MODUL 9

Struktur Pengendalian Internal dan Evaluasinya

Kb 1 : Struktur Pengendalian Internal

Pengendalian internal yang digunakan di dalam suatu entitas adalah penjamin keandalan laporan
keuangan yang dihasilkan oleh entitas.

A. DEFINISI PENGENDALIAN INTERNAL

SA Seksi 319 mendefinisikan pengendalian internal sebagai suatu proses yang dijalankan
oleh dewan komisaris, manajemen dan personel lain yang didesain untuk memberikan
keyakinan yang memadai terhadap pencapaian tiga golongan tujuan sebagaimana
berikut ini :
1. Keandalan pelaporan keuangan
2. Kepatuhan terhadap hukum dan peraturan yang berlaku
3. Efektivitas dan efisiensi operasi

Dari definisi pengendalian internal tersebut terdapat beberapa konsep-konsep yang mendasari,
yakni sebagai berikut (Mulyadi, 2002 )

1. Pengendalian internal merupakan suatu proses

2. Pengendalian internal dijalankan oleh orang
3. Pengendalian internal dapat diharapkan mampu memberikan keyakinan memadai, bukan
keyakinan mutlak, bagi manajemen, dan personel lainnya.
4. Pengendalian internal dapat diharapkan mampu memberikan keyakinan memadai, bukan
keyakinan mutlak, bagi manajemen dan dewan komisaris entitas.
5. Pengendalian internal ditujukan untuk mencapai tujuan yang saling berkaitan: pelaporan
keuangan, kepatuhan, dan operasi.

Sedangkan definisi pengendalian internal menurut COSO adalah sebagai berikut

Pengendalian internal (internal control) adalah suatu proses yang dilaksanakan oleh dewan direksi,
manajemen dan personel lainnya dalam suatu entitas, yang dirancang untuk menyediakan keyakinan
yang memadai berkenaan dengan pencapaian tujuan, dalam kategori berikut

1. Keandalan pelaporan keuangan

2. Kepatuhan terhadap hukum dan peraturan yang berlaku
3. Efektivitas dan efisiensi operasi

Laporan COSO tersebut diatas menekankan bahwa konsep fundamental (fundamental concepts)
dapat dinyatakan dalam definisi sebagai berikut (Boynton, 2001)

1. Pengendalian internal merupakan suatu proses

2. Pengendalian internal dijalankan oleh orang
3. Pengendalian internal dapat diharapkan untuk menyediakan hanya keyakinan yang
memadai, bukan keyakinan yang mutlak, kepada manajemen dan dewan direksi suatu
entitas karena keterbatasan yang melekat dalam semua sistem pengendalian internal dan
perlunya untuk mempertimbangkan biaya dan manfaat relatif dari pengadaan pengendalian.
 4. Pengendalian internal diarahkan pada pencapaian tujuan dalam kategori yang saling
tumpang tindih dari pelaporan keuangan, kepatuhan, dan operasi.

Laporan COSO mengidentifikasi lima komponen pengendalian internal (components of internal

control) yang saling berhubungan, yaitu (Boynton, 2001) sebagai berikut.

1. Lingkungan pengendalian (control environment) menetapkan suasana suatu organisasi, yang

mempengaruhi kesadaran terhadap pengendalian dari orang-orangnya.
2. Penilaian risiko (risk assessment) merupakan pengidentifikasian dan analisis entitas atas
risiko yang relevan terhadap pencapaian tujuan entitas, yang membentuk suatu dasar
tentang bagaimana risiko harus dikelola.
3. Aktivitas pengendalian (control activities) merupakan kebijakan dan prosedur yang
membantu meyakinkan bahwa perintah manajemen telah dilaksanakan.
4. Informasi dan komunikasi (information and communication) merupakan pengidentifikasian,
penangkapan, dan pertukaran informasi dalam suatu bentuk dan kerangka waktu yang
membuat orang mampu melaksanakan tanggung jawabnya.
5. Pemantauan (monitoring) merupakan suatu proses yang menilai kualitas kinerja
pengendalian internal pada suatu waktu.

Kelima komponen tersebut digambarkan secara lebih mendetil pada bagian terakhir dari modul ini.

1. Tujuan Pengendalian Internal

Tujuan umum yang dimiliki oleh manajemen dalam merancang sistem pengendalian internal
yang efektif adalah sebagai berikut (Arens, 2006)
a. Reliabilitas pelaporan keuangan.
b. Efisiensi dan efektivitas operasi.
c. Ketaatan pada hukum dan peraturan.
2. Tanggung Jawab Manajemen dan Auditor atas Pengendalian Internal
Tanggung jawab atas pengendalian internal adalah tanggung jawab manajemen dan auditor.
Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian
internal entitas. Sedangkan auditor bertanggung jawab untuk menerbitkan laporan audit
terhadap penilaian manajemen atas pengendalian intrenalnya, termasuk pendapat auditor
atas keefektifan pelaksanaan pengendalian tersebut. Menurut Arens(2006), ada dua konsep
utama yang melandasi perancangan dan implementasi pengendalian internal, yaitu berikut
ini :
a. Kepastian yang layak
b. Keterbatasan melekat
3. Keterbatasan Pengendalian Internal Suatu Entitas
Mengapa pengendalian internal sebaik apapun dirancang dan dioperasikan hanya dapat
menyediakan keyakinan yang memadai berkenaan dengan pencapaian tujuan pengendalian
suatu entitas.
a. Kesalahan dalam pertimbangan
b. Kemacetan
c. Kolusi
d. Pengabaian oleh manajemen
e. Biaya versus manfaat
 4. Peran dan Tanggung Jawab
Pihak pihak yang betanggung jawab dalam pelaksanaan pengendalian internal di entitas
adalah sebagai berikut
a. Manajemen. Manajemen bertanggung jawab untuk mengembangkan dan
menyelenggarakan pengendalian internal diperusahaannya secara efektif.
b. Dewan komisaris dan komite audit. Dewan komisaris bertanggung jawab untuk
menentukan apakah manajemen bertanggung jawab dalam mengembangkan dan
menyelenggarakan pengendalian internal dientitas mereka.
Menurut Mulyadi (2002), fungsi komite audit yang secara langsung berdampak
terhadap auditor adalah :
1) Menunjuk auditor yang melaksanakan audit tahunan terhadap laporan keuangan
perusahaan.
2) Membicarakan lingkup audit untuk auditor
3) Meminta auditor untuk melakukan komunikasi langsung atas masalah-masalah
besar yang ditemukan oleh auditor dalam auditnya.
4) Me-review laporan keuangan dan laporan audit pada saat audit selesai dilakukan.
c. Auditor internal. Auditor internal bertanggung jawab untuk memeriksa dan
mengevaluasi kecukupan pengendalian internal suatu entitas secara periodic dan
membuat rekomendasi untuk perbaikan.
d. Personel entitas lainnya. Peran dan tanggung jawab semua personel lain yang
menyediakan informasi kepada atau menggunakan informasi yang disediakan oleh
sistem yang mencakup pengendalian internal harus memahami bahwa mereka memiliki
tanggung jawab untuk mengomunikasikan masalah apapun yang tidak sesuai dengan
pengendalian
e. Auditor independen. Seorang auditor eksternal mungkin menemukan kekurangan dalam
pengendalian internal yang dikomunikasikan kepada manajemen, komite audit, atau
dewan komisaris, bersamaan dengan rekomendasi perbaikan.
f. Pihak luar lain. Pihak luar yang bertanggung jawab atas pengendalian internal entitas
adalah badan pengatur, seperti Bank Indonesia dan Bapepam.

D. KOMPONEN KOMPONEN PENGENDALIAN INTERNAL

Komponen pengendalian internal menurut laporan COSO dalah sebagai berikut (Arens, 2006):

1. Lingkungan pengendalian
2. Penilaian risiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan

1. Lingkungan hidup
Berbagai faktor yang membentuk lingkungan pengendalian dalam entitas anatara lain
sebagai berikut
A. Nilai intregitas dan etika
B. Komitmen terhadap kompetensi
 C. Dewan komisaris dan komite audit
D. Filosofi dan gaya operasi manajemen
E. Struktur organisasi
F. Pembagian wewenang dan pembebanan tanggung jawab
G. Kebijakan dan praktik sumberdaya manusia
A. Intregitas dan nilai-nilai etika
Integritas dan nilai-nilai etis adalah bentuk dari standar etika dan perilaku entitas, serta
bagaimana standar itu dikomunikasikan dan diberlakukan dalam praktik.
B. Komitmen pada kompetensi
Kompetensi adalah pengetahuan dan keterampilan yang diperlukan untuk menyelesaikan
tugas mengidentifikasi pekerjaan seseorang.
C. Partisipasi dewan komisaris atau komite audit
Dewan komisaris berperan penting dalam tata kelola perusahaan yang efektif karena
memikul tanggung jawab akhir untuk memastikan bahwa manajemen telah
mengimplementasikan pengendalian internal dan proses pelaporan keuangan yang layak.
D. Filosofi dan gaya operasi manajemen
Filosofi manajemen adalah seperangkat keyakinan dasar yang menjadi parameter bagi
perusahaan dan karyawannya.
E. Struktur organisasi
Struktur organisasional entitas menentukan garis-garis tanggung jawab kewenangan yang
ada.
F. Pembagian wewenang dan pembebanan tanggung jawab
Mulyadi (2002) menyatakan bahwa pembagian wewenang dan pembebanan tanggung
jawab merupakan perluasan lebih lanjut pengembangan struktur organisasi.
G. Kebijakan dan praktik sumberdaya manusia
Karyawan merupakan unsur yang penting dalam sebuah entitas. Jika entitas memiliki
karyawan yang kompeten dan jujur, maka unsur pengendalian internal dapat dikurangi
sampai batas minimum dan perusahaan masih bisa memiliki laporan keuangan yang handal.
2. Penilaian Pengendalian
Penilaian pengendalian diawali oleh hasil temuan auditor atas pengendalian internal entitas
apakah sudah berjalan secara efisien atau belum. Hasil dari pemeriksaan yang dilakukan oleh
auditor ini menjadi masukan kepada manajemen.

Penilaian risiko
Penaksiran risiko (risk assessment) atas pelaporan keuangan adalah tindakan yang dilakukan
manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dengan
penyusunan laporan keuangan yang sesuai dengan PABU
3. Aktivitas Pengendalian (Control Activities)
Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang sudah termasuk dalam
empat komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan
telah diambil untuk menangani risiko guna mencapai tujuan entitas. Aktivitas pengendalian
umumnya dibagi menjadi lima jenis berikut ini (Arens, 2006)
a. Pemisahan tugas yang memadai
b. Otorisasi yang sesuai dengan kejadian transaksi dan aktivitas
c. Dokumen dan catatan yang memadai
 d. Pengendalian fisik atas aktiva dan catatan
e. Pemeriksaan kinerja secara independen
a. Pemisahan tugas yang memadai
Ada empat pedoman umum menyangkut pemisahan tugas yang memadai untuk mencegah
baik kecurangan maupun kekeliruan yang terutama penting bagi auditor (Arens, 2006)
1) Pemisahan penyimpanan aktiva dan akuntansi
2) Pemisahan otoritas transaksi dari penyimpanan aktiva terkait.
3) Pemisahan tugas TI dari departemen pemakai.
b. Otorisasi yang tepat atas transaksi dan aktivitas
Otoritas di entitas dapat berupa otoritas umum dan otoritas khusus. Otoritas umum
merupakan otoritas yang ditetapkan oleh manajemen, dan para bawahan diinstruksikan
untuk mengimplementasikan otoritas umum tersebut dengan menyetujui semua transaksi
dalam batas yang telah ditetapkan oleh kebijakan itu. Contoh, otoritas umum terhadap
daftar harga tetap untuk penjualan produk, batas kredit untuk pelanggan, dan titik
pemesanan kembali yang bersifat tetap untuk melakukan akuisisi. Sedangkan otoritas
khusus berlaku untuk transaksi individual. Untuk transaksi tertentu, manajemen memilih
mengotorisasi setiap transaksi. Contohnya adalah otoritas transaksi penjualan oleh manajer
penjualan untuk penjualan mobil bekas.
c. Dokumen dan catatan yang memadai
Dokumen dan catatan adalah objek fisik di berbagai item seperti faktur penjualan, pesanan
pembelian, catatan pembantu, jurnal penjualan, dan kartu presensi karyawan.
Prinsip-prinsip yang harus terdapat didalam dokumen dan catatan adalah sebagai berikut
(Arens, 2006)
1) Bernomor urut tercetak secara berurutan untuk memudahkan pengendalian atas
dokumen yang hilang dan sebagai alat bantu untuk mencari dokumen itu ketika
diperlukan di kemudian hari.
2) Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin, untuk
meminimalkan kesalahan penetapan waktu.
3) Dirancang untuk berbagai bangunan, jika mungkin, guna meminimalkan jumlah formulir
yang berbeda.
4) Dibuat sedemikian rupa sehingga memudahkan penyiapan yang benar.
d. Pengendalian fisik atas aktiva dan catatan
Arens (2006) berargumen bahwa jenis ukuran protektif yang paling dominan untuk menjaga
aktiva dan catatannya adalah penggunaan tindakan penvegahan fisik.
e. Pemeriksaan independen atas kinerja
Pemeriksaan independen atas kinerja harus selalu dilakukan hal ini bertujuan untuk
mengawasi jalannya pengendalian internal di suatu perusahaan.
4. Informasi dan Komunikasi
Mulyadi (2002) mendefinisikan bahwa sistem akuntansi diciptakan untuk mengidentifikasi,
merakit, menggolongkan, menganalisis, mencatat, dan melaporkan transaksi suatu entitas,
serta menyelenggarakan pertanggung jawaban kekayaan, utang dan modal entitas tersebut.
Oleh karena itu, sitem akuntansi yang efektif yang dapat memberikan keyakinan yang
memadai bahwa transaksi yang dicatat atau terjadi adalah transaksi yang:
a. Sah
b. Telah diotorisasi
 c. Telah dicatat
d. Telah dinilai secara wajar
e. Telah digolongkan secara wajar
f. Telah dicatat dalam periode yang seharusnya
g. Telah dimasukkan kedalam buku pembantu dan telah diringkas dengan benar.

Arens(2006) menyatakan bahwa untuk memahami perancangan sistem informasi akuntansi, auditor
menentukan (1) kelas transaksi utama entitas; (2) bagaimana transaksi dimulai dan dicatat; (3)
catatan akuntansi apa saja yang ada serta sifatnya; (4) bagaimana sistem itu menangkap peristiwa-
peristiwa lain yang penting bagi laporan keuangan, seperti penurunan nilai aset; dan (5) sifat serta
rincian proses pelaporan keuangan yang diikuti, termasuk prosedur pencatatan transaksi dan
penyesuaian dalam buku besar.

E. PEMANTAUAN

Pemantauan adalah proses penilaian kualitas kinerja pengendalian internal sepanjang waktu.
Pemantauan dilaksanakan oleh personel yang semestinya melakukan pekerjaan tersebut, baik pada
tahap desain maupun pengoperasian pengendalian, pada waktu yang tepat, untuk menentukan
apakah pengendalian internal beroperasi sebgaimana yang diharapkan, dan untuk menentukan
apakah pengendalian internal tersebut telah memerlukan perubahan karena terjadinya perubahan
keadaan.

