Beruflich Dokumente
Kultur Dokumente
1
Sedangkan auditor berkewajiban untuk memahami dan melakukan pengujian pengendalian internal
untuk pelaporan keuangan.
1. Tanggung Jawab Manajemen Untuk Menetapkan Pengendalian Internal
Manajemen, bukan auditor, harus menetapkan dan memelihara pengendalian internal entitas.
Konsep ini sejalan dengan persyaratan bahwa manajemen, bukan auditor, berkewajiban untuk
menyusun laporan keuangan sesuai dengan standar akuntansi yang ditetapkan oleh IAI dan
IFRS. Ada dua konsep yang melandasi rancangan dan penerapan pengendalian internal oleh
manajemen, yaitu:
1) Keyakinan Memadai
Entitas harus mengembangkan pengendalian internal yang memberi keyakinan memadai
bahwa laporan keuangan disajikan secara wajar. Pengendalian internal dikembangkan
manajemen setelah mempertimbangkan manfaat dan biaya pengendalian. Konsep keyakinan
memadai tidak memberi jaminan pasti bahwa kesalahan penyajian material akan bisa dicegah
atau dideteksi secara tepat waktu oleh pengendalian internal.
2) Keterbatasan Inheren
Pengendalian internal tidak akan pernah efektif sepenuhnya meskipun telah dirancang dan
ditetapkan dengan sungguh-sungguh. Meskipun manajemen dapat merancang sistem yang
ideal, namun efektivitasnya tergantung pada kompetensi dan kejujuran orang-orang yang
menggunakannya.
2. Tanggung Jawab Auditor Untuk Memahami Pengendalian Internal
SA 315.12 menyatakan tanggung jawab auditor yang berkaitan dengan pengendalian internal
entitas sebagai berikut:
Auditor harus memperoleh suatu pemahaman atas pengendalian internal yang relevan dengan
audit. Meskipun sebagian besar pengendalian yang relevan dengan audit kemungkinan
berhubungan dengan pelaporan keuangan, namun tidak semua engendalian yang berhubungan
dengan laporan keuangan relevan dengan audit.
Suatu pemahaman atas pengendalian internal membantu auditor dalam mengidentifikasikan tipe-
tipe kesalahan penyajian yang potensial dan faktor-faktor yang memengaruhi risiko kesalahan
penyajian material, serta dalam merancang sifat, saat, dan luas prosedur audit lebih lanjut.
2
1. Sifat Karakteristik Umum Pengendalian Internal
Sebagaimana telah ditujuntukkan dalam definisi pengendalian internal, pengendalian
internal dirancang, diimplementasikan, dan dipelihara untuk merespon risiko bisnis yang
teridentifikasi yang mengancam pencapaian tujuan entitas yang berkaitan dengan:
Keandalan pelaporan keuangan entitas.
Efektivitas dan efisiensi operasi entitas.
Kepatuhan entitas terhadap peraturan perundang-undangan yang berlaku.
3
Keberagaman dan kompleksitas operasi entitas.
Ketentuan hukum dan peraturan yang berlaku.
Kondisi dan komponen pengendalian internal yang berlaku.
Sifat dan kompleksitas sistem yang merupakan bagian pengendalian internal entitas,
termasuk organisasi jasa.
Apakah dan bagaimana, suatu pengendalian tertentu, baik secara individu atau bersama
dengan pengendalian lain mencegah, atau mendeteksi dan mengoreksi, kesalahan
penyajian material.
Pengendalian terhadap kelengkapan dan keakuratan informasi yang dihasilkan oleh entitas
dapat menjadi relevan dengan audit jika auditor bermaksud untuk menggunakan informasi
tersebut dalam merancang dan melaksanakan prosedur lanjutan serta jika pengendalian
tersebut berkaitan dengan data yang dievaluasi atau digunakan oleh auditor dalam menerapkan
prosedur audit.
4
C. KOMPONEN-KOMPONEN PENGENDALIAN INTERNAL
Untuk tujuan standar audit, pembagian pengendalian internal ke dalam lima komponen di bawah ini
menyediakan suatu kerangka yang bermanfaat bagi auditor untuk mempertimbangkan bagaimana
berbagi aspek pengendalian internal yang berbeda pada entitas dapat memengaruhi audit (SA 315.
A51):
1. Lingkungan pengendalian.
2. Proses penilaian risiko entitas.
3. Sistem informasi yang relevan dengan pelaporan keuangan, termasuk proses bisnis yang terkait
dan komunikasi.
4. Aktivitas pengendalian.
5. Pemantauan terhadap pengendalian.
Lingkungan pengendalian berperan sebagai payung bagi empat komponen lainnya. Tanpa suatu
lingkungan pengendalian yang efektif, keempat komponen lain mustahil dapat menghasilkan
pengendalian internal yang efektif, bagaimanapun baiknya komponen tersebut.
