A.

Tujuan Pengendalian Internal

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang
untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya. Kebijakan dan prosedur ini sering kali disebut pengendalian,dan
secara kolektif membentuk pengendalian internal entitas tersebut. Manajemen memiliki
tiga tujuan umum dalam merancang sistem pengendalian internal yang efektif, yaitu:

1. Reliabilitas Pelaporan Keuangan

Manajemen bertanggung jawab untuk menyiapkan laporan bagi para investor,

kreditor, dan pemakai lainnnya. Tujuan pengendalian internal yang efektif atas
pelaporan keuangan adalah memenuhi tanggung jawab pelaporan keuangan.

2. Efisiensi dan Efektivitas Operasi

Pengendalian dlaam perusahaan akan mendorong pemakaian sumber daya

secara efisien dan efektif untuk mengoptimalkan sasaran-sasaran perusahaan.
Tujuan dari pengendalian ini adalah memperoleh informasi keuangan dan
nonkeuangan yang akurat tentang operasi perusahaan untuk keperluan pengambilan
keputusan.

3. Ketaatan pada Hukum dan Peraturan

Section 404 mengharuskan semua perusahaan publik mengeluarkan laporan

tentang keefektifan pelaksanaan pengendalian internal atas pelaporan keuangan.
Selain mematuhi ketentuan hokum dalam Section 404, organisasi-organisasi publik,
nonpublik, dan nirlaba diwajibkan menaati berbagai hokum dan peraturan.

A. Tanggung Jawab Manajemen dan Auditor atas Pengendalian Internal

Tanggung jawab atas pengendalian internal berbeda antara manajemen dan

auditor. Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan
pengenddalian internal entitas. Sedangkan tanggung jawab auditor memahami dan
menguji pengendalian internal atas pelaporan keuangan.

1. Tanggung Jawab untuk Manajemen untuk Menetapkan Pengendalian Internal

Manajemen harus menetapkan dan menyelenggarakan pengendalian internal

entitas. Ada dua konsep utama yang melandasi perancangan dan implementasi
pengendalian internal, yaitu kepastian yang layak dan keterbatasan inheren.
 a) Kepastian yang Layak

Perusahaan harus mengembangkan pengendalian internal yang akan

memberikan kepastian yang layak, tetapi bukan absolut, bahwa laporan
keuangan telah disajikan secara wajar.

b) Keterbatasan Inheren

Pengendalian internal tidak akan pernah bisa efektif 100%, tanpa

menghiraukan kecermatan yang diterapkan dalam perancangan dan
implementasinya.

2. Tanggung Jawab Pelaporan oleh Manajemen menurut Section 404

Penilaian manajemen mengenai pengendalian internal atas pelaporan

keuangan terdiri dari dua komponen utama. Pertama, manajemen harus
mengevaluasi rancangan pengendalian internal atas pelaporan keuangan. Kedua,
manajemen harus menguji efektivitas pelaksanaan pengendalian tersebut.

a) Rancangan Pengendalian Internal

Manajemen harus mengevaluasi apakah pengendalian telah dirancang

dan diberlakukan untuk mencegah atau mendeteksi salah saji yang material
dalam laporan keuangan.

b) Efektivitas Pelaksanaan Pengendalian

Manajemen harus menguji efektivitas pelaksanaan pengendalian. Tujuan

pengujian ini adalah untuk menentukan apakah pengendalian telah berjalan
seperti yang dirancang.

3. Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Standar auditing mengharuskan auditor memahami pengendalian internal

yang relevan dengan audit pada setiap penugasan audit. Auditor terutama
memperhatikan pengendalian atas reliabilitas pelaporan keuangan dan pengendalian
atas kelas-kelas transaksi.

a) Pengendalian atas Reliabilitas Pelaporan Keuangan

Auditor terutama berfokus pada pengendalian yang berhubungan dengan

perhatian manajemen yang pertama dalam pengendalian internal reliabilitas
pelaporan keuangan.
 b) Pengendalian atas Kelas-kelas Transaksi

Auditor menekankan pengendalian internal atas kelas-kelas transaksi

karena keakuratan output system akuntansi (saldo akun) sangat tergantung pada
keakuratan input dan pemrosesan (transaksi).

