Anda di halaman 1dari 15

Pengendalian Intern

Pemahaman Mengenai Pengendalian Internal

Definisi Pengendalian Internal


Pengendalian Internal atau internal control adalah suatu proses yang dilaksanakan oleh dewan
direksi, manajemen, dan personel lainnya dalam suatu entitas, yang dirancang untuk menyediakan
keyakinan yang memadai berkenaan dengan pencapaian tujuan dalam kategori berikut :
Keandalan pelaporan keuangan
Kepatuhan terhadap hukum dan peraturan yang berlaku
Efektivitas dan efisiensi operasi
Pentingnya Pengendalian Internal
Menurut terbitan yang dikeluarkan AICPA pada tahun 1947, pengendalian internal sangat
penting bagi suatu perusahaan karena faktor faktor berikut ini :
Lingkup dan ukuran bisnis entitas telah menjadi sangat kompleks dan tersebar luas sehingga
manajemen harus bergantung pada sejumlah laporan dan analisis untuk mengendalikan operasi
secara efektif
Pengujian dan penelaahan yang melekat dalam sistem pengendalian internal yang baik
menyediakan perlindungan terhadap kelemahan manusia dan mengurangi kemungkinan terjadinya
kekeliruan dan ketidakberesan
Tidak praktis bagi auditor untuk melakukan audit atas kebanyakan perusahaan dengan
pembatasan biaya ekonomi tanpa menggantungkan pada sistem pengendalian internal klien
Selanjutnya pada bulan Oktober 1987 atau 40 tahun kemudian sejak terbitan AICPA tahun 1947,
National Commission on Fraundulent Financial Reporting ( Treadway Commission ) menekankan
ulang pentingnya pengendalian internal dalam mengurangi kejadian pelaporan yang curang.
Laporan terakhir komisi ini berisi hal hal berikut :
Penekanan atas pentingnya mencegah pelaporan keuangan yang curang merupakan suasana
yang ditetapkan oleh manajemen puncak yang mempengaruhi lingkungan perusahaan di mana
pelaporan keuangan dibuat
Semua perusahaan publik harus memelihara pengendalian internal yang akan menyediakan
keyakinan yang memadai bahwa pelaporan keuangan yang curang akan dicegah atau dideteksi lebih
awal
Organisasi yang mensponsori commission harus bekerjasama dalam mengembangkan pedoman
tambahan mengenai sistem pengendalian internal
Sebagai kelanjutan dari penerbitan laporan commission, pada tahun 1988 ASB
( Auditing
Standards Board ) menerbitkan SAS 55, consideration of the internal control structure in a financial
statement audit ( AU 319 ).SAS secara signifikan memperluas baik arti pengendalian internal
maupun tanggung jawab auditor dalam memenuhi standar pekerjaan lapangan.
Konsep Pengendalian Internal
Berdasarkan laporan COSO ( Committe of Sponsoring Organization ) di Amerika Serikat,
mengungkapkan bahwa terdapat empat konsep fundamental dalam pengendalian internal. Konsep
fundamental tersebut antara lain :
Pengendalian internal merupakan suatu proses. Hal tersebut berarti pengendalian internal
merupakan suatu alat untuk mencapai suatu akhir, bukan akhir itu sendiri. Pengendalian internal
terdiri dari serangkaian tindakan yang meresap dan terintegrasi dengan, tidak ditambahkan ke
dalam, infrastruktur suatu entitas
Pengendalian internal dilaksanakan oleh orang. Pengendalian internal bukan hanya suatu
manual kebijakan dan formulir formulir, tetapi orang pada berbagai tingkatan organisasi,
termasuk dewan direksi, manajemen, dan personel lainnya

Pengendalian internal dapat diharapkan untuk menyediakan hanya keyakinan yang memadai,
bukan keyakinan yang mutlak, kepada manajemen dan dewan direksi suatu entitas karena
keterbatasan yang melekat dalam semua sistem pengendalian internal dan perlunya untuk
mempertimbangkan biaya dan manfaat relatif dari pengadaan pengendalian
Pengendalian internal diarahkan pada pencapaian tujuan dalam kategori yang saling tumpang
tindih dari pelaporan keuangan, kepatuhan, dan operasi.
Komponen Pengendalian Internal
Untuk menyediakan suatu struktur dalam mempertimbangkan banyak kemungkinan
pengendalian yang berhubungan dengan tujuan entitas, muncul lah komponen komponen dalam
pengendalian internal yang saling berhubungan satu sama lain, yaitu :
Lingkungan pengendalian ( control environment ) menetapkan suasana suatu organisasi, yang
mempengaruhi kesadaran akan pengendalian dari orang orangnya.. Lingkungan pengendalian
merupakan pondasi dari semua komponen pengendalian internal lainnya, yang menyediakan disiplin
dan struktur
Penilaian resiko ( risk assessment ) merupakan pengidentifikasian dan analisis entitas mengenai
resiko yang relevan terhadap pencapaian tujuan entitas, yang membentuk suatu dasar mengenai
bagaimana resiko harus dikelola
Aktivitas pengendalian ( control activities ) merupakan kebijakan dan prosedur yang membantu
meyakinkan bahwa perintah manajemen telah dilaksanakan
Informasi dan komunikasi ( information and communication ) merupakan pengidentifikasian,
penangkapan, dan pertukaran informasi dalam suatu bentuk dan kerangka waktu yang membuat
orang mampu melaksanakan tanggung jawabnya
Pemantauan ( monitoring ) merupakan suatu proses yang menilai kualitas kinerja pengendalian
internal
pada
suatu
waktu.

Keterbatasan Pengendalian Internal Suatu Entitas


Sebaik apapun suatu pengendalian internal dirancang dan dioperasikan dalam suatu
perusahaan, tetap saja ada berbagai keterbatasan yang melekat ( inherent limitations ) pada
prakteknya di lapangan. Berikut di antaranya :
Kesalahan dalam pertimbangan. Kadang kadang, manajemen dan personel lainnya dapat
melakukan pertimbangan yang buruk dalam membuat keputusan bisnis atau dalam melaksanakan
tugas rutin karena informasi yang tidak mencukupi, keterbatasan waktu, atau prosedur lainnya
Kemacetan. Kemacetan dalam melaksanakan pengendalian dapat terjadi ketika personel salah
memahami instruksi atau membuta kekeliruan akibat kecerobohan, kebingungan, atau kelelahan.
Perubahan sementara atau permanen dalam personel atau dalam sistem atau prosedur juga dapat
berkontribusi pada teradinya kemacetan
Kolusi. Individu yang bertindak bersama, seperti karyawan yang melaksanakan suatu
pengendalian penting bertindak bersama dengan karyawan lain, konsumen atau pemasok, dapat
melakukan sekaligus menutupi kecurangan sehingga tidak dapat dideteksi oleh pengendalian
internal
Penolakan manajemen. Manajemen dapat mengesampingkan kebijakan atau prosedur tertulis
untuk tujuan tidak sah seperti keuntungan pribadi atau presentasi mengenai kondisi keuangan suatu
entitas yang dinaikkan ( misal, menaikkan laba yang dilaporkan untuk menaikkan pembayaran bonus
atau nilai pasar dari saham entitas ). Praktik penolakan termasuk membuat penyajian yang salah
dengan sengaja kepada auditor dan lainnya seperti menerbitkan dokumen palsu untuk mendukung
pencatatan transaksi penjualan fiktif