1. Lingkungan Pengendalian
Lingkungan pengendalian terdiri dari tindakan-tindakan, kebijakan-kebijakan, dan
prosedur-prosedur yang mencerminkan perilaku menyeluruh manajemen puncak, para
direktur, dan pemilik entitas tentang pengendalian internal dan arti pentingnya bagi entitas.
Lingkungan pengendalian meliputi unsur-unsur sebagai berikut:
a) Komunikasi dan penegakan nilai integritas dan etika. Integritas dan perilaku etis
merupakan produk standar etika dan perilaku entitas, bagaimana standar tersebut
dikomunikasikan, dan bagaimana standar tersebut diperkuat dalam praktik. Komunikasi
kebijakan entitas tentang nilai integritas dan etika dapat mencakup komunikasi standar
5
perilaku kepada personel melalui pernyataan kebijakan dan kode etik, serta contoh yang
diberikan.
b) Komitmen terhadap kompetensi. Komitmen terhadap kompetensi mencakup
pertimbangan manajemen tentang tingkat kompetensi untuk tugas tertentu dan bagaimana
hal tersebut diterjemahkan ke dalam persyaratan keterampilan dan pengetahuan.
c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola. Pentingnya tanggung
jawab pihak yang bertanggung jawab atas tata kelola dinyatakan dalam kode etik dan
peraturan perundang-undangan, atau panduan yang dikeluarkan mencakup pengawasan
atas rancangan dan pengoperasian secara efektif.
d) Filosofi dan gaya operasi manajemen. Melalui aktivitasnya, manajemen harus memberi
sinyal yang jelas tentang pentingnya pengendalian internal. Pemahaman tentang hal ini dan
aspek-aspek serupa dari falsafah dan gaya operasi manajemen akan memberikan kepada
auditor gambaran tentang bagaimana sikap manajemen terhadap pengendalian internal.
e) Struktur organisasi. Struktur organisasi entitas merumuskan garis pertanggungjawaban
dan kewenangan. Dengan memahami struktur organisasi entitas, auditor akan dapat
mempelajari manajemen dan elemen-elemen fungsional dari bisnis serta melihat
bagaimana pengendalian diterapkan.
f) Pemberian wewenang dan tanggung jawab. Pemberian wewenang dan tanggung jawab
dapat mencakup kebijakan yang berkaitan dengan praktik bisnis yang tepat, pengetahuan
dan pengalaman personel kunci, dan sumber daya yang tersedia untuk melaksanakan tugas.
g) Kebijakan dan praktik sumber daya manusia. Aspek terpenting dan pengendalian
internal adalah manusia. Orang-orang yang jujur dan efisien akan dapat mencapai kinerja
yang tinggi, walaupun hanya sedikit pengendalian yang ditetapkan entitas. Namun
demikian, karyawan yang kompeten dan bisa dipercaya juga masih tetap memiliki
kelemahan.
a) Komunikasi dan penegakan integritas dan nilai etika: Ini merupakan unsur-unsur
esensial yang memengaruhi efektivitas rancangan, pengelolaan, dan pemantauan
pengendalian.
6
b) Komitmen terhadap kompetensi: Hal-hal seperti pertimbangan manajemen tentang
tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat-tingkat tersebut
diterjemahkan ke dalam keahlian dan pengetahuan yang disyaratkan.
c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola: Atribut pihak yang
bertanggung jawab atas tata kelola adalah:
Independensi mereka dari manajemen.
Pengalaman dan reputasi mereka.
Seberapa luas keterlibatan mereka dan informasi yang diterimanya, dan inspeksi atas
aktivitas.
Ketepatan tindakan mereka, termasuk mengajukan pertanyaan-pertanyaan sulit kepada
manajemen dan mengejar jawabannya, serta interaksi mereka dengan auditor internal
dan eksternal.
d) Filosofi dan gaya operasi manajemen: Karakteristik manajemen seperti:
Pendekatan dalam pengambilan dan pengelolaan risiko bisnis.
Sikap dan tindakan terhadap pelaporan keuangan.
Sikap terhadap pengolahan informasi dan fungsi akuntansi serta personel.
e) Struktur organisasi: Kerangka yang di dalamnya aktivitas entitas untuk mencapai tujuan
entitas direncanakan, dilaksanakan, dikendalikan, dan ditelaah.
f) Pemberian wewenang dan tanggung jawab: Hal-hal seperti bagaimana wewenang dan
tanggung jawab atas aktivitas operasi diberikan dan bagaimana hubungan pelaporan
hierarki otorisasi diterapkan.
g) Kebijakan dan praktik sumber daya manusia: Kebijakan dan praktik yang berkaitan
dengan, sebagai contoh, rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi,
kompensasi, dan tindakan perbaikan
7
Luas evaluasi mereka terhadap kesesuaian laporan keuangan dengan kerangka pelaporan
keuangan yang berlaku.
