumen pengiriman barang

N bernomor urut tercetak dan
dipertanggungjawabkan
P P

pemakaiannya setiap minggu

(P5)

Total pengiriman barang per P P P

batch dibandingkan dengan
kuantitas yang difaktur (P6)
Harga jual per unit diperoleh
dari master file harga yang P
telah disetujui (P7)

18
 Transaksi penjualan P
diverifikasi secara internal (P8)

Laporan piutng dikirim

ke para pelanggan P P P
setiap bulan (P9)
Komputer secara
otomatis membukukan
transaksi ke buku
pembantu piutang P
usaha dan ke akun
piutang usaha di buku
besar (P10)
Master file piutang
usaha direkonsiliasi
dengan piutang di P
buku besar setiap
bulan (P11)

D
E Tidak terdapat
verifikasi internal
F D
untuk memeriksa
I
kemungkinan faktur
S penjualan dicatat lebih
I dari sekali (D1)
E
N Tidak terdapat
S pengendalian untuk D
I menguji ketepatan
waktu pencatatan (D2)
Penilaian risiko pengendalian Med Rendah Rendah Rendah Rendah*) Med
*)Karena tidak ada penjualan tunai, maka klarifikasi tidak menjadi masalah.
P= Pengendalian D= Defisiensi Pengendalian
Keterangan tentang kolom kolom tujuan audit:
(a) Penjualan yang dicatat adalah untuk pengiriman yang sesungguhnya dilakukan bukan pada
pembelian fiktif (keberadaan)
(b) Transaksi penjualan yang terjadi telah dicatat (kelengkapan)
(c) Penjualan yang dicatat adalah untuk jumlah barang yang telah dikirim dan telah difaktur dan
dicatat dengan benar (ketelitian).
(d) Transaksi penjualan telah dimasukkan ke dalam master file piutang usaha dengan benar dan
diringkas dengan benar(pembukuan dan peringkasan).
(e) Transaksi penjualan telah dikelompokkan dengan benar(pengelompokan).
(f) Penjualan dicatat pada tanggal yang benar (saat)

19
 4) Mengidentifikasi Dan Mengevaluasi Defisiensi Pengendalian, Defisiensi Signifikan,
Dan Defisiensi Material
Auditor harus mengidentifikasi dan menilai risiko kesalahan penyajian material pada
a) Tingkat laporan keuangan,
b) Tingkat asersi untuk golongan transaksi, saldo akun, dan pengungkapan, untuk
menyediakan suatu basis bagi perancangan dan pelaksanaaan prosedur audit lanjutan
(SA315.25) .

Untuk tujuan ini SA 315.26 mengharuskan auditor untuk

a) Mengidentifikasi risiko sepanjang proses pemerolehan pemahaman tentang entitas dan

lingkungannya, termasuk pengendalian relevan yang berkaitan dengan risiko, dan
dengan mempertimbangkan golongan transaksi, saldo akun, dan pengungkapan dalam
laporan keuangan
b) menilai dan mengidentifikasi risio, serta mengvaluasi apakah risiko tersebut berkaitan
secara lebih persasive terhadap laporan keuangan secra keseluruhan, dan secara
potensial mempengaruhi banyak asersi
c) Menghubungkan risiko yang diidentifikasi dengan apa yang bisa menjadi salah pada
tingkat asersi, dengan memperhitungkan pengendalian relevan yang hendak diuji oleh
auditor
d) mempertimbangkan kemungkinan kesalahan penyajian, termasuk kemungkinan
kesalahan penyajian berganda, dan apakah potensi kesalahan yang besar tersebut
dapat mengakibatkan suatu kesalahan penyajian material

Auditor harus mengevaluasi apakah pengendalian kunci tidak terdapat dalam rancangan
pengendalian kunci tidak terdapat dalam rancangan pengendalian internal untuk pelaporan
keuangan sebagai bagian dari penilaian risiko pengendalian dan kemungkinan tejadinyakesalahan
penyajian dalam laporan keuangan.