Biaya versus manfaat. Biaya pengendalian internal suatu entitas seharusnya tidak melebihi
manfaat yang diharapkan untuk diperoleh. Karena pengukuran yang tepat baik dari biaya dan
manfaat biasanya tidak memungkinkan, manajemen harus membuat baik estimasi kuantitatif
maupun kualitatif dalam mengevaluasi hubungan antara biaya dan manfaat.
Peran dan Tanggung Jawab
Beberapa pihak yang bertanggung jawab dalam suatu organisasi :
Manajemen. Merupakan tanggung jawab manajemen untuk menciptakan pengendalian intern
yang efektif.
Dewan Direksi dan Komite Audit. Dewan direksi harus menentukan bahwa manajemen telah
memenuhi tanggung jawabnya untuk menciptakan dan memelihara pengendalian intern. Komite
audit (atau bila tidak ada, dewan direksi sendiri) harus waspada dalam mengidentifikasi keberadaan
penolakan manajemen atas pengendalian atau pelaporan keuangan yang curang, dan segera
mengambil tindakan yang diperlukan untuk membatasi tindakan yang tidak sesuai oleh manajemen.
Auditor Internal. Auditor internal harus memeriksa dan mengevaluasi kecukupan pengendalian
intern suatu entitas secara periodic dan membuat rekomendasi untuk perbaikan, tapi mereka tidak
memiliki tanggung jawab utama untuk menciptakan dan memelihara pengendalian intern.
Personel Entitas Lainnya. Peran dan tanggung jawab dari semua personel lain yang menyediakan
informasi kepada, atau menggunakan informasi yang disediakan oleh system yang mencakup
pengendalian intern, harus memahami bahwa mereka memiliki tanggung jawab untuk
mengkomunikasikan masalah apapun yang tidak sesuai dengan pengendalian atau tindakan melawan
hukum yang mereka temui kepada tingkat yang lebih tinggi dalam organisasi.
Auditor Independen. Seorang akuntan public dapat melakukan perikatan atestasi terpisah untuk
memeriksa dan melaporkan kepada pihak eksternal mengenai asersi manajemen terpisah atas
pengendalian intern entitas.
Pihak Eksternal Lainnya.
Lingkungan Pengendalian
Sejumlah faktor pembentuk lingkungan pengendalian adalah :
Integritas dan nilai Etika
Untuk menekankan pentingnya integritas dan nilai etika di antara semua personel organisasi, CEO
dan anggota manajemen puncak lainnya harus :
Menetapkan suasana melalui contoh mendemonstrasikan integritas dan mempraktikkan standar yang
tinggi dari perilaku etis
Mengkomunikasikan kepada semua karyawan, baik secara verbal melalui pernyataan kebijakan
tertulis dan kode etik perilaku, bahwa hal yang sama diharapkan dari mereka, bahwasetiap
karyawan memiliki tanggung jawab untuk melaporkan pelanggaran yang ia ketahui atau yang
mungkin akan terjadi kepada tingkat yang lebih tinggi dalam organisasi, dan bahwa pelanggaran
akan dikenakan denda.
Memberikan bimbingan moral kepada karyawan yang memiliki latar belakang moral kurang baik yang
telah mengakibatkan mereka tidak mempedulikan mana yang baik dan yang buruk.
Mengurangi atau menghilangkan insentif dan godaan yang dapat mengarahkan individu untuk
melakukan tindakan yang tidak jujur, melawan hukum, atau tidak etis.

Komitmen terhadap Kompetensi


Untuk mencapai tujuan entitas, personel pada setiap tingkatan dalam organisasi harus memiliki
pengetahuan dan keahlian yang diperlukan untuk melaksanakan pekerjaan mereka secara efektif.
Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengeneai pengetahuan dan
keahlian yang diperlukan, dan bauran dari intelegensi, pelatihan, dan pengalaman yang diperlukan
untuk mengembangkan kompetensi tersebut.

Dewan Direksi dan Komite Audit


Komposisi dewan direksi dan komita audit dan cara mereka melaksanakan tanggung jawab atas
kekuasaan dan kekeliruan memiliki dampak yang besar terhadap lingkungan pengendalian. Faktorfaktor yang mempengaruhi efektivitas dari dewan direksi dan komite audit termasuk independensi
mereka dari manajemen, yang berhubungan dengan proporsi direksi dari luar perusahaan,
pengalaman dan status dari anggota, sifat dan luasnya keterlibatan mereka dalam aktivitas

manajemen serta pengamatan mereka terhadap aktivitas manajemen; kesesuaian tindak tanduk
mereka; tingkat di mana mereka memberikan dan mencari pertanyaan yang sulit dengan
manajemen; serta sifat dan luasnya interaksi mereka dengan auditor internal dan auditor eksternal.
Komite audit yang hanya terdiri dari direksi dari luar perusahaan dapat berkontribusi secara
signifikan terhadap pemenuhan tujuan pelaporan keuangan suatu entitas dengan melaksanakan
pemeriksaan terhadap kekeliruan pelaporan keuangan dan dengan meningkatkan independensi
auditor eksternal.

Filosofi dan Gaya Operasi Manajemen


Ada 7 karakteristik yang dapat membentuk filosofi dan gaya operasi manajemen, yaitu:
Pendekatan untuk mengambil dan memonitor resiko bisnis.
Mengandalkan pada pertemuan informal secara langsung dengan manajer kunci dibandingkan dengan
system formal dalam kebijakan tertulis, indicator kinerja, dan laporan pengecualian.
Sikap dan tindakan terhadap pelaporan keuangan.
Pemilihan secara selektif atau agresif dari prinsip-prinsip akuntansi yang tersedia.
Kesadaran dan konservatisme dalam mengembangkan estimasi akuntansi.
Kesadaran dan pemahaman terhadap risiko yang dihubungkan dengan teknologi informasi.
Sikap terhadap pemrosesan informasi dan fungsi akuntansi serta personel.

Struktur Organisasi
Struktur organisasi berkontribusi terhadap kemampuan suatu entitas untuk memenuhi tujuan
dengan menyediakan kerangka kerja menyeluruh atas perencanaan, pelaksanaan, pengendalian,
dan pemantauan aktivitas suatu entitas. Mengembangkan struktur organisasi suatu entitas
melibatkan penentuan bidang kunci dari wewenang dan tanggung jawab, serta garis pelaporan yang
tepat. Hal ini sebagian akan tergantung pada ukuran entitas dan sifat aktivitasnya. Struktur
organisasi entitas biasanya digambarkan dalam suatu bagan organisasi yang harus secara akurat
merefleksikan garis wewenang dan hubungan pelaporan. Manajemen harus member perhatian tidak
hanya pada operasi entitas, tetapi juga pada struktur informasi dari teknologi informasi dan system
informasi akuntansi. Auditor perlu memahami hubungan ini untuk menilai lingkungan pengendalian
secara tepat dan bagaimana hubungan tersebut dapat mempengaruhi efektivitas pengendalian
tertentu.

Penetapan Wewenang dan Tanggung Jawab


Penetapan wewenang dan tanggung jawab merupakan perpanjangan dari pengembangan suatu
struktur organisasi. Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai
bagaimana dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas entitas
dibebankan, dan harus memungkinkan setiap individu untuk mengetahui (1) bagaimana tindakannya
saling berhubungan dengan individu lainnya dalam memberikan kontribusi terhadap pencapaian
tujuan entitas, dan (2) setiap individu akan betanggung jawab atas hal apa. Faktor ini juga
mencakup kebijakan berkenaan dengan praktik bisnis yang sesuai, pengetahuan dan pengalaman
personel kunci, dan sumberdaya yang tersedia untuk melaksanakan tugas.
Kebijakan dan Praktik Sumberdaya Manusia
Kebijakan dan prosedur sumberdaya manusia (human resources policies and procedures)
yang diterapkan akan menjamin bahwa personel entitas memiliki tingkat integritas, nilai etika, dan
kompetensi yang diharapkan. Praktik tersebut mencakup perekrutan dan proses penyelesaian yang
dikembangkan dengan baik; orientasi personel baru terhadap budaya dan gaya operasi entitas,
kebijakan pelatihan yang mengkomunikasikan peran prospektif dan tanggung jawab; tindakan
pendisiplinan untuk pelanggaran terhadap perilaku yang diharapkan; pengevaluasian, konseling, dan
mempromosikan orang berdasarkan penilaian kinerja periodik; serta program kompensasi yang
memotivasi dan memberikan penghargaan atas kinerja yang tinggi sambil menghindari disinsentif
terhadap perilaku etis.
Hal ini menyimpulkan penjabaran dari faktor-faktor lingkungan pengendalian, yang dapat
mempengaruhi efektivitas setiap empat komponen lainnya dari pengendalian intern. Entitas yang
memiliki lingkungan pengendalian yang buruk mengurangi kesempatan bagi komponen pengendalian
intern lainnya untuk beroperasi secara efektif. Jika manajemen senior tidak memperkerjakan
individu yang kompeten, serta memandang rendah pentingnya etika dan kompetensi dalam kinerja
pekerjaan yang mendukung sistem akuntansi, karyawan mungkin tidak akan melaksanakan prosedur

pengendalian lain dengan kepedulian profesional yang mencukupi. Jika dalam penetapan wewenang
dan tanggung jawab manajemen puncak tidak meminta manajer lain untuk bertanggung jawab atas
penggunaan sumberdaya mereka, maka terdapat sedikit dorongan untuk mengimplementasikan sisa
dari komponen pengendalian inter lainnya secara efektif.

PENILAIAN RESIKO
Penilaian resiko (risk assessment) untuk tujuan pelaporan keuangan adalah identifikasi,
analisis, dan pengelolaan resiko suatu entitas yang relevan dengan penyusunan laporan keuangan
yang disajikan secara wajar sesuai dengan prinsip-prinsip akuntansi yang berlaku umum (AU 319.28)
Penilaian resiko oleh manajemen untuk tujuan pelaporan keuangan serupa dengan
perhatian auditor eksternal dengan resiko. Keduanya menekankan pada hubungan resiko dengan
asersi laporan keuangan tertentu serta aktivitas pencatatan, pemrosesan, pengikhtisaran, dan
pelaporan data keuangan yang berhubungan. Akan tetapi, ketika tujuan manajemen adalah untuk
menentukan bagaimana mengelola resiko yang diidentifikasikan, tujuan auditor adalah untuk
mengevaluasi kemungkinan bahwa salah saji material terdapat dalam laporan keuangan. Pada suatu
saat dimana manajemen secara tepat mengidentifikasi resiko dan secara sukses memulai aktivitas
pengendalian berkenaan dengan resiko tersebu, penilaian kombinasi auditor mengenai resiko
bawaan dan resiko pengendalian untuk asersi yang berhubungan akan lebih rendah. Akan tetapi,
dalam beberapa kasus, manajemen dapat memutuskan untuk menerima resiko tanpa
memperdulikan pengendalian karena pertimbangan biaya atau pertimbangan lainnya.
Penilaian resiko oleh manajemen harus meliputi pertimbangan mengenai resiko yang
dihubungkan dengan teknologi informasi. Sebagai contoh, manajemen harus merancang sistem
informasi dan pengendalian yang mengurangi masalah-masalah yang berhubungan dengan dampak
teknologi informasi dalam mengurangi pemisahan tugas tradisional. Jika manajemen merancang dan
mengimplementasikan suatu sistem pengendalian umum komputer yang baik, maka banyak resiko
menyeluruh tersebut yang akan dikurangi hingga tingkat yang dapat dikelola.
Penilaian resiko oleh manajemen juga harus mencakup pertimbangan khusus atas resiko
yang dapat muncul dari perubahan kondisi seperti yang diuraikan dalam AU 319.29 :
Perubahan dalam lingkungan operasi
Personel baru
Sistem informasi yang baru atau dimodifikasi
Pertumbuhan yang cepat
Teknologi baru
Lini, produk, atau aktivitas baru
Restrukturisasi perusahaan
Operasi di luar negeri
Pernyataan akuntansi
INFORMASI DAN KOMUNIKASI
Sistem informasi dan komunikasi yang relevan dengan tujuan pelaporan keuangan, yang
memasukan sistem akuntansi, terdiri dari metode-metode dan catatan-catatan yang diciptakan
untuk mengidentifikasi, mengumpulkan, menganalisis, mengklarifikasi, mencatat, dan melaporkan
transaksi-transakisi entitas dan untuk memelihara akuntabilitas dari aktiva-aktiva dan kewajibankewajiban yang berhubungan. Komunikasi melibatkan penyediaan suatu pemahaman yang jelas
mengenai tanggung jawab dan peran individu dengan pengendalian intern atas pelaporan keuangan
(AU 319.34)
Fokus utama dari kebijakan dan prosedur pengendalian yang berhubungan dengan sistem
akuntansi adalah transakis yang ditangani dengan suatu cara yang dapat mencegah terjadinya salah
saji dalam asersi laporan keuangan manajemen. Oleh karena itu, suatu sistem akuntansi yang
efektif harus :
Mengidentifikasi dan mencatat hanya transaksi yang valid dari entitas yang terjadi dalam
periode berjalan (asersi keberadaan atau keterjadian).
Mengidentifikasi dan mencatat semua transaksi yang valid dari entitas yang terjadi dalam
periode berjalan (asersi kelengkapan).
Memastikan aktiva dan kewajiban yang tercatat merupakan hasil dari transaksi yang memberikan
entitas hak untuk, atau kewajiban untuk item-item tersebut (asersi hak dan kewajiban).
Mengukur nilai transaksi dalam suatu cara yang mengijinkan pencatatan nilai moneter transaksi
secara tepat dalam laporan keuangan (asersi penilaian atau alokasi).