2. Proses Penilaian Risiko Entitas
Penilaian risiko untuk pelaporan keuangan adalah identifikasi dan analisis risiko yang
dilakukan manjemen berkaitan dengan penyusunan laporan keuangan yang sesuai dengan
kerangka pelaporan keuangan entitas yang berlaku. Ketepatan atas kesesuaian proses penilaian
risiko entitas dengan kondisinya ditentukan oleh pertimbangan auditor.
Risiko yang relevan dengan pelaporan keuangan yang andal mencakup peristiwa,
transaksi, atau kondisi eksternal dan internal yang dapat terjadi dan memengaruhi secara buruk
kemampuan entitas untuk menginisiasi, mencatat, mengolah, dan melaporkan data keuangan
yang konsisten dengan asersi manajemen dalam laporan keuangan. Risiko dapat timbul atau
berubah karena kondisi-kondisi seperti berikut:
Perubahan dalam lingkungan operasi. Perubahan dalam lingkungan peraturan atau
lingkungan operasi dapat mengakibatkan perubahan dalam tekanan yang kompetitif dan
dalam risiko yang berbeda secara signifikan.
Personal baru. Personal baru dapat memiliki fokus yang berbeda atas, dan pemahaman
tentang pengendalian internal.
Sistem informasi baru atau yang ditingkatkan. Perubahan yang signifikan dan pesat
dalam sistem informasi dapat mengubah risiko yang berkaitan dengan pengendalian
internal.
Pertumbuhan yang pesat. Ekspansi operasi yang signifikan dan pesat dapat melemahkan
pengendalian dan meningkatkan risiko kerusakan dalam pengendalian.
Teknologi baru. Penggunaan teknologi baru dalam proses produksi atau sistem informasi
dapat mengubah risiko yang terkait dengan pengendalian internal.
Apabila manajemen menilai dan menanggapi risiko secara efektif, auditor biasanya akan
mengumpulkan bukti yang lebih sedikit, dibandingkan dengan bilamana manajemen tidak
cermat mengidentifikasi dan menanggapi risiko secara signifikan.
8
3. Sistem Informasi, Termasuk Proses Bisnis Yang Terkait, Pelaporan Keuangan Yang
Relevan, Dan Komunikasi
Suatu sistem informasi terdiri dari infrastruktur (komponen fisik dan perangkat keras),
perangkat lunak, orang, prosedur, dan data. Banyak sistem informasi menggunakan teknologi
informasi secara ekstensif.
Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup sistem
pelaporan keuangan, mencakup metode dan catatan yang:
Mengidentifikasi dan mencatat seluruh transaksi yang valid.
Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk memungkinkan
klasifikasi transaksi yang tepat untuk pelaporan keuangan.
Mengukur nilai transaksi dengan suatu cara yang memungkinkan pencatatan nilai moneter
transaksi tersebut secara tepat dalam laporan keuangan.
Menentukan periode terjadinya transaksi yang memungkinkan pencatatan transaksi tersebut
dalam periode akuntansi yang tepat.
Menyajikan transaksi dan pengungkapan terkait secara tepat dalam laporan keuangan.
Sistem informasi pada suatu entitas umumnya mencakup penggunaan entri jurnal standar
yang dibutuhkan secara berulang untuk mencatat transaksi. Proses pelaporan keuangan sutau
entitas juga mencakup penggunaan entri jurnal nonstandar untuk mencatat transaksi atau
penyesuaian yang tidak berulang dan tidak biasa. Kualitas informasi yang dihasilkan dan sistem
memengaruhi kemampuan manajemen untuk membuat keputusan yang tepat dalam mengelola
dan mengendalikan aktivitas entitas dan untuk menyusun laporan keuangan yang andal.
Proses bisnis menghasilkan transaksi yang dicatat, diolah, dan dilaporkan oleh sistem
informasi. Pemerolehan suatu pemahaman tentang proses bisnis entitas, yang meliputi
bagaimana transaksi diawali, membantu auditor dalam memperoleh suatu pemahaman tentang
9
sistem informasi entitas yang relevan terhadap pelaporan keuangan dengan cara yang tepat sesuai
dengan kondisi entitas.
Komunikasi oleh entitas tentang peran dan tanggung jawab pelaporan keuangan dan hal-hal
signifikan yang berkaitan dengan pelaporan keuangan mencakup penyediaan pemahaman peran
dan tanggung jawab individu terkait dengan pengendalian internal atas pelaporan keuangan.
Komunikasi dapat berupa manual kebijakan, manual akuntansi dan pelaporan keuangan, serta
memorandum. Komunikasi juga dapat dilakukan secara elektronis, lisan, dan melalui tindakan
manajemen.
4. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang tercakup dalam keempat
komponen pengendalian yang lain, yang membantu dalam memastikan bahwa tindakan yang
diperlukan dilakukan untuk menghadapi resiko guna tercapainya tujuan entitas. Pada umumnya,
aktivitas pegendalian yang relevan dengan suatu audit dapat dikategorikan sebagai kebijakan dan
prosedur yang berkaitan dengan hal-hal sebagai berikut :
Penelaahan kinerja. Aktivitas pengendalian ini mencakup penelaahan dan analisis kinerja
aktual dibandingkan dengan anggaran, perkiraan, dan kinerja periode lalu;menghubungkan
serangkaian data yang berbeda(data operasi dari data keungan) satu sama lainnya, bersama
dengan analisis hubungan dan tindakan investigatif dan korektif;membandingkan data
internal dengan sumber informasi eksternal; serta menelaah kinerja fungsional atau kinerja
aktivitas
Pengolahan informasi. Dua pengelompokan besar atas aktivitas pengendalian sistem
informasi: (1) pengendalian aplikasi, yaitu pengendalian yang diterapkan atas pengolahan
aplikasi individu. Contoh: pengecekapan keakurasian perhitungan atas catatan, memelihara
dan menelaah akun dan neraca saldo, pengendalian terotomatisasi seperti pengecekan edit
atas data masukan dan pengecekan urutan numerik, dan penindaklanjutan secara manual
atas laporan penyimpangan. (2) pengendalian informasi teknologi umum, yaitu
pengendalian berupa kebijakan dan prosedur yang berhubungan dengan banyak aplikasi
yang mendukung berfungsinya pengendalian aplikasi secara efektif dengan membantu
untuk menjamin beroperasinya sistem informasi secara tepat dan berkelanjutan. Contoh:
pengendalian perubahan program, pengendalian atas implementasi paket aplikasi
10
perangkan lunak baru, dan pengendalian atas perangkat lunak sistem yang membatasi akses
terhadao atau yang memantau utilitas sistem yang dapat mengubah data atau catatan
keuangan tanpa meninggalkan jejak audit.
Pengendalian fisik. Pengendalian ini mencakup : (1) pengamanan yang memadai atas fisik
aset, seperti fasilitas yang aman atas akses terhadao aset dan catatan. (2) otoritas atas akses
terhaap program komputer dan file data. (3) penghitungan dan pembandingan dengan
jumlah yang tercantum dan catatan pengendalian secara periodik.
Pemisahan tugas. Pemberian tanggungjawab kepada individu yang berbeda dalam
pengotorisasian dan pencatatan transaksi, serta penyimpanan aset. Pemisahan tugas
dimaksudkan untuk mengurangi peluang kemungkinan individu manapun untuk berada
dalam suatu posisi yang memungkinkannya untuk melakukan dan menyembunyikan
kesalahan atau kecurangan dalam tugas normalnya.
11
PENGENDALIAN INTERNAL
Komponen Deskripsi Komponen Subkomponen
Lingkungan Tindakan, kebijakan, dan Integritas dan nilai etika
pengendalian prosedur yang Komitmen terhadap kompetensi
mecerminkan perilaku
manajemen puncak, Partisipasi pihak yang bertanggungjawab atas tata
dewan komisaris, dan kelola(dewan komisaris dan komite audit)
pemilik entitas tentang Falsafah dan gaya operasi manajemen
pengendalian internal dan Struktur organisai
arti penting pengendalian Pemberian wewenang dan tanggungjawab
internal Kebijakan dan praktik tentang sumber daya manusia
Proses Identifikasi dan analisis Proses penilaian risiko:
Penilaian oleh manajemen tentang Mengidentifikasi faktor-faktor yang mempengaruhi
Risiko risiko yang relevan risiko
Entitas dengan penyusunan Menilai signifikasi risiko dan kemungkinan terjadinya
laporan keuangan yang Menentukan tindakan yang diperlukan untuk mengelola
sesuai dengan SAK-IAI risiko
Kategori asersi manajemen yang harus dipenuhi:
Asersi-asersi tentang golongan transaksi dan kejadian
lainnya
Asersi-asersi tentang saldo akun
Asersi-asersi tentang penyajian dan pengungkapan
Informasi Metoda yang digunakan Mengidentifikasi dan mencatat seluruh transaksi yang
dan ntuk menginisiasi, valid
Komunikasi mencatat, mengolah dan Mendeskripsikan transaksi
melaporkan transaksi Menentukan periode terjadinya transaksi
perusahaan dan untuk
Menyajikan transaksi dan pengukapan terkait
menjaga akuntabilitas atas
aset-aset yang
bersangkutan
12
D. MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL
Dokumentasi pengendalian internal yang diselenggarakan manajemen adalah sumber utama untuk
memperoleh pemahaman bagi auditor. Sebagai bagian dari prosedur penilaian risiko pengendalian,
auditor menggunakan prosedur untuk mendapatkan pemahaman, yang meliputi pengumpulan
bukti rancangan pengendalian internal dan apakah rancangan tersebut telah diimplementasikan.
Sebagaimana disebutkan dalam SA 315.13 :
“Pada waktu memperoleh pemahaman tentang pengendalian yang relevan dan audit, auditor harus
mengevaluasi rancangan pengendalian dan menentukan apakah pengendalian tersebut telah
diimplementasikan, dengan melaksanakan prosedur sebagai tambahan terhadap permintaan
keterangan dari personel entitas.”