4. Tanggung Jawab Auditor untuk Menguji Pengendalian Internal

Untuk menyatakan pendapat mengenai pengendalian internai, auditor harus

memahami dan melakukan pengujian atas pengendalian untuk semua saldo akun,
kelas transaksi, dan pengungkapan yang signifikan, serta aset terkait dalam laporan
keuangan.

B. Komponen Pengendalian Internal COSO

Internal Control-Integrated Framework yang dikeluarkan Committee of

Sponsoring Organizations (COSO), yaitu kerangka kerja pengendalian internal yang
paling luas diterima di Amerika Serikat, menguraikan lima komponen pengendalian
internal yang dirancang dan diimplementasikan oleh manajemen untuk memberikan
kepastian yang layak bahwa tujuan pengendaliannya akan tercapai. Komponen
pengendalian internal COSO meliputi lingkungan pengendalian, penilaian risiko, aktivitas
pengendalian, informasi dan komunikasi, dan pemantauan.

1. Lingkungan Pengendalian

Lingkungan pengendalian (control environment) terdiri atas tindakan,

kebijakan, dan prosedur yang mencerminkan sikap manajemen puncak para direktur
dan pemilik entitas secara keseluruhan mengenai pengendalian internal serta arti
pentingnya bagi entitas itu. Untuk memahami dan menilai lingkungan pengendalian,
auditor harus mempertimbangkan subkomponen yang paling penting, yaitu:

a) Integritas dan Nilai-nilai Etis

Integritas dan nilai-nilai etis adalah produk dari standar etika dan perilaku
entitas, serta bagaimana standar itu dikomunikasikan dan diberlakukan dalam
praktik.

b) Komitmen pada Kompetensi

Komitmen pada kompetensi meliputi pertimbangan manajemen tentang

tingkat kompetensi bagi pekerjaan tertentu, dan bagaimana tingkatan tersebut
diterjemahkan menjadi keterampilan dan pengetahuan yang diperlukan.
 c) Partisipasi Dewan Komisaris atau Komite Audit

Dewan komisaris berperan penting dalam tata kelola korporasi yang

efektif karena memikul tanggung jawab akhir untuk memastikan bahwa
manajemen telah mengimplementasikan pengendalian internal dan proses
pelaporan keuangan yang layak.

d) Filosofi dan Gaya Operasi Manajemen

Manajemen melalui aktivitasnya memberikan isyarat yang jelas kepada

para karyawan tentang pentingnya pengendalian internal. Memahami aspek ini
akan membuat auditor merasakan sikap manajemen tentang pengendalian
internal.

e) Struktur Organisasi

Struktur organisasional entitas menentukan garis-garis tanggung jawab

dan kewenangan yang ada. Dengan memahami struktur organisasi klien, auditor
dapat mempelajari pengelolaan dan unsur-unsur fungsional bisnis.

f) Kebijakan dan Praktik Sumber Daya Manusia

Aspek paling penting dari pengendalian internal adalah personil. Karena

pentingnya personil yang kompeten dan terpercaya dapat mengadakan
pengendalian yang efektif.

2. Penilaian Risiko

Penilaian risiko (risk management) atas pelaporan keuangan adalah tindakan

yang dilakukan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko
yang relevan dengan penyusunan laporan keuangan yang sesuai dengan GAAP.
Setelah mengidentifiikasi suatu risiko, manajemen mengestimasi signifikansi risiko,
menilai kemungkinan terjadinya risiko, dan mengembangkan tindakan khusus yang
diperlukan untuk mengurangi risiko ke tingkat yang dapat diterima.

3. Aktivitas Pengendalian (Control Activities)

Aktivitas pengendalian adalah kebijakan dan procedur, selain yang sudah

termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa
tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai tujuan
entitas, aktivitas pengendalian dibagi menjadi lima jenis, yaitu:

a) Pemisahan Tugas yang Memadai

Terdapat empat pedoman untuk mencegah baik kecurangan maupun

kekeliruan yang terutama penting bagi auditor, yaitu:

1) Pemisahan penyimpanan aset dari akuntansi

2) Pemisahan otorisasi transaksi dari penyimpanan aset terkait

3) Pemisahan tanggung jawab operasional dari tanggung jawab pencatatan

4) Pemisahan tugas TI dari departemen pemakai

b) Otorisasi yang Sesuai atas Transaksi dan Aktivitas

Otorisasi dapat bersifat umum dan khusus. Otorisasi umum, manajemen
menetapkan kebijakan dan para bawahan diinstruksikan untuk
mengimplementasikan otorisasi umum tersebut dengan menyetujui semua
transaksi dalam batas yang ditetapkan oleh kebijakan itu. Contohnya adalah
keputusan otorisasi umum termasuk dikeluarkannya daftar harga tetap
untukpenjualan produk, batas kredit untuk pelanggan, Dan titik pemesanan
kembali yang bersifat tetap untuk melakukan akuisisi.
Otorisasi khusus berlaku untuk transaksi individual. Untuk transaksi
tertentu, manajemen memilih mengotorisasi setiap transaksi. Contohnya adalah
otorisasi transaksi penjualan oleh manajer penjualan untuk perusahaan penjual
mobil bekas.
c) Dokumen dan Catatan yang Memadai
Dokumen dan catatan meliputi faktur penjualan, pesanan pembelian,
catatan pembantu, jurnal penjualan, dan kartu absensi karyawan.
d) Pengendalian Fisik atau Aset dan Catatan
Jenis ukuran protektif yang paling penting untuk menjaga aset dan
catatan adalah penggunaan tindakan pencegahan fisik. Contohnya adalah
penggunaan gedung persediaan untuk melindungi dari pencurian. Kotak dan
ruang penyimpanan tahan api untuk melindungi aset, seperti mata uang dan
sekuritas, merupakan jenis penjagaan fisik yang penting lainnya, selain off-site
back-up perangkat lunak komputer dan file data.
e) Pemeriksaan kinerja secara independen
Pemeriksaan independen timbul karena pengendalian internal cenderung
berubah seiring dengan berlalunya waktu, kecuali review sering dilakukan.
Personil yang bertanggung jawab melakukan prosedur verifikasi internal harus
independen dari individu yang semula bertanggung jawab menyiapkan data.
4. Informasi dan Komunikasi

Tujuan sistem informasi dan komunikasi akuntansi entitas adalah untuk

memulai, mencatat, memroses, dan melaporkan transaksi yang dilakukan entitas itu
serta mempertahankan akuntabilitas aset terkait. Untuk memahami perancangan
sistem informasi akuntansi, auditor menentukan:

a) Kelas transaksi utama entitas

b) Bagaimana transaksi dimulai dan dicatat

c) Catatan akuntansi apa saja yang ada serta sifatnya

d) Bagaimana sistem itu menangkap peristiwa-peristiwa lain yang penting bagi

laporan keuangan, seperti penurunan nilai aset

e) Sifat serta rincian proses pelaporan keuangan yang diikuti, termasuk prosedur
pencatatan transaksi dan penyesuaian dalam buku besar umum.

5. Pemantauan

Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian

internal secara berkelanjutan atau periodik oleh manajemen untuk menentukan
bahwa pengendalian telah beroperasi seperti yang diharapkan, dan telah
dimodifikasi sesuai dengan perubahan kondisi.

Berikut ini adalah ringkasan dari komponen pengendalian internal Committee of

Sponsoring Organizations (COSO).

Pengendalian Internal

Komponen Uraian Komponen Pembagian Lebih Lanjut (jika dapat

diterapkan)

Lingkungan Tindakan, kebijakan, dan Subkomponen lingkungan pengendalian

Pengendalian prosedur yang mencerminkan adalah:
sikap manajemen puncak,
Integritas dan nilai etis
direktur, dan pemilik entitas
Komitmen pada kompetensi
secara keseluruhan tentang Partisipasi dewan komisaris dan komite
pengendalian internal dan arti audit
pentingnya Filosofi dan gaya operasi manajemen
Struktur organisasi
Kebijakan dan praktik sumber daya
manusia
Penilaian Pengidentifikasian dan analisis Proses penilaian risiko:
 Risiko oleh manajemen terhadap Mengidentifikasi faktor-faktor yang
risiko yang relevan dengan mempengaruhi risiko
penyusunan laporan keuangan Menilai signifikansi risiko dan

yang sesuai dengan kerangka kemungkinan terjadinya

Menentukan tindakan yang diperlukan
kerja akuntansi yang tepat,
untuk mengelola risiko
seperti GAAP dan IFRS
Kategori asersi manajemen yang harus
dipenuhi:

Asersi tentang kelas transaksi dan

peristiwa lain
Asersi tentang saldo akun
Asersi tentang penyajian dan
pengungkapan
Aktivitas Kebijakan dan prosedur yang Jenis aktivitas pengendalian khusus:
Pengendalian telah ditetapkan manajemen
Pemisahan tugas yang memadai
untuk mencapai tujuannya
Otorisasi yang tepat atas transaksi dan
bagi pelaporan keuangan
aktivitas
Dokumen dan catatan yang memadai
Pengendalian fisik atau aset dan
catatan
Pemeriksaan independen atas kinerja
Informasi dan Metode yang digunakan untuk Tujuan audit yang berhubungan dengan
komunikasi memulai, mencatat, transaksi yang harus dicapai:
memroses, dan melaporkan
Keterjadian
transaksi entitas serta
Kelengkapan
mempertahankan akuntabilitas Keakuratan
aset terkait Posting dan pengikhtisaran
Klasifikasi
Penetapan waktu
Pemantauan Penilaian berkelanjutan dan Tidak dapat diterapkan
periodik oleh manajemen
terhadap pelaksanaan
pengendalian internal untuk
menentukan apakah
pengendalian telah berjalan
seperti yang dimaksud dan
dimodifikasi bila perlu

C. Memperoleh dan Mendokumentasikan Pemahaman Tentang Pengendalian Internal

Proses untuk Memahami Pengendalian

Internal dan Menilai Risiko Pengendalian
 Tahap 1 Memperoleh dan mendokumentasikan
pemahaman tentang pengendalian internal

Tahap 2 Menilai risiko pengendalian

Tahap 3 Merancang, melaksanakan, dan

mengevaluasi pengujian pengendalian

Tahap 4 Memutuskan risiko deteksi yang

direncanakan dan pengujian substantif

1. Memperoleh dan Mendokumentasikan Pemahaman Tentang Pengendalian

Internal

Auditor menggunakan prosedur untuk memperleh pemahaman, yang meliputi

pengumpulan bukti tentang rancangan pengendalian internal dan apakah
pengendalian itu sudah diimplementasikan, lalu menggunakan informasi itu sebagai
dasar audit terpadu. Biasanya auditor menggunakan tiga jenis dokumen untuk
memperoleh dan mendokumentasikan pemahamannya atas perancangan
pengendalian internal, yaitu :

a) Naratif

Naratif adalah uraian tertulis tentang pengendalian internal klien. suatu

naratif yang baik mengenai sistem akuntansi dan pengendalian yang terkait
menguraikan empat hal, yaitu:

1) Asal-usul setiap dokumen dan catatan dalam system

2) Semua pemrosesan yang berlangsung

3) Disposisi setiap dokumen dari catatan dalam system

 4) Petunjuk tentang pengendalian yan relevan dengan penilai risiko
pengendalian.

b) Bagian Arus (Flow Chart)

Bagian arus pengendalian internal adalah diagram yang menunjukkan
dokumen klien dan aliran urutannya dalam organisasi. Bagian arus memiliki
keunggulan yaitu mudah dibaca dan lebih mudah diperbarui.
c) Kuesioner Pengendalian Internal
Kuesioner pengendalian internal mengajukan serangkaian pertanyaan
tentang pengendalian dalam setiap area audit sebagai sarana untuk
mengidentifikasi defisiensi pengenadalian internal.

2. Mengevaluasi Pengimplementasian Pengendalian Internal

Dalam praktik, pemahaman atas rancangan dan pengimplementasian sering

kali dilakukan secara bersamaan. Metode-metode yang umum digunakan, yaitu :

a) Memutakhirkan dan mengevaluai pengalaman auditor sebelumnya dengan

entitas

b) Melakukan tanya-jawab dengan personil klien

c) Menelaah dokumen dan catatan

d) Mengamati aktivitas dan operasi entitas

e) Melakukan penelusuran sistem akuntansi

D. Menilai Risiko Pengendalian

Auditor harus memahami perancangan dan pengimplementasian pengendalian

internal untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai
bagian dari penilaian risiko salah saji yang material secara keseluruhan.