Memperoleh rincian yang mencukupi dari semua transaksi untuk memungkinkan penyajian secara
tepat dalam laporan keuangan, termasuk pengklasifikasian yang tepat dan pengungkapan yang
diperlukan (asersi penyajian dan pengungkapan).
Dapat dicatat bahwa konsisten dengan pengenalan terhadap lima kategori dari asersi
laporan keuangan, dua persyaratan pertama di atas meliputi penentuan periode waktu dimana
transaksi terjadi untuk memungkinkan mereka mencatat pada periode akuntansi yang tepat. Oleh
karena itu, pengendalian yang berhubungan dengan penetapan pisah batas (cutoff) yang dapat
dimasukkan sebagai bagian dari asersi keberadaan atau keterjadian dan asersi kelengkapan
konsisten dengan AU 326. Beberapa auditor mengubungkan pengendalian yang berhubungan dengan
transaksi pencatatan dalam periode akuntansi yang tepat dengan tujuan terpisah yang
diidentifikasikan sebagai tujuan cutoff.
Sistem akuntansi entitas harus menyediakan suatu jejak audit (audit trail) atau jejak
transaksi (transaction trail) yang lengkap untuk setiap transaksi. Jejak transaksi merupakan suatu
rantai dari bukti yang disediakan oleh pengkodean, referensi silang, dan pendokumentasian yang
menghubungkan saldo akun dan hasil ikhtisar lain dengan data transaksi orisinal. Jejak transaksi
penting baik bagi manajemen maupun auditor. Sebagai contoh, manajemen menggunakan jejak
tersebut untuk menjawab pertanyaan pelanggan atau pemasok berkenaan dengan saldo akun.
Penting bagi manajemen untuk memastikan suatu jejak transaksi yang jelas dalam sistem teknologi
informasi dimana bukti dokumentasi hanya dapat ditahan untuk suatu periode waktu yang singkat.
Sebagai contoh, dalam sistem komputer yang menggunakan pemrosesan on-line biasanya diciptakan
suatu nomor transaksi unik yang dapat digunakan untuk menciptakan jejak transaksi semacam itu.
Auditor menggunakan jejak tersebut dalam melakukan tracing dan vouching transaksi.
Dokumen dan catatan mewakili suatu aspek dari sistem informasi dan komunikasi yang
menyediakan bukti audit yang penting. Dokumen menyediakan bukti atas keterjadian transaksi dan
harga, sifat, dan syarat dari transaksi. Faktur, kontrak, cek, dan tiket waktu merupakan contoh
dokumen yang umum. Ketika ditandatangani dan diberi tanda, dokumen juga menyediakan suatu
dasar untuk menetapkan tanggung jawab untuk pelaksanaan dan pencatatan transaksi. Catatan
termasuk catatan penghasilan karyawan, yang menunjukkan data gaji kumulatif untuk setiap
karyawan, dan catatan persediaan perpetual. Jenis catatan lain adalah ikhtisar harian dari
dokumen yang diterbitkan seperti faktur penjualan dan cek. Ikhtisar tersebut kemudian secara
independen dibandingkan dengan jumlah jurnal harian yang sesuai untuk menentukan apakah
semua transaksi sudah dicatat. Dalam sistem akuntansi modern, catatan biasanya terdapat dalam
bentuk elektronik dan entitas dapat membuat salinan tercetak dari setiap penggunaan.
Komunikasi termasuk memastikan bahwa personel yang terlibat dalam sistem pelaporan
keuangan memahami bagaimana aktivitas mereka berhubungan dengan pekerjaan orang lain baik di
dalam maupun di luar organisasi.

AKTIVITAS PENGENDALIAN
Aktivitas pengendalian yang relevan dengan audit laporan keuangan dapat dikategorikan
dalam berbagai cara. Salah satu cara sebagai berikut :
Pemisahan tugas
Pengendalian pemrosesan informasi
Pengendalian umum
Pengendalian aplikasi
Pengendalian fisik
Review kinerja
Pemisahan Tugas
Pemisahan tugas melibatkan pemastian bahwa individu tidak melaksanakan tugas yang tidak
seimbang. Tugas dianggap tidak seimbang dari sudut pandang pengendalian ketika memungkinkan
individu untuk melakukan suatu kekeliruan atau kecurangan dan kemudian berada pada posisi untuk
menutupinya dalam pelaksanaan tugas normalnya. Sebagai contoh, individu yang memroses
pengiriman kas dari pelanggan (memiliki akses pada penjagaan aktiva) seharusnya tidak memiliki
juga otoritas untuk menyetujui dan mencatat kredit dalam akun pelanggan untuk retur penjualan
dan penyisihan atas penghapusan (melaksanakan transaki). Dalam kasus semacam ini, individu
dapat mencuri pengiriman kas dan menutupi pencurian tersebut dengan mencatat suatu retur
penjualan atau penyisihan atau penghapusan piutang tak tertagih.

Pemisahan tugas yang baik juga melibatkan pembandingan akuntabilitas yang tercatat
dengan aktiva di tangan. Sebagai contoh, pengendalian intern yang baik melibatkan rekonsiliasi
bank independen yang membandingkan saldo bank dengan saldo buku perusahaan untuk setiap akun
bank. Catatan persediaan perpetual juga harus dibandingkan secara periodik dengan persediaan
yang ada di tangan.
Alasan tersebut mendukung pemisahan tugas dalam dua jenis situasi berikut :
1.
Tanggung jawab untuk melaksanakan transaksi, mencatat transaksi dan memelihara penjagaan
aktiva yang dihasilkan dari transaksi harus dibebankan kepada individu atau departemen yang
berbeda. Sebagi contoh, personel departemen pembelian harus mengeluarkan pesanan pembelian,
personel departemen akuntansi harus memelihara akuntabilitas tercatat, dan personel ruang
penyimpanan harus melaksanakan penjagaan barang. Sebelum mencatat pembelian, personel
akuntansi harusnya memastikan bahwa pembelian telah diotorisasi dan barang yang dipesan telah
diterima. Jurnal akuntansi pada dasarnya menyediakan suatu dasar akuntabilitas untuk barang yang
ada dalam ruang penyimpanan. Lebih lanjut, individu yang bertanggung jawab untuk melakukan
pencatatan transaksi (seperti penerimaan kas), seharusnya tidak memiliki tanggung jawab untuk
memelihara akuntabilitas tercatat (rekonsiliasi bank).
2.
Harus terdapat pemisahan tugas yang tepat di dalam departemen tenknologi informasi dan
antara departemen teknologi informasi dengan departemen pemakai informasi. Beberapa fungsi
dalam teknologi informasi---pengembangan sistem, operasi, pengendalian data, dan administrasi
keamanan---seharusnya dipisahkan. Selain itu, teknologi informasi seharusnya tidak memperbaiki
data yang dikirimkan oleh departemen pemakai informasi, dan secara organisasi harus independen
dari departemen pemakai informasi. Pemisahan tugas dalam teknologi informasi sangat penting
karena mempertimbangkan aspek penting dari pengendalian umum.
Ketika tugas dipisahkan dengan suatu cara hingga pekerjaan dari satu individu secara
otomatis menyediakan pengecekan silang dari pekerjaan individu lain, manfaat tambahan dari
pengujian independen selalu melibatkan pemisahan tugas, tetapi pemisahan tugas tidak selalu
melibatkan suatu pengujian independen.