Auditor biasanya menggunakan empat dari delapan jenis bukti yang telah dijelaskan dalam bab
yang lalu untuk mendapatkan pemahaman tentang rancangan dan penerapan pengendalian, yaitu :
dokumentasi, meminta keterangan dan personil entitas, mengobservasi bagaiamana pegawai
entitas melaksanakan proses pengendalian, dan melakukan ulang dengan cara menelusur satu atau
sejumlah transaksi melalui sistem akuntansi dari awal sampai akhir (SA 315.A67)
Auditor biasanya menggunakan tiga jenis dokumen unutk mendapatkan dan mendokumentasikan
pemahamannya tentang rancangan pengendalian internal, yaitu :
1) Naratif, adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada entitas klien.
Narasi dari suatu sistem akuntansi yang baik dan pengendalian terkait menjelaskan empat hal : (1)
13
sumber dari semua dokumen dan laporan dalam sistem. Contoh : deskripsi harus menerangkan
dari mana order pembelian berasal dan bagaimana faktur penjualan dibuat. (2) Semua pengolahan
data yang dilakukan. Contoh : jika jumlah rupiah penjualan ditentukan oleh program komputer
yang mengalikan jumlah barang yang dikirim dengan harga jual standar yang tersimpan dalam
master file harga, maka prosesnya harus dijelaskan. (3) Disposisi setiap dokumen dan catatan
dalam sistem. Pengisian dokumen, pengirimannya kepada konsumen, atau pemusnahannya harus
dijelaskan. (4) Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian. Hal ini
meliputi pemisahan tugas otoritas dan pemberian persetujuan, dan verifikasi internal.
2) Bagan Alir atu flowchart adalah suatu diagram dari dokumen-dokumen klien dan urutan
alirannya dalam organisasi. Bagan alir memiliki dua keunggulan : (1) mudah dibaca, (2) mudah
direvisi untuk dimutakhir. Bagan alir tidak dapat digunakan berbarengan dengan naratif untuk
sistem yang sama karena keduanya menerangkan tentang informasi yang sama.
Selain harus mendapatkan pemahaman tentang rancangan pengendalian internal, auditor harus
mengevaluasi apakah rancangan pengendalian internal harus diterapkan. Dalam praktik, proses
mendapatkan pemahaman rancangan dan penerapan seringkali dilakukan secara ersaman.
Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan implementasi
pengendalian yang relevan dapat mencakup (SA315.67)
14
1) Memutakhirkan dan Mengevaluasi Pengalaman Masa Lalu Auditor dengan Klien
(Entitas)
Setelah audit tahun pertama, auditor memili banyak informasi dari tahun lalu tentang pengendalian
internal klien. Informasi ini sangat berguna untuk menentukan apakah pengendalian yang pada
tahun lalu tidak berjalan dengan efektif telah diperbaiki.
Auditor harus mengajukan pertanyaan kepada manajemen, pengawas dan staf agar menjelaskan
tugas mereka. Pengajuan pertanyaan yang cermat kepada personel yang tepat akan membantu
auditor dalam mengevaluasi apakah para pegawai memahami tugas mereka dan menjalankan apa
yang diuraikan dalam dokumentasi pengendalian internal klien.
Dengan memeriksa dokumen, catatan, dan file-file komputer yang telah digunakan, auditor dapat
mengevaluasi apakah informasi yang diuraikan dalam bagan alir dan narasi telah diterapkan.
Manakala auditor mengamati personil klien dalam menjalankan aktivitas akuntansi dan
pengendalian normal, termasuk baggaiaman mereka menyiapkan dokumen dan catatan hal itu akan
melengkaoi pemahaman dan pengetahuan editor tentang bagaimana pengendalian diterapkan.
Dalam mengikuti penelusuran jejak (walkthrough) suatu transaksi, auditor memilih satu atau
beberapa dokumen dari suatu jenis transaksi dan menelusurnya seja dari awal terjadinya transaksi
sampai selesainya proses akuntansi.
Ada dua faktor yang mempengaruhi apaah laporan keuangan bisa diaudit atau tidak (auditabilitas)
yaitu : integritas manajemen dan kecukupan catatan akuntansi.
15
Catatan akuntansi adalah sumber utama bukti audit untuk sebagian besar tujuan audit. Apabila
catatan akuntansi tidak memdai, bukti audit yang diperlukan biasanya tidak akan tersedia.
Apabila klien menerapkan teknologi informasi yang kompleks, banyak informasi transaksi hanya
tersedua dalam bentuk elektronik tanpa menghasilkan jejak audit dokumen dan catatan yang
terlihat kasat mata.
Banyak auditor menggunakan matrix risiko pengendalian untuk membantu dalam proses penilaian
risiko pengendalian pada level transaksi.hal ini dimaksudkan untuk memudahkan
pengorganisasian penilaian risiko pengendalian untuk setiap tujuan audit.
