Disusun Oleh:
Raudhatul Medina 120620160002
Siti Sadiyyah 120620160021
Paper
1
DAFTAR ISI
2
BAB I
PENDAHULUAN
section 404- mewajibkan auditor untuk melakukan audit atas efektivitas internal control
Seperti yang dikutip dari Ernest dan Young (2005), manfaat untuk investor dengan
adanya penerapan audit 404 adalah laporan keuangan perusahaan yang lebih dapat
Donaldson, menyatakan bahwa audit 404 -audit internal control- dapat menawarkan
keuntungan jangka panjang yang signifikan dalam mencegah terjadinya fraud dan
keuangan. Untuk mengetahui lebih dalam bagaimana sebenarnya audit internal control,
dalam makalah ini kami akan paparkan mengenai Audit Internal Control beserta standar-
3
1.3 Tujuan
pengendalian internal.
4
BAB II
PEMBAHASAN
adalah proses yang diimplementasi untuk memberikan keyakinan memadai bahwa tujuan
Memelihara catatan dengan rinci untuk melaporkan aset perusahaan secara akurat
dan jujur
Diarahkan untuk pencapaian sasaran di dalam satu kategori atau lebih operasi,
pelaporan, dan kepatuhan
Suatu proses yang terdiri dari tugas dan aktivitas berkelanjutan
Dilaksanakan oleh orang-orang
Mampu menyediakan keyakinan yang memadai
5
Beradaptasi dengan struktur entitas
2.2 Pengendalian Internal atas Pelaporan Keuangan atau Internal Control over
dalam pasar modal. Kemampuan untuk memenuhi tanggung jawab pelaporan keuangan
ini sebagian bergantung pada desain dan efektivitas proses dan penjagaan yang telah
ditempatkan atas akuntansi dan pelaporan keuangan yang membutuhkan akses informasi
yang akurat dan tepat. Tanpa adanya pengendalian akan sulit bagi perusahaan untuk
menyiapkan laporan keuangan yang handal dan tepat waktu untuk manajemen, investor,
kreditor, dan pemangku kepentingan lain. Ketika tidak ada praktik sistem pengendalian
internal, dapat dipastikan bahwa laporan keuangan akan mengandung kesalahan material
6
atau misstatements. Sebuah sistem pengendalian internal atas pelaporan keuangan
(Internal Control over Financial Reporting ICoFR) akan dapat mengurangi risiko
(Guide to Internal Control over Financial Reporting, Center for Audit Quality, n.d.).
ICoFR merupakan elemen dari konsep yang lebih luas dari pengendalian internal.
Dari waktu ke waktu, ICoFR yang efektif telah menjadi kewajiban hukum. Sejak 1977,
sistem pengendalian internal yang menyediakan keyakinan yang memadai terkait dengan
keandalan pelaporan keuangan dan persiapan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum (PABU). Kemudian Sarbanes-Oxley Act of 2002 (SOX)
hasilnya ke publik. Selain itu, SOX juga mengharuskan perusahaan publik pada
perusahaan (Guide to Internal Control over Financial Reporting, Center for Audit
Quality, n.d.).
undang-undang federal. Tujuan dari hukum ini adalah untuk melindungi para investor
sesuai dengan dengan hukum keamanan, dan untuk tujuan lain. Efek dari hukum ini
adalah adanya perubahan jangka panjang bagi perusahaan publik dalam hal penilaian
tanggung jawab pribadi untuk auditor, eksekutif, dan anggota direksi (board members),
7
pelaporan keuangan, dan pengendalian internal. SOX merupakan bagian dari regulasi
perusahaan yang paling substansial sejak adanya hukum sekuritas di tahun 1930an
Pembuatan SOX ini merupakan wujud respon atas periode paling bergejolak
dalam sejarah perusahaan Amerika Serikat. Pada akhir 1990 dan awal 2000
raksasa seperti Enron dan WorldCom runtuh. Keruntuhan ini merusak kepercayaan
ini turut mematikan salah satu perusahaan akuntan publik terbesar, Arthur Anderson.
Sehingga, melalui mandat akan adanya keharusan atas keandalan dan kegunaan
Menurut Romney dan Steinbart (2012), SOX merupakan legislasi penting yang
mengubah cara para direksi dan manajemen beroperasi dan memiliki dampak dramatis
pada Akuntan Publik Tersertifikasi (CPA) yang mengaudit mereka. Berikut ini
kepada komite audit perusahaan, seperti kebijakan dan praktik akuntansi penting.
Partner audit harus dirotasi secara periodik. SOX melarang auditor dari
8
pelaksanaan jasa non audit tertentu, seperti desain dan implementasi sistem
Peraturan baru untuk komite audit. Anggota komite audit harus diangkat dari
independen di perusahaan. Salah satu anggota komite audit harus seseorang yang
Peraturan baru untuk manajemen. SOX mewajibkan CEO (Presiden Direktur) dan
internal. Jika manajemen dengan sengaja melanggar peraturan ini, mereka dapat
material terhadap kondisi finansial dalam Bahasa inggris secara jelas dan tepat
waktu.
9
Setelah SOX dikeluarkan, Securities and Exchange Commission (SEC) memberi
Sarbanes-Oxley for The Information Security Professional terdapat dua pasal yang dapat
informasi secara mendalam yang terkait dengan pengendalian internal atas pelaporan
keuangan (ICoFR), yaitu SOX Section 302 dan SOX Section 404. SOX Section 302
eksekutif ini harus memastikan bahwa laporan tidak mengandung pernyataan yang tidak
benar, salah saji, dan disajikan secara memadai dalam semua hal yang material, di mana
prosedur pengendalian (Deloitte, 2013). Ketentuan ini turut menekankan tanggung jawab
dan anak perusahaan diketahui oleh pihak terkait di dalam perusahaan, mengevaluasi
ditemukan defisiensi maupun perubahan atas pengendalian, pejabat eksekutif harus dapat
10
mengungkapkan kepada auditor perusahaan dan komite audit, serta pihak-pihak terkait
2007). Section ini luas dan tidak menyediakan pedoman spesifik mengenai bagaimana
Pedoman PCAOB terkait ICoFR meliputi Auditing Standard No. 2 (AS-2) dan
Auditing Standard No. 5 (AS-5). AS-2 yang dirilis pada tahun 2004 memuat pedoman
persyaratan untuk melakukan kinerja audit atas Pengendalian Internal atas Pelaporan
Keuangan (ICoFR) dan melibatkan beberapa arah penting pada cakupan dan pendekatan
yang dituntut auditor (Santoso, 2012). PCAOB (2006) menyatakan bahwa AS-2
munculnya beban biaya yang tinggi (Acito et al., 2014). Pada tahun 2007, untuk
Internal Control over Financial Reporting That is Integrated with An Audit of Financial
pengendalian internal, yang mana AS-5 menekankan auditor untuk fokus pada
pengendalian internal yang berkaitan dengan risiko atas akun signifikan dan
11
pengungkapan asersi relevan yang ada pada level enterprise. AS-5 secara eksplisit
mengakui bahwa auditor eksternal dapat menggunakan pekerjaan orang lain (work
of others) dan/atau menerima bantuan langsung dalam audit ICoFR yang dapat
meningkatkan efisiensi (Arens et al. 13th ed., 2010). Standar PCAOB dapat dijadikan
sebagai pedoman untuk manajemen tentang informasi dan dokumentasi yang dibutuhkan
oleh auditor untuk membuktikan (attest) bahwa penilaian ICoFR dilakukan secara benar
(Djakman, 2014).
A process designed by, or under the supervision of, the companys principal
executive and principal financial officers, or persons performing similar
functions, and effected by the companys board of directors, management, and
other personnel, to provide reasonable assurance regarding the reliability of
financial reporting and the preparation of financial statements for external
purposes in accordance with generally accepted accounting principles and
includes those policies and procedures that:
1. Pertain to the maintenance of records that in reasonable detail accurately and
fairly reflect the transactions and disposistions of the assets of the company
2. Provide reasonable assurance that transactions are recorded as necessary to
permit preparation of financial statements in accordance with generally accepted
accounting principles, and that receipts and expenditures of the company are
being made only in accordance with authorizations of management and directors
of the company
3. Provide reasonable assurance regarding prevention or timely detection of
unauthorized acqusition, use or disposition of the companys assets that could
have a material effect on the financial statements.
12
absolut. Hal ini menunjukkan bahwa walaupun ICoFR telah efektif, salah saji mungkin
muncul, yang tidak dapat dicegah atau dideteksi secara tepat waktu (Agami, 2006).
Isu mengenai ICoFR semakin penting sejak kasus skandal akuntansi Enron dan
Worldcom terjadi pada tahun 2002. Sejak kejadian tersebut, dunia profesi akuntansi
mencari jalan terbaik untuk membangun kembali kepercayaan pada dunia bisnis.
Layaknya penerapan Good Corporate Governance atau tata kelola perusahaan yang baik
yang dapat memberi nilai tambah daripada perusahaan tersebut, penerapan ICoFR dapat
hasil audit independen atas keefektifan pengendalian internal dalam pelaporan keuangan.
Di samping itu, adanya penerapan ICoFR ini juga membantu dalam mendeteksi
terjadinya penipuan dan mencegah laporan keuangan yang tidak akurat (Santoso, 2012;
Wibowo, 2013).
sebuah organisasi inisiatif bersama dari lima organisasi sektor swasta yang didedikasikan
13
dan pedoman tentang manajemen risiko perusahaan, pengendalian internal, dan
Executives International (FEI), The Institute of Internal Auditors (IIA), dan The Institute
of Management Accountant (IMA). Pada 14 Mei 2013, COSO merilis versi terbaru dari
ini membuat struktur yang lebih formal untuk desain dan evaluasi keefektifan
COSO. Di bawah COSO 2013 Framework ini menyatakan bahwa sistem pengendalian
internal yang efektif dapat terjadi ketika (Burns dan Simer, 2013, Vol. 20):
1. Masing-masing komponen dan prinsip yang ada hadir (present) dan berfungsi
(functioning). Present bermakna semua komponen dan prinsip ada di dalam
desain dan implementasi sistem pengendalian internal untuk mencapai tujuan
tertentu dan functioning bermakna komponen dan prinsip tersebut terus ada di
dalam pelaksanaan sistem pengendalian internal.
2. Lima komponen beroperasi bersama secara berkesinambungan.
Kerangka COSO bertujuan untuk memandu para manajemen atau pengelola
efektif dan peka terhadap risiko-risiko yang potensial pada organisasi (Moeller, 2009).
oleh para auditor internal untuk mengevaluasi penilaian Sarbanex-Oxley Section 404 atas
Pengendalian Internal atas Pelaporan Keuangan atau Internal Control over Financial
Reporting (ICoFR). Kerangka ini dikenal dengan nama COSO Internal Control-
Integrated Framework.
COSO memiliki model dimensional yang terdiri atas tiga sisi, yang dapat dilihat
pada gambar dibawah. Dimensi pertama merupakan tiga objektif pengendalian internal
14
yang memungkinkan perusahaan untuk fokus pada aspek yang berbeda pada
Gambar 2.1
COSO Model
1. Operations
Objektif ini berkaitan dengan keefektifan dan keefisienan operasi suatu entitas,
meliputi sasaran kinerja operasional dan keuangan, dan pengamanan atas aset dari
kemungkinan kehilangan.
2. Reporting
Objektif ini berkaitan dengan pelaporan finansial dan non-finansial internal dan
eksternal dan mencakup keandalan, tepat waktu, transparansi, serta sesuai dengan
yang telah ditetapkan oleh regulator, standard setter, dan kebijakan perusahaan.
3. Compliance
Objektif ini terkait dengan kepatuhan perusahaan kepada hukum dan regulasi.
Kepatuhan perusahaan ini tidak hanya kepada hukum dan regulasi yang berlaku
15
Dimensi kedua pada bagian depan, memiliki lima komponen pengendalian
pencapaian objektif .
objektifnya.
16
Hasil dari pengendalian internal ini memiliki dampak pervasive (dampak
internal.
Setiap perusahaan menghadapi berbagai risiko, baik yang berasal dari dalam
risiko diperlukan karena meliputi suatu proses dinamis dan berulang untuk
17
d) Perusahaan mengidentifikasi dan menilai perubahan-perubahan dalam
secara signifikan.
pengendalian ini ada di dalam setiap level perusahaan, setiap tahap tingkatan
manual dan otomatis seperti otorisasi dan persetujuan, verifikasi, rekonsiliasi, dan
of duties untuk meminimalisir risiko tindakan yang tidak sesuai yang dapat
18
Menurut The Institute of Internal Auditors (2013), tidak cukup untuk hanya
Tantangan yang dihadapi oleh perusahaan saat ini adalah menetapkan tanggung
jawab spesifik dan untuk berkoordinasi secara efektif dan efisien sehingga
dipandang secara umum terdiri dari tiga garis pertahanan (Three Lines of Defense
model) yang menyediakan cara yang sederhana dan mudah untuk meningkatkan
tanggung jawab dan peran penting (IIA, 2013). Dalam model ini, pengendalian
pertahanan kedua, serta audit internal merupakan garis pertahanan ketiga. Model
Sumber :
Gambar 2.2
Three Lines of Defense Model
19
4. Informasi dan Komunikasi (Information and Communication)
ganda: dapat menjadi komunikasi masuk dari informasi eksternal yang relevan,
internal.
5. Pengawasan (Monitoring)
internal dapat segera dideteksi, dievaluasi, dan diperbaiki (Santoso, 2012). Dalam
20
COSO framework 1992 maupun 2013 dijelaskan bahwa terdapat dua jenis
proses bisnis dan diaplikasikan untuk setiap level yang berbeda dalam
secara berkala, dengan ruang lingkup dan frekuensi yang bergantung pada
berfungsi dengan baik. Adanya temuan akan dievaluasi berdasarkan kriteria yang
telah dibangun regulator, badan penetapan standar yang diakui atau manajemen
dan BOD, dan defisiensi akan dikomunikasikan kepada manajemen dan BOD.
meliputi:
Negara Badan Usaha Milik Negara Nomor PER 01/MBU/2011 tentang Penerapan Tata
21
Kelola Perusahaan yang Baik (Good Corporate Governance) pada Badan Usaha Milik
Negara. Sistem pengendalian internal, menurut peraturan menteri pasal 26 tersebut terdiri
dari:
tanggung jawabnya;
relevan.
proses pengendalian terhadap kegiatan perusahaan pada setiap tingkat dan unit
d. Sistem informasi dan komunikasi, yaitu suatu proses penyajian laporan mengenai
22
e. Monitoring, yaitu proses penilaian terhadap kualitas sistem pengendalian intern,
termasuk fungsi audit internal pada setiap tingkat dan unit dalam struktur
Dimensi ketiga dari COSO Framework adalah fokus pengendalian internal. Fokus
Pengendalian pada level entitas dirancang untuk memitigasi risiko yang ada pada
tingkat lingkungan perusahaan yang lebih luas. U.S. Public Company Accounting
risiko; pengendalian untuk memantau hasil operasi; dan pengendalian atas proses
Pengendalian ini dibagi ke dalam pengendalian pada level proses (process level
controls) yang berfokus pada proses dan pengendalian untuk mengurangi risiko
controls) yang lebih mendetail dan berfokus pada transaksi dan aktivitas tertentu.
Verifikasi fisik atas aset, supervisi pegawai dan evaluasi kinerja, serta rekonsiliasi
control.
23
2.2.5 Pedoman ICoFR Menurut IIA
internasional yang didirikan pada tahun 1941 dengan kantor pusat global yang berlokasi
di Florida, Amerika Serikat. The IIA adalah perwakilan global profesi audit internal,
otoritas yang diakui, pimpinan yang diakui, kepala advokat dan pendidik utama. Secara
umum, para anggota bekerja pada auditing internal, tata kelola, pengendalian internal,
Section 13(a) or 15 (d) of the Securities Exchange Act of 1934 pada Juni 2007. Sejalan
dengan SEC, pada Januari 2008, dalam rangka mempermudah implementasi ICoFR, The
Institute of Internal Auditors juga menerbitkan panduan bagi perusahaan dalam menilai
dan menerapkan ICoFR, yaitu Sarbanes-Oxley Section 404: A Guide for Management by
Internal Control Practitioners. Panduan IIA ini telah mengacu pada COSO Internal
Control Integrated Frameworks. Keduanya juga telah mengikuti AS-5 yang diterbitkan
oleh PCAOB. Panduan yang diterbitkan oleh IIA ini memiliki empat tahapan utama
Suatu pengendalian internal atas pelaporan keuangan yang efisien adalah ketika
keyakinan yang memadai, terdapat beberapa tahap dalam menentukan ruang lingkup
24
a. Using a Top-Down and Risk-based Approach to Defining the Scope
dan basis risiko (TDRA) harus diambil. Pendekatan TDRA dimulai di tingkat
menggambarkan kemungkinan yang wajar atas salah saji yang material pada
laporan keuangan dan pengungkapan terkait melalui prinsip yang berfokus pada
yang lebih pada area yang memiliki risiko yang lebih besar.
Proses ini mencakup pengidentifikasian akun buku besar yang disusun dalam
c. Materiality
Suatu informasi dikatakan material jika pemahaman dan perubahan yang terjadi
semua fakta dan pengetahuan setelah berdiskusi dengan pihak auditor eksternal.
bagaimana dan di mana eror akan muncul. Laporan keuangan diuji untuk
25
Setelah risiko terkait akun signifikan diidentifikasi, pengendalian harus segera
materialitas dan akun signifikan harus dinilai minimal tiga bulan sekali, atau
ketika terjadi perubahan yang material dalam bisnis, untuk memastikan bahwa
setiap area yang perlu diperhatikan telah tercakup di dalam ruang lingkup.
Manajemen harus dapat memastikan semua asersi yang relevan untuk setiap akun
signifikan telah ditangani oleh pengendalian kunci yang tepat. Asersi yang
unit bisnis dengan memperhatikan beberapa faktor: (1) apakah unit bisnis terkait
merupakan unit bisnis yang signifikan secara individu (single entity); (2) apakah
unit bisnis terkait memiliki risiko yang signifikan; (3) apakah suatu unit bisnis
bisnis lainnya; dan (4) apakah terdapat tingkat pengendalian secara entitas pada
g. Key Control
Menurut IIA, key control adalah pengendalian yang, apabila gagal, berarti
keuangan tidak dapat dihindari atau dideteksi secara tepat waktu. Key control
26
merupakan salah satu hal yang dibutuhkan untuk menyediakan keyakinan yang
dilakukan pada proses bisnis tertentu, untuk memitigasi risiko yang ada
tepat dan perlindungan terhadap data dari program dan tindakan yang tidak
terotorisasi.
memiliki hubungan langsung dengan salah saji material namun juga yang tidak
berhubungan langsung.
perusahaan, misalnya pengunduhan yang tidak lengkap, data yang telah usang
dan tidak akurat, populasi pengunduhan yang tidak tepat, error pada perhitungan
27
adanya perubahan data oleh user dan perubahan spreadsheet oleh user lain karena
dalam laporan keuangan, risiko dalam bidang ini harus dikenali dan ditangani.
baik dan apakah pihak ketiga tersebut telah mengoperasikan pengendalian dengan
perusahaan telah mampu untuk mengidentifikasi risiko atas salah saji material
Proses bisnis penting dan, transaksi material dan pengendalian terkait harus
tersebut.
bahwa pengendalian telah beroperasi sesuai dengan rancangan dan apakah pihak yang
28
melaksanakan pengendalian memiliki otoritas dan kompetensi untuk melaksanakan
efektif pada akhir tahun (tanggal akhir pelaporan). Bila dilakukan pengujian di
Pengujian harus dilakukan oleh individu yang kompeten dan terlatih. Manajemen
tujuan pengendalian.
konsisten.
29
- Perhitungan ulang (reperformance) dari contoh transaksi untuk
berkelanjutan. Pada umumnya teknik ini dibantu oleh software khusus untuk
pengujian untuk memastikan bahwa hasil self- assessment memberi bukti yang
audit terkait SOX 404 ini, khususnya biaya atas jasa auditor eksternal. Oleh karena itu
ICoFR yang efektif dan efisien agar dapat mengurangi beban kerja auditor eksternal.
30
mengingat manajemen lebih memiliki direct exposure dan memahami bagaimana
cukup sesuai rancangan, dan hasil pengujian mengindikasikan bahwa seluruhnya telah
berjalan secara efektif, manajemen harus pula dapat menilai keseluruhan sistem ICoFR
pengujian. Sejumlah pengendalian kunci dapat dianggap terlewat, tidak sempurna dalam
bahwa sistem pengendalian internal tidak menyediakan tingkat keyakinan yang memadai
yang tidak akan menimbulkan kesalahan material di laporan keuangan yang akan
diterbitkan.
dan melaporkan hasil akhir kepada perusahaan. Apabila ditemukan defisiensi maka harus
dikomunikasikan beserta dengan informasi terkait yang disediakan agar investor dapat
integritas
Setelah dipaparkan mengenai pedoman audit ICoFR dari IIA, pada bagian ini
akan dijelaskan mengenai bagaimana prosedur bagi auditor dalam memahami dam
menilai risiko pengendalian internal atas pelaporan keuangan secara lebih detail.
31
Meskipun di Indonesia belum diwajibkan untuk mengikuti aturan SOX 404, namun
prosedur penilaian risiko pengendalian internal yang umum (biasa dilakukan oleh auditor
dalam satu periode) dengan prosedur untuk ICoFR yang disyaratkan oleh SOX 404 tidak
berbeda, yang membedakan adalah cakupan audit pada ICoFR jauh lebih luas
dibandingkan audit umum. Karena pada audit ICoFR cakupannya lebih luas,
diperbolehkan untuk ditangani oleh dua KAP yang berbeda. Misalkan, untuk audit
laporan keuangan umum ditangani oleh KAP A, sedangkan untuk audit ICoFR ditangani
oleh KAP B. Namun perlu diingat, meskipun ditangan oleh KAP yang berbeda, hasil
yang dikeluarkan akan berhubungan karena asumsinya, jika ICoFR buruk, maka tidak
mungkin laporan keuangan yang dihasilkan akan disajikan secara wajar. Berikut adalah
fase yang dilakukan oleh auditor untuk memahami dan menilai pengendalian internal.
Gambar 2.3
Empat Fase Audit ICoFR
32
2.3.1 Obtain and document understanding of internal control design and
operation.
pengendalian internal dan operasinya. Hal ini penting bagi auditor. Sumber utama bagi
keuangan). Standar audit juga mewajibkan auditor untuk mendapatkan dan juga
biasanya dalam bentuk narrative, flowchart, dan kuisioner. Karena section 404 memang
mewajibkan manajemen untuk membuat dokumen tersebut, maka itu sudah tersedia
untuk auditor.
Biasanya menggambarkan empat hal: (1) Asal dari setiap dokumen yang ada
dalam sistem; (2) Proses yang terjadi; (3) Disposisi setiap dokumen dan
catatan dalam sistem ; dan (4) Indikasi pengendalian yang relevan dengan
penilaian risiko.
33
terdiri dari ya atau tidak. Tidak berarti menandakan ada kekurangan
dalam pengendalian.
Gambar 2.4
Kuisioner Pengendalian Internal Hillsburg Hardware Co.
34
Selain memahami rancangan pengendalian internal, auditor juga harus
membuat preliminary assessment of control risk untuk menilai risiko salah saji material.
Penilaian ini merupakan ukuran dari harapan auditor bahwa pengendalian internal akan
mencegah terjadinya salah saji material atau mendeteksi dan memperbaikinya jika telah
terjadi. Auditor akan memulai dari penialaian pengendalian pada level entitas. Seperti
yang diketahui bahwa pengendalian pada level entitas akan berdampak secara pervasive
Setelah auditor sudah yakin bahwa pengendalian pada level entitas telah
dijalankan, langkah selanjutnya adalah membuat penialain untuk setap transaksi utama
dalam siklus transaksi dan mengaitkannya dengan audit objective. Banyak auditor
menggunakan matriks risko pengendalian (control risk matrix) untuk membantu dalam
proses penilaian risiko pengendalian pada tingkat transaksi. Tujuannya untuk memberi
kemudahan dalam mengatur penilaian risiko pengendalian untuk setiap audit objective.
Berikut adalah matriks risiko pengendalian untuk perusahaan Hilssburg Hardware Co.
35
Gambar 2.5
Matriks Risiko Pengendalian Hilssburg Co. - Siklus Penjualan
36
Dalam membuat matriks pengendalian, persiapan yang harus dilakukan adalah:
Ini yang disebut key control. Alasan untuk memasukkan hanya key control
adalah bahwa itu akan mencukupi untuk mencapai tujuan audit terkait
transaksi dan juga memberikan efisiensi audit. Contoh kontrol kunci untuk
Setiap pengendalian yang ada akan memenuhi satu atau lebih audit objectives.
Dapat dilihat pada gambar 2.5 bahwa satu pengendalian bisa memenuhi lebih
37
objectives terkait transaksi. Dalam gambar 2.5, huruf/symbol C dimasukkan
material weakness.
Auditor harus mengevaluasi apakah key controls ternyata tidak ada dalam
evaluasi control risk dan kemungkinan adanya salah saji laporan keuangan.
38
mengidentifikasi deficiencies, significant deficiencies, dan material
weakness.
gambar 2.5.
tempat lain di dalam sistem ada yang mengimbangi tidak adanya key
pemilik. Bila ada kompensasi tersebut, tidak ada lagi deficiency atau
39
yang signifikan berhubungan langsung dengan kemungkinan dan
Gambar 2.6
Defisiensi Pengendalian Internal Hillsburg Hardware Co.
material dapat diterapkan pada satu atau lebih tujuan audit yang terkait. Dalam
kasus Hillsburg Hardware pada Gambar 2.5, ada dua kekurangan kontrol, dan
40
f. Menilai Risiko Pengendalian untuk Setiap Tujuan Audit Terkait.
subjektif seperti tinggi (high), sedang (medium), atau rendah (low). Lainnya
41
2.3.3 Test of Controls (Uji Pengendalian)
Uji pengendalian adalah cara bagi auditor untuk mendapatkan bukti tambahan
mengenai efektivitas operasi pengendalian . Bukti ini akan digunakan sebagai pendukung
untuk mengurangi risiko pengendalian ke tingkat yang cukup rendah. Jika hasil dari uji
diharapkan, maka risiko yang telah dinilai pada risk assessment tidak berubah. Namun,
jika ternyata saat uji pengendalian menunjukkan bahwa pengendalian tidak berjalan
dengan efektif, risiko yang telah dinilai harus dipertimbangkan kembali. Sebagai contoh,
saat uji pengendalian ditemukan bahwa penerapan pengenadlian hanya terjadi sampai
pertengahan tahun, atau orang yang menerapkannya sering melakukan salah saji. Dalam
situasi seperti itu, maka auditor akan menggunakan risiko pengendalian yang lebih tinggi,
inquiry bukan sumber yang cukup reliable sebagai bukti mengenai efektivitas
bahwa akses personil yang tidak berwenang ditolak ke file komputer, auditor
online.
42
b. Periksa dokumen, catatan, dan laporan. Banyak pengendalian yang
meninggalkan jejak bukti dokumentasi yang jelas yang dapat digunakan untuk
perintah penjualan sebagai otorisasi untuk diproses lebih lanjut. Auditor dapat
lengkap dan sesuai dan tanda tangan atau inisial yang diperlukan ada.
Beberapa kontrol tidak meninggalkan jejak bukti, yang berarti bahwa tidak
tertentu yang melakukan tugas tertentu, dan biasanya tidak ada dokumentasi
sepanjang tahun.
faktur penjualan diperoleh dari daftar harga utama, namun tidak ada indikasi
melihat apakah hasil yang benar diperoleh. Untuk contoh ini, auditor dapat
43
melakukan prosedur reperform dengan menelusuri harga jual ke daftar harga
resmi yang berlaku pada tanggal transaksi. Jika tidak ada salah saji ditemukan,
sebagaimana mestinya.
tergantung pada risiko pengendalian awal yang didapat (pada risk assessment). Misalnya,
jika auditor menggunakan risiko pengendalian yang rendah untuk di uji, maka ukuran
kesalahan dalam nilai rupiah (disebut juga salah saji moneter) yang mempengaruhi
(monetary misstatement) seperti itu adalah indikasi yang jelas dari salah saji dari akun-
akun. Terdapat 3 (tiga) macam pengujian substantif yaitu : (1) pengujian substantif atas
transaksi; (2) prosedur analitis; dan (3) pengujian terinci atas saldo.
Tujuan dari pengujian substantif atas transaksi adalah untuk menentukan apakah
objectives) telah terpenuhi untuk setiap kelas transaksi. Sebagai contoh auditor
yang dicatat benar-benar ada dan transaksi yang ada semua telah dicatat.
belanja telah dicatat dengan benar, transaksi belanja telah dicatat pada periode
44
laporan yang tepat, belanja telah diklasifikasikan dengan benar dalam neraca, dan
apakah belanja telah diikhtisarkan dan diposting dengan benar ke buku besar. Jika
auditor merasa yakin bahwa transaksi-transaksi telah dicatat dan diposting dengan
benar, auditor dapat meyakini bahwa jumlah dalam buku besar juga benar.
Prosedur analitis
dicatat dengan jumlah yang diharapkan yang disusun oleh auditor. Biasanya juga
membandingkan dengan rasio tahun lalu dan data lain yang berhubungan. Dua
tujuan utama prosedur analitis yang dilakukan pada tahap pelaksanaan audit atas
keuangan
Ada perbedaan mendasar dalam prosedur analitis yang dilakukan dalam tahap
perencanaan dan prosedur analitis yang dilakukan dalam tahap pengujian. Pada
interim. Sedangkan pada tahap pengujian saldo akhir, auditor akan menghitung
kembali rasio itu dengan menggunakan data setahun penuh. Jika auditor percaya
terjadinya salah saji, maka prosedur analitis tambahan dapat dilakukan atau
45
jika auditor mengembangkan ekspektasi dengan menggunakan prosedur analitis
dan menyimpulkan bahwa saldo akhir akun tertentu auditan layak, maka
Pengujian terinci atas saldo memusatkan perhatian atas saldo-saldo akhir buku
besar untuk laporan realisasi pendapatan dan belanja serta neraca. Contoh dari
pemeriksaan fisik persediaan, dan pemeriksaan kontrak utang dengan pihak lain.
Pengujian terinci atas saldo ini adalah penting karena bukti biasanya diperoleh
Hampir sama halnya dengan pengujian atas transaksi, pengujian rincian saldo
harus dilakukan dengan memenuhi semua tujuan audit yang berkaitan dengan
saldo bagi masing-masing akun yang signifikan. Pengujian atas saldo akun juga
Luas dari pengujian terinci atas saldo bergantung dari hasil pengujian
untuk akun tersebut. Pengujian terinci atas saldo memiliki tujuan untuk
46
substantif. Sebagai contoh, konfirmasi untuk pengujian atas salah saji adalah
pengendalian internal atas pelaporan keuangan untuk perusahaan publik. Auditor dapat
menerbitkan laporan audit mengenai laporan keuangan dan pengendalian internal atas
dalam pengendalian internal yang secara individual, atau secara agregat, yang tingkat
keparahannya ada di bawah tingkat material weakness. Berikut adalah beberapa contoh
Gambar 2.7
Laporan Auditor atas Pengendalian Internal
47
REPORT OF INDEPENDENT REGISTERED PUBLIC ACCOUNTING FIRM
We conducted our audits in accordance with the standards of the Public Company
Accounting Oversight Board (United States). Those standards require that we plan and
perform the audit to obtain reasonable assurance about whether the financial statements are
free of material misstatement. An audit includes examining, on a test basis, evidence
supporting the amounts and disclosures in the financial statements. An audit also includes
assessing the accounting principles used and significant estimates made by management, as
well as evaluating the overall financial statement presentation. We believe that our audits
provide a reasonable basis for our opinion.
In our opinion, such consolidated financial statements present fairly, in all material respects,
the financial position of Microsoft Corporation and subsidiaries as of June 30, 2013 and
2012, and the results of their operations and their cash flows for each of the three years in
the period ended June 30, 2013, in conformity with accounting principles generally accepted
in the United States of America.
We have also audited, in accordance with the standards of the Public Company
Accounting Oversight Board (United States), the Company's internal control over
financial reporting as of June 30, 2013, based on the criteria established in Internal
Control Integrated Framework (1992) issued by the Committee of Sponsoring
Organizations of the Treadway Commission and our report dated July 30, 2013, expressed
an unqualified opinion on the Company's internal control over financial reporting.
48
Report of Independent Registered Public Accounting Firm
We have audited Koninklijke Philips N.V. and subsidiaries internal control over financial reporting as of December 31, 2013,
based on criteria established in Internal Control Integrated Framework (1992) issued by the Committee of Sponsoring
Organizations of the Treadway Commission (COSO). Koninklijke Philips N.V.s Board of Management is responsible for
maintaining effective internal control over financial reporting and for its assessment of the effectiveness of internal control over
financial reporting, included in the accompanying section 11.1, Managements report on internal control, of this Annual Report.
Our responsibility is to express an opinion on the Companys internal control over financial reporting based on our audit.
We conducted our audit in accordance with the standards of the Public Company Accounting Oversight Board (United States).
Those standards require that we plan and perform the audit to obtain reasonable assurance about whether effective internal control
over financial reporting was maintained in all material respects. Our audit included obtaining an understanding of internal control
over financial reporting, assessing the risk that a material weakness exists, and testing and evaluating the design and operating
effectiveness of internal control based on the assessed risk. Our audit also included performing such other procedures as we
considered necessary in the circumstances. We believe that our audit provides a reasonable basis for our opinion.
A companys internal control over financial reporting is a process designed to provide reasonable assurance regarding the
reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally
accepted accounting principles. A companys internal control over financial reporting includes those policies and procedures that
(1) pertain to the maintenance of records that, in reasonable detail, accurately and fairly reflect the transactions and dispositions of
the assets of the company; (2) provide reasonable assurance that transactions are recorded as necessary to permit preparation of
financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the
company are being made only in accordance with authorizations of management and directors of the company; and (3) provide
reasonable assurance regarding prevention or timely detection of unauthorized acquisition, use, or disposition of the companys
assets that could have a material effect on the financial statements.
Because of its inherent limitations, internal control over financial reporting may not prevent or detect misstatements. Also,
projections of any evaluation of effectiveness to future periods are subject to the risk that controls may become inadequate because
of changes in conditions, or that the degree of compliance with the policies or procedures may deteriorate.
In our opinion, Koninklijke Philips N.V. and subsidiaries maintained, in all material respects, effective internal control over
financial reporting as of December 31, 2013, based on criteria established in Internal Control Integrated Framework
(1992) issued by the Committee of Sponsoring Organizations of the Treadway Commission (COSO).
We also have audited, in accordance with the standards of the Public Company Accounting Oversight Board (United States), the
consolidated balance sheets of Koninklijke Philips N.V. and subsidiaries as of December 31, 2013 and 2012, and the related
consolidated statements of income, comprehensive income, cash flows, and changes in equity for each of the years in the three-
year period ended December 31, 2013, and our report dated February 25, 2014, expressed an unqualified opinion on those
consolidated financial statements.
Gambar 2.9
Laporan Audit ICoFR (Terpisah dari Laporan Audit Financial Statement)
49
BAB III
KESIMPULAN
3.1 Kesimpulan
mendeteksi akusisi, penggunaan, atau disposisi aset yang tidak sah, memelihara
catatan dengan rinci untuk melaporkan aset perusahaan secara akurat dan jujur,
pada pengendalian internal untuk risiko salah saji material. ICoFR berarti
merupakan kontrol yang dirancang khusus untuk menangani risiko yang terkait
dengan pelaporan keuangan. Secara sederhana, ICFR perusahaan publik terdiri dari
Konsep ICoFR berangkat dari Auditing Standard No. 2 dan Auditing Standard No.5
yang dikeluarkan oleh PCAOB. Hal ini menjawab aturan dari SOX 404 yang
lima komponen pengendalian internal yaitu (1) control environment; (2) risk
assessment; (3) control activities; (4) information and communication; dan (5)
50
monitoring activities. Konsep ICoFR kemudian direfleksikan kedalam kerangka
kerja COSO, dan auditor yang auditee nya listing di SEC melakukan audit atas
3. Prosedur audit pengendalian internal terdiri dari empat fase, yaitu: (1) Obtain and
Control Risk; (3) Test of Controls (Uji Pengendalian); dan (4) Decide Planned
Detection Risk and Design Substantive Test. Setelah itu auditor akan megeluarkan
opini dalam laporan atas pengendalian internal terkait adapakh terdapat material
51
DAFTAR PUSTAKA
Arens, Alvin A & Loebbecke, James K. 2014. Auditing, an Integrated Approach: Seventh
Edition. Upper Saddle River, New Yersey: Prentice-Hall, Inc.
Deloitte. (2013). Training Control Group PT Pertamina (Persero) dan Anak Perusahaan,
Internal Control over Financial Reporting. Indonesia: Author.
Romney, Marshall B. & Steinbart, Paul J. (2012). Accounting Information Systems 12th
edition. New Jersey: Pearson Education.
OBrien, Patrick. (2006). Reducing SOX Section 404 Compliance Costs Via a Top-
Down, Risk-Based Approach. The CPA Journal.
The Institute of Internal Auditors (IIA). (2013). IIA Position Paper: The Three Lines of
Defense in Effective Control Risk Management and Control. United States of
America: Author.
Sumber Lain
52
Lampiran I : Laporan Presentasi
Pemberi Pertanyaan:
Jawaban:
Dalam melakukan audit pengendalian internal, ada empat fase yang harus
dilakukan. Fase pertama, auditor harus mendapatkan pemahan mengenai
pengendalian internal. Caranya bisa melalui flowchart atau kuisioner. Disini
53
auditor juga mengevaluasi apakah pengendalian internal sudah diterapkan atau
belum. Jika auditor sudah yakin pengendalian yang didesai sudah diterapkan,
auditor melakukan langkah selanjutnya yaitu melakukan risk assessment untuk
setiap transaksi dalam siklus dan mengaitkannya dengan audit objective
(Transaction Related Audit Objective-TRAO). Salah satu caranya dengan
menggunakan matriks control risk. Jika pengendalian yang ada sudah dapat
memenuhi audit objective, maka dapat dikatan bahwa pengendalian tersebut tidak
memiliki kekurangan (deficiencies), namun bila ternyata tidak dapat memenuhi
audit objective, disitulah auditor bisa menemukan bahwa ternyata ada kekurangan
dalam pengendalian internal. Tahap selanjutnya auditor tinggal melakukan TOC
dan Substantive Test untuk mendapatkan bukti tambahan.
Menanggapi Pertanyaan:
54