1. Defisiensi pengendalian
Terjadi apabila rancangan atau pengoperasian pengendalian tidak memungkinkan personel
entitas untuk mencegah atau mendeteksi kesalahan penyajian secara tepat waktu dalam
kondisi normal pelaksanaan fungsi-fungsi. Defisiensi rancangan terjadi apabila suatu

20
 pengendalian yang diperlukan tidak ada atau tidak dirancang dengan tepat. Defisiensi
pengoperasian terjadi apabila suatu pengendalian telah dirancang dengan baik tidak
dioperasikan sebagaimana dirancang atau apabila orang yang melaksanakan pengendalian
tidak cukup qualified.
2. Defisiensi Signifikan
Terjadi apabila terdapat defisiensi pada satu atau lebih pengendalian yang kelemahannya
tidak begitu besar bila dibandingkan dengan kelemahan material, namun cukup penting
untuk diperhatikan oleh mereka yang bertanggung jawab untuk mengawasi pelaporan
keuangan entitas
3. Kelemahan material
Terjadi apabila suatu defisiensi signifikan yang mengakibatkan terbukanya kemungkinan
bahwa pengendalian internal tidak akan dapat mencegah atau mendeteksi kesalahan
penyajian material dalam pelaporan keuangan secara tepat waktu

Untuk menentukan apakah suatu defisiensi signifikan atau sejumlah defisiensi signifikan
pengendalian internl merupakan kelemahan material, harus dilakukan evaluasi tentang dua hal :
kemunngkinan terjadi dan signifikansinya.

4. Mengidentifikasi Defisiensi, Defisiensi Signifikan Dan Kelemahan Material

Terdapat lima tahap pendekatan untuk mengidentifikasi defisiensi, defisiensi signifikan dan
kelemahan material :

1. Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan material adalah
ketiadaan pengendalian yang memadai, auditor pertama-tama harus mengetahui
pengendalian mana yang ada.
2. Mengidentifikasi pengendalian kunci yang tidak ada. Daftar pertanyaan pengendalian
internal, bagian alir dan naratif berguna untuk mengidentifikasi pengendalian mana yang
tidak ada dan oleh karenanya kemungkinan kesalahan penyajian menjadi meningkat.
Selain itu juga berguna untuk memeriksa matricx pengendalian.
3. Mempertimbangkan kemungkinan adanya pengendalian pengganti. Pengendalian
pengganti merupakan sesuatu yang terdapat dalam sistem yang dapat menggantikan
ketiadaan suatu pengendalian kunci.
4. Menentukan apakah terdapat defisiensi signifikan atau kelemahan material.

21
 5. Menentukan kesalahan penyajian potensial yang bisa terjadi. Tahap ini dimaksudkan untuk
mengidentifikasi kesalahan penyajian spesifik sebagai akibat defisiensi signifikan atau
kelemahan material.
1) Mengaitkan Defisiensi Signifikan Dan Kelemahan Material Dengan Tujuan Audit
Yang Bersangkutan
Setiap defisiensi signifikan atau kelemahan material dapat diterapkan pada satu atau lebih
tujuan audit.
2) Menetapkan Risiko Pengendalian Untuk Setiap Tujuan Audit Yang Bersangkutan
Auditor menggunakan semua informasi yang telah kita bahas di atas untuk membuat
keputusan tentang risiko pengendalian secara subyektif untuk setiap tujuan, ada berbagai
cara untuk menyatakan penilaian ini. Sebagian auditor menggunakan pernyataan subyektif
seperti tinggi, moderat, atau rendah, dan sebagian lainnya menggunakan probabilitas dalam
angka seperti 1,0,6, atau 0,2.

Matrix risiko pengendalian merupakan alat yang berguna untuk membuat penilaian.
Auditor menetapkan risiko pengendalian untuk setiap tujuan untuk penjualan dengan
mereview setiap kolom untuk pengendalian terkait defisiensi signifikan dan menanyakan
“seperti apa kemungkinan bahwa suatau kesalahan penyajian material tidak akan dapat
dicergah atau dideteksi, atau dikoreksi bila terjadi oleh pengendalian ini, dan apakah
pengaruh dari kelemahan tersebut”. Apabila kemungkinananya kecil, maka risiko
pengendalian dinilai rendah dan seteruskan

Setelah penilaian awal risiko pengendalian ditetapkan untuk penjualan dan penerimaan
kas, auditor dapat menyelesaikan ketiga baris risiko pengendalian pada kertas kerja
perencanaan bukti. Seandainya hasil pengujian pengendalian tidak mendukung penilaian
awal risiko pengendalian, auditor harus memodifikasi kertas kerjanya.