16
2) Mengidentifikasi Pengendalian yang Ada
Langkah berikutnya, tahap mendapatkan dan mendokumentasikan pengendalian internal
untuk mengidentifikasi pengendalian-pengendalian yang mempunyai kontribusi untuk
mencapai tujuan audit transaksi. Salah satu cara yang digunakan auditor untuk melakukan
hal ini adalah mengidentifikasi pengendalian yang memenuhi tujuan audit. Hal yang
bermanfaat bagi auditor adalah menggunakan kelima aktivitas
pengendalian(pengotorisasian yang tepat, penelaahan kinerja, pengolahan informasi,
pengendalian fisik, dan pemisahan tugas) sebagai pengingat-ingat. Audotpr harus
mengidentfikasi dan hanya memasukkan pengendalian-pengendalian yang diperkirakan
memiliki pengaruh paling besar dalam memenuhi tujuan audit transaksi. Hal ini sering
disebut sebagai pengendalian kunci. Alasan mengapa hanya memasukkan pengendalian
kunci adalah karena pengendlaian-pengendalian tersebut telah memadai untuk mencapai
tujuan audit transaksi dan demi efisiensi audit. Sebagaimana disebutkan dalam SA315.20:
“.....Suatu audit tidak membutuhkan suatu pemahaman tentang seluruh aktivitas
pengendalian yang terkait dengan setiap golongan transaksi signifikan, saldo akun, dan
pengungkapan dalam laporan keuangan, atau setiap arsesi yang relevan dengannya”
3) Mengaitkan Pengendalian dengan Tujuan udit yang Bersangkutan
Setiap pengendalian memenuhi satu atau beberapa tujuan audit tertentu. Matrix digunakan
untuk menunjukkan bagaimana pengendalian berkontribusi untuk mencapai satu atau lebih
tujuan audit transaksi. Dalam contoh ini, huruf C dicantumkanpada setiap sel yang
pengendaliannya sebagian atau seluruhnya memenuhi tujuan. Matrix risiko pengendalian
serupa bisa dibuat untuk tujuan audit saldo dan tujuan audit penyajian dan pengungkapan.
17
Matrix Risiko Pengendalian – Penjualan
18
Transaksi penjualan P
diverifikasi secara internal (P8)
D
E Tidak terdapat
verifikasi internal
F D
untuk memeriksa
I
kemungkinan faktur
S penjualan dicatat lebih
I dari sekali (D1)
E
N Tidak terdapat
S pengendalian untuk D
I menguji ketepatan
waktu pencatatan (D2)
Penilaian risiko pengendalian Med Rendah Rendah Rendah Rendah*) Med
*)Karena tidak ada penjualan tunai, maka klarifikasi tidak menjadi masalah.
P= Pengendalian D= Defisiensi Pengendalian
Keterangan tentang kolom kolom tujuan audit:
(a) Penjualan yang dicatat adalah untuk pengiriman yang sesungguhnya dilakukan bukan pada
pembelian fiktif (keberadaan)
(b) Transaksi penjualan yang terjadi telah dicatat (kelengkapan)
(c) Penjualan yang dicatat adalah untuk jumlah barang yang telah dikirim dan telah difaktur dan
dicatat dengan benar (ketelitian).
(d) Transaksi penjualan telah dimasukkan ke dalam master file piutang usaha dengan benar dan
diringkas dengan benar(pembukuan dan peringkasan).
(e) Transaksi penjualan telah dikelompokkan dengan benar(pengelompokan).
(f) Penjualan dicatat pada tanggal yang benar (saat)
19
4) Mengidentifikasi Dan Mengevaluasi Defisiensi Pengendalian, Defisiensi Signifikan,
Dan Defisiensi Material
Auditor harus mengidentifikasi dan menilai risiko kesalahan penyajian material pada
a) Tingkat laporan keuangan,
b) Tingkat asersi untuk golongan transaksi, saldo akun, dan pengungkapan, untuk
menyediakan suatu basis bagi perancangan dan pelaksanaaan prosedur audit lanjutan
(SA315.25) .
Auditor harus mengevaluasi apakah pengendalian kunci tidak terdapat dalam rancangan
pengendalian kunci tidak terdapat dalam rancangan pengendalian internal untuk pelaporan
keuangan sebagai bagian dari penilaian risiko pengendalian dan kemungkinan tejadinyakesalahan
penyajian dalam laporan keuangan.
1. Defisiensi pengendalian
Terjadi apabila rancangan atau pengoperasian pengendalian tidak memungkinkan personel
entitas untuk mencegah atau mendeteksi kesalahan penyajian secara tepat waktu dalam
kondisi normal pelaksanaan fungsi-fungsi. Defisiensi rancangan terjadi apabila suatu
20
pengendalian yang diperlukan tidak ada atau tidak dirancang dengan tepat. Defisiensi
pengoperasian terjadi apabila suatu pengendalian telah dirancang dengan baik tidak
dioperasikan sebagaimana dirancang atau apabila orang yang melaksanakan pengendalian
tidak cukup qualified.
