Pengendalian Internal

Pengantar
Pengendalian internal dirancang, diimplementasikan, dan dipelihara oleh TCWG,
manajemen dan karyaan lain untuk menangani risiko bisnis dan risiko kecurangan yang
mengancam pencapaian tujuan entitas.

Tujuan Pengendalian Internal

Secara garis besar, tujuan pengendalian internal adalah:
1. Tujuan strategis, dengan sasaran-sasaran utama yang mendukung misi entitas.
2. Tujuan pelaporan keuangan, agar laporan keuangan bebas dari salah saji material
tepat aktu dan tepat guna.
3. Tujuan operasional, di mana pengendalian mengamankan operasi entitas, yang
dikenal sebagai operational controls
4. Tujuan kepatuhan terhadap hukum dan etentuan perundangan. Pengendalian internl
yang relevan untuk suatu audit ialah pengendalian dengan tujuan pelaporan keuangan,
khususnya yang berhubungan dengan tujuan entitas membuat laporan keuangan untuk
keperluan eksternal.

Komponen Pengendalian Internal

Internal Control yang digunakan ISA 315 terdiri atas lima komponen:
A. Control Environment
Kutipan dari ISA 315 (terjemahan bebas): Auditor wajib memahami
lingkungan pengendalian. Sebagai bagian dari upaya pemahaman ini, ia wajib
mengevaluasi apakah:
a. Manajemen diawasi TCWG, menciptakan dan mempertahankan budaya jujur
dan perilaku etis; dan
b. Komponen-komponen lingkungan pengendalian secara kolektif memberikan
landasan yang kuat bagi komponen pengendalian internal lainnya, dan apakah
komponen pengendalian internal lainnya tidak diperlemah oleh
kekurangan/defisiensi dalam lingkungan pengendalian.
Pengendalian dalam lingkungan pengendalian bersifat pervasif, berdampak
ada seluruh komponen pengendalianinternal yang lain. Pengendalian ini tidak
secara langsung mencegah, mendeteksi, dan mengoreksi salah saji material dalam
laporan keuangan.
Pengaturan keuangan melalui pembagian tugas dan tanggung jawab
(assigment of authority/responsibility); struktur organisasi (organizational
structure); gaya kepemimpinan dalam arti luas (management philosophy and

operating style); pengawasan menyeluruh dalam arti luas, termasuk praktiknya

(governance structure and practices); penyampaian nilai-nilai dan komitmen
entitas mengenai kompetensi (communication of entity values and commitmentto
competence); serta kebijakan dan prosedur SDM (human resources policies and
procedures).
KOMPONEN UTAMA
Komunikasi dan pelaksanaan
nilai integritas dan nilai lainnya

Komitmen terhadap kompetensi

Keikutsertaan TCWG

Gaya kepemimpinan pada

umumnya

Struktur Organisasi

Pembagian tugas dan

tanggungjawab

Kebijakan dan prosedur SDM

PENJELASAN
Nilai-nilai ini sangat penting dan merupakan
komponen dasar yang memengaruhi efektifnya
rancanga,
pelaksanaan
dan
pemantauan
pengendalian lainnya.
Hal ini berkenaan dengan pandangan dan
pertimbangan manajemen mengenai tingkat
kompeteni dari setiap tugas dan persyaratan
pengetahuan, keterampilan dan pengalaman
untuk tugas yang bersangkutan
Ciri-ciri TCWG:
a) Independen dari manajemen
b) Pengalaman dan penghargaan orang
sekitarnya
c) Seberapa banyak mereka ikut terlibat
dalam pengawasan, informasi apa yang
mereka terima dan penelitian yang
mendalam atas kegiatan yang penting
d) Tepatnya sikap dan tindakan mereka
ketika berurusan dengan manajemen,
auditor internal dan ekstern, terutama jika
menghadapi masalah berat.
Pendekatan manajemen dalam mengambil dan
mengelola risiko bisnis, sikap dan tindakan dalam
pelaporan keuangan (misalnya dalam mengatur
jumlah omzet dan laba) dan proses informasi
dan akuntansi pada umumnya dan sikapnya
dalam masalah sumber daya manusia
Ini adalah kerangka dimana tujuan entitas
direncanakan, dilaksanakan, dikendalikan, dan
direviu
Ini menunjukkan bagaimana tugas dan
tanggungjawab ditetapkan hubungan antapegawai dan atasan (siapa melapor kepada siapa),
dan hirarki wewenang dalam entitas tersebut
Ini berkenaan dengan fungsi SDM, yakni
recuitment, orientation, training, evaluating,
counselling, promoting, compensating, dan
remedial actions

Lingkungan Pengendalian pada Entitas Kecil

Lingkungan pengedalian pada entitas yang lebih kecil tentunya berbeda dari
entitas besar, namun peran pengendalian ini pada entitas kecil tidak kalah
pentingnya dibandingkan pengendalian pada entitas besar. Hal ini dapat diamati
pada entitas yang tidak empunyai banyak pegawai, untuk pemisahan tugas yang
lazimnya dikenal dalam pengendalian internal. Pada entitas kecil mungkin auditor
tidak menemukan dokumentasi yang mendukung pengendalian dalam komponen
lingkungan pengendalian. Jika tidak ada dokumentasi pendukung tentang
pengendalian dalam komponen lingkungan pengendalian, auditor menulis memo
untuk file. Contoh ketika mendokumentasikan apakah ada komunikasi dan
penegasan dalam bentuk tindakan mengenai perilaku integritas dan perilaku
beretika lainnya, auditor dapat:
1. Mengidentifikasi nilai-nilai etika dan penegakkannya melalui percakapan
dengan manajemen. Auditor dapat menyimpulkan apakah pengendalian ini
memadai dari segi rancangan.
2. Menanyakan kepada satu atau beberapa pegawai, apa pendapat mereka tentang
nilai-nilai etika dan penegakannya dientitas tersebut. Wawancara ini
membantu auditor menentukan apakah nilai-nilai ini dikomunikasikan kepada
karyawan dan memang ditegakkan.

B. Risk Assessment
Istilah risk assessment dilihat dari sisi entitas dan auditor. Entitas wajib
merancang, mengimplementasikan, dan memelihara pengendalian internal. Jika
proses penilaian risiko pada entitas yang bersangkutan ( PPRE ) sudah sesuai
dengan situasi yang dihadapi entitas itu, maka PPRE mendukung upaya auditor
untuk menilai besarnya resiko salah saji yang material dalam laporan keuangan.
PPRE umumnya berurusan dengan hal-hal ini :
1. Perubahan dalam lingkungan operasi entitas.
2. Pejabat atau karyawan senior yang baru bergabung dengan entitas.
3. System yang baru atau mengalami perubahan besar-besaran.
4. Pertumbuhan yang cepat.
5. Teknologi baru.
6. Model bisnis, produk, atau kegiatan baru.
7. Restrukturisasi korporasi.
8. Perluasan kegiatan di luar negri.
9. Terbitnya pernyataan akuntansi yang baru.

Hal-hal yang menjadi perhatian auditor adalah :

1. Penentuan mengenai risiko yang relevan terhadap pelaporan
keuangan
2. Penaksiran seberapa signifikan dampak risiko tersebut
3. Penilaian tentang seberapa besar potensi terjadinya risiko
4. Putusan mengenai bagaimana menangani risiko tersebut dalam
konteks auditornya.

C. Information System
Manajemen dan TCWG memerlukan informasi yng andal untuk :
1. Mengelola entitas, seperti perencanaan, penganggaran, pemantauan
kerja, pengalokasian sumber daya, penetapan harga, dan pembuatan
laporan keuangan.
2. Mencapai tujuan entitas.
3. Mengidentifikasi, menilai, dan menanggapi faktor risiko.
Ini semua memerlukan informasi yang tepat. Informasi seperti into harus
diidentifikasikan, direkam,dan dikomunikasikan atau disebarkan secara tepat waktu
pada karyawan di segala tingkat yang memerlukan untuk membuat keputusan.
Suatu system informasi yang relevan untuk tujuan pelaporan keuangan,
meliputi proses bisnis dan system akuntansi dari entitas yang bersangkutan.
Proses bisnis (penjualan,
pembelian, dan lain lain)

Sistem akuntansi

Proses bisnis merupakan perangkat terstruktur

dari kegiatan kegiatan yang menghasilkan
output tertentu. Hasilmproses bisnis ini ialah
transaksi yang dicatat, diolah,dan dilaporkan
oleh system informasi.
Meliputi perangkat lunak aakuntansi, lembar
berkolom elektronis, dan kebijakan serta
prosedur untuk membuat laporan keuangan
berkala dan laporan keuangan akhir tahun
beseerta pengungkapanya.

Komunikasi
Komunikasi adalah unsur kunci dalam suksesnya system informasi.
Komunikasi internal antara manajemen puncak dan karyawan biasanya lebih
mudah dan kurang formal dalam entitas kecil, dan cara-cara melaporkan
penyimpangan kepada atasan yang tepat dalam entitas.Komunikasi ekstrenal
memastikan tercapainya tujuan yang efektif kepada pihak ketiga yang relavan

seperti pemangku kepentingan (key stakeholders), lembaga keuangan, regulator,

dan lembaga Negara lainnya.
Terbatasnya Dokumentasi Sistem IT
Entitas kecil mungkin mempunyai dokumentasi yang kurang canggih. Ia
mungkin juga tidak mendokumentsikan system informasi dan komunikasi
(information and communication system) dengan lebih saksama. Jika ini terjadi,
pemahaman yang wajib diperoleh auditor sangat tergantung pada inquiry (melalui
Tanya jawab karyawan) dan melalui pengamatan (observation) dan bukannya
melalui penelaah dokumen (review of documentation).

D. Control Activities (Kegiatan Pengendalian)

ISA 315
Alinea 20

Alinea 21

Kutipan dari ISA 315 alinea yang bersangkutan

Auditor wajib memperoleh pemahaman mengenai kegiatan
pengendalian yang relevan untuk auditnya, yakni pengendalian
yang dipandang auditor adalah penting untuk menilai risiko
salah saji yang material ditingkat asersi, dan merancang
prosedrur audit lanjutan untuk menanggapi risiko tersebut.
Suatu audit tidak mewajibkan pemahaman semua kegiatan
pengendalian yang berkenaan dengan jenis transaksi, saldo
akun, dan pengungkapan (disclosure) yang penting dalam
laporan keuangan atau mengenai setiap asersi.
Dalam memahami kegiatan pengendalian entitas, auditor wajib
memperoleh pemahaman mengenai bagaimana entitas tersebut
menanggapi risiko yang timbul dari teknologi informasi.

Pengendalian proses bisnis lazimnya dapat digolongkan sebagai preventif

(preventive) atau mencegah, detective atau menemukan, dan corrective atau
mengoreksi. Untuk corrective controls juga digunakan istilah lain, tergantung
konteksnya seperti: compensating controls dan steering controls. Lihat penjelasan
singkat dalam kotak 6-8
Klasifikasi
Pengendalian
Preventive Controls
Detective Controls

Compensating
Controls

Penjelasan
Mencegah kesalahan (errors) dan penyimpangan
(irregularities).
Menemukan kesalahan (errors) dan hal-hal yang tidak
lazim (irregulaties) untuk kemudian dikoreksi, atau
tindakan perbaikan dapat diambil.
Merupakan corrective controls, memberikan jaminan
ketika ada kendala sumber daya yang membuat
pengendalian langsung tidak dapat dilakukan.

Steering Controls

Merupakan corrective controls, mengarahkan

tindakan koreksi untuk mencapai hasil diinginkan.
Sifat pengendalian proses bisnis bisa berbeda-beda tergantung risiko dan
aplikasi yang digunakan. Contoh pengendalian ditingkat proses bisnis dijelaskan
dalam kotak 6-9.
Kotak 6-9
Pengendalian
Pemisahan
tugas (segretion
of duties)

Otorisasi
(authorization
controls)

Rekonsiliasi
(account
reconcilliations
)
Aplikasi IT (IT
application
controls)

Reviu angkaangka realisasi

Penjelasan
Pengendalian ini
mengurangi peluang bagi
seseorang melakukan
kesalahan atau
kecurangan dan
menyembunyikan
perbuatannya.
Pengendalian ini
menegaskan siapa yang
berwenang menyetujui
transaksi atau peristiwa
(event).

Meliputi penyusunan dan

reviu atas rekonsiliasi
secara tepat waktu dan
tindakan perbaikannya.
Pengendalian ini
deprogram dalam aplikasi
yang bersangkutan,
misalnya aplikasi
penjualan atau pembelian.

Contoh
Karyawan yang mengelolah
piutang, tidak menangani
transaksi penerimaan.

Pemberian wewenang, antara

lain:
Mempekerjakan
karyawan baru;
Membuat investasi;
Memesan barang dan
jasa;
Menyetujui penjualan
kredit kepada
pelanggan.
Rekonsiliasi saldo bank,
transaksi penjualan, rekening
antar-kantor, dan lain-lain.

Memeriksa akurasi (ada

beberapa file penjualan,
perkalian, dan penjumlahan
dalam invoice), urutan
pengeluaran cek, exception
report (laporan jika ada
penyimpangan).
Pengendalian berupa reviu Membandingkan angka budget
ats realisasi (dibandingkan dengan angka realisasi, dan
budget, forecast),
lain-lain.
membandingkan data
produksi dan data
keuangan,
membandingkan data
entitas dengan data

Pengendalian
fisik (physical
control)

industri. Perbedaan yang

ditemukan, selanjutnya
diselidiki.
Pengendalian ini
berhubungan dengan
pengaman fisik atas asset
dan pembatasan akses (ke
suatu ruang, file, data,
program computer, dan
seterusnya).

Penggunaan lemari besi untuk

meyimpan uang, membatasi
siapa yang boleh mempunyai
akses apa dengan menggunakan
sandi (password, PIN, dan lainlain), cocokkan uang atau
barang dengan catatan kas/
persediaan.

E. Monitoring (Pemantauan)
Komponen pemantauan, menilai efektifnya kinerja pengendalian internal
dengan berjalannya waktu. Tujuannya ialah untuk memastikan bahwa pengendalian
berjalan sebagaimana harusnya, dan jika tidak, maka tindakan perbaikan
(corrective actions) diambil.
Pemantauan memberikan umpan balik kepada manajemen mengenai apakah
sistem pengendalian internal yang dirancang untuk mengatasi (mitigate) risiko:
1. Efektif dalam mencapai tujuan pengendalian yang ditetapkan
2. Dilaksanakan dan dipahami dengan baik oleh karyawan
3. Digunakan dan ditaati setiap hari; dan
4. Dimodifikasi atau disempurnakan sesuai dengan perubahan kondisi
Kegiatan pemantauan oleh manajemen juga dapat meliputi penggunaan
informasi dari pihak eksternal yang mengindikasikan masalah atau yang menyoroti
area yang memerlukan penyempurnaan. Contoh :
1. Keluhan (complaints) dari pelanggan;
2. Komentar dari lembaga pengatur seperti lembaga keuangan dan
regulator;
3. Komunikasi mengenai pengendalian internal dari auditor dan
konsultasi eksternal.
Sumber Informasi Untuk Pemantauan
Banyak informasi yang digunakan untuk pemantauan dihasilkan oleh system
informasi entitas itu sendiri. Manajemen mungkin cenderung menganggap
informasi tersebut akurat. Jika informasi tersebut tidak akurat, ada risiko bahwa
manajemen membuat kesimpulan yang salah, dan keputusan yang buruk. Oleh
karena itu, ketika auditor mengevaluasi pemantauan atas pengendalian.