5. Pengomunikasian Kepada Pihak Yang Bersangkutan Dengan Tata Kelola Dan Kepada
Manajemen

Auditor harus menentukan apakah, berdasarkan pekerjaan audit yang telah dilakukan,
auditor telah mengidentifikasi satu atau lebih defisiensi dalam pengendalian internal. Jika auditor
telah mengidentifikasi satu atau lebih defisiensi dalam pengendalian internal, auditor harus

22
menentukan, berdasarkan pekerjaan audit yang telah dilakukan, apakah defisiensi tersebut, secara
individual atau gabungan merupakan defisiensi signifikan

1) Komunikasi Kepada Pihak yang Bersangkutan dengan Tata Kelola

SA 265.9 menetapkan sebagai berikut :
“auditor harus mengomunikasikan secara tertulis tentang defisiensi signifikan dalam
pengendalian internal yang diidentifikasi selama audit kepada pihak yang bertanggung
jawab atas tata kelola secara tepat waktu”

Auditor dalam mengomunikasikan defisiensi signifikan dalam pengendalian internal

secara tertulis harus menyertakan tentang (SA 265.11) :
a) Deskripsi serta penjelasan dampak potensial atas defisiensi tersebut; dan
b) Informasi yang cukup untuk memungkinkan pihak yang bertanggungjawab atas tata
kelola dan manajemen dalam memahami konteks komunikasi ersebut. Auditor
terutama harus menjelaskan bahwa:
i. Tujuan audit adalah untuk auditor dapat menyatakan opini atas laporan keuangan:
ii. Audit mencakup pertimbangan atas pengendalian internal yang relevan terhadap
penyusunan laporan keuangan dan merancang prosedur audi yang tepat sesuai
dengan kondisi namun tidak bertujuan untuk menyatakan opini atas efektivitas
pengendalian internal; dan
iii. Hal – hal yang dilaporkan terbatas pada defisiensi yang diidentifikasi oleh auditor
selama audit dan auditor telah menyimpulkan bahwa hal-hal tersebut cukup penting
untuk dilaporkan kepada pihak yang bertanggung jawaab atas tata kelola

2) Komunikasi kepada Manajemen

Auditor juga harus mengomunikasikan kepada manajemen pada tingkat tnggungjawab
yang tepat secara tepat waktu (SA 265.10) :
a) Secara tertulis, defisiensi signifikan dalam pengendalian internal yang oleh auditor
telah dikomunikasikan kepada pihak yang bertangggungjawab atas tata kelola, kecuali
jika hal itu tidak tepat waktu untuk dikomunikasikan secara langsung kepada
manajemen dalam kondisi tersebut; dan

23
 b) Defisiensi lain dalam pengendalian internal yang diidentifikasi selama audit yang
belum dikomunikasikan oleh pihak lain kepada manajemen dan yang, menurut
pertimbangan professional auditor, adalah cukup penting untuk mendapatkan perhatian
manajemen

Tingkat kerincian dalam mengomunikasikan defisiensi signifikan merupakan pertimbangan

profeisonal auditor terhadap kondisi. Faktor-faktor yang dapat dipertimangkan oleh auditor dalam
menentukan tinkat kerincian komunikasi mencakup :

 Sifat entitas
 Ukuran dan kompleksitas entitas
 Sifat defisiensi signifikan yang diidentifikasi oleh auditor
 Komposisi tata kelola entitas
 Ketentuan peraturan perundang-undangan tentang komunikasi atas tipe spesifik
dalam defisiensi pengendalian internal
F. PENGUJIAN PENGENDALIAN
1. Perancangan Dan Pelaksanaan Pengujian Pengendalian

Pengujian pengendalian yaitu suatu prosedur audi yang dirancang untuk mengevaluasi
efektivitas operasi pengendalian dalam mencegah atau mendeteksi dan mengoreksi, kesalahan
penyajian material pada tingkat asersi ( SA 330.4 )

Auditor harus merancang dan melaksanakan pengujian pengendalian untuk

memperoleh bukti audit yang cukup dan tepat terhadap efektivitas operasi pengendalian yang
relevan jika :

a) Penilaian auditor terhadap risiko kesalahan penyajian material pada tingkat asersi
mencakup suatu harapan bahwa pengendalian beroperasi secara efektif
b) Prosedur substantive tidak dapat memberikan bukti audit yang cukup dan teoat pada
tingkat asersi

Sebagai contoh, prosedur penilaian risiko oleh aditor mencakup :

 Permintaan keterangan tentang penggunaan anggaran oleh manajemen

24
  Mengamati pembandingan anggaran beban bulanan dengan realisasinya yang
dilakukan manajemen
 Memeriksa laporan yang berkaitan dengan investigasi atas jumlah penyimpangan
antara anggaran dengan realisasinya

Auditor dapat merancang pengujian pengendalian untuk dilaksanakan secara

bersamaan dengan pengujian rinci atas transaksi yang sama. Walaupun tujuan pengujian
pengendalian berbeda dengan tujuan pengendalian rinci, tujuan keudanya dapat dicapai
bersamaan dengan melakukan pengujian pengendalian dan pengujian rinci untuk transaksi
yang sama yang dikenal sebagai pengujian bertujuan ganda.

2. Prosedur – Prosedur Pengujian Pengendalian

Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan
implementasi pengendalian yang relevan dapat mencakup:

1. Meminta keterangan dari personel entitas yangs esuai

2. Menginspeksi dokumen, dan laporan
3. Mengamati penerapan pengendalian tertentu
4. Melakukan pelaksanaan ulang prosedur klien
3. Luas Pengujian Pengendalian

Luas pengujian pengendalian yang diterapkan tergantung pada penilaian awal risiko
pengendalian. Apabila auditor menghendaki penilaian risiko pengendalian yang lebih rendah,
diperlukan pengujian pengendalian yang lebih luas. hal hal yang dapat dipertimbangkan
auditor dalam menentukan pengujian pengendalian mencakup ( SA 330. A28 ) :

 Frekuensi dilakukannya pengendalian oleh entitas selama periode tersebut

 Lamanya waktu selama periode audit yang didalamya auditor dapat mengendalikan
efektivitas pengendalian operasi
 Tingkat penyimpangan yang diharapkan daru suatu pengendalian
 Relevansi dan keandalan bukti audit yang diperoleh yang berkaitan dengan
efektivitas operasi pengendalian tersebut pada tingkat asersi
 Luasnya bukti audit yang diperoleh dari pengujian atas pengendalian lainnya
terhadap asersi.

25
4. Saat Pengujian Pengendalian
1) Penggunaan Bukti Audit yang Diperoleh Selama Periode Interim

SA 330.12 menetapkan sebagai berikut :

“jika auditor memperoleh bukti audit tentang efektivitas operasi pengendalian selama periode
interim, auditor harus :

a) Memperoleh bukti audit tentang perubahan signifikan atas pengendalian tersebut

setelah tanggal periode interim tersebut; dan
b) Menentukan bukti audit tambahan yang harus diperoleh setelah periode interim sampai
dengan tanggal laporan posisi keuangan

Faktor relevan dalam menentukan bukti audit tambahan apa yang diperoleh tentang
pengendalian yang dioperasikan selama periode sisa setelah suatu periode interim mencakup:

 Signifikansi risiko yang ditentukan atas kesalahan penyajian material pada tingkat
asersi
 Pengendalian khusus yang telah diuji selama periode interim, dan perubahan penting
atas pengendalian tersebut sejak pengendalian tersebut diuji, termasuk perubahan
dalam sistem informasi, proses, dan karyawan
 Tingkat bukti audit atas efektivitas operasi pengendalian tersebut diperoleh
 Lamanya sisa periode
 Luas prosedur substantive lebih lanjut yang auditor ingin kurangi berdasarkan
keyakinan auditor atas pengendalian
 Lingkungan pengendalian

2) Penggunaan Bukti Audit yang Diperoleh dalam Audit Sebelumnya

Dalam kondisi tertentu, bukti audit yang diperoleh dari audit periode lalu dapat
memberikan bukti audit ketika auditor melakukan prosedur audit untuk membuat pengacuan
untuk audit periode kini.

Dalam menentukan tepat atau tidaknya untuk menggunakan bukti audit tentang
efetivitas operasi pengendalian yang diperoleh dalam audit sebelumnya, dan, jika demikian,

26
lamanya periode waktu yang mungkin telah berlalu sebelum pengujian ulang suatu
pengendalian, auditor harus mempertimbangkan hal-hal berikut;

a) Efektivitas unsur lain pengendalian internal, termasuk lingkungan

pengendalian, pengawasan pengendalian oleh entitas, dan proses penilaian
risiko oleh entitas
b) Risiko yang timbul dari karateristik pengendalian, termasuk apakah
pengendalian tersebut secara manual atau otomatis;
c) Efektivas pengendalian umum atas teknologi informasi;
d) Efektivitas pengendalian dan penerapannya oleh entitas;
e) Dalam hal terdapat perubahan kondisi, apakah tidak adanya perubahan dalam
suatu pengendalian tertentu menimbulkan suatu risiko; dan
f) Risiko kesalahan penyajian material dan tingkat kepercayaan terhadap
pengendaliaan