2. Defisiensi Signifikan
Terjadi apabila terdapat defisiensi pada satu atau lebih pengendalian yang kelemahannya
tidak begitu besar bila dibandingkan dengan kelemahan material, namun cukup penting
untuk diperhatikan oleh mereka yang bertanggung jawab untuk mengawasi pelaporan
keuangan entitas
3. Kelemahan material
Terjadi apabila suatu defisiensi signifikan yang mengakibatkan terbukanya kemungkinan
bahwa pengendalian internal tidak akan dapat mencegah atau mendeteksi kesalahan
penyajian material dalam pelaporan keuangan secara tepat waktu
Untuk menentukan apakah suatu defisiensi signifikan atau sejumlah defisiensi signifikan
pengendalian internl merupakan kelemahan material, harus dilakukan evaluasi tentang dua hal :
kemunngkinan terjadi dan signifikansinya.
1. Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan material adalah
ketiadaan pengendalian yang memadai, auditor pertama-tama harus mengetahui
pengendalian mana yang ada.
2. Mengidentifikasi pengendalian kunci yang tidak ada. Daftar pertanyaan pengendalian
internal, bagian alir dan naratif berguna untuk mengidentifikasi pengendalian mana yang
tidak ada dan oleh karenanya kemungkinan kesalahan penyajian menjadi meningkat.
Selain itu juga berguna untuk memeriksa matricx pengendalian.
3. Mempertimbangkan kemungkinan adanya pengendalian pengganti. Pengendalian
pengganti merupakan sesuatu yang terdapat dalam sistem yang dapat menggantikan
ketiadaan suatu pengendalian kunci.
4. Menentukan apakah terdapat defisiensi signifikan atau kelemahan material.
21
5. Menentukan kesalahan penyajian potensial yang bisa terjadi. Tahap ini dimaksudkan untuk
mengidentifikasi kesalahan penyajian spesifik sebagai akibat defisiensi signifikan atau
kelemahan material.
1) Mengaitkan Defisiensi Signifikan Dan Kelemahan Material Dengan Tujuan Audit
Yang Bersangkutan
Setiap defisiensi signifikan atau kelemahan material dapat diterapkan pada satu atau lebih
tujuan audit.
2) Menetapkan Risiko Pengendalian Untuk Setiap Tujuan Audit Yang Bersangkutan
Auditor menggunakan semua informasi yang telah kita bahas di atas untuk membuat
keputusan tentang risiko pengendalian secara subyektif untuk setiap tujuan, ada berbagai
cara untuk menyatakan penilaian ini. Sebagian auditor menggunakan pernyataan subyektif
seperti tinggi, moderat, atau rendah, dan sebagian lainnya menggunakan probabilitas dalam
angka seperti 1,0,6, atau 0,2.
Matrix risiko pengendalian merupakan alat yang berguna untuk membuat penilaian.
Auditor menetapkan risiko pengendalian untuk setiap tujuan untuk penjualan dengan
mereview setiap kolom untuk pengendalian terkait defisiensi signifikan dan menanyakan
“seperti apa kemungkinan bahwa suatau kesalahan penyajian material tidak akan dapat
dicergah atau dideteksi, atau dikoreksi bila terjadi oleh pengendalian ini, dan apakah
pengaruh dari kelemahan tersebut”. Apabila kemungkinananya kecil, maka risiko
pengendalian dinilai rendah dan seteruskan
Setelah penilaian awal risiko pengendalian ditetapkan untuk penjualan dan penerimaan
kas, auditor dapat menyelesaikan ketiga baris risiko pengendalian pada kertas kerja
perencanaan bukti. Seandainya hasil pengujian pengendalian tidak mendukung penilaian
awal risiko pengendalian, auditor harus memodifikasi kertas kerjanya.