Gambar Pemisahan Tugas Profesional


Pelaksanaan transaksi

Memelihara
Akuntabilitas Tercatat

Memelihara
Penjagaan Aktiva
Perbandingan Periodik dari
Akuntabilitas yang Tercatat
Dengan Aktiva

Berikut adalah contoh bagaimana pemisahan tugas mempengaruhi resiko pengendalian


untuk tiga asersi :
Memisahkan penjagaan aktiva dari pemeliharaan akuntansi atas aktiva akan mengurangi resiko
pencurian karena seseorang tidak akan memiliki kesempatan untuk menutupi pencurian dengan
menghilangkan catatan mengenai aktiva (asersi keberadaan atau keterjadian).
Pemisahan tugas untuk pemrosesan transaksi pengeluaran kas dan rekonsiliasi akun bank akan
mengurangi resiko pembayaran dengan cek yang tidak tercatat karena tidak akan terdeteksi dalam
proses rekonsiliasi (asersi kelengkapan).
Pemisahan tanggung jawab untuk menyetujui kredit dari pengajuan pesanan penjualan akan
mengurangi resiko tidak tertagihnya piutang yang dapat diakubatkan dari penjualan yang dilakukan
dengan mengambil resiko kredit yang buruk untuk mencapai target penjualan atau meningkatkan
komisi (asersi penilaian atau alokasi).
Fungsi Teknologi Informasi yang Memerlukan Pemisahan

Gambar 1

a.
b.
c.
d.
e.

Pengendalian Pemrosesan Informasi


Pengendalian pemrosesan informasi (information processing controls) mengacu pada resiko
yang berhubungan dengan otorisasi, kelengkapan, dan akurasi transaksi. Pengendalian ini relevan
dengan audit laporan keuangan.
Pengendalian Umum
Tujuan dari pengendalian umum (general controls) adalah untuk mengendalikan pengembangan
program, perubahan program, operasi komputer, dan untuk mengamankan akses terhadap data dan
program. Berikut adalah lima jenis pengendalian umum yang diakui secara luas:
Pengendalian organisasi dan operasi
Pengendalian pengembangan sistem dan dokumentasi
Pengendalian perangkat keras dan sistem perangkat lunak
Pengendalian akses
Pengendalian data dan prosedur
Pengendalian umum komputer berkenaan dengan lingkungan teknologi informasi dan semua
aktivitas teknologi informasi sebagai kebalikan dari aplikasi teknologi informasi tunggal. Oleh
karena itu, dampak dari pengendalian tersebut meresap secara mendalam. Jika auditor dapat
memperoleh bukti bahwa pengendalian umum berfungsi secara efektif. Sebaliknya, kekurangan
dalam pengendalian umum mungkin mempengaruhi banyak aplikasi dan dapat mencegah auditor
dari penilaian resiko pengendalian di bawah maksimum untuk banyak aplikasi dan siklus transaksi.
Pengendalian Organisasi dan Operasi
Pengendalian Organisasi dan Operasi (organization and operation controls) berhubungan dengan
faktor pengendalian fikosofi dan gaya perasi manajemen dan struktur organisasi. Selain itu,
pengendalian umum tersebut berkaitan dengan pemisahan tugas dalam departemen teknologi

informasi dan antara departemen teknologi informasi dan departemen pemakai informasi.
Kelemahan dalam pengendalian ini biasanya mempengaruhi semua aplikasi teknologi informasi.
Struktur organisasi yang ditunjukkan dalam gambar 1 mengilustrasikan suatu pengaturan yang
menyediakan garis wewenang dan tanggung jawab dalam departemen teknologi informasi.
Tanggung jawab utama untuk setiap posisi adalah sebagai berikut:
POSISI
TANGGUNG JAWAB UTAMA
Manajer Teknologi Informasi
Melaksanakan
semua
pengendalian,
mengembangkan rencana jangka pendek dan
rencana jangka panjang dan menyetujui sistem
Pengembangan Sistem
Analisis Sistem

Programmer

Operasi Teknologi Informasi


Operator Komputer
Pustakawan
Administrator Jaringan
Pengendalian Data
Kelompok Pengendali Data

Administrator Database

Keamanan Informasi
Administrator Keamanan

Mengevaluasi sistem yang ada, merancang sistem


baru, menjelaskan garis besar sistem, dan membuat
spesifikasi untuk programmer
Membuat logika bagan alur untuk program
komputer,
mengembangkan
dan
mendokumentasikan
program,
serta
mencari
kesalahan dalam program dan memperbaikinya
Mengoperasikan perangkat keras komputer dan
melaksanakan program menurut instruksi operasi
Memelihara
penjagaan
dokumentasi
sistem,
program, dan file data
Merencanakan dan memelihara hubungan jaringan
dan file data
Bertindak sebagai penghubung antara departemen
pemakai
informasi
dan
memonitor
input,
pemrosesan dan output
Merancang isi dan pengorganisasian dari database
serta mengendalikan akses terhadap database dan
penggunaannya
Mengelola keamanan sistem teknologi informasi
termasuk pengamanan perangkat keras dan
perangkat lunak, memonitor akses terhadap
program data, serta menindaklanjuti pelanggaran
keamanan

Dalam organisasi yang kecil, posisi analis sistem dan programmer dapat dikombinasikan.
Akan tetapi, pengkombinasian dari kedua tugas tersebut dengan tugas dalam operasi teknologi
informasi mengakibatkan tugas yang tidak seimbang. Ketika ketiga tugas tersebut dilaksanakan oleh
satu individu, orang tersebut berada dalam posisi yang dapat melakukan sekaligus menutupi
kekeliruan. Sejumlah kecurangan komputer telah dihasikan ketika tugas-tugas tersebut
dikombinasikan.
Depertemen teknologi informasi harus diorganisasikan secara independen dari departemen
pemakai informasi. Oleh karena itu, manajer teknologi informasi seharusnya melaporkan kepada
seorang eksekutif seperti chief financial officer, yang tidak secara teratur terlibat dalam otorisasi

transaksi untuk pemrosesan komputer. Selain itu, personel teknolgi informasi seharusnya tidak
memperbaiki kekeliruan kecuali kekeliruan tersebut berasal dari dalam teknologi informasi.

Pengendalian Pengembangan Sistem dan Dokumentasi


Pengendalian pengembangan sistem dan dokumentasi (system development and documentation
controls) merupakan suatu bagian integral dari komponen pengendalian intern informasi dan
komunikasi. Pengendalian pengembangan sistem berhubungan dengan (1) review, pengujian dan
persetujuan dan sistem baru (2) pengendalian atas perubahan program, dan (3) prosedur
dokumentasi. Prosedur berikut berguna dalam menyediakan pengendalian yang dibutuhkan:
Perancangan sistem harus memasukkan perwakilan dari departemen pemakai dan, jika sesuai
departemen akuntansi dan auditor internal
Setiap sistem harus memiliki spesifikasi tertulis yang ditelaah dan disetujui oleh manajemen dan
departemen pemakai informasi
Pengujian sistem seharusnya merupakan usaha kerjasama antara pemakai dan personel tenaga
teknologi informasi
Manajer teknologi informasi, administrator database, personel pemakai informasi dan tingkat
manajemen yang sesuai harus memberikan persetujuan akhir terhadap suatu sistem baru sebelum
ditempatkan dalam operasi normal
Perubahan program harus disetujui sebelum pengimplementasian untuk menentukan apakah
perubahan tersebut telah diotorisasi, diuji, dan didokumentasikan.
Pengendalian dokumentasi yang berkenaan dengan dokumen dan catatan dipelihara oleh sebuah
perusahaan untuk menguraikan aktivitas pemrosesan komputer. Pendokumentasian yang mencukupi
adalah penting, baik bagi manajemen maupun bagi auditor. Bagi manajemen, dokumentasi
membuat manajemen dapat (1) me-review sistem, (2) melatih personel baru, dan (3) memelihara
dan merevisi sistem dan program yang ada. Bagi auditor, dokumentasi menyediakan sumber
informasi utama mengenai arus transaksi melalui sistem dan pengendalian akuntansi yang
berhubungan. Dokumentasi mencakup:
Uraian dan bagan alur dari sistem dan program
Instruksi pengoperasian bagi operator komputer
Prosedur pengendalian yang akan diikuti oleh operator dan pemakai
Uraian dan contoh dari masukan dan keluaran yang diperlukan
Dalam sistem manajemen database, pengendalian dokumentasi yang penting adalah kamus
data/directory (data dictionary/directory). Directory merupakan perangkat lunak yang menyimpan
jejak definisi dan lokasi elemen data dalam database.