Jika auditor merencanakan untuk menggunakan bukti audit dari audit sebelumnya
yang berkaitan dengan efektivitas operasi pengendalian spesifik, auditor harus membuat
hubunga yang berkelanjutan atas bukti tersebut dengan memperoleh bukti audit tentang
apakah terdapat perubahan signifikan dalam pengendalian tersebut setelah audit periode lalu.
Auditor harus memperoleh bukti dengan meminta keterangan yang di kombinasikan dengan
pengamatan atau inspeksi, untuk menegaskan pemahaman atas pengendalian spesifik tersebut;
dan

a) Jika terdapat perubahan yang berdampak pada hubungan yang berkelanjutan atas bukti
audit dari audit periode lalu, auditor harus menguji pengendalian tersebut dalam periode
audit kini,
b) Jika tidak terjadi perubahan seperti tersebut di atas, auditor harus menguji pengendalian
tersebut paling tidak sekali setiap tiga kali audit, dan harus menguji beberapa
pengendalian setiap kali audit untuk menghindari kemungkinan pengujian atas semua
pengendalian yang auditor ingin andalkan dalam suatu periode audit tertentu tanpa
menguji pengendalian tersebut di dua periode audit kemudian.

27
 Keputusan auditor mengenai apakah akan mengandalkan pada bukti audit yang
diperoleh dari audit periode lalu untuk :

a) Pengendalian yang belum berubah sejak terakhir kali diuji; dan

b) Pengendalian yang bukan merupakan pengendalian yang menurunkan suatu
risiko signifikan

Secara umum semakin tinggi risiko kesalahan penyajian material, maka makin pendek
jeda waktu untuk pengujian kembali. Faktor yang dapatt mengurangi periode pengujian
kembali pengendalian atau mengakibatkan tidak diandalkannya bukti audit yang diperoleh
dalam audit periode lalu,mencakup hal – hal berikut:

 Suatu defisiensi dalam lingkugan pengendalian

 Defisiensi dalam pemantauan pengendalian
 Adanya unsur proses manual yang signifikan dalam pengendalian relevan
tersebut
 Pergantian karyawan yang berdampak signifikan terhadap aplikasi pengendalian
 Perubahan kondisi yang menunjukan perlunya perubahan dalam pengendalian
 Defisiensi dalam pengendaliaan umum teknologi informasi
3) Pengendalian atas Risiko Signifikan

Jika auditor merencanakan untuk mengandalkan pengendalian terhadap suatu risiko

yang auditor telah tentukan sebegai risiko signifikan, auditor harus menguji pengendalian
tersebut dalam periode sekarang.

G. PENILAIAN TERHADAP EFEKTIVITAS OPERASI PENGENDALIAN

Apabila hasil pengujian pengendalian mendukung rancangan dan pelaksanaan

pengendalian sebagaimana diharapkan, maka auditor akan menggunakan penetapan risiko
pengendalian yang sama sebagaimana ditetapkan diawal. Namun apabila pengujian pengendalian
menunjukkan bahwa pengendalian tiddak berjalan dengan efektif, maka risiko pengendalian yang
telah ditetapkan harus dipertimbangkan kembali.

28
H. MEMUTUSKAN RENCANA RISIKO DETEKSI DAN MERANCANG PENGUJIAN
SUBSTANTIF

Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian

untuk menetapkan rencana risiko deteksi dan pengujian substansif yang bersangkutan untuk audit
laporan keuangan. Auditor melakukan hal ini dengan mengaitkan penilaian risio pengendalian
dengan tujuan audit saldo untuk akun-akun yang dipengaruh oleh jenis jenis transaksi utama dan
dengan keempat tujuan penyajian dan pengungkapan. Tingkat rasio deteksi yang tepat untuk setiap
tujun audit saldo, selanjutnya ditentukan dengan menggunakan model risiko audit.

29
 DAFTAR PUSTAKA

Jusup, Al. Haryono. 2014. Auditing (Pengauditan Berbasis ISA). Yogyakarta. AdMark.

30