1. Menilai Apakah Laporan Keuangan Bisa Diaudit

Ada dua faktor yang menentukan auditabilitas yaitu integritas manajemen
dan kememadaian catatan akuntansi. Jika manajemen tidak memiliki integritas,
sebagian besar auditor tidak akan menerima penugasan audit. Catatan akuntansi
merupakan sumber bukti audit yang penting bagi sebagian besar tujuan audit. Jika
catatan akuntansi defisien, bukti audit yang diperlukan mungkin tidak tersedia.
Sebagai contoh, jika klien tidak menyimpan salinan faktur penjualan dan faktur
vendor, biasanya tidak praktis untuk melakukan audit.
2. Menentukan Penilaian Risiko Pengendalian yang Didukung oleh Pemahaman
yang Diperoleh
Auditor dapat membuat penilaian pendahuluan atas risiko pengendalian
sebagai bagian dari penilaian risiko salah saji yang material secara keseluruhan.
Penilaian ini merupakan ukuran ekspektasi auditor bahwa pengendalian intenal akan
mencegah salah saji yang material atau mendeteksi dan mengoreksi jika salah saji itu
sudah terjadi.
3. Penggunaan Matriks Risiko Pengendalian untuk Menilai Risiko Pengendalian
Banyak auditor yang menggunakan matriks risiko pengendalian untuk
membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara
yang mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit.
Berikut ini adalah penyusunan matriks risiko untuk menilai risiko pengendalian.
a) Mengidentifikasi Tujuan Audit
Langkah pertama dalam penilaian adalah mengidentifikasi tujuan audit
untuk kelas transaksi, saldo akun, serta penyajian dan pengungkapan yang akan
dinilai.

b) Mengidentifikasi Pengendalian yang Ada

Auditor menggunakan informasi mengenai perolehan dan
pendokumentasian pemahaman atas pengendalian internal untuk
mengidentifikasi pengendalian yang berperan dalam mencapai tujuan audit yang
berhubungan dengan transaksi.
c) Menghubungkan Pengendalian dengan Tujuan Audit yang Terkait
Matriks risiko pengendalian yang serupa akan dilengkapi untuk tujuan
audit yang berhubungan dengan saldo serta yang berhubungan dengan penyajian
dan pengungkapan.
d) Mengidentifikasi dan Mengevaluasi Efisiensi Pengendalian yang Signifikan dan
Kelemahan yang Material
Auditor harus mengevaluasi apakah pengendalian kunci tidak diterapkan
dalam perancangan pengendalian internal atas pelaporan keuangansebagai
bagian dari mengevaluasi risiko pengendalian dan kemungkinan salah saji
laporan keuangan. Standar auditing mendefinisikan tiga tingkat diterapkannya
pengendalian internal, yaitu:
1) Defisiensi Pengendalian
Defisiensi pengendalian terjadi jika perancangan atau pelaksanaan
pengendalian tidak memungkinkan karyawan perusahaan mencegah atau
mendeteksi salah saji secara tepat waktu.
2) Defisiensi yang Signifikan
Defisiensi yang signifikan terjadi jika ada satu atau lebih defisiensi
pengendalian yang jauh lebih kecil ketimbang kelemahan yang material, tetapi
cukup penting untuk diperhatikan oleh pihak yang bertanggungjawab
mengawasi pelaporan keuangan perusahaan.
 3) Kelemahan yang Material
Kelemahan yang material terjadi jika defisiensi yang signifikan secara
mandiri atau bersama-sama dengan defisiensi yang signifikan lainnya.
4. Mengidentifikasi Defisiensi, Defisiensi yang Signifikan, dan Kelemahan yang
Material
Langkah yang digunakan untuk mengidentifikasi defisiensi, defisiensi yang
signifikan, dan kelemahan yang material adalah sebagai berikut:
a) Mengidentifikasi Pengendalian yang Ada
Kerena defisiensi dan kelemahan yang material adalah tidak
diterapkannya pengendalian yang memadai, auditor harus mengetahui
pengendalian mana saja yang ada.

b) Mengidentifikasi Tidak Diterapkanya Pengendalian Kunci

Kuesioner pengendalian internal, bagian arus, dan penelusuran adalah
sarana yang berguna untuk mengidentifikasi dimana saja pengendalian itu tidak
ada sehingga kemungkinan terjadi salah saji meningkat.

c) Mempertimbangkan Kemungkinan Pengendalian Pengimbang

Pengendalian pengimbang adalah pengendalian yang diterapkan di suatu
tempat dalam sisitem yang mengoffset tidak diterapkannya pengendalian kunci.
d) Memutuskan Apakah Ada Defisiensi yang Signifikan atau Kelemahan yang
Material
Digunakan untuk mengevaluasi apakah ