BAB I

PENDAHULUAN
1.1 Latar Belakang
Sejumlah besar organisasi telah mengakui pentingnya pengendalian intern oleh
manajemen, auditor independen, dan pihak eksternal lainnya seperti pembuat peratura.
Standar pekerjaan lapangan kedua mensyaratkan agar auditor memperoleh pemahaman
yang cukup mengenai pengendalian intern suatu entitas untuk merencanakan audit. Hal ini
termasuk pemahaman mengenai rancangan pengendalian intern dan apakah pengendalian
tersebut telah ditempatkan dalm operasi, tetapi tidak termasuk menentukan efektifitasnya.
Auditor menggunakan pemahaman untuk mengidentifikasikan jenis salah saji material yang
dapat mempengaruhi asersi laporan keuangan manajemen, untuk mempertimbangkan
faktor-faktor yang dapat mempengaruhi risiko salah saji semacam itu, dan untuk merancang
pengujian substantif untuk menyediakan keyakinan yang memadai dalam mendeteksi salah
saji. Sebagian besar entitas yang memerlukan audit menggunakan teknologi informasi
dalam sistem akuntansi mereka.

1.2 Rumusan Masalah

Permasalahan yang akan dibahas dalam makalah ini adalah:
1. Apa tujuan pengendalian internal?
2. Apa perbedaan tanggung jawab Manajemen dengan Auditor atas pengendalian
internal?
3. Bagaimana memperoleh dan mendokumentasikan pemahaman pengendalian
internal
4. Bagaimana menilai risiko pengendalian untuk setiap tujuan audit yang terkait?

5. Bagaimana mengevaluasi, melaporkan, dan menguji pengendalian internal

untuk perusahaan non publik?

1.3 Tujuan Penulisan

Adapun tujuan penulisan dari makalah ini adalah untuk melengkapi tugas kelompok
Mata Kuliah Pemeriksaan Akuntansi 1.
1
1.4 Manfaat Penulisan
Penulisan ini diharapkan bermanfaat untuk dapat menambah khazanah keilmuan
terutama di bidang Audit mengenai Audit atas Pengendalian Internal Menurut Section 404
dan Risiko Pengendalian.

1.5 Metode Penulisan

Dalam makalah ini, penulis melakukan metode studi pustaka yang berorientasi pada
buku Audit dan sumber internet yang seusai dengan meteri ini.

2
 BAB II
PEMBAHASAN

1. Tujuan Pengendalian Internal

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang
untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya. Kebijakan dan prosedur ini sering kali disebut pengendalian dan
secara kolektif membentuk pengendalian internal entitas tersebut. Manajemen biasanya
memiliki 3 tujuan umum dalam merancang sistem pengendalian internal yang efektif:
1. Reliabilitas pelaporan keuangan
Manajemen bertanggung jawab untuk menyiapkan laporan bagi para investor,
kreditur dan pemakai lainnya. Manajemen memikul baik tanggung jawab hukum
maupun profesional untuk memastikan bahwa informasi telah disajikan secara wajar
sesuai dengan GAAP. Tujuan pengendalian internal yang efektif atas laporan
keuangan adalah memenuhi tanggung jawab pelaporan keuangan.
2. Efisiensi dan Aktivitas Operasi
Pengendalian dalam perusahaan akan mendorong pemakaian sumber daya secara
efisien dan efektif untuk mengoptimalkan sasaran-sasaran perusahaan. Tujuan yang
penting dari pengendalian ini adalah memperoleh informasi keuangan dan non
keuangan yang akurat tentang operasi perusahaan untuk keperluan pengambilan
keputusan.
3. Ketaatan pada hukum dan peraturan
Section 404 mengharuskan semua perusahaan public mengeluarkan laporan tentang
keefektifan pelaksanaan pengendalian internal atas pelaporan keuangan. Selain
mematuhi ketentuan hukum dalam section 404, organisasi-organisasi publik, non
publik, nirlaba diwajibkan menaati berbagai hukum dan peraturan. Seperti UU
Perlindungan lingkungan dan hak sipil serta peraturan pajak penghasilan serta
kecurangan.

3
2. Tanggung Jawab Manajemen dan Auditor atas Pengendalian Internal
Tanggung jawab atas pengendalian internal berbeda antara manajemen dan auditor:
Manajemen bertanggung jawab menetapkan dan menyelenggarakan
pengendalian internal entitas serta melaporkan secara terbuka tentang
keefektifan pelaksanaan pengendalian tersebut.
Auditor bertanggung jawab memahami dan menguji pengendalian internal
atas pelaporan keuangan. Auditor juga diwajibkan oleh Section 404 untuk
menerbitkan laporan audit tentang penilaian manajemen atas pengendalian
internalnya, termasuk pendapat auditor mengenai keefektifan pelaksanaan
pengendalian internal tersebut.
Ada dua konsep utama yang melandasi perancangan dan implementasi
pengendalian internal:
1. Kepastian yang layak
Perusahaan harus mengembangkan pengendalian internal yang akan
memberikan kepastian yang layak, tetapi bukan absolut. Pengendalian internal
dikembangkan oleh manajemen setelah mempertimbangkan biaya maupun
pengendalian itu.
2. Keterbatasan inheren
Pengendalian internal tidak akan pernah bisa efektif 100%, tanpa menghiraukan
kecermatan yang diterapkan dalam perancangan dan implementasinya.
Meskipun personil yang menangani sistem itu sanggup merancang sebuah
sistem yang ideal, keefektifannya tergantung pada kompetensi dan
ketergantungan orang-orang yang menggunakannya.
Section 404 dari UU Sarbanes Oxley mengharuskan manajemen semua perusahaan
publik untuk megeluarkan laporan pengendalian internal yang mencakup hal-hal berikut
ini:
1. Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan
menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.

4
 2. Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur
pelaporan keuangan per akhir tahun fiskal perusahaan.
Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan
terdiri dari dua kompenen utama:
1. Rancangan Pengendalian Internal
Manajemen harus mengevaluasi apakah pengendalian telah dirancang dan
diberlakukan untuk mencegah atau mendeteksi salah saji yang material dalam
laporan keuangan. Fokus manajemen tertuju pada pengendalian atas semua
asersi yang relevan bagi semua akun dan pengungkapan yang signifikan dalam
laporan keuangan.
2. Efektivitas Pelaksanaan Pengendalian
Selain itu, manajemen juga harus menguji efektivitas pelaksanaan pengendalian.
Tujuan pengujian ini adalah untuk menentukan apakah pengendalian telah
berjalan seperti yang diracang dan apakah orang yang melaksanakan memiliki
kewenangan serta kualifikasi yang diperlukan untuk melaksanakan
pengendalian itu secara efektif. Hasil pengujian manajemen yang juga harus
didokumentasikan akan membentuk dasar bagi asersei manajemen pada akhir
tahun fiscal mengenai efektivitas pelaksanaan pengendalian.
Tanggung jawab Auditor untuk memahami pengendalian internal:
1. Pengendalian atas Reliabilitas Pelaporan Keuangan
Untuk memahami standar pekerjaan lapangan yang kedua, auditor terutama
berfokus pada pengendalian yang berhubungan dengan perhatian manajemen
yang pertama dalam pengendalian internal: reliabilitas pelaporan keuangan.
Laporan keuangan tidak sesuai dengan GAAP jika pengendalian internal atas
pelaporan keuangan yang tidak memadai.
2. Pengendalian atas Kelas-Kelas Transaksi
Auditor menekankan pengendalian internal atas kelas-kelas transaksi, dan bukan
saldo akun, karena keakuratan output sistem akuntansi (saldo akun) sangat
tergantung pada keakuratan input dan pemrosesan (transaksi).

5
 Pengendalian atas kelas kelas transaksi ini, mengharuskan auditor harus
memperhatikan tujuan audit yang berhubungan dengan transaksi ketika menilai
pengendalian internal atas pelaporan keuangan.

Contoh tujuan audit yang berhubungan dengan transaksi penjualan

Tujuan audit yang berhubungan dengan Tujuan audit yang berhubungan
transaksi bentuk umum dengan transaksi penjualan
Transaksi yang dicatat memang ada Penjualan yang dicatatadalah untuk
(keterjadiaan) pengiriman yang dilakukan kepada
pelanggan yang ada.
Transaksi yang sudah dicatat Transaksi penjualan yang ada telah
(kelengkapan) dicatat.
Transaksi yang tercatat dinyatakan dalam Penjualan yang dicatat adalah
jumlah yang benar (keakuratan) senilai barang-barang yang
dikirimkan serta ditagihkan dan
dicatat dengan tepat.
Transaksi yang dicatat dicantumkan Transaksi penjualan dicantumkan
dengan benar dalam file induk dan di dengan benar dalam file induk dan
ikhtisarkan dengan benar diikhtisarkan dengan benar.
Transaksi diklasifikasikan dengan benar Transaksi penjualan
diklasifikasikan dengan tepat.
Transaksi dicatat pada tanggal yang benar Penjualan dicatat pada tanggal yang
benar.

Meskipun menekankan pada pengendalian yang berhubungan dengan transaksi,

auditor juga harus memahami pengendalian atas saldo akun akhir dan tujuan penyajian
serta pengungkapan .
Section 404 mensyaratkan bahwa auditor menegaskan dan menerbitkan laporan
mengenai penilaian manajemen terhadap pengendalian internal atas pelaporan keuangan.
Untuk menyatakan pendapat mengenai pengendalian ini, auditor harus memahami dan
6
melakukan pengujian atas semua saldo akun, kelas transaksi, dan pengungkapan yang
signifikan serta asersi terkait dalam laporan keuangan.

3. Komponen Pengendalian COSO

Internal Control-Integrated Framework yang dikeluarkan COSO yaitu kerangka
kerja pengendalian internal yang paling luas diterima di Amerika Serikat, menguraikan 5
komponen pengendalian internal yang dirancang dan diimplementasikan oleh manajemen
untuk memberikan kepastian yang layak bahwa tujuan pengendaliannya akan tercapai.
Setiap komponen mengandung banyak pengendalian, tetapi auditor hanya akan berfokus
pada pengendalian yang dirancang untuk mencegah atau mendeteksi salah saji material
dalam laporan keuangan. Komponen pengendalian internal COSO meliputi hal-hal berikut:
1. Lingkungan pengendalian
2. Penilaian resiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan

Lingkungan Pengendalian

Aktivitas Informasi dan

Penilaian Resiko Pemantauan
Pengendalian komunikasi

Dari gambar di atas, lingkungan pengendalian berfungsi sebagai paying bagi empat
kompenen lainnya. Tanpa lingkungan pengendalian yang efektif, keempat kompenen
7
lainnya tidak akan menghasilkan pengendalian internal yang efektif tanpa menghiraukan
kualitasnya.
Inti dari organisasi yang dikendalikan secara efektif terletak pada sikap
manajemennya, jika manajemen puncak percaya bahwa pengendalian memang penting,
anggota organisasi lainnya akan merasakan hal itu dan menanggapi dengan mengamati
secara hati-hati pengendalian yang ditetapkan. Jika anggota organisasi itu merasa bahwa
pengendalian tidak begitu diperhatikan oleh manajemen puncak, hampir dapat dipastikan
bahwa tujuan pengendalian manajemen tidak akan tercapai secara efektif.

1. Lingkungan pengendalian
Lingkungan pengendalian terdiri atas tindakan, kebijakan dan prosedur yang
mencerminkan sikap manajemen puncak, para direktur dan pemilik entitas secara
keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu. Untuk
memahami dan menilai lingkungan pengendalian, auditor harus mempertimbangkan
subkomponen pengendalian yang paling penting.
Integritas dan nilai-nilai etis
Integritas dan nilai nilai etis adalah produk dari standar etika dan perilaku entitas,
serta bagaimana standar itu dikomunikasikan dan diberlakukan dalam praktik.
Komitmen pada Kompetensi
Komitmen pada kompetensi meliputi pertimbangan manajemen tentang tingkat
kompetensi bagi pekerjaan tertentu, dan bagaimana tingkatan tersebut
diterjemahkan menjadi keterampilan dan pengetahuan yang diperlukan.
Partisipasi Dewan Komisaris atau Komite Audit
Dewan komisaris berperan penting dalam tata kelola korporasi yang efektif karena
memikul tanggung jawab akhir yang memastikan bahwa manajemen telah
mengimplementasikan pengendalian internal dan proses pelaporan keuangan yang
layak. Dalam membantu melakukan pengawasan, dewan membentuk komite audit
yang diserahi tanggung jawab mengawasi pelaporan keuangan.
Filosofi dan Gaya Operasi Manajemen

8
 Manajemen melalui aktivitasnya memberikan isyarat yang jelas kepada para
karyawan tentang pentingnya pengendalian internal.
Struktur Organisasi
Struktur organisasional entitas menentukan garis-garis tanggung jawab dan
kewenangan yang ada. Dengan memahami struktur organisasi klien, auditor dapat
mempelajari pengelolaan dan unsur-unsur fungsional bisnis serta melihat
bagaimana pengendalian diimplementasikan.
Kebijakan dan Praktik Sumber Daya Manusia
Aspek paling penting dari pengendalian internal adalah personil. Jika para karyawan
kompeten dan bisa dipercaya, pengendalian lainnya dapat diabaikan, dan laporan
keuangan yang andal masih akan dihasilkan.
2. Penilaian resiko
Penilaian resiko atas pelaporan keuangan adalah tindakan yang dilakukan
manajemen untuk mengidentifikasi dan menganalisis resiko-resiko yang relevan dengan
penyusunan laporan keuangan yang sesuai dengan GAAP.
Penilaian resiko oleh manajemen berbeda tetapi berhubungan erat dengan penilaian
resiko oleh auditor. Manajemen menilai risiko sebagai bagian dari perancangan dan
pelaksanaan pengendalian internal untuk meminimalkan kekeliruan serta kecurangan
sedangkan auditor menilai risiko untuk memutuskan bukti yang dibutuhkan dalam audit.
3. Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang sudah termasuk
dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang
diperlukan telah diambil untuk menangani resiko guna mencapai tujuan entitas. Aktivitas
pengendalian umumnya dibagi menjadi lima jenis berikut ini:
Pemisahan tugas yang memadai
Ada empat pedoman umum menyangkut pemisahan tugas yang memadai untuk
mencegah baik kecurangan maupun kekeliruan yang terutama penting bagi auditor.

a) Pemisahan penyimpanan aktiva dari akuntansi

9
 Untuk melindungi perusahaan dari penyelewangan, seseorang yang
ditugaskan menyimpan aktiva secara permanen atau temporer tidak boleh
mencatat aktiva itu. Jika satu orang dibiarkan melaksanakan kedua fungsi
tersebut risiko bahwa orang itu mengeluarkan aktiva demi keuntungan
pribadi dan menyesuaikan catatan untuk menutupi pencurian itu akan
meningkat.
b) Pemisahan otorisasi transaksi dari penyimpan aktiva
Sebaiknya, orang yang mengotorisasi transaksi tidak boleh memegang
kendali atas aktiva terkait, untuk mengurangi kemungkinan terjadinya
penyelewengan. Sebagai contoh, orang yang sama tidak boleh mengotorisasi
pembayaran faktur vendor dan juga menandatangani cek pembayaran
tagihan itu.
c) Pemisahan tanggung jawab operasional dari tanggung jawab pencatatan
Untuk memastikan bahwa inforrmasi tidak bias, pencatatan biasanya
dimasukkan dalam departemen terpisah di bawah kontroler. Sebagai contoh,
jika setiap departemen atau divisi menyiapkan catatan dan laporannya
sendiri, departemen atau divisi itu bisa saja mengubah hasilnya untuk
memperbaiki kinerja yang dilaporkan.
d) Pemisahan tugas TI dari departemen pemakai
Apabila tingkat kompleksitas sistem TI meningkat, pemisahan otorisasi,
pencatatan, dan penyimpanan sering kali menjadi tidak jelas maka perlu
dilakukan pemisahan tugas.
Otorisasi yang Tepat atas Transaksi dan Aktivitas
Agar pengendalian berjalan dengan baik, setiap transaksi harus diotorisasi dengan
tepat. Jika setiap orang dalam suatu organisasi bisa memperoleh atau menggunakan
aktiva seenaknya, hal itu akan menimbulkan kekacauan. Otorisasi dapat bersifat
umum atau khusus.
Otorisasi umum yaitu menetapkan kebijakan dan para bawahan di instruksikan
untuk mengimplementasikan otorisasi umum tersebut dengan menyetujui semua
transaksi dalam batas yang ditetapkan oleh kebijakan itu. Contoh keputusan
10
 otorisasi umum termasuk dikeluarkannya daftar harga tetap untuk penjualan produk,
batas kredit untuk pelanggan, dan titik pemesanan kembali yang bersifat tetap
untuk melakukan akuisisi.
Otorisasi khusus berlaku untuk transaksi individual. Untuk transaksi tertentu,
manajemen memilih mengotorisasi setiap transaksi. Contohnya adalah otorisasi
transaksi penjualan oleh manajer penjualan untuk perusahaan penjual mobil bekas.
Dokumen Catatan yang Memadai
Dokumen dan catatan adalah objek fisik di mana transaksi akan dicantumkan serta
diikhtisarkan. Dokumen dan catatan meliputi berbagai item seperti faktur penjualan,
pesanan pembelian, catatan pembantu, jurnal penjualan, dan kartu absensi
karyawan. Banyak dari dokumen dan catatan tersebut disimpan dalam file computer
sampai waktunya diccetak. Dokumen yang memadai sangat penting untuk mencatat
transaksi dan mengendalikan aktiva dengan benar.
Prinsip-prinsip tertentu akan mengatur perancangan dan penggunaan dokumen serta catatan
yang baik. Dokumen catatan harus:
a) Dipranomori secara berurutan untuk memudahkan pengendalian atas dokumen
yang hilang dan sebagai alat banti untuk mencari dokumen itu ketika
diperlukan dikemudian hari.
b) Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin, untuk
meminimalkan kesalahan penetapan waktu.
c) Dirancang untuk berbagai penggunaan, jika mungkin, guna meminimalkan
jumlah formulir yang berbeda.
d) Dibuat sedemikian rupa sehingga memudahkan penyiapan yang benar.
Pengendalian Fisik atas Aktiva dan Catatan
Untuk menyelenggarakan pengendalian internal yang memadai, aktiva dan catatan
harus dilindungi. Jika dibiarkan tidak terlindungi secara memadai, catatan bisa
dicuri, rusak, atau hilang, yang dapat sangat menganggu proses akuntansi dan
operasi bisnis.
Pemeriksaan Independen atas Kinerja

11
 Kategori terakhir dari aktivitas pengendalian adalah review yang cermat dan
berkelanjutan atas ke empat hal lainnya, yang sering kali disebut pemeriksaan
independen atau verifikasi internal. Kebutuhan akan pemeriksaan independen
timbul karena pengendalian internal cenderung berubah seiring dengan berlalunya
waktu, kecuali review sering dilakukan. Personil mungkin telah melupakan atau
sengaja tidak mengikuti prosedur atau mereka mungkin ceroboh kecuali ada yang
mengamati dan mengevaluasi kinerja mereka. Tanpa menghiraukan kualitas
pengendalian, personil bisa berbuat keliru atau melakukan kecurangan.
Personil bertanggung jawab melakukan prosedur verifikasi internal harus
independen dari individu yang semula bertanggung jawab menyiapkan data. Sarana
verifikasi internal yang paling murah adalah pemisahan tugas dengan cara-cara yang telah
dibahas sebelumnya.
4. Informasi dan Komunikasi
Tujuan sistem informasi dan akuntansi dari entitas adalah untuk memulai, mencatat,
memproses, dan melaporkan transaksi yang dilakukan entitas itu serta mempertahankan
akuntabilitas aktiva terkait. Sistem informasi dan komunikasi akuntansi mempunyai
beberapa subkompenen yang biasanya terdiri dari kelas-kelas tranksaksi. Untuk setiap kelas
transaksi, sistem akuntansi harus memenuhi keenam tujuan audit yang berhubungan dengan
transaksi yang sudah diidentifikasi sebelumnya.
Untuk memahami perancangan sistem informasi akuntansi, auditor harus
menentukan:
a) Kelas transaksi utama entitas
b) Bagaimana transaksi dimulai dan dicatat
c) Catatan akuntansi apa saja yang ada serta sifatnya
d) Bagaimana sistem itu menangkap peristiwa-peristiwa lain yang penting bagi
laporan keuangan
e) Sifat serta rincian proses pelaporan keuangan yang diikuti, termasuk prosedur
pencatatan transaksi dan penyesuaian dalam buku besar umum.
5. Pemantauan

12
 Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal
secara berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa pengendalian
itu telah beroperasi seperti yang diharapkan dan telah dimodifikasi sesuai dengan peruahan
kondisi. Informasi yang dinilai ini berasal dari berbagai sumber, termasuk studi atas
pengendalian internal yang ada, laporan auditor internal, pelaporan pengecualian tentang
aktivitas pengendalian, laporan dari pembuat peraturan seperti badan pengatur bank, umpan
balik dari personil operasional, dan keluhan pelanggan tentang jumlah tagihan.

Komponen Pengendalian COSO

PENGENDALIAN INTERNAL
Komponen Uraian komponen
Lingkungan Tindakan, kebijakan, dan
pengendalian prosedur yang mencerminkan
sikap manajemen puncak,
direktur, dan pemilik entitas
secara keseluruhan tentang
pengendalian internal dan arti
pentingnya.
Penilaian Pengidentifikasian dan analisis
risiko oleh manajemen terhadap risiko
yang relevan dengan
penyusunan laporan keuangan
yang sesuai dengan GAAP
Pembagian lebih lanjut (jika
dapat diterapkan)
Subkompenen lingkungan
pengendalian:
Integritas dan nilai etis
Komitmen pada kompetensi
Partisipasi dewan komisaris
dan komite audit
Filosofi dan gaya operasi
manajemen
Struktur Organisasi
Kebijakan dan praktik
sumber daya manusia
Proses penilaian resiko:
Mengidentifikasi factor-
faktor yang mempengaruhi
risiko
Menilai signifikansi risiko
dan kemungkinan terjadinya
Menentukan tindakan yang
diperlukan untuk mengelola
risiko
Kategori asersi manajemen yang
harus dipenuhi:

13

Aktivitas Kebijakan dan prosedur yang Jenis
pengendalian telah ditetapkan manajemen khusus:
untuk mencapai tujuannya bagi
pelaporan keuangan
Informasi dan Metode yang digunakan untuk
komunikasi memulai, mencatat, memroses,
dan melaporkan transaksi entitas dicapai:
serta mempertahankan
akuntabilitas aktiva terkait
Pemantauan Penilaian berkelanjutan dan
periodik oleh manajemen
terhadap pelaksanaan
pengendalian internal untuk
menentukan apakah
pengendalian telah berjalan
seperti yang dimaksud dan
dimodifikasi bila perlu.
Asersi tentang kelas
transaksi dan peristiwa lain.
Asersi tentang saldo akun
Asersi tentang penyajian
dan pengungkapan.
aktivitas pengendalian
Pemisahan tugas yang
memadai
Otorisasi yang tepat atas
transaksi dan aktivitas
Dokumen dan catatan yang
memadai
Pengendalian fisik atas
aktiva dan catatan
Pemerikasaan independen
atas kinerja.
Tujuan audit yang berhubungan
dengan transaksi yang harus
Keterjadian
Kelengkapan
Keakuratan
Posting dan pengikhtisaran
Klasifikasi
Penetapan waktu
Tidak dapat diterapkan

4. Memperoleh dan Mendokumentasikan Pemahaman Pengendalian Internal

14
 Dalam pemahaman pengendalian internal dan penilaian resiko pengendalian bagi
audit, terdapat 4 tahap prosesnya. Yaitu:
Tahap 1.
Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal:
rancangan dan operasi
Tahap 2.
Menilai resiko pengendalian
Tahap 3.
Merancang, melaksanakan dan mengevaluasi pengujian pengendalian
Tahap 4.
Memutuskan resiko deteksi yang direncanakan dan pengujian substansif
Baik SAS 109 maupun PCAOB Standard 2 mengharuskan auditor memahami
pengendalian internal untuk setiap audit, dan mendokumentasikan pemahamannya.
Pemahaman ini sangat diperlukan dalam audit terhadap pengendalian internal atas
pelaporan keuangan maupun audit terhadap laporan keuangan. Dokumentasi manajemen
merupakan sumber informasi utama dalam memperoleh pemahaman tersebut.
Sebagai bagian dari prosedur penilaian resiko, auditor menggunakan prosedur
untuk memperoleh pemahaman, yang meliputi pengumpulan bukti tentang rancangan
pengendalian internal dan apakah pengendalian itu sudah diimplementasikan, lalu
menggunakan informasi itu sebagai dasar audit terpadu. Biasanya auditor menggunakan
empat dari delapan jenis bukti seperti; memahami perancangan dan implementasi
pengendalian; tanya jawab dengan personil entitas; mengamati karyawan yang melakukan
proses pengendalian dan melakukan kembali dengan menelusuri satu atau beberapa
transaksi melalui sistem akuntansi dari awal sampai akhir.
Biasanya auditor menggunakan tiga jenis dokumen untuk memperoleh dan
mendokumentasikan pemahamannya atas perancangan pengendalian internal,yaitu; naratif,
bagan arus dan kuesioner pengendalian internal.

Naratif

15
 Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu naratif yang
baik mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal:

1. Asal usul setiap dokumen dan catatan dalam sistem. Sebagai contoh, uraian tersebut
harus menyatakan dari mana pesanan pelanggan berasal dan bagaimana faktur
penjualan dibuat.
2. Semua pemrosesan yang berlangsung. Sebagai contoh, jika jumlah penjualan
ditentukan oleh program komputer yang mengalikan kuantitas yang dikirim dengan
harga standar yang tercantum dalam file induk harga, proses itu harus diuraikan.
3. Disposisi setiap dokumen dan catatan dalam sistem. Pengarsipan dokumen,
pengiriman dokumen itu kepada pelanggan, atau penghancuran dokumen itu harus
diuraikan.
4. Petunjuk tentang pengendalian yang relevan dengan penilaian resiko pengendalian.
Hal ini biasanya mencakup pemisahan tugas (seperti pemisahan pencatatan kas dari
penanganan kas), otorisasi dan persetujuan (seperti persetujuan kredit), dan
verifikasi internal (seperti pembandingan harga jual per unit dengan kontrak
penjualan).

Bagan arus
Bagan arus pengendalian internal adalah diagram yang menunjukkan dokumen
klien dan aliran urutannya dalam organisasi. Suatu bagan arus yang memadai mencakup
empat karakteristik yang sama yang diidentifikasi untuk naratif.
Bagan arus yang disiapkan dengan baik sangat bermanfaat karena memberikan
gambaran menyeluruhh mengenai sistem klien, yang membantu auditor mengidentifikasi
pengendalian dan defisiensi sistem klien. Bagan arus memiliki dua keunggulan bila
dibandingkan dengan naratif; biasanya bagan arus lebih mudah dibaca dan mudah
diperbaharui. Auditor tidak perlu menggunakan baik naratif maupun bagan arus untuk
menjelaskan sistem yang sama karena keduanya menyajikan informasi yang sama.
Kuesioner pengendali internal
Kuesioner pengendali internal mengajukan serangkaian pertanyaan tentang
pengendalian dalam setiap area audit sebagai sarana untuk mengidentifikasi defisiensi

16
pengendalian internal. Sebagian besar kuesioner meminta jawaban ya atau tidak. Dengan
jawaban tidak hal itu menunjukkan adanya defisiensi pengendalian internal yang
potensial. Dengan menggunakan kuesioner, auditor dapat meliput setiap area dengan cukup
cepat. Dua kelemahan utama kuesioner adalah tidak mampu memberikan gambaran yang
menyeluruh tentang sistem klien dan tidak dapat diterapkan pada beberapa audit, terutama
yang lebih kecil.
Selain memahami perancangan pengendalian internal, auditor juga harus
mengevaluasi apakah pengendalian yang dirancang itu telah diimplementasikan. Dalam
praktiknya, pemahaman atas rancangan dan pengimplementasian sering kali dilakukan
secara bersamaan. Berikut adalah metode yang umum digunakan:
Memutakhirkan dan mengevaluasi pengalaman auditor sebelumnya dengan entitas
Kebanyakan audit atas suatu perusahaan dilakukan setahun sekali oleh kantor
akuntan publik yang sama. Setelah audit yang pertama, auditor memulai audit dengan
sejumlah besar informasi yang berasal dari tahun-tahun sebelumnya tentang pengendalian
internal klien. Informasi itu terutama berguna untuk menentukan apakah pengendalian yang
sebelumnya tidak beroperasi dengan efektif sudah diperbaki.
Melakukan tanya jawab dengan personil klien
Auditor harus meminta manajemen, penyelia, dan staf untuk menjelaskan tugas-
tugasnya. Pengajuan pertanyaan yang cermat kepada personil yang tepat akan membantu
auditor mengevaluasi apakah karyawan memahami tugasnya, dan melakukan apa yang
diuraikan dalam dokumentasi pengendalian klien.
Menelaah dokumen dan catatan
Kelima komponen pengendalian internal melibatkan penciptaan banyak dokumen
dan catatan. Dengan menelaah dokumen yang telah lengkap, catatan dan file komputer,
auditor juga dapat mengevaluasi apakah informasi yang diuraikan dalam bagan arus serta
naratif telah diimplementasikan.
Mengamati aktivitas dan operasi entitas
Apabila auditor mengamati personil klien dalam melaksanakan akuntansi dan
pengendalian yang normal, termasuk penyiapan dokumen dan catatan, hal ini akan semakin

17
meningkatkan pemahaman dan pengetahuan auditor bahwa pengendalian telah
diimplementasikan.
Melakukan penulusuran sistem akuntansi
Dalam penulusuran, auditor memilih satu atau beberapa dokumen dari suatu jenis
transaksi dan menelusurinya dari awal selama seluruh proses akuntansi. Pada setiap tahap
proses, auditor mengajukan pertanyaan, mengamati aktivitas serta menelaah dokumen dan
catatan yang telah lengkap. Penelusuran menggabungkan pengamatan, dokumentasi dan
pengajuan pertanyaan secara praktis.

5. Menilai Risiko Pengendalian

Auditor harus memahami perancangan dan pengimplementasian pengendalian
internal untuk melakukan penilaian pendahuluan atau risiko pengendalian sebagai bagian
dari penilaian risiko salah saji yang material secara keseluruhan. Auditor menggunakan
penilaian pendahuluan atas risiko pengendalian untuk merencanakan audit bagi setiap kelas
transaksi yang material. Akan tetapi,dalam beberapa kasus auditor mungkin mengetahui
bahwa defisiensi pengendalian sangat signifkan sehingga laporan keuangan klien mungkin
tidak bisa diaudit. Jadi,sebelum melakukan penilaian pendahuluan atas risiko pengendalian
bagi setiap kelas transaksi yang material, pertama auditor harus memutuskan apakah entitas
itu dapat diaudit.
Ada dua faktor utama yang menentukan auditabilitas: integritas manajemen dan
kememadaian catatan akuntansi. Jika manajemen tidak memiliki integritas,sebgaian besar
auditor tidak akan menerima penugasan audit.
Setelah memahami pengendalian internal, auditor dapat membuat penilaian
pendahuluan atas risiko pengendalian sebagai bagian dari penilaian risiko salah saji yang
material secara keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor bahwa
pengendalian internal akan mencegah salah saji yang material atau mendeteksi dan
mengoreksinya jika salah saji itu terjadi.
Auditor memuat penilaian pendahuluan ini untuk setiap tujuan audit yang
berhubungan dengan transaksi bagi setiap kelas transaksi utama dalam masingmasing siklus
transaksi. Auditor juga membuat penilaian pendahuluan atas pengendalian yang
18
mempengaruhi tujuan audit untuk akun-akun neraca serta penyajian dan pengungkapan
dalam setiap siklus.
Banyak auditor menggunakan matriks risiko pengendalian(control risk matriks)
untuk membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara
yang mudah mengatur penilaian risiko pengendalian bagi setiap tujuan audit.
Mengidentifikasi tujuan audit
Langkah pertama dalam penilaian adalah memang identifikasi tujuan audit untuk kelas
transaksi ,saldo akun,serta penyajian dan pengungkapan yang akan dinilai. Hal ini
dilakukan untuk kelas-kelas transaksi dengan menerapkan tujuan audit khusus yang
berhubungan dengan transaksi yang sudah dibahas sebelumnya,yang dinyatakan dalam
bentuk umum,bagi setiap jenis transaksi utama entitas bersangkutan. Sebagai
contoh,auditor menilai secara terpisah tujuan keterjadian untuk penjualan dan menilai
secara terpisah tujuan kelengkapan.
Mengidentifikasi pengendalian yang ada
Selanjutnya,auditor menggunakan informasi,mengenai perolehan dan
pendokumentasian pemahaman atas pengendalian internaluntuk mengidentifikasi
pengendalian yang berperan dalam mencapai tujuan audit yang berhubungan dengan
transaksi. Salah satu cara yang dapat ditempuh auditor untuk melakukan hal ini adalah
mengidentifikasi pengendalian guna memenuhi setiap tujuan.
Sebagai contoh, auditor dapat menggunakan pengetahuan system klien untuk
mengidentifikasi pengendalian yang mungkin akan mencegah kekeliruan atau kecurangan
dalam tujuan audit keterjadian yang berhubungan dengan transaksi. Hal yang sama dapat
dilakukan untuk semua tujuan lainnya. Auditor juga akan terbantu jika menggunakan
kelima aktivitas pengendalian(pemisahan tugas,otorisasi yang tepat,dokumen dan catatan
yang memadai,pengendalian fisik atas aktiva dan catatan, serta pemeriksaan independen
atas kinerja) sebagai tanda mata pengendalian.
Auditor harus mengidentifikasi dan hanya memasukkan pengendalian yang
diperkirakan akan berdampak paling besar terhadap pencapaian tujuan audit yang
berhubungan dengan transaksi. Pengendalian ini sering disebut pengendalian kunci(key
controls). Alasan hanya memasukkan pengendalian kunci adalah bahwa pengendalian ini
19
sudah mencukupi untuk mencapai tujuan audit yang berhubungan dengan
transaksi,disamping memungkinkan efisiensi audit.
Menghubungkan pengendalian dengan tujuan audit yang terhebat
Setiap pengendalian akan memenuhi satu atau lebih tujuan yang berkait. Bagian
matriks digunakan untuk menunjukkan bagaimana setiap pengendalian berperan dalam
mencapais satu tujuan atau lebih tujuan audit yang berhubungan dengan transaksi.
Mengidentifikasi dan mengevaluasi defiesiensi pengendalian, defisiensi yang
signifikan,dan kelemahan yang material
Auditor harus mengevaluasi apakah pengendalian tidak diterapkan dalam
perancangan pengendalian internal atas pelaporan keuangan sebagai bagian dari
mengevaluasi risiko pengendalian dan kemungkinan salah saji laporan keuangan. Standar
auditing mendefinisikan tiga tingkat tidak diterapkannya pengendalian internal:
1. Definisi pengendalian. Definisi pengendalian(control deficiency) terjadi jika
perancangan atau pelaksanaan pengendalian tidak memungkinkan karyawan
perusahaan mencegah atau mendeteksi salah saji secara tepat waktu. Defisiensi
perancangan terjadi jika pengendalian yang diperlukan tidak ada atau tidak
dirancang dengan baik. Defisiensi operasi terjadi jika pengendalian yang dirancang
dengan baik tidak berjalan seperti yang dirancang,atau jika orang yang
melaksanakan pengendalian tidak memiliki kualifikasi atau kewenangan yang
memadai.
2. Defisiensi yang signifikan. Defisiensi yang signifikan (significant deficiency)
terjadi jika ada satu atau lebih defisiensi pengendalian yang mengakibatkan
kemungkinannya lebih dari kecil bahwa salah saji yang lebih dari tidak logis tidak
akan tercegah atau terdeteksi. Jadi,agar dapat dianggap sebagai defisiensi yang
signifikan, kemungkinan salah saji harus lebih dari kecil dan besarnya lebih dari
tidak logis. Interprestasi tentang apalebih dari kecil ini sangat subjektif baik
dalam konsep maupun praktik. Standar auditing mendefinisikan hal ini sebagai
kecil peluang terjadinya. Suatu salah saji dianggap tidak logis jika seseorang yang
bijaksana menyimpulkan bahwa salah saji itu jelas tidak material bagi laporan
keuangan.
20
 Jika auditor menyimpulkan bahwa satu atau lebih defisiensi pengendalian untuk
tujuan khusus tidak melampaui tingkat lebih dari kecil atau tidak logis,defisiensi itu
dapat diabaikan
3. Kelemahan yang material. Kelemahan yang material (material weakness) terjadi
jika defisiensi yang signifikan,secara sendiri atau bersama-sama dengan defisiensi
yang signifikan lainnya, mengakibatkan kemungkinannya lebih dari kecil bahwa
pegendalian internal tidak akan mencegah atau mendeteksi salah saji yang material
dalam laporan keuangan.

Mengevaluasi defisiensi pengendalian yang signifikan

SIGNIFIKANSI

Material

KEMUNGKINAN

Kecil Besar

Tidak material

Untuk menentukan apakah suatu defisiensi pengendalian internal yang signifikansi

merupakan kelemahan yang material, defisiensi itu harus dievaluasi dari dua dimensi
kemunginan dan signifikansi. Garis horizontal pada gambar diatas menggambarkan
kemungkinan salah saji yang berasal dari defisiensi yang signifikan,sedangkan garis
vertical menggambarkan signifikansinya. Jika peluangnya lebih dari kecil(kemungkinan)
bahwa salah saji yang material (signifikansi) berasal dari defisiensi yang signifikansi,maka
defisiensi itu dianggap sebagai kelemahan yang material.
Pendekatan lima langkah dapat digunakan untuk mengidentifikasi
deifisiensi,defisiensi yang signifikan,dan kelemahan yang material:

21
 1. Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan yang
material adalah tidak diterapkannya pengendalian yang memadai,pertama auditor
harus mengetahui pengendalian mana saja yang ada. Metode untuk mengidentifikasi
pengendalian sudah dibahas.
2. Mengidentifikasi tidak diterapkannya pengendalian kunci. Kuesioner pengendalian
internal, bagian arus, dan penelusuran adalah sarana yang berguna untuk
mengidentifikasi dimana saja pengendalian itu tidak ada sehingga kemungkinan
terjadinya salah saji meningkat. Hal yang juga berguna adalah menelaah matriks
risiko pengendalian,untuk mencapai pada tujuan mana pengendalian itu tidak ada
atau hanya ada segelintir pengendalian untuk mencegah atau mendeteksi salah saji.
3. Mempertimbangkan kemungkinan pengendalian pengimbang. Pengendalian
pengimbang (compensating controls) adalah pengendalian yang diterapkan disuatu
tempat dalam system yang mengoffset tidak diterapkannya pengendalian kunci.
Contoh yang umum dalam perusahaan kecil adalah peran aktif pemilik perusahaan,.
Bila ada pengendalian pengimbang,tidak ada lagi defisiensi yang signifikansi atau
kelemahan yang material.
4. Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material.
Kemungkinan salah saji serta materialitasnya digunakan untuk mengevaluasi
apakah ada defisiensi yang signifikan atau kelemahan yang material.
5. Menentukan salah saji yang potensial yang bisa dihasilkan. Langkah ini
dimaksudkan untuk mengidentifikasi salah saji spesifik yang mungkin diakibatkan
oleh defisiensi yang signifikan atau kelemahan yang material. Arti penting dari
defisiensi yang signifikan atau kelemahan yang material berhubungan langsung
dengan kemungkinan dan materialitas salah saji yang potensial.

Menghubungkan defisiensi yang signifikan dan kelemahan yang material

dengan tujuan audit terkait
Sama seperti untuk pengendalian,setiap defisiensi yang signifikan aau kelemahan
yang material dapat diterapkan pada sat atau lebih tujuan audit yang terkait.

22
6. Menilai Risiko Pengendalian untuk setiap tujuan audit yang terkait

Setelah pengendalian,defisiensi yang signifikan, dan kelemahan yang material

diidentifikasi serta dihubungkan dengan tujuan audit yang berkaitan dengan
transaksi,auditor dapat menilai resiko pengendalian untuk tujuan audit yang berkaitan
dengan transaksi. Inilah keputusan yang penting dalam evaluasi pengendalian internal.
Auditor menggunakan semua informasi yang telah dibahas sebelumnya untuk menilai
resiko pengendalian yang subjektif bagi setiap tujuan. Ada banyak cara untuk menyatakan
penilaian ini. Beberapa auditor menggunakan pernyataan yang subjektif seperti
tinggi,moderat,atau rendah. Sementara yang lainnya menggunakan probabilitas numerik
seperti 1,0,0.6, atau 0,2.
Matriks resiko pengendalian adalah alat yang bermanfaat untuk melakukan
penilaian. Ini bukanlah penilaian final. Sebelum melakukan penilaian final pada akhir audit
terpadu, auditor akan menguji pengendalian dan melaksanakan pengujian substansi atas
rinciannya.

Pengujian Pengendalian
Dalam sebagian besar kasus,auditor belum mengumpulkan bukti yang cukup untuk
mengurangi penilaian resiko pengendalian ke tingkat yang cukup rendah. Karena itu,auditor
harus mendapatkan bukti tambahan tentang efektivitas pelaksanaan pengendalian selama
seluruh,atau paling tidak sebagian besar,periode yang diaudit. Prosedur untuk menguji
efektivitas pengendalian dalam mendukung penilaian resiko pengendalian yang lebih
rendah disebut pengujian pengendalian.
Auditor mungkin akan menggunakan empat jenis prosedur untuk mendukung
keefektifan pelaksanaan pengendalian internal. Keempat jenis prosedur itu adalah sebagai
berikut :
1. Mengajukan pertanyaan kepada personil yang tepat.
Walaupun pengajuan pertanyaan bukan merupakan sumber bukti yang sangat andal
tentang pelaksanaan pengendalian yang efektif,prosedur ini masih sesuai. Sebagai
contoh,untuk menentukan bahwa personil yang tidak berwenang tidak diberi akses
ke file komputer, auditor dapat mengajukan pertanyaan kepada orang yang
23
 mengendalikan library komputer dan kepada orang yang mengendalikan pemberian
kata sandi keamanan akses online.
2. Memeriksa dokumen,catatan, dan laporan.
Banyak pengendalian yang meninggalkan jejak yang jelas berupa bukti dokumenter
yang dapat digunakan untuk menguji pengendalian. Sebagai contoh,anggaplah
ketika pesanan pelanggan diterima,pesanan itu digunakan untuk membuat pesanan
penjualan pelanggan,yang kreditnya telah disetujui. Lalu pesanan tersebut
dilampirkan pada pesanan penjualan sebagai otorisasi untuk pemrosesan lebih
lanjut.auditor dapat menguji pengendalian dengan memeriksa dokuemn tersebut
untuk memastikan bahwaa keduanya cocok dan tanda tangan atau parafnya ada.
3. Mengamati aktivitas yang terkait dengan pengendalian.
Beberapa pengendalian tidak meninggalkan jejak bukti,yang berarti di kemudian
hari tidak mungkin memeriksa bukti bahwa pengendalian itu telah dilaksanakan.
Sebagai contoh,pemisahan tugas mengandalkan orang-orang tertentu yang
melaksanakan tugas khusus,dan biasanya tidak ada dokumentasi mengenai
pelaksanaan tugas yang terpisah itu.
4. Melaksanakan kembali prosedur klien.
Ada juga aktivitas yang terkait dengan pengendalian yang memiliki dokumen dan
catatan,tetapi isinya tidak mencukupi untuk mengakomodasi tujuan auditor menilai
secara efektif. Sebagai contoh,asumsikan bahwa harga pada faktur penjualan
didapat secara otomatis dari file induk daftar harga,tetapi tidak ada indikasi bahwa
pengendalian terotomasi itu didokumentasikan pada faktur penjualan.dalam kasus
ini,biasanya auditor melaksanakan kembali aktifitas pengendalian untuk melihat
apakah hasil yang memadai telah diperoleh.

Luas Prosedur

Seberapa luas pengujian pengendalian diterapkan tergantung pada penilaian

pendahuluan atas resiko pengendalian.jika menginginkan resiko pengendalian yang dinilai
lebih rendah, auditor akan menerapkan pengujian pengendalian yang lebih ektensif,baik

24
dalam hal jumlah pengendalian yang diuji maupun luas pengujain untuk setiap
pengendalian.
Mengandalkan bukti dari audit tahun sebelumnya.
Apabila auditor berencana menggunakan bukti tentang efektivitas pelaksanaan
pengendalian internal yang diperoleh dalam audit terdahulu, SAS 110 mengharuskan
auditor untuk menguji keefektifan pengendalian itu paling sedikit tiga tahun sekali. Jika
auditor menentukan bahwa pengendalian kunci sudah diubah sejak terakhir kali diuji,
auditor harus menguji pengendalian itu pada tahun berjalan. Jika ada sejumlah
pengendalian yang diuji dalam audit terdahulu yang belum berubah, SAS 110
mengharuskan auditor menguji sebagian pengendalian itu setiap tahun untuk memastikan
adanya rotasi pengujian pengendalian selama periode tiga tahun.
Menguji pengendalian yang berhubungan dengan resiko signifikan.
Resiko yang signifikan itu adalah resiko yang diyakini auditor membutuhkan
pertimbangan audit khusus. Apabila prosedur penilaian resiko yang dilakukan auditor
mengidentifikasi resiko yang signifikan, auditor diharuskan menguji efektivitas
pelaksanaan pengendalian yang mengurangi resiko tersebut dalam audit tahun berjalan,jika
auditor berencana menggunakan pengendalian tersebut untuk mendukung penilaian resiko
pengendalian dibawah 100%. Semakin besar resikonya, semakin banyak bukti audit yang
harus diperoleh auditor bahwa pengendalian itu berjalan efektif.
Menguji kurang dari seluruh periode audit.
Ingatlah kembali bahwa laporan manajemen mengenai pengendaian internal
berkaitan dengan keefektifan pengendalian internal per akhir tahun fiskal. PCAOB
Standard 2 mengharuskan auditor melaksanakan pengujian pengendalian yang memadai
untuk menentukan apakah pengendalian itu telah berjalan efektif pada akhir tahun.
Terdapat tumpang tindih yang signifikan antara pengujian pengendalian dan
prosedur untuk memperoleh pemahaman. Keduanya mencakup pengajuan
pertanyaan,dokumentasi, dan observasi atau pengamatan. Ada dua perbedaan utama dalam
penerapan prosedur umum tersebut.
1. Untuk memahami pengendalian internal,prosedur untuk memperoleh pemahaman
harus diterapkan pada semua pengendalian yang teridentifikasi selama tahap
25
 tersebut. Sebaliknya,pengujian pengendalian hanya diterapkan bila penilaian resiko
pengendalian tidak terpenuhi oleh prosedur untuk memperoleh pemahaman itu.
2. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa
transaksi atau dalam kasus observasi, pada satu titik waktu. Pengujian pengendalian
dilakukan pada sampel transaksi yang lebih besar dan observasi sering kali
dilakukan pada lebih dari satu waktu.

7. Memutuskan Resiko Deteksi Yang Direncanakan Dan Merancang Pengujian

Subdtantif
Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal
:perancanaan dan pelaksanaan.

Menilai resiko pengendalian

Merancang ,melaksanakan,dan mengevaluasi pengujian pengendalian.

Memutuskan resiko deteksi yang direncanakan dan pengujian substantive

Pelaporan Pengendalian Internal Menurut Section 404

Berdasarkan penilaian dan pengujian auditor atas pengendalian internal ,auditor
diharuskan oleh UU Sarbanes-Oxley untuk menyusun laporan keuangan audit mengenai
pengendalian internal atas pelaporan keuangan.
Laporan audit mengenai pengendalian internal harus mencakup dua pendapat auditor :
1. Pendapatan auditor mengenai apakah penilaian manajeman terhadap keefektifan
pengendalian internal atas pelaoparan keuangan per akhir periode fiskal telah
ditanyakan secara wajar,dalam semua hal yang material.

26
 2. Pendapatan auditor mengenai apakah perusahaan telah menyelenggarakan,dalam
semua hal yang material,pengendalian internal yang efektif atas pelaporan keuangan
per tanggal yang disebutkan

Jenis-jenis Pendapat;

Pendapat wajar tanpa pengecualian (unqualifield opinion).

Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai pengendalian
internal atas pelaporan keuangan apabila dua kondisi berikut berlaku:
tidak ada kelemahan material yang teridentifikasi
tidak ada pembatasan atas ruang lingkup pekerjaan auditor

Pendapat tidak wajar (adverse opinion).

Bila ada kelemahan yang material, auditor harus menyatakan pendapat tidak wajar
mengenai efektivitas pengendalian internal. Penyebab paling umum dikeluarkannya
pendapat tidak wajar dalam laporan auditor mengenai pengendalian internal adalah apabila
manajemen mengidentifikasi suatu kelemahan yang material dalam laporannya.

Pendapat wajar dengan pengecualian atas menolak memberikan pendapat (qualifield

or disclaimer of opinion).
Pembatasan ruang lingkup menharuskan auditor untuk memyatakan pendapat wajar
dengan pengecualian atau menolak memberikan pendapat mengenai pengendalian internal
atas pelaporan keuangan. Jenis pendapat ini dikeluarkan apabila auditor tidak dapat
menentukan apakah ada kelemahan yang material, akibat pembatasan ruang lingkup audit
terhadap pengendalian internal atas pelaporan keuangan atau situasi lainnya dimana auditor
tidak dapat memperoleh bukti yang mencukupi.

8. Mengevaluasi, Melaporkan, Dan Menguji Pengendalian Internal Untuk

Perusahaan Non Publik

27
 Bab ini telah membahas pengendalian internal dan audit terpadu atas pengendalian
internal serta laporan keuangan untuk perusahaan publik menurut UU Sarbanes-Oxley dan
PCAOB Standard 2. Sebagian besar konsep dalam bab ini juga akan diberlakukan untuk
perusahaan non publik. Bagian ini akan membahas perbedaan dalam mengevaluasi,
melaporkan, dan menguji pengendalian internal untuk nonpublik.
Miskonsepsi yang umum menyangkut perusahaan nonpublik adalah bahwa
perusahaan itu pasti kecil dan tidak secanggih perusahaan publik. Meskipun dapat diterima
bahwa perushaan nonpublik berukuran kecul, yang lainnya berukuran besar dan memiliki
pengendalian internal yang canggih.
Bagian berikut mengidentifikasi dan membahas perbedaan paling penting dalam
mengevaluasi, melaporkan, dan menguji pengendalian internal untuk perusahaan
nonpublik.
1. Persyaratan pelaporan
Dalam audit atas perusahaan nonpublik, tidak ada persyaratan untuk mengaudit
pengendalian internal atas pelaporan keuangan. Karena itu, auditor berfokus pada
pengendalian internal hanya sebatas yang diperlukan untuk melakukan audit laopran
keuangan yang bermutu.
Auditor diharuskan oleh Standar auditing (SAS 112) untuk mengeluarkan laporan
tertulis mengenai definisi yang signifikan dan kelemahan yang material dalam
pengendalian internal kepada pihak yang bertanggng jawab atas tata kelola dan manajemen,
sama seperti untuk perusahaan publik.
2. Luas pengendalian internal yang disyaratkan
Manajemen, dan bukan auditor, yang bertanggung jawab untuk menetapkan
pengendalian internal yang memadai dalam perusahaan nonpublik, persis seperti
manajemen untuk perusahaan publik. Jika lingkungan pengendalian atau dokumentasi tidak
memadai, auditor dapat memutuskan untuk mengundurkan diri dari penugasan atau
menolak memberikan pendapat mengenai laporan keuangan. Selain itu, perusahaan
nonpublik yang dijalankan dengan baik juga memahami pentingnya pengendalian yang
efektif untuk mengurangi kemungkinan terjadinya kekeliruan dan kecurangan, serta untuk
meningkatkan efisiensi.
28
 3. Luas pemahaman yang diperlukan
Standar auditing mengharuskan auditor memiliki persamaan yang mencukupi
tentang pengendalian internal untuk menilai risiko pengendalian. Dalam praktik, prosedur
untuk mendapatkan pemahaman tentang pengendalian internal sangat bervariasi dari klien
ke klien. Untuk klien nonpublik yang lebih kecil, banyak auditor memperoleh tingkat
pemahaman yang hanya cukup untuk menilai apakah laporan keuangan dapat diaudit, dan
untuk mengevaluasi lingkungan pengendalian guna mengetahui sikap manajemen terhadap
pengendalian internal. Jika auditor menentukan bahwa sikap manajemen secara
keseluruhan tentang pentingnya pengendalian internal tidak memadai untuk mendukung
keempat komponen pengendalian internal lainnya, auditor akan menilai risiko pengendalian
pada tingkat maksimum dan merangcang serta melaksanakan prosedur substantif yang
terinci. Untuk klien yang lebih besar, pemahaman ini bisa sama seperti yang diuraikan
untuk perusahaan publik.
4. Menilai risiko pengendalian
Perbedaan paling penting dalam menilai resiko pengendalian perusahaan nonpublik
adalah penilaian risiko pengendalian pada tingkat maksimum untuk satu atau semua tujuan
yang berkaitan dengan pengendalian internal untuk tujuan itu tidak ada atau tidak efektif.
Akibat ekspektasi bahwa perusahaan publik harus memiliki pengendalian internal yang
efektif untuk semua transaksi dan askun yang signifikan, berlaku asumsi awal bahwa risiko
pengendalian adalah rendah dalam audit atas laporan keuangan perusahaan publik. Dengan
demikian, auditor perusahaan publik mungkin tidak akan membuar penilaian pendahuluan
atas risiko pengendalian pada tingkat maksimum.
Seperti audit atas perusahaan publik, auditor akan sangan terbantu jika
menggunakan matriks risiko pengendalian untuk audit atas perusahaan nonpublik.
5. Luas pengujian pengendalian yang diperlukan
Auditor tidak akan melakukan pengujian pengendalian apabila menilai risiko
pengendalian pada tingkat maksimum akibat tidak memadainya pengendalian. Apabila
risiko pengendalian dinilai di bawah tingkat maksimum untuk perusahaan nonpublik,
auditor akan merancang dan melaksanakan kombinasi pengujian pengendalia dan prosedur

29
substantif untuk memperoleh kepastian yang layak bahwa laporan keuangan tidak
dinyatakan secara wajar.
Sebaliknya, jumlah pengendalian yang diuji oleh auditor untuk menyatakan
pendapat mengenai pengendalian internal bagi sebuah perusahaan publik jauh lebih besar
ketimbang hanya untuk menyatakan pendapat tentang laporan keuangan. Hal ini
diilustrasikan dalam Gambar 10-10. Untuk menyatakan pendapat mengenai pengendalian
internal bagi perusahaan publik, auditor harus memahami dan melaksanakan pengujian
pengendalian atas semua saldo akun, kelas transaksi, dan pengungkapan yang signifikan,
serta asersi-asersi terkait dalam lapora keuangan. Pengendalian itu mungkin tidak diuji
dalam audit atas laporan keuangan perusahaan nonpublik.

30
 BAB III
PENUTUP

3.1 Kesimpulan
Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang
untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya. Kebijakan dan prosedur ini sering kali disebut pengendalian dan
secara kolektif membentuk pengendalian internal entitas tersebut. Di dalam pengendalian
internal, Manajemen bertanggung jawab dalam menetapkan dan menyelenggarakan
pengendalian internal entitas serta melaporkan secara terbuka tentang keefektifan
pelaksanaan pengendalian tersebut dan auditor bertanggung jawab memahami dan menguji
pengendalian internal atas pelaporan keuangan. Auditor juga diwajibkan oleh Section 404
untuk menerbitkan laporan audit tentang penilaian manajemen atas pengendalian
internalnya, termasuk pendapat auditor mengenai keefektifan pelaksanaan pengendalian
internal tersebut.

3.2 Saran
1. Perusahaan harus mempunyai pengendalian internal yang baik agar tujuan dari
organisasi dapat tercapai.
2. Auditor dalam menjalankan tugasnya sebagai audit pengendalian internal, harus
mempunyai pengetahuan terkait dengan entitas bisnis kliennya serta benar-benar
mendapatkan bukti yang di andalkan agar tepat dalam memberikan opini.

31
 DAFTAR PUSTAKA

Arens, Alvin dkk. Auditing dan Jasa Assurance Jilid1.

32