5. Pengomunikasian Kepada Pihak Yang Bersangkutan Dengan Tata Kelola Dan Kepada
Manajemen
Auditor harus menentukan apakah, berdasarkan pekerjaan audit yang telah dilakukan,
auditor telah mengidentifikasi satu atau lebih defisiensi dalam pengendalian internal. Jika auditor
telah mengidentifikasi satu atau lebih defisiensi dalam pengendalian internal, auditor harus
22
menentukan, berdasarkan pekerjaan audit yang telah dilakukan, apakah defisiensi tersebut, secara
individual atau gabungan merupakan defisiensi signifikan
23
b) Defisiensi lain dalam pengendalian internal yang diidentifikasi selama audit yang
belum dikomunikasikan oleh pihak lain kepada manajemen dan yang, menurut
pertimbangan professional auditor, adalah cukup penting untuk mendapatkan perhatian
manajemen
Sifat entitas
Ukuran dan kompleksitas entitas
Sifat defisiensi signifikan yang diidentifikasi oleh auditor
Komposisi tata kelola entitas
Ketentuan peraturan perundang-undangan tentang komunikasi atas tipe spesifik
dalam defisiensi pengendalian internal
F. PENGUJIAN PENGENDALIAN
1. Perancangan Dan Pelaksanaan Pengujian Pengendalian
Pengujian pengendalian yaitu suatu prosedur audi yang dirancang untuk mengevaluasi
efektivitas operasi pengendalian dalam mencegah atau mendeteksi dan mengoreksi, kesalahan
penyajian material pada tingkat asersi ( SA 330.4 )
a) Penilaian auditor terhadap risiko kesalahan penyajian material pada tingkat asersi
mencakup suatu harapan bahwa pengendalian beroperasi secara efektif
b) Prosedur substantive tidak dapat memberikan bukti audit yang cukup dan teoat pada
tingkat asersi
24
Mengamati pembandingan anggaran beban bulanan dengan realisasinya yang
dilakukan manajemen
Memeriksa laporan yang berkaitan dengan investigasi atas jumlah penyimpangan
antara anggaran dengan realisasinya
Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan
implementasi pengendalian yang relevan dapat mencakup:
Luas pengujian pengendalian yang diterapkan tergantung pada penilaian awal risiko
pengendalian. Apabila auditor menghendaki penilaian risiko pengendalian yang lebih rendah,
diperlukan pengujian pengendalian yang lebih luas. hal hal yang dapat dipertimbangkan
auditor dalam menentukan pengujian pengendalian mencakup ( SA 330. A28 ) :
25
4. Saat Pengujian Pengendalian
1) Penggunaan Bukti Audit yang Diperoleh Selama Periode Interim
“jika auditor memperoleh bukti audit tentang efektivitas operasi pengendalian selama periode
interim, auditor harus :
Faktor relevan dalam menentukan bukti audit tambahan apa yang diperoleh tentang
pengendalian yang dioperasikan selama periode sisa setelah suatu periode interim mencakup:
Signifikansi risiko yang ditentukan atas kesalahan penyajian material pada tingkat
asersi
Pengendalian khusus yang telah diuji selama periode interim, dan perubahan penting
atas pengendalian tersebut sejak pengendalian tersebut diuji, termasuk perubahan
dalam sistem informasi, proses, dan karyawan
Tingkat bukti audit atas efektivitas operasi pengendalian tersebut diperoleh
Lamanya sisa periode
Luas prosedur substantive lebih lanjut yang auditor ingin kurangi berdasarkan
keyakinan auditor atas pengendalian
Lingkungan pengendalian
Dalam kondisi tertentu, bukti audit yang diperoleh dari audit periode lalu dapat
memberikan bukti audit ketika auditor melakukan prosedur audit untuk membuat pengacuan
untuk audit periode kini.
Dalam menentukan tepat atau tidaknya untuk menggunakan bukti audit tentang
efetivitas operasi pengendalian yang diperoleh dalam audit sebelumnya, dan, jika demikian,
26
lamanya periode waktu yang mungkin telah berlalu sebelum pengujian ulang suatu
pengendalian, auditor harus mempertimbangkan hal-hal berikut;
Jika auditor merencanakan untuk menggunakan bukti audit dari audit sebelumnya
yang berkaitan dengan efektivitas operasi pengendalian spesifik, auditor harus membuat
hubunga yang berkelanjutan atas bukti tersebut dengan memperoleh bukti audit tentang
apakah terdapat perubahan signifikan dalam pengendalian tersebut setelah audit periode lalu.
Auditor harus memperoleh bukti dengan meminta keterangan yang di kombinasikan dengan
pengamatan atau inspeksi, untuk menegaskan pemahaman atas pengendalian spesifik tersebut;
dan
a) Jika terdapat perubahan yang berdampak pada hubungan yang berkelanjutan atas bukti
audit dari audit periode lalu, auditor harus menguji pengendalian tersebut dalam periode
audit kini,
b) Jika tidak terjadi perubahan seperti tersebut di atas, auditor harus menguji pengendalian
tersebut paling tidak sekali setiap tiga kali audit, dan harus menguji beberapa
pengendalian setiap kali audit untuk menghindari kemungkinan pengujian atas semua
pengendalian yang auditor ingin andalkan dalam suatu periode audit tertentu tanpa
menguji pengendalian tersebut di dua periode audit kemudian.
27
Keputusan auditor mengenai apakah akan mengandalkan pada bukti audit yang
diperoleh dari audit periode lalu untuk :
Secara umum semakin tinggi risiko kesalahan penyajian material, maka makin pendek
jeda waktu untuk pengujian kembali. Faktor yang dapatt mengurangi periode pengujian
kembali pengendalian atau mengakibatkan tidak diandalkannya bukti audit yang diperoleh
dalam audit periode lalu,mencakup hal – hal berikut:
28
H. MEMUTUSKAN RENCANA RISIKO DETEKSI DAN MERANCANG PENGUJIAN
SUBSTANTIF
29
DAFTAR PUSTAKA
Jusup, Al. Haryono. 2014. Auditing (Pengauditan Berbasis ISA). Yogyakarta. AdMark.
30