Evaluasi Sistem

2012
Pengendalian Internal

Kelompok V DIV Kurikulum Khusus :

Hery Jhonatan Sembiring (14)
I Wayan Murlanda Wangsa (15)
Jonathan M Sibarani (18)
Rio Eryco Vebriadi (23)
Yasinta Widya Paramitha (30)

SEKOLAH TINGGI AKUNTANSI

0

NEGARA

BAB I
Pendahuluan
Sebagaimana tersirat dalam Standar Pemeriksaan Keuangan Negara dan
Panduan

Manajemen

Pemeriksaan

(PMP)

mengharuskan

pemeriksa

untuk

memahami, menilai dan mengevaluasi Sistem Pengendalian Internal (SPI) auditee

sebagai bagian dalam pemeriksaan keuangn. Tujuan dari pemahaman, penilaian
dan pengevaluasian akan efektivitas Sistem Pengendalian Internal adalah untuk
mengidentifikasi

kemungkinan

salah

saji,

mengenali

faktor-faktor

yang

mempengaruhi risiko salah saji, dan merancang pengujian substantif. Pemahaman,

penilaian

dan

pengevaluasian

Sistem

Pengendalian

Internaldilakukan

untuk

merencanakan pemeriksaan, yaitu dalam menentukan sifat, saat dan lingkup

pemeriksaan. Penilaian tersebut merupakan ukuran atas harapan pemeriksa bahwa
pengendalian

internal

akan

mencegah

terjadinya

salah

saji

material

atau

mendeteksi dan mengoreksinya, jika hal tersebut terjadi.

Penilaian atas efektivitas Sistem Pengendalian Internal dilakukan dengan
melakukan pengujian atas desain dan implementasi Sistem Pengendalian Internal
entitas. Pemahaman dan Pngujian SPI dilaksanakan pada tahap perencanaan
pemeriksaan

sebagaimana

tercantum

pada

Petunjuk

Pelaksanaan

(Juklak)

Pemeriksaan Keuangan.
Pada Juknis Sistem Pengendalian Internal, memberikan gambaran umum
tentang pedoman teknis pemahaman dan pengujian/evaluasi Sistem Pengendalian
Internaluntuk

pemeriksaan

Laporan

Keuangan

Pemerintah

Pusat/Daerah,

Kementerian/Lembaga, BUMN/D dan entitas lain yang diperiksa oleh BPK.

Pemahaman Sistem Pengendalian Internal meliputi pemahaman atas desain serta
implementasi Sistem Pengendalian Internal entitas dan penilaian awal atas risiko
pengendalian. Pemeriksa melakukan penilaian awal atas risiko pengendalian untuk
setiap siklus transaksi berisiko yang teridentifikasi dari hasil analisis risiko bisnis
sebagaimana didokumentasikan dalam Matriks Risiko Bisnis entitas. Pengujian
Sistem

Pengendalian

Internal

dilakukan

untuk

memperoleh

keyakinan

atas

efektivitas Sistem Pengendalian Internal berdasarkan nilai awal risiko pengendalian

Pemahaman Sistem Pengendalian Internal tingkat entitas dilakukan dengan
menggunakan kerangka pengendalian internal baik yangdiatur dalam Peraturan
1

Pemerintah maupun peraturan lain yang berlaku bagi entitas, ebrdasarkan kerangka
pengendalian

internal

yang

dikembangkan

oleh

Commite

of

Sponsoring

Organization.

BAB II
Evaluasi Sistem Pengendalian Internal
I.

Sistem Pengendalian Internal

Sistem Pengendalian Internal (SPI) artinya adalah suatu proses integral yang

didesain dan diimplementasikan oleH pimpinan dan seluruh pegawai untuk

memberikan keyakinan yang memadai terhadap pencapaian tujuan entitas terkait
dengan efektivitas dan efisiensi operasi, keandalan dari laporan keuangan, ketaatan
terhadap peraturan perundang-undangan, dan pengamanan aset.
SPI terdiri dari komponen-komponen yang dikembangkan oleh COSO. Menurut
Juknis SPI ini, pengendalian internal terdiri dari 5 (lima) komponen, yaitu:
1.
2.
3.
4.
5.

Lingkungan pengendalian (control environment)

Penilaian resiko (risk assessment)
Aktivitas pengendalian (control activities)
Informasi dan komunikasi (information and communication), dan
Pemantauan (monitoring).

Lingkungan pengendalian menciptakan budaya organisasi dan mempengaruhi

kesadaran pegawai atas pengendalian internal. Lingkungan pengendalian menjadi
dasar dari empat komponen pengendalian internal lainnya. Faktor-faktor yang dapat
membentuk lingkungan pengendalian, yaitu:
1. Penegakan integritas dan nilai etika
Seluruh komponen dari entitas berperan untuk menegakkan standar nilainilai integritas dan etika organisasi.
2. Komitmen terhadap kompetensi
Manajemen menentukan tingkat kompetensi atas suatu pekerjaan dan
mendefenisikan bagaimana pekerjaan tersebut dilaksanakan untuk mencapai
tujuan entitas.
3. Filosofi dan gaya kepemimpinan manajemen
Pimpinan entitas harus memiliki komitmen terhadap pengendalian internal,
nilai-nilai dasar, kompetensi, dan keteladanan. Pimpinan entitas menetapkan

kode

etik,

konseling,

dan

penilaian

kinerja

yang

mendukung

tujuan

pengendalian internal, serta etika profesi.

4. Struktur organisasi
Struktur organisasi merupakan kerangka yang menggambarkan kegiatan
perekonomian, pelaksanaan, pengendalian, dan pemantauan untuk mencapai
tujuan entitas. Struktur organisasi yang memadai antara lain harus mampu
menyediakan arus informasi-informasi penting, menjelaskan wewenang dan
tanggung jawab, serta hubungan pelaporan dalam organisasi.
5. Pendelegasian wewenang dan tanggung jawab
Pemberian tanggung jawab, pendelegasian wewenang, dan penyusunan
kebijakannya memberikan dasar akuntabilitas dan pengendalian serta
membangun peran individual terkait dengan tugas yang diberikan.
6. Kebijakan sumber daya manusia dan penerapannya
Kebijakan sumber daya manusia merupakan titik sentral dalam merekrut dan
mempertahankan pegawai yang kompeten untuk mencapai tujuan entitas.
7. Dewan Direksi atau Komite Audit
Dewan Direksi atau Komite Audit yang aktif dan efektif merupakan fungsi
supervisi yang penting demi tercapainya pengendalian internal yang efektif.
Penilaian resiko adalah identifikasi dan analisis atas risiko-risiko pencapaian
tujuan, sebagai dasar untuk menentukan langkah dalam menangani risiko tersebut.
Faktor-faktor yang harus dipahami dan dilakukan dalam penilaian risiko adalah:
1. Tujuan pada tingkat entitas
Untuk mencapai pengendalian yang efektif, entitas harus memiliki tujuan
yang ingin dicapai serta strategi yang dapat mendukung tercapainya tujuan.
2. Tujuan pada tingkat aktivitas
Tujuan dan strategi entitas secara keseluruhan harus memiliki hubungan
yang jelas dan konsisten dengan tujuan pada tingkat aktivitas.
3. Risiko
Proses penilaian risiko entitas harus mengidentifikasi risiko baik yang berasal
dari internal maupun eksternal serta mempertimbangkan implikasinya
terhadap pencapaian tujuan baik pada tingkat entitas maupun aktivitas.
Penilaian risiko harus meliputi analisis dan pengelolaan risiko.
4. Mengelola perubahan yang berpengaruh pada entitas
Mekanisme identifikasi dan penanganan diperlukan atas

terjadinya

perubahan-perubahan yang berasal baik dari eksternal maupun internal

entitas, misalnya perubahan ekonomi, industri, peraturan, dan perubahan
atas

berkembangnya

berpengaruh

terhadap

aktivitas

entitas.

pelaporan
3

Perubahan

keuangan,

antara

yang
lain

langsung

penggunaan

prosedur akuntansi baru, perubahan standar akuntansi, dan perubahan

sistem teknologi informasi akuntansi yang digunakan.
Aktivitas pengendalian adalah kebijakan dan prosedur yang menjamin bahwa
arahan

pimpinan

persetujuan

entitas

(approvals),

dilaksanakan.
otorisasi

Aktivitas

tersebut

(authorization),

meliputi

verifikasi

aktivitas

(verification),

rekonsiliasi (reconciliation), kecukupan dokumen dan catatan/data (adequate

documents and records), penilaian kinerja yang independen (independent checks
on performance), dan pemisahan tugas (segregation of duties). Faktor yang
dipertimbangkan
kebijakan

dan

dalam
prosedur

menilai
yang

aktivitas
tepat

atas

pengendalian
aktivitas

adalah

entitas,

keberadaan

dan

efektivitas

pelaksanaan aktivitas pengendalian.

Informasi diidentifikasi, diperoleh, diproses, dan dilaporkan oleh sistem
informasi. Sumber informasi dapat berasal dari internal dan eksternal. Hal yang
harus dilakukan terkait dengan informasi adalah:
1. Informasi yang relevan dengan tujuan entitas yang bersumber dari internal
dan eksternal disampaikan kepada manajemen,
2. Informasi disampaikan kepada pegawai secara rinci, jelas, dan tepat waktu
agar mereka dapat menjalankan kewajibannya secara efektif dan efisien,
3. Pembangunan sistem informasi dan perbaikannya harus didasarkan pada
rencana strategis sistem informasi yang sesuai dengan rencana strategis
entitas, serta responsif terhadap pencapaian tujuan entitas dan aktivitas, dan
4. Dukungan pimpinan entitas terhadap pembangunan sistem informasi yang
diperlukan ditunjukkan dengan komitmen penyediaan sumber daya manusia
dan dana.
Komunikasi meliputi penyediaan dan penyampaian informasi secara jelas,
seragam, dan tepat waktu kepada semua pegawai entitas yang terlibat dalam
pelaporan keuangan. Komunikasi tersebut bertujuan untuk menjamin bahwa semua
pegawai yang terkait akan saling memahamii peran dan aktivitasnya, termasuk
melaporkan

terjadinya

penyimpangan

melalui

mekanisme

whistle

blowing.

Kebijakan akuntansi, pedoman akuntansi dan pelaporan keuangan, daftar akun, dan
memo juga merupakan bagian dari komponen informasi dan komunikasi dalam
pengendalian internal.
4

Pengendalian internal harus dipantau dan jika perlu dibenahi agar kualitasnya
tetap bisa dipertahankan bahkan ditingkatkan. Pemantauan adalah proses penilaian
kualitas kinerja pengendalian internal sepanjang waktu, meliputi penilaian atas
desain dan implementasi pengendalian. Pemantauan yang efektif biasanya meliputi
pemantauan berkelanjutan (ongoing monitoring), evaluasi terpisah (separate
evaluation), dan pelaporan kelemahan kepada komite audit dan atau aparat
pengawasan internal.
II.

Sistem Pengendalian Internal dan Siklus Transaksi

Pemahaman dan pengujian SPI dilakukan atas siklus transaksi atau ativitas

entitas dengan melihat komponen SPI yang relevan.

Jenis siklus transaksi suatu badan usaha umumnya, yaitu:
a.
b.
c.
d.
e.

Penjualan dan penerimaan kas (sales and collection)

Pembelian dan pengeluaran kas (acquisition and payment)
Penggajian (payroll and personnel)
Persediaan dan penyimpanan (inventory and warehousing), dan
Pendanaan (capital acquisition and repayment).

Jenis siklus transaksi entitas pemerintah pada umumnya adalah sebagai berikut:
a.
b.
c.
d.
e.
III.

Pendapatan dan penerimaan kas (revenues and cash receipts)

Belanja dan pengeluaran kas (expenditures and cash payment)
Pembiayaan (financing)
Aset tetap (fixed asset), dan
Perolehan dan penghapusan (acquisition and disposal)

Keterbatasan Sistem Pengendalian Internal

Manajemen mendesain dan mengimplementasikan pengendalian internal

dengan mempertimbangkan 2 (dua) konsep mendasar sebagai suatu keterbatasan

SPI, yaitu:
1. Keyakinan yang memadai (reasonable assurance), bukan keyakinan yang
absolute atau mutlak akan terjadinya salah saji material yang tidak mampu
dicegah atau dideteksi oleh pengendalian internal,
2. Keterbatasan bawaan (inherent limitations), yaitu bahwa pengendalian
internal

tidak

akan

sempurna.

Setiap

SPI

yang

dirancang

dan

diselenggarakan entitas masih memiliki keterbatasan bawaan yang melekat

dalam setiap pengendalian, yaitu:
a. Kesalahan dalam penilaian (mistakes in judgement)

Kadangkala

manajemen

memberikan

penilaian

yang

salah

dalam

pengambilan keputusan atau dalam melaksanakan pekerjaan rutin yang

b.

disebabkan informasi, waktu, atau prosedur lain,

Gangguan fungsi pengendalian (breakdowns)
Pengendalian yang sudah mapan dapat terganggu jika pegawai salah
memahami

instruksi,

lalai,

tidak

hati-hati,

atau

karena

kelelahan.

Perubahan sistem dan prosedur atau pergantian pegawai baik sementara

atau permanen juga dapat mengkibatkan gangguan.
c. Kolusi
Tindakan bersama yang dilakukan untuk melakukan kecurangan (fraud)
yang tidak terdeteksi selalui SPI yang telah dirancang dengan baik
d. Pelanggaran Manajemen (management override)
Manajemen terkadang melanggar kebijakan dan prosedur yang telah
ditetapkan untuk tujuan yang tidak sah dalam rangka menguntungkan diri
sendiri atau meningkatkan performa laporan keuangan atau performa atas
kepatuhan terhadap peraturan dan perundang-undangan.
e. Biaya dan manfaat (cost and benefit)
Biaya suatu pengendalian internal entitas seharusnya tidak boleh melebihi
manfaat yang diharapkan.
Efektivitas SPI meliputi efektivitas desain dan efektivitas implementasi, yang
dijelaskan di bawah ini:
a. Efektivitas desain pengendalian internal diukur dari kemampuan desain
tersebut dalam mencegah dan mendeteksi salah saji material dalam laporan
keuangan.

Perhatian

manajemen

ditujukan

kepada pengedalian

untuk

menangani risiko pada semua asersi terkait, untuk semua akun dan
pengungkapan yang signifikan pada laporan keuangan,
b. Efektivitas implementasi pengendalian internal diukur dari kesesuaiannya
dengan desain serta pegawai yang mengoperasikan pengendalian melakukan
otorisasi dan penelaahan yang diperlukan.
IV.

Asersi Manajemen dan Tujuan Pemeriksaan

Asersi Manajemen merupakan kriteria bagi manajemen untuk merekam dan

mengungkapkan informasi akuntansi dalam laporan keuangan. Asersi manajemen

diklasifikasikan dalam tiga kategori:
-

Asersi-asersi mengenai kelas-kelas transaksi dan kejadian selama periode

laporan yang diperiksa
6

Asersi-asersi mengenai saldo akun pada akhir periode laporan keuangan

yang diperiksa
Asersi-asersi mengenai penyajian dan pengungkapan dalam laporan
keuangan.

Pemahaman dan pengujian SPI dilakukan pemeriksa pada pengendalian internal

atas kelas-kelas transaksi bukan pada kelas akun dengan pertimbangan akurasi
pada saldo akun akan dipengaruhi oleh akurasi transaksi. Pemeriksa melakukan
pemeriksaan dalam rangka menilai keandalan laporan keuangan berdasarkan suatu
asersi manajemen Tujuan pemeriksaan terkait kelas transaksi meliputi:

V.

Keterjadian (occurence)
Kelengkapan (completeness)
Akurasi (accuracy)
Pembukuan dan ihktisar (posting and summarisation)
Pengklasifikasian (classification)
Waktu (timing)

Metodologi Pemahaman dan Pengujian Sistem Pengendalian Internal

Metodologi pemahaman SPI:

i.
ii.
iii.
iv.
v.
vi.
vii.

Memperoleh serta menelaah data dan informasi SPI

Mendokumentasikan hasil pemahaman SPI
Mengevaluasi implementasi SPI
Mengidentifikasi pengendalian yang ada
Mengidentifikasi adanya kelemahan pengendalian
Menentukan tingkat kelemahan pengendalian
Menentukan nilai awal resiko pengendalian

Pengujian SPI:
i.
ii.
iii.
iv.
v.
vi.
VI.

Merancang uji pengendalian

Menguji pengendalian
Mengevaluasi hasil pengujian
Mendokumentasikan hasil
Menentukan risiko tingkat pengendalian siklus
Menyusun temuan sementara atas efektivitas SpI entitas jika ada

Pemahaman Sistem Pengendalian Internal

Temuan hasil pemeriksaan sebelumnya dapat membantu pemeriksa dalam

memberi gambaran mengenai kondisi SPI dan mengidentifikasi Risiko Pengendalian

(RP). Apabila tidak ada temuan maka pada umumnya RP adalah rendah (SPI adalah
efektif), begitu juga sebaliknya. Pemeriksa dapat mempertimbangkan bahwa RP
rendah jika tindak lanjut telah selesai, begitu juga sebaliknya.
7

Pemahaman SPI dalam pemeriksaan keuangan dimulai dari perolehan data dan
dokumen sampai dengan memberikan nilai awal RP, meliputi:
a.
b.
c.
d.
e.
f.
g.

Memperoleh serta menelaah data dan informasi SPI

Mendokumentasikan hasil pemahaman SPI
Mengevaluasi implementasi SPI
Mengidentifikasi pengendalian yang ada
Mengidentifikasi kelemahan pengendalian
Menentukan tingkat kelemahan pengendalian
Menentukan nilai awal RP

VII. Memperoleh serta Menelaah Data dan Informasi Sistem Pengendalian

Internal
Langkah pertama dalam pemahaman SPI adalah memperoleh serta menelaah
data dan informasi entitas. Data yang harus diperoleh dan ditelaah oleh pemeriksa
antara lain:
1.
2.
3.
4.
5.

Struktur organisasi
Seluruh uraian pekerjaan terkait pelaporan keuangan
Prosedur standar operasi
Kebijakan akuntansi
Kebijakan pengambilan keputusan penting yang ditetapkan oleh pimpinan

entitas
6. Anggaran tahunan
7. Laporan pertanggungjawaban
8. Laporan, kertas kerja, pengawasan internal, dan program pengawasan
internal
9. Peraturan perundang-undangan yang berpengaruh terhadap pelaporan
keuangan entitas
10.Informasi dan data lain yang relevan.
Alat

yang

digunakan

untuik

memperoleh

data

dan

informasi

sistem

pengendalian internal antara lain berupa kuesioner SPI yaitu kuesioner pada tingkat
entitas dan kuesioner pada tingkat siklus transaksi/aktivitas.
Kuesioner SPI pada tingkat entitas meliputi 5 (lima) komponen pengendalian
yang dikembangkan oleh COSO yaitu; lingkungan pengendalian, penilaian resiko,
aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Kuesioner SPI
level entitas berisi pertanyaan-pertanyaan untuk mengidentifikasi kelemahankelemahan pengendalian. Dari jawaban pada kuesioner tersebut kita dapat
menemukan adaya indikasi kelemahan pengendalian internal. Pertanyaan yang

disampaikan harus relevan dengan kondisi instansi yang diaudit, dan disampaikan
kepada pejabat yang berwenang hingga pelaksana yang terkait.
Pemeriksa membuat simpulan efektifitas SPI bedasarkan simpulan atas 5
(lima) komponen yang diperoleh. Kuesioner SPI pada level entitas bermanfaat untuk
memperoleh dan meningkatkan pengentahuan pemeriksa atas SPI entitas serta
memperoleh indikasi adanya kelemahan SPI entitas.
Pemeriksa harus menyiapkan kuesioner pada level siklus transaksi sesuai
dengan aktivitas pada masing-masing siklus tersebut. Dalam menyiapkan SPI siklus
transaksi, pemeriksa harus memperhatikan hasil dan simpulan atas 5 (lima)
komponen SPI yang diperoleh dari kuesioner level entitas. Dalam kuesioner level
siklus transaksi, pemeriksa berusaha memperoleh informasi yang berkaitan dengan
6 tujuan pemeriksaan terkait transaksi (asersi). Tujuan dari kuesioner pengendalian
untuk mengidentifikasi pengendalian yang ada dan kelemahan pengendalian paa
siklur tersebut.
Apabila entitas pernah diperiksa sebelumnya dan telah dilakukan pemahaman
atas SPI maka pemeriksa dapat menggunakan KPP hasil pemahaman SPI tersebut.
Pemeriksa hanya perlu melakukan penyesuaian atau pemuktahiran terhadap data
dan informasi sesuai dengan perubahan yang terjadi pada periode tahun
pemeriksaan. Selain itu, pemeriksa perlu memperoleh dan menelaah data
mengenai tindak lanjut pemeriksaan atas laporan keuangan tahun sebelumnya.
VIII.

Mendokumentasikan Hasil Pemahaman Sistem Pengendalian Internal

Pemeriksa harus mendokumentasikan hasil pemeriksaan SPI dalam bentuk:
a) Narasi siklus transaksi;
b) Bagan alir (flowchart) siklus transaksi; dan
c) Kuesione SPI.
Narasi merupakan uraian tertulis mengenai pengendalian internal suatu siklus

transaksi entitas. Narasi yang baik dapat menjelaskan sekurang-kurangnya:

a. Sumber dokumen dan pencatatan ke dalam sistem.
b. Semua pemrosesan yang terkait dengan transaksi.
c.
Disposisi atas semua dokumen dan catatan.
d. Indikasi atas pengendalian yang relevan dengan

penilaian

risiko

pengendalian, biasanya meliputi pemisahan tugas (seperti pemisahan

antara pencatat kas dengan pemegang kas), otorisasi dan pengesahan,
dan sebagainya.
9

Bagan alir adalah diagram yang menggambarkan arus dokumen dan urutan
proses suatu siklus transaksi. Bagan alir yang memadai sekurang-kurangnya
memuat 4 (empat) hal seperti dalam pembuatan narasi.
Narasi dan bagan alir memberikan informasi yang sama sehingga pemeriksa
dapat memilih dokumentasi sistem akuntansi dalam bentuk narasi atau bagan alir.
Bagan alir memiliki 2 (dua) keunggulan dibanding dengan narasi yaitu mudah
dibaca dan dimuktahirkan. Bagan alir yang didokumentasikan di sini adalah bagan
alir hasil pemahaman pemeriksa, bukan bagan alir yang diperoleh langsung dari
entitas.
IX.

Mengevaluasi Implementasi Sistem Pengendalian Internal

Dalam melakukan pemahaman SPI, pemeriksa melakukan evaluasi apakah

desai pengendalian internal yang dirancang oleh entitas telah diimplementasikan.

Dalam praktik seringkali pemahaman desain dan evaluasi atas implementasi
dilakukan secara bersama-sama. Beberapa teknik yang dapat digunakan dalam
evaluasi implementasi SPI adalah:
a. Wawancara;
b. Menelaan dokumen dan catatan; dan
c.
Melakukan obeservasi dan walkthrough atas siklus transaksi.
Wawancara dilakukan terhadap pimpinan entitas untuk memastikan bahwa
mereka melakukan pengawasan atas setiap pekerjaan di unit yang mereka pimpin.
Pengawasan tersebut antara lain melakukan reviu atas pekerjaan dan menyediakan
saluran

komunikasi

pelasakana

yang

atas
elevan

pemasalahan.
untuk

Wawancara

mengevaluasi

juga

apakah

dilakukan
mereka

kepada

memahami

pekerjaannya dan melakukan apa yang seharusnya mereka lakukan sesuai tupoksi.
Melalui analisis terhadap dokumen dan catatan transaksi baik cetak maupun
elektronis, pemeriksa diharapkan mampu mengevaluasi apakah informasi yang
digambarkan dalam bagan alir dan/atau narasi telah diimplementasikan. Dalam
melakukan

walkthrough,

pemeriksa

melakukan

pengamatan

suatu

kegiatan

transaksi mulaii dari awal hingga selesai.

Hasil pemahaman pemeriksa atas implementasi SPI suatu siklus transaksi
entitas didokumentasikan dalam kertas kerja pemeriksaan. Dokumentasi memuat
informasi perbedaan antara implementasi dengan desain SPI serta efektivitas

10

implementasi

SPI

dibandingkan

dengan

desainnya

berdasarkan

penilaian

pemeriksa.

X.

Mengidentifikasi Pengendalian yang Ada

Dalam melakukan tahapan-tahapan pemahaman SPI, pemeriksa menggukan

alat yang disebut Control Risk Matrix (CRM) atau matriks Risiko Pengendalian (MRP).
MRP dibuat untuk tiap siklus transaksi. MRP memuat pengendalian yang ada,
kelemahan pengendalian, tingkat kelemahan pengendalian, asersi terkait siklus
transaksi, serta nilai dari risiko pengendalian. Penggunaan MRP untuk menentukan
risiko pengendalian.
Dalam mengidentifikasi pengendalian yang ada, pemeriksa mengidentifikasi
pengendalian yang memberikan dampak besar terhadap tujuan pemeriksaan
(asersi) terkait siklus transaksi, pengendalian ini disebut pengendalian kunci (key
control). Identifikasi pengendalian-pengendalian yang terdapat dalam sistem
membantu pemeriksa melakukan tahap selanjutnya yaitu identifikasi kelemahan
pengendalian.
Setelah pengendalian yang ada teridentifikasi, pemeriksa menghubungkannya
dengan asersi pada siklus transaksi (menganalisis asersi mana yang dipenuhi oleh
pengendalian tersebut).
XI.

Mengidentifikasi adanya kelemahan pengendalian

Kelemahan pengendalian terjadi apabila dalam situasi normal, desain dan

impelemntasi SOI tidak memungkinkan manajemen atau pegawai mencegah atau

mendeteksi salah saji secara tepat waktu. Kelemahan ini terjadi jika ditemukan
kondisi tidak terdapat pengendalian kunci (key control) atau pengendalian yang ada
dtidak memadai dalam mencegah terjadinya salah saji material dalam laporan
keuangan.

Kemudian

setelah

identifikasi

dilakukan

maka,

auditor

menghubungkannya dengan asersi pada siklus transaksi yang ada.

Dalam menentukan tingkat kelemahan pengendalian, pemeriksa harus
menganalisis

kelemahan

terseut

dalam

dua

dimensi

yaitu

kemungkinan

keterjadiannya (likeliyhood) dan tingkat pengaruhnya pada salah saji dalam laporan
keuangan (magnitude). Tingkat kelemahan tersebut dikategorian sebagai material,
signifikan,

atau

tidak

berdampak.

Dalam
11

menentukan

tingkat

kelemahan

pengendalian

pemeriksa perlu

mempertimbangkan keberadaan

pengendalian

pengganti dan dua faktor di atas, yaitu kemungkinan keterjadian dan pengaruh
kesalahan penyajian pada laporan keuangan.

TINGKAT PENGARUH

KETERJADIAN

Material

SIGNIFIKAN

Kec

MATERIAL

Bes

TIDAK

il

BERDAM
PAK

SIGNIFI

ar

KAN

Tidak
Material
Ilustrasi Penentuan tingkat kelemahan SPI
Setelah kita mengidentifikasikan tingkat kelemahan SPI yang ada maka
pemeriksa akan menetukan nilai awal risiko pengendalian. Ini didasarkan atas
analsisi identifikasi sebelumnya yang telah dilakukan. Secara singkat risiko
pengendalian dapat dijabarkan sebagai berikut.
Tingkat Kelemahan

Nilai Risiko

Jenis Pengujian

Pengendalian
Tidak Berdampak

Awal
Rendah

Pengujian SPI

Signifikan

Sedang

Pengujian SPI

Material

Tinggi

Pengujian Substantif mendalam

12

XII. Pengujian Sistem Pengendalian Internal

Hasil akhir dari tahapan pemahaman pengendalian internal adalah nilai awal
risiko pengendalian sebagiamana diterangkan di atas. Nilai awal ini mengambarkan
keyakinan pemeriksa atas SPI entitas dalam mencegah kesalahan saji material
dalam laporan keuangan. Risiko Pengendalian digunakan untuk menentukan sifat,
saat, dan lingkup pengujian substantif. Jenis pengujian substantif juga perlu
mempertimbangkan risiko bawaan dan risiko pemeriksaan.
Pengujian SPI meliputi kegiatan-kegiatan merancang uji pengendalian, menguji
pengendalian, melakukan evaluasi hasil pengujian, mendokumentasikan hasil,
menentukan tingkat risiko pengendalian siklus dan menyusun temuan sementara
atas efektivitas SPI entitas jika ada. Terdapat beberapa persamaan langkah dalam
pengujian pengendalian dan pemahaman SPI antara lain wawancara, pengujian
dokumen dan data serta observasi. Sedangkan perbedaan antara pemahaman dan
pengujian SPI adalah:

Dalam pemahaman prosedur untuk memperoleh pemahaman dilakukan pada

semua pengendalian pada siklus yang teridentifikasi berisiko dari hasil
analisis

MRB,

sementara,

pada

tahap

pengujian

pengendalian

hanya

dilakukan pada pengendalian dengan risiko rendah dan/atau sedang

Prosedur pemahaman dilakukan anya pada satu atau beberapa transaksi

(dalam

observasi

dokumen),

sebaliknya

pada

pengujian

pengendalian

dilakukan pada sampel yang lebih banyak dengan menggunakan teknik uji
petik pemeriksaan.
XIII. Merancang Uji Pengendalian
Dalam melakukan uji pengendalian seringkali pemeriksa tidak dapat menguji
seluruh dokumen. Oleh karena itu, pemeriksa perlu melakukan uji petik dalam
menguji pengendalian untuk menghemat waktu dan biaya. Sampel yang diambil
dalam uji petik harus merepresentasikan populasi sehingga kesimpulan yang
dihasilkan

dapat

diyakini

kebenarannya.

Pemeriksa

memutuskan

untuk

menggunakan uji petik statistika atau non statistika berdasarkan asas manfaat dan
biaya.
Uji petik secara statistik mampu membantu pemeriksa untuk mendesain
sampel secara efisien, mengukur kecukupan bukti pemeriksaan yang diperoleh dan
mengevaluasi hasi sampel secara kuantitatif. Pengujian ini juga memungkinkan
13

pemeriksa untuk mengkuantifikasikan risiko uji petik dan meproyeksikan hasil

pengujian atas sampel terhadap populasi. Sebaliknya pada uji petik non statistika
kedua manfaat tadi tidak dapat dilakukan oleh pemeriksa. Dalam merancang
pengujian pengendalian dengan uji petik secara statistik pemeriksa melakukan
langkah-langkah sebagai berikut :
a) Menentukan asersi dan pengendalian yang akan diuji.
b) Menentukan atribut pengendalian yang akan diuji dan kondisi deviasi. Kondisi
deviasi adalah kondisi dimana terjadi penyimpangan (tidak sesuai dengan
kondisi yang diharapkan).
c) Mendefinisikan populasi dan unit sampel.
d) Menentukan tingkat reliabilitas atau tingkat keandalan atau keyakinan atas
kesimpulan yang diperoleh dari hasil pengujian pengendalian. Reliability atau
confidence level terkati dengan audit risk yaitu berbanding terbalik. Jika
pemeriksa menetapkan audit risk sebesar 5 % maka tingkat reliabilitas yang
digunakan sebesar 95 %.
e) Menetapkan tingkat toleransi atau Acceptence Upper Precision Limit (UPL).
UPL

ditentukan

pemeriksa

berdasarkan

hasil

penilaian

awal

risiko

pengendalian. Umumnya pemeriksaan menggunakan UPL sebesar 5 % untuk

nilai awal risiko pengendalian rendah.
Nilai Awal Risiko Pengendalian
Rendah
Sedang
Tinggi/Maksimum

Tolerable Rate (Acceptence UPL)

27%
6 12 %
Tidak dilakukan uji pengendalian

f) Menentukan metode uji petik atribut yang digunakan untuk menetukan

jumlah sampel. Pemeriksa harus tepat dalam menggunakan metode untuk
menetukan jumlah sample. Secara ringkas memilih metode uji petik atribut
dapat dilihat pada tabel di bawah ini
Metode Uji Petik Atribut
No
1

Metode
Fixed

Keterangan
Sample Jika nilai awal risiko pengendalian ( ekspektasi

size

Sequential

tingkat

deviasi/penyimpangan)

rendah

(SPI

entitas adalah efektif) dan

Ekspektasi tingkat deviasi dapat diketahui
Jika nilai awal risiko pengendalian relatif lebih
rendah (SPI entitas sangat efektif) dan/atau
14

Discovery

Jika tingkat ekspektasi deviasi tidak diketahui

Jika nilai awal risiko pengendalian sangat
rendah (mendekati nol)

g) Menentukan teknik pemilihan sampel

Setelah menentukan jumlah sampel, pemeriksa melakukan pengambilan atau
pemiliha sampel. Dalam uji petik secara statistika pemilihan sampel harus
dengan metode probabilistik antara metode random, systemic selection,
random systemic selection, probability-proportional-in-size, maupun statified
selection. Sedangkan uji petik secara non statistika dapat menggunakan baik
pemiliha sample secara probalistik maupun non probabilistik maupun non
probabilistik

(haphazard,

professional

judgement,

quoto,

atau

block

sampling).
Langkah-langkah pengujian non statistika sama dengan langkah-langkan
pengujian pengendalian uji petik statitstika. Perbedaan terjadi pada penentuan
jumalh sampel dan ukuran kualitatif seperti sedikit, sedang, banyak atau tidak
mengambil sampel. Jika uji pengendalian dilakukan pada pemeriksaan iterim,
pemeriksa harus mempertimbangkan bukti tambahan atas sisa periode akuntansi
(periode akuntansi yang belum termasuk dalam pemeriksaan interim). Faktor-faktor
yang mempengaruhi pemeriksa dalam menentukan bukti tambahan atas sisa
periode akuntansi antara lain :

Signifikasi dari asersi yang uji

Adanya perubahan pengendalian dalam sisa periode akuntansi dibandingkan

periode interim dan

Pajangnya sisa periode akuntansi yang belum diperiksa.

XIV.

Menguji Pengendalian

Dalam menguji pengendalian, pemeriksa menguji dokumen atau bukti transaksi

serta dokumen pendukungnya untuk menilai apakah dokumen atau bukti transaksi
tersebut sesuai dengan atribut pengendalian yang diuji atau tidak (merupakan
deviasi/penyimpangan atribut pengendalian atau tidak). Jika asersi yang diuji
memiliki lebih dari satu atribut pengendalian, maka suatu sampel disimpulkan
merupakan suatu deviasi walaupun hanya satu atribut yang tidak dipenuhi oleh
sampel tersebut.

15

XV.

Mengevaluasi hasil pengujian pengendalian

Setelah dilakukan uji pengendalian, pemeriksa harus mengevaluasi jumlah deviasi

(penyimpangan) yang ditemukan. Jika asersi/pengendalian yang diuji memiliki lebih
dari satu atribut pengendalian maka suatu sampel disimpulkan merupakan suatu
deviasi walaupun hanya satu atribut yang tidak dipenuhi oleh sampel tersebut.
Dalam mengevaluasi deviasi pemeriksa harus mempertimbangkan :
a. sifat dan penyebab, apakah deviasi disebabkan oleh eror atau fraud, dan
b. efeknya terhadap prosedur pemeriksaan
Jika dokumen yang menjadi sampel tidak ditemukan, pemeriksa perlu mencermati
lebih lanjut karena hal tersebut dapat merupakan indikator adanya fraud. Evaluasi
atas hasil pengujian dijelaskan dalam juknis uji petik pemeriksaan.
XVI. Mendokumentasikan hasil pengujian pengendalian
Pemeriksa harus mendokumentasikan hasil pengujian pengendalian sebagai
kertas kerja pemeriksaan. Dokumentasi uji pengendalian meliputi
a.

Deskripsi dari pengendalian yang diuji

b. tujuan pengendalian, termasuk asersi-asersi yang relevan

c.

definisi populasi dan unit sampel

d. definisi kondisi deviasi

e.

tingkat keyakinan (confidence level)

f.

metode penentuan jumlah sampel

g. metode pemilihan atau pengambilan sampel

h. sampel-sampel terpilih
i.

deskripsi bagaimana prosedur sampel dilaksanakan

j.

evaluasi hasil pengujian sampel dan kesimpulannya

Pemeriksa wajib mendokumentasikans etiap langkah dalam melakukan pengujian

pengendalian termasuk pertimbangan profesional yang digunakan. Penggunaan
profesional

judgement

harus

didasari

oleh

pertimbangan

yang

dapat

dipertanggungjawabkan
XVII. Menentukan tingkat risiko pengendalian siklus
Setelah melakukan pengujian pengendalian, pemeriksa menentukan tingkat risiko
pengendalian siklus dengan ukuran kualitatif maupun kuantitatif. Langkah-langkah
dalam menentukan risiko pengendalian siklus adalah :
16

a. memutakhirkan risiko pengendalian setiap asersi yang diuji jika tingkat risiko
pengendalian hasil uji pengendalian berbeda dengan nilai awal risiko
pengendalian
b. memberikan skor risiko pengendalian tiap asersi yang diuji serta total skor risiko
pengendalian dan
c. menentukan tingkat risiko pengendalian siklus secara kualitatif dan kuantitatif
Pemeriksa harus memutakhirkan tingkat risiko pengendalian tiap asersi yang diuji
berdasarkan hasil uji pengendalian . Skor Risiko Pengendalian diberikan secara
kuantitatif untuk setiap asersi pada siklus yang dapat dilihat pada tabel berikut

Tabel Skor Risiko Pengendalian

Tingkat Risiko

Skor Risiko

Pengendalian

Pengendali

an
Rendah
1
Sedang
2
Tinggi
3
Sedangkan total skor Risiko Pengendalian siklus merupakan jumlahan dari
seluruh skor Risiko Pengendalian tiap asersi. Risiko Pengendalian siklus ditentukan
secara kualitatif maupun kuantitatif . Pedoman yang digunakan dalam menentukan
Risiko Pengendalian siklus tersebut dapat dilihat pada tabel berikut.
Total Skor

Risiko Pengendalian
Kualitatif
Kuantitatif
Rendah
30%
Sedang
70%
Tinggi
100%

6-9
10-13
14-18

Jika hasil dari pemahaman dan pengujian SPI menunjukkan bahwa Risiko
Pengendapian

atas

suatu

silus

transaksi

adalah

tinggi

maka

pemeriksa

mempertimbangkan untuk melakukan pengujian substantif mendalam atas akun-

17

akun terkait sebaliknya jika hasilnya adalah Risiko Pengendalian tetap rendah maka
pemeriksa mempertimbangkan untuk melakukan pengujian substantif terbatas
XVIII.

Menyusun

temuan

sementara

atas

efektivitas

sistem

Pengendalian

Internal

pengendalian internal entitas

Walaupun

pemahaman

dan

pengujian

Sistem

merupakan bagian dari tahap perencanaan pemeriksaan akan tetapi pemeriksa

dapat menyusun sementara temuan-temuan yang terkait dengan efektivitas Sistem
Pengendalian Intern entitas.
Temuan-temuan tersebut tidak lain adalah kelemahan-kelemahan material
pengendalian yang teridentifikasi selama pemeriksa melakukan pemahaman dan
pengujian atas SPI, terutama jika disimpulkan bahwa tingkat Risiko Pengendalian
adalah sedang atau tinggi.
Dalam laporan hasil pemeriksaan atas efektivitas Sistem Pengendalian Internal
entitas, pemeriksa menyebutkan dampak kelemahan pengendalian terhadap salah
saji

laporan

keuangan.

Dampak

dari

kelemahan

pengendalian

akan

dapat

teridentifikasi setelah pemeriksa melakukan pengujian substantif yang dilakukan

pada tahap pelaksanaan pemeriksaan.
XIX. Pengujian dengan tujuan ganda (Dual-Purpose Tests)
Dalam

praktik

seringkali

saat

pemeriksa

melakukan

pengujian

atas

pengendalian, yaitu melakukan penilaian atas dokumen dan catatan, pemeriksa

dapat sekaligus melakukan pengujian substantif, yaitu prosedur yang dilakukan
untuk menguji adanya salah saji yang dapat mempengaruhi ketepatan laporan
keuangan. Pengujian substantif dilakukan untuk meyakini asersi-asersi manajemen
atas laporan keuangan entitas, terutama pada kelemahan-kelemahan pengendalian
(deficiencies) yang teridentifikasi. Pengujian susbtantif yang dilakukan secara
bersamaan saat melakukan pengujian atas pengendalian internal sering dinamakan
pengujian dengan tujuan ganda atau dual purpose test.
XX. Pengendalian dalam lingkungan teknologi informasi
Penggunaan Teknologi Informasi (TI ) dalam sistem akuntansi entitas mampu
meningkatkan pengendalian internal entitas , namun disisi lain penggunaan
Teknologi

Informasi

dapat

pula

meningkatkan
18

risikop

pengendalian

entitas.

Pengendalian terkait penggunaan Teknologi Informasi dibagi menjadi dua yaitu

pengendalian umum (general control) dan pengendalian aplikasi (application
control)
1. Pengendalian umum
Pengendalian

umum

adalah

pengendalian

yang

dioperasikan

secara

menyeluruh untuk meyakinkan bahwa sisem komputer yang digunakan entitas

stabil dan dikelola dengn baik sehingga diperoleh tingkat keyakinan yang memadai
bahwa tujuan pengendalian internal secara keseluruhan dapat tercapai. Terdapat
enam kategori pengendalian umum :
a. Administrasi dari fungsi Teknologi Informasi
Pandangan dan pemahaman pimpinan entitas mengenai Teknologi Informasi
berpengaruh terhadap efektivitas Teknologi Informasi yang dioperasikan oleh
entitas
b. Pemisahan tugas Teknologi Informasi
Pemisahan tugas diterapkan untuk memitigasi risiko penyalahgunaan atau
kecurangan dalam mengoperasikan sistem informasi
c. Pengembangan sistem
Adanya pengembangan sistem memungkinakan adanya perubahan dalam
pengoperasian

sistem

informasi

yang

digunakan.

Pengendaliana

tas

perubahan yang terjadi diperlukan untuk memastikan bahwa sistem dapat

beroperasi secara efektif
d. Keamanan fisik dan online
Pengendalian fisik atas komputer (termasuk perangkat keras, perangkat
lunak, file data cadangan dan media penyimpanan data) serta pembatasan
akses atas perangkat lunak online dan data terkait mampu memitigasi risiko
adanya pihak yang tidak berwenang mengakses dan atau mengubah
program dan file data
e. Rencana cadangan (backup) dan kontijensi
Pencadangan data tidak hanya bertujuan untuk mencegah kehilangan atau
rusaknya data, akan tetapi memungkinkan entitas tetap beroperasi jika suatu
f.

saat sistem informasi terganggu

Pengendalian perangkat keras
pengendalian perangkat keras dalam komputer biasanya disediakan oleh
[pembuat komputer untuk mendeteksi dan melaporkan adanya kegagalan
sistem dalam komputer
2. Pengendalian Aplikasi (Application Control)
19

Pengendali aplikasi diterapkan pada proses transaksi. Pemeriksa mengevaluasi

pengendalian aplikasi untuk setiap siklus transaksi yang dinilai. Terdapat tiga
pengendalian aplikasi, yaitu
a. Pengendalian masukan (input controls)
Pengendalian masukan didesain untuk meyakinkan bahwa informasi yang
dimasukkan dalam komputer adalah akurat lengkap dan telah diotorisasi
b. Pengendalian Proses (Processing Control)
Pengendalian proses mencegah dan mendeteksi eror pada saat data
transaksi diproses
c. Pengendalian keluaran (output controls)
Pengendalian keluaran fokus pada pendeteksian eror setelah proses selesai.
Pengendalian ini bukan merupakan tindakan pencegahan
Dalam menilai risiko pengendalian, pemeriksa juga harus mengidentifikasi
pengendalian dan kelemahan pengendalian terkait dengan penggunaan Teknologi
Informasi

dalam

sistem

akuntansi

entitas.

Pengendalian

dan

kelemahan

pengendalian yang teridentifikasi juga harus dianalisis hubungannya dengan asersi

dan didokumentasikan dalam matriks risiko pengendalian.

BAB III
Penutup
Sistem Pengendalian Internal merupakan salah satu unsur penting dalam
pengelolaan organisasi. Dengan pengendalian internal, maka manajemen akan
memperoleh peringatan yang lebih awal bila ada risiko yang akan menghalangi
20

tercapainya tujuan organisasi. Oleh karena itu keberadaan pengendalian internal

merupakan suatu keharusan bagi suatu entitas. Namun, banyak entitas yang telah
membangun Sistem Pengendalian Internalnya namun dalam implementasinya tidak
berjalan dengan lancar.
Untuk itulah sudah menjadi tugas auditor untuk melakukan pemahaman dan
evaluasi Sistem Pengendalian Internal sebagai bagian dari proses pemeriksaan
keuangan. Dengan melakukan hal ini auditor dapat mengetahui seberapa hebat
internal kontrol entitas tersebut. Auditor juga dapat mengetahui kemungkinan salah
saji dan juga faktor-faktor yang mempengaruhinya.
Pengujian Sistem Pengendalian Internal meliputi beberapa tahapan antara lain
dengan merancang uji pengendalian, menguji pengendalian, mengevaluasi hasil
pengujian, mendokumentasikan hasil, menentukan tingkar Risiko Pengendalian
Siklus dan menyusun temuan sementara atas efektivitas Sistem Pengendalian
Internal entitas jika ada. Terdapat beberapa persamaan tahapan dalam melakukan
pengujian Sistem Pengendalian Internal dengan pemahaman Sistem Pengendalian
Internal, antara lain wawancara, pengujian dokumen dan data , serta observasi.

DAFTAR PUSTAKA
Peraturan Badan Pemeriksa Keuangan Republik Indonesia Nomor 01 Tahun 2007.
Standar Pemeriksaan Keuangan Negara. Jakarta
Peraturan

Menteri

Negara

Pendayagunaan

Aparatur

Negara

nomor

PER/05/M.PAN/03/2008. Standar Audit Aparat Pengawasan Intern Pemerintah.

Jakarta.
Saifuddin. 2004. Pengaruh Kompetensi dan Independensi Terhadap Opini Audit
Going

Concern

(Studi

Kuasieksperimen

pada

Auditor

dan

Mahasiswa).

Semarang. Tesis tidak dipublikasikan. Universitas Diponegoro. Semarang

21

Sri Lastanti, Hexana. 2005. Tinjauan Terhadap Kompetensi dan Independensi

Akuntan Publik : Refleksi Atas Skandal Keuangan. Media Riset Akuntansi,
Auditing dan Informasi Vol.5 No.1 April 2005.

22