KB 2 : Pemahaman Atas SPI dan Komponen Pengendalian Internal

A. MEMPEROLEH PEMAHAMAN ATAS PENGENDALIAN INTERNAL

Tingkat pemahaman atas pengendalian internal serta luas pengujian yang dibutuhkan untuk
audit atas pengendalian internal melampaui apa yang disyaratkan untuk audit atas laporan
keuangan saja.
1. Memperoleh dan Mendokumentasikan Pemahaman tentang Pengendalian Internal
Secara umum, auditor perlu memperoleh pemahaman terhadap pengendalian internal
kliennya untuk melakukan perencanaan auditnya. Secara khusus, pemahaman auditor
tentang pengendalian internal yang berkaitan dengan suatu asersi adalah untuk digunakan
dalam kegiatan berikut ini (Mulyadi,2002)
a. Kemungkinan dapat atau tidaknya audit dilaksanakan
b. Salah saji material yang potensial dapat terjadi
c. Risiko deteksi
d. Perancangan pengujian substantif

Biasanya auditor dalam memperoleh dan mendokumentasikan pemahamannya terhadap

perancangan pengendalian internal menggunakan tiga jenis dokumen berikut ini (Arens, 2006)

a. Naratif
Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu naratif yang baik
atas sistem akuntansi dan pengendalian yang terkait menguraikan empat hal berikut
1) Asal usul setiap dokumen dan catatan dalam sistem
2) Semua pemrosesan yang berlangsung
 3) Disposisi setiap dokumen dan catatan dalam sistem
4) Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian.
b. Bagan alir
Suatu bagan alir internal adalah diagram yang menunjukkan dokumen dan aliran urutannya
dalam organisasi.
c. Kuesioner pengendalian internal
Kuesioner pengendalian internal mengajukan serangkaian pertanyaan tentang pengendalian
internal dalam setiap area audit sebagai sarana untuk mengidentifikasi defisiensi
pengendalian internal.
d. Mengevaluasi pengimplementasian pengendalian internal
Selain memahami perancangan pngendalian internal, auditor juga harus mengevalusi
apakah pengendalian yang dirancang itu telah diimplementasikan.
e. Memutakhirkan dan mengevalusi pengalaman auditor sebelumnya dengan entitas
Kebanyakan audit dilakukan setahun sekali oleh kantor akuntan publik yang sama. Setelah
audit pertama, auditor memulai mengaudit berdasarkan informasi tahun-tahun sebelumnya
atas pengendalian internal klien.
f. Melakukan tanya jawab dengan personil klien
Auditor harus meminta keterangan dari pihak manajemen, penyelia, dan staf untuk
menjelaskan tugas-tugasnya.
g. Menelaah dokumen dan catatan
Dengan menelaah dokumen yang telah lengkap, catatan, dan file komputer, auditor dapat
mengevaluasi apakah informasi yang diuraikan dalam bagian alir serta naratif telah
diimplementasikan.
h. Mengamati aktivitas dan operasi entitas
Apabila auditor mengamati personil klien dalam melaksanakan aktivitas akuntansi dan
pengendalian yang normal, termasuk penyiapan dokumen dan catatan, hal ini semakin
meningkatkan pemahaman dan pemgetahuan auditor bahwa pengendalian telah
diimplementasikan.
i. Melakukan penelusuran sistem akuntansi
Auditor memilih suatu atau beberapa dokumen dari satu jenis transaksi dan menelusurinya
dari awal selama seluruh proses akuntansi.
2. Menilai Risiko Pengendalian
Auditor harus memahami perancangan dan pengimplementasian pengendalian internal
untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari
penilaian risiko salah saji yang material secara keseluruhan.
Ada dua faktor utama yang menentukan kemampuan laporan keuangan untuk diaudit yaitu
integritas manajemen dan memadainya catatan akuntansi.

Berikut ini beberapa langkah dalam penilaian risiko pengendalian (Arens, 2006)

a. Mengidentifikasi tujuan audit

b. Mengidentifikasi pengendalian yang ada
c. Mengidentifikasi dan mengevaluasi defisiensi pengendalian
Standar auditing mengidentifikasikan tiga tingkat tidak diterapkannya pengendalian internal
(Arens, 2006)
1. Defisiensi pengendalian ( control deficiency)
 2. Defisiensi yang signifikan (significant deficiency)
3. Kelemahan yang material (material weakness)

Untuk mengidentifikasi adanya defisiensi , defisiensi yang tidak signifikan, dan kelemahan
yang material digunakan lima langkah pendekatan sebagai beriku (Arens, 2006)

1. Mengidentifikasi pengendalian yang ada

2. Mengidentifikasi tidak diterapkannya pengendalian kunci
3. Mempertimbangkan kemungkinan pengimbang (compensating control)
4. Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material
5. Menentukan salah saji yang potensial yang bisa dihasilkan.
d. Menghubungkan defisiensi yang signifikan dengan tujuan audit
Sama seperti untuk pengendalian, setiap defisiensi yang signifikan atau kelemahan yang
material dapat diterapkan pada satu atau lebih tujuan audit yang terkait.
e. Menilai risiko pengendalian untuk setiap tujuan audit yang terkait
Setelah pengendalian defisiensi yang signifikan, dan kelemahan yang material diidentifikasi
serta dihubungkan dengan tujuan audit berkaitan dengan transaksi, auditor dapat menilai
risiko pengendalian untuk tujuan audit yang berkaitan dengan transaksi.
f. Komunikasi dengan pihak yang memikul tangung jawab tata kelola
Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang material secara
tertulis kepada pihak yang memikul tanggung jawab tata kelola begitu auditor mengetahui
keberadaannya.
g. Surat manajemen
Bentuk komunikasinya sering kali berupa surat terpisah untuk tujuan itu, yang disebut surat
manajemen (manajement letter)

3 Merancang, Melaksanakan, dan Mengevaluasi Pengujian Pengendalian

Untuk mendukung keefektifan pelaksanaan pengendalian internal, terdapat empat buah prosedur
yang digunakan dalam audit (Arens, 2006). Keempat prosedur itu adalah sebagai berikut

a. Mengajukan pertanyaan kepada personil klien yang tepat

b. Memeriksa dokumen, catatan, dan laporan
c. Mengamati aktivitas yang terkait dengan pengendalian
d. Melaksanakan kembali prosedur klien

Ada dua perbedaan utama dalam penerapan prosedur utama tersebut, yaitu sebagia berikut

a. Untuk memahami pengendalian internal, prosedur untiuk memperoleh pemahaman harus

diterapkan pada semua pengendalian yang teridentifikasi selama tahap tersebut
b. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa
transaksi atau, dalam kasus observasi, pada satu titik waktu
4. Memutuskan risiko deteksi yang direncanakan dan pengujian substantif
Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian
untuk menentukan risiko deteksi yang direncanakan serta pengujian substantif terkait
untuk audit atas laporan keuangan.
Tingkat risiko deteksi yang tepat untuk setiap tujuan audit yang berhubungan dengan
saldo kemudian diputuskan dengan menggunakan model risiko audit
a. Pelaporan pengendalian internal
Laporan auditor terhadap pengendalian internal harus mencakup dua pendapat
auditor berikut ini
1. Pendapat auditor terhadap penilaian manajemen atas keefektifan pengendalian
internal dalam penyajian pelaporan keuangan per akhir periode yang telah
dinyatakan secara wajar, dalam hal yang material
2. Pendapat auditor terhadap perusahaan yang telah menyelenggarakan, dalam
semua hal yang material, pengendalian internal yang efektif atas pelaporan
keuangan per tanggal yang disebutkan.
b. Jenis-jenis opini auditor
Beberapa jenis opini yang dikeluarkan auditor adalah sebagai berikut
1) Wajar tanpa pengecualian (unqualified opinion)
2) Pendapat tidak wajar (adverse opinion)
3) Pendapat wajar dengan pengecualian atau menolak memberikan pendapat
(qualified or disclamer of opinion)