Pengendalian Perangkat Keras dan Perangkat Lunak Sistem


Pengendalian perangkat keras dan perangkat lunak sistem (hardware and systen software controls)
merupakan faktor penting yang berkontribusi pada tingkat keandalan yang tinggi dari teknologi
informasi saat ini. Pengendalian perangkat keras dan perangkat lunak dirancang untuk mendeteksi
kerusakan peralatan. Kategori pengendalian ini mencakup hal-hal berikut:
Pembacaan dua kali (dual read). Data masukan dibaca dua kali dan kedua bacaan diperbandingkan
Pengujian keseimbangan (parity check). Data diproses oleh komputer dalam deretan titik (digit 0
atau 1). Disamping titik yang diperlukan untuk mewakili karakter numerik dan alphabet, suatu titik
keseimbangan ditambahkan ketika diperlukan, untuk membuat jumlah dari semua 1 titik genap
atau ganjil. Ketika data dimasukkan dan dikirimkan dalam komputer, pengujian keseimbangan
diaplikasikan oleh komputer untuk memastikan bahwa titik tidak hilang selama proses
Pengujian gema (echo check). Echo check melibatkan pengiriman kembali data yang diterima oleh
suatu alat keluaran kepada unit sumber untuk diperbandingkan dengan data asli.
Baca setelah tulis (read after write). Komputer membaca kembali data setelah dicatat, baik dalam
penyimpanan maupun dalam alat keluaran dan memeriksa data dengan membandingkannya dengan
sumber asli.

Untuk mencapai manfaat yang maksimum dari pengendalian ini, (1) harus terdapat suatu program
pemeliharaan pencegahan untuk semua perangkat keras dan (2) pengendalian terhadap perubahan
dalam perangkat lunak sistem harus paralel dengan pengembangan sistem dan pengendalian
dokumentasi yang diuraikan di atas.
Pengendalian Akses
Pengendalian akses (access control) harus mencegah penggunaan yang tidak terotorisasi dari
peralatan teknologi informasi file data dan pemrogaman komputer. Pengendalian khusus meliputi
penjagaan secara fisik perangkat lunak, dan prosedur.
Akses ke perangkat keras komputer harus dibatasi pada individu yang diotorisasi seperti
operator komputer. Penjagaan fisik termasuk penempatan peralatan di lokasi yang terpisah dari
departemen pemakai informasi. Petugas keamanan, pintu dalam keadaan terkunci, atau kunci
khusus harus dapat membatasi akses terhadap lokasi komputer.
Akses terhadap file data dan program harus dirancang untuk mencegah penggunaan yang tidak
diotorisasi baik untuk program maupun data. Pengendalian fisik dalam bentuk suatu perpustakaan
dan seorang pustakawan. Akses terhadap dokumentasi program dan file data harus dibatasi pada
individu yang memiliki otorisasi untuk memroses, memelihara atau memodifikasi sistem tertentu.
Pengendalian akses lainnya adalah (1) prosedur pemanggilan kembali komputer ketika
telepon digunakan untuk menghubungi komputer, dan (2) kata sandi yang diperiksa oleh komputer
sebelum seseorang dapat memasuki suatu transaksi.
Pengendalian Data dan Prosedur
Pengendalian data dan prosedur (data and procedural controls) menyediakan suatu
kerangka kerja untuk mengendalikan operasi komputer sehari-hari, meminimalkan kemungkinan
kekeliruan pemrosesan, dan memastikan kelanjutan operasi dari kejadian kehancuran fisik atau
kegagalan komputer.
Dua tujuan pertama dicapai melalui fungsi pengendalian yang dilaksanakan oleh individu
atau departemen yang secara organisasi independen dan pengoperasian komputer. Kelompok
pengendali data dalam teknologi iniformasi biasanya memikul tanggung jawab ini. Fungsi
pengendalian tersebut meliputi:
Penerimaan dan pemilihan semua data yang akan diproses
Akuntansi untuk semua data masukan
Penindaklanjutan dari pemroses kekeliruan
Pemeriksaan distribusi output dengan tepat
Kemampuan untuk memelihara kelanjutan pengoperasian komputer melibatkan (1)
penggunaan penyimpanan off-premiere untuk file-file, program-program dan dokumentasidokumentasi yang penting; (2) perlindungan fisik terhadap bahaya lingkungan; (3) penahanan
catatan formal dan rencana pemulihan data; serta (4) pengaturan penggunaan backup pada lokasi
lain.
Kemampuan untuk menyusun kembali file data sama pentingnya. Ketika pemrosesan berurutan
digunakan, suatu metode umum untuk menyusun kembali catatan adalah konsep kakek-ayah-anak
(grandfather-father-son concept) yang diilustrasikan dalam bagian atas gambar 9-3. Menurut
konsep ini, file utama yang diperbarui merupakan anak. File utama yang digunakan dalam operasi
yang terus diperbarui, yang menghasilkan anak adalah ayah, dan file utama sebelumnya adalah
kakek. Untuk memperbarui file utama tersebut, catatan dari transaksi periode berjalan dan periode
lalu harus ditahan. Dalam kejadian file utama komputer hancur, sistem kemudian memiliki
kemampuan untuk menggantikan file tersebut. Idealnya, tiga generasi dari file utama dan file
transaksi harus disimpan dalam lokasi yang terpisah untuk meminimalkan resiko hilangnya file
secara sekaligus.

Memahami Komponen Pengendalian Internal


Memahami Lingkungan Pengendalian
AU 319.26 menyatakan bahwa auditor harus memperoleh pengetahuan mengenai lingkungan
pengendalian yang mencukupi untuk memahami sikap dan tindakan manajemen serta dewan direksi
berkenaan dengan lingkungan pengendalian , dengan mempertimbangkan baik substansi
pengendalian maupun dampak kolektif mereka pada pengendalian lain. Auditor harus memahami
substansi, tidak hanya bentuk, dari kebijakan dan prosedur manajemen untuk komponen ini.
Sebagai contoh, penetapan suatu kode etik perilaku tertulis formal oleh manajemen untuk personel
entitas akan tidak berarti jika manajemen sendiri melanggar kode etik atau tindakan tersebut
dengan suatu cara yang mendorong pelanggaran oleh orang lain.
Tingkat pemahaman yang diperlukan dari beberapa faktor lingkungan pengendalian, seperti filosofi
dan gaya operasi manajemen, struktur organisasi, serta dewan direksi dan komite audit, akan sama
untuk setiap strategi audit. Akan tetapi, untuk beberapa faktor, mungkin akan diperlukan
pengetahuan tambahan untuk pendekatan tingkat resiko pengendalian yang dinilai lebih rendah.
Oleh karena itu, selain pemahaman mendasar mengenai kebijakan dan praktik sumber daya
manusia yang akan diperoleh menurut pendekatan substantif utama, auditor juga dapat
menginginkan pengetahuan spesifik mengenai perekrutan, pengalaman, dan pelatihan personel
komputer dan lainnya yang memiliki tanggung jawab pengendalian yang penting, seperti kasir,
penjaga gudang, dan penyelia gaji.
Memahami Penilaian Risiko
AU 319.30 menyatakan bahwa auditor harus menentukan bagaimana manajemen mengidentifikasi
risiko yang relevan terhadap penyajian laporan keuangan yang wajar, kepedulian mengenai
bagaimana ia menilai signifikansi dari risiko tersebut dan bagaimana ia memutuskan aktivitas
pengendalian atau tindakan lain berkenaan dengan resiko tersebut. Secara khusus, auditor harus
waspada terhadap pemahaman manajemen mengenai risiko teknologi informasi dan respon
terhadap risiko tersebut. Hal yang juga penting adalah pemahaman mengenai bagaimana
manajemen mengidentifikasi dan bereaksi terhadap perusahaan baik dalam situasi eksternal
maupun internal yang dapat mempengaruhi risiko yang berhubungan dengan pelaporan keuangan.
Pemahaman yang lebih luas mengenai komponen ini biasanya diperlukan apabila menggunakan
strategi tingkat risiko pengendalian yang dinilai lebih rendah daripada apabila menggunakan
strategi audit substantif utama.

Memahami Informasi dan Komunikasi


Suatu sistem informasi entitas secara signifikan mempengaruhi risiko salah saji material dalam
laporan keuangan. Secara khusus, sistem akuntansi yang dirancang dengan baik dan secara efektif
beroperasi harus menyediakan data akuntansi yang dapat diandalkan, sementara sistem yang
dirancang dengan buruk akan memberikan hasil sebaliknya.
AU 319.36 mengindikasikan bahwa auditor harus memperoleh pengetahuan yang mencukupi
mengenai sistem informasi yang relevan dengan pelaporan keuangan untuk memahami :
Golongan transaksi dalam operasi entitas yang signifikan terhadap laporan keuangan.
Bagaimana transaksi-transaksi tersebut dimulai.
Catatan akuntansi, dokumen pendukung, dan akun-akun spesifik dalam laporan keuangan yang
terlibat dalam pemrosesan dan pelaporan transaksi.
Pemrosesan akuntansi yang terlibat dalam pengerjaan transaksi hingga pemasukannya dalam
laporan keuangan, termasuk cara elektronik yang digunakan untuk mengirimkan, memroses,
memelihara, dan mengakses informasi.
Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas, termasuk
estimasi dan pengungkapan akuntansi yang signifikan.
Golongan transaksi yang secara umum memiliki dampak signifikan terhadap laporan keuangan
meliputi penjualan dan penerimaan kas, pembelian dan pengeluaran kas, persediaan, serta
penggajian. Seringkali terdapat volume yang tinggi dari transaksi-transaksi tersebut yang
memerlukan pemrosesan akuntansi secara luas dan melibatkan risiko salah saji yang lebih tinggi,

yang memerlukan suatu pemahaman yang lebih mendalam oleh auditor. Sebaliknya, dalam suatu
periode tertentu untuk entitas tertentu, transaksi investasi dan pembiayaan dapat minimal,
sehingga memerlukan pemahaman yang lebih sedikit. Auditor juga harus memperoleh suatu
pemahaman mengenai bagaimana entitas mengkomunikasikan peran dan tanggung jawab serta
masalah signifikan lainnya yang berhubungan dengan pelaporan keuangan.
Risiko salah saji dikaitkan dengan perubahan isi atau bentuk dari informasi. Terdapat empat fungsi
ekonomi penting yang dihubungkan dengan transaksi dalam rangka memahami di mana informasi
baru dapat ditambahkan atau bentuk informasi dapat diubah

Pelaksanaan transaksi

Pengiriman atau penerimaan barang dan jasa

Pencatatan transaksi

Penerimaan kas atau pengeluaran kas


Dalam memahami sistem akuntansi adalah penting untuk memahami bagaimana sistem akuntansi
menangani kejadian-kejadian ekonomi tersebut.
Secara umum, tingkat pemahaman yang lebih tinggi mengenai komponen informasi dan komunikasi
diperlukan untuk bagian sistem informasi yang lebih canggih dan lebih kompleks yang
mempengaruhi asersi dimana auditor memilih untuk menggunakan pendekatan tingkat risiko
pengendalian yang dinilai lebih rendah.
Memahami Aktivitas Pengendalian
AU 319.33 menunjukkan bahwa auditor harus memperoleh suatu pemahaman tentang aktivitas
pengendalian yang relevan dengan perencanaan audit. Dalam memperoleh suatu pemahaman
mengenai lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, serta komponen
pemantauan dari pengendalian intern, auditor secara tidak langsung akan memperoleh pengetahuan
mengenai beberapa aktivitas pengendalian. Tingkat pemahaman ini mungkin mencukupi untuk
tujuan perencanaan audit untuk asersi dimana auditor memutuskan memilih satu dari pendekatan
substantif utama. Karena pada kasus tersebut auditor menilai risiko pengendalian pada tingkat yang
tinggi atau maksimum, dan merencanakan pengujian substantif dalam bentuk prosedur analisis atau
pengujian rincian, maka hal tersebut biasanya tidak efisien atau tidak perlu untuk memperoleh
suatu pemahaman mengenai aktivitas pengendalian tambahan yang berkenaan dengan asersi
laporan keuangan yang berhubungan. Ketika auditor merencanakan pendekatan substantif utama,
tambahan pengetahuan mengenai prosedur pengendalian mungkin tidak diperlukan untuk
mengidentifikasi faktor-faktor yang mempengaruhi risiko salah saji, menilai risiko salah saji, dan
merancang pengujian substantif.
Akan tetapi, untuk asersi dimana auditor berharap menggunakan pendekatan tingkat resiko
pengendalian yang dinilai lebih rendah, ia akan lebih mungkin untuk menginginkan memperoleh
suatu pemahaman mengenai aktivitas pengendalian tambahan yang relevan dengan asersi tertentu.
Sebagai contoh, auditor mungkin perlu memahami pengendalian umum, pengendalian aplikasi, dan
bagaimana mereka melaporkan pengecualian, dalam rangka merancang pengujian pengendalian
guna mendukung penilaian risiko pengendalian yang rendah.
Memahami Pemantauan
Menurut AU 319.39 adalah penting untuk memahami jenis aktivitas yang digunakan oleh entitas,
manajemen puncak, manajemen akuntansi, dan auditor internal untuk memantau efektifitas
pengendalian intern dalam memenuhi tujuan pelaporan keuangan. Pengetahuan mengenai
bagaimana tindakan perbaikan dimulai juga harus diperoleh berdasarkan informasi yang sedikit dari
aktivitas pemantauan.
Informasi yang diperoleh dari prosedur pemantauan yang dilaksanakan oleh auditor internal dapat
berguna secara khusus bagi auditor eksternal. Sebagai contoh, auditor eksternal mungkin akan
memperoleh suatu pemahaman mengenai rancangan sistem penjualan dan piutang usaha yang
terkomputerisasi dengan mereview bagan arus auditor internal mengenai sistem tersebut. Demikian
juga, suatu review terhadap laporan auditor internal dapat mengungkap pengendalian spesifik yang
telah ditempatkan dalam operasi.
Auditor eksternal tidak diwajibkan untuk menguji pekerjaan auditor internal yang berkenaan
dengan perolehan suatu pemahaman, tetapi ia dapat memilih untuk melakukan hal tersebut. Akan
tetapi, perolehan pemahaman harus mencakup pengajuan pertanyaan kepada manajemen dan
personel auditor internal yang sesuai berkenaan dengan hal-hal seperti (1) keberadaan staf internal

audit dalam suatu entitas, (2) aktivitasnya, (3) kesesuaiannya dengan standar-standar profesional
internal auditing, dan (4) sifat, waktu, serta luas pekerjaannya.

Prosedur Untuk Memperoleh Suatu Pemahaman


Dalam memperoleh suatu pemahaman mengenai pengendalian yang relevan dengan perencanaan
audit, auditor harus melaksanakan prosedur untuk menyediakan pengetahuan yang cukup mengenai
rancangan pengendalian yang relevan berkenaan dengan kelima komponen pengendalian intern dan
apakah hal itu telah ditempatkan dalam operasi. AU 319.41 menyarankan agar prosedur untuk
memperoleh suatu pemahaman (procedures to obtain an understanding) terdiri dari :
Review pengalaman masa lalu dengan klien
Mengajukan pertanyaan kepada manajemen, pengawas, dan staf personel yang tepat
Memeriksa dokumen dan catatan
Mengamati aktivitas dan operasi entitas
Sifat dan luas prosedur yang dilaksanakan secara umum bervariasi dari entitas ke entitas dan
dipengaruhi oleh ukuran dan kompleksitas entitas, pengalaman masa lalu auditor dengan entitas,
sifat pengendalian tertentu, serta sifat dari pendokumentasian pengendalian tertentu.
Jika auditor memiliki pengalaman masa lalu dengan klien, maka kertas kerja tahun lalu harus berisi
sejumlah besar informasi yang relevan dengan audit tahun berjalan. Kertas kerja juga harus berisi
informasi mengenai jenis salah saji yang ditemukan sebelum audit dan penyebabnya. Sebagai
contoh, kertas kerja harus menunjukkan apakah salah saji masa lalu yang dihasilkan dari (1)
kurangnya pengendalian yang mencukupi, (2) pelaksanaan yang salah secara sengaja dari
pengendalian yang ada, (3) ketidakpatuhan yang tidak disengaja dari pengendalian yang ada oleh
personel yang tidak berpengalaman, atau (4) perbedaan dalam memberikan pertimbangan
profesional mengenai estimasi akuntansi. Auditor dapat menindaklanjuti informasi tersebut untuk
menentukan apakah tindakan perbaikan telah diambil.
Dokumen dan catatan dari entitas yang relevan harus diperiksa. Contohnya termasuk bagan
organisasi, pedoman kebijakan, bagan akun, buku besar akuntansi, jurnal, dokumen sumber, bagan
arus transaksi, dan laporan yang digunakan oleh manajemen dalam me-review kinerja seperti
laporan komparatif yang menunjukkan data anggaran dan data aktual serta variansnya.
Pemeriksaan ini secara langsung akan mengarah pada penambahan pertanyaan mengenai
pengendalian spesifik dan perubahan kondisi. Pengamatan kinerja dari beberapa pengendalian akan
diperlukan untuk menentukan apakah pengendalian tersebut telah ditempatkan dalam operasi.
Untuk memperkuat pemahaman mengenai beberapa aspek sistem akuntansi serta beberapa
aktivitas pengendalian tertentu, beberapa auditor melaksanakan review transaksi walkthrough
(transaction walkthrough review). Untuk melaksanakan review tersebut, satu atau beberapa
transaksi dalam setiap golongan transaksi utama ditelusuri melalui jejak transaksi, dan kebijakan
serta prosedur pengendalian yang berhubungan diidentifikasi dan diamati.
Mendokumentasikan Pemahaman
Mendokuntasikan pemahaman (documenting the understanding) tentang pengendalian intern
diperlukan dalam sebuah audit. AU 319.44 menyatakan bahwa bentuk dan luas pendokumentasian
dipengaruhi oleh ukuran dan kompleksitas entitas, dan sifat dari pengendalian intern entitas.
Pendokumentasian dalam kertas kerja dapat berupa kuesioner yang lengkap, bagan arus, tabel
keputusan (dalam sistem akuntansi terkomputerisasi), dan memorandum naratif. Dalam audit
terhadap entitas besar yang melibatkan kombinasi strategi audit, keempat jenis pendokumentasian
dapat digunakan untuk berbagai bagian dari pemahaman. Dalam audit terhadap entitas kecil,
dimana pendekatan substantif utama mendominasi, suatu memorandum tunggal mungkin sudah
cukup untuk mendokumentasikan pemahaman mengenai semua komponen.
Auditor dapat mendokumentasikan pemahaman bersamaaan dengan ketika mereka memperoleh
pemahaman itu. Sebagai contoh, auditor seringkali mencatat jawaban klien atas pertanyaan dalam
kuesioner yang telah dicetak sebelumnya yang menjadi bagian dari kertas kerja. Dalam perikatan
berulang, auditor mungkin hanya perlu memperbarui kuesioner, bagan arus, atau memorandum
naratif yang telah ada dari kertas kerja tahun lalu. Dokumentasi yang diperlukan hanya berkenaan

dengan bagian pengendalian intern yang relevan dengan audit. Pembahasan berikut menjelaskan
empat bentuk pendokumentasian yang secara umum digunakan oleh auditor.
Kuesioner
Kuesioner terdiri dari serangkaian pertanyaan mengenai pengendalian intern yang perlu
dipertimbangkan auditor untuk mencegah salah saji yang material dalam laporan keuangan.
Pertanyaan biasanya dibuat dalam bentuk jawaban Ya atau Tidak atau N/A (not applicable), dengan
jawaban Ya mengindikasikan suatu kondisi yang menguntungkan. Ruang kosong juga disediakan
untuk menyediakan komentar seperti siapa yang melaksanakan prosedur pengendalian dan seberapa
sering prosedur pengendalian dilaksanakan.
Bagan Arus
Bagan arus (flowcharts) adalah suatu diagram sistematik dengan menggunakan simbol-simbol
terstandarisasi, garis arus yang saling berhubungan, dan keterangan yang menggambarkan langkahlangkah yang terlibat dalam memproses informasi melalui sistem informasi.
Memorandum Naratif
Memorandum naratif terdiri dari komentar-komentar tertulis berkenaan dengan pertimbangan
auditor atas pengendalian intern. Memorandum dapat digunakan untuk melengkapi bagan arus atau
bentuk pendokumentasian lain dengan meringkas keseluruhan pemahaman auditor mengenai
pengendalian intern, komponen individu dari pengendalian intern, atau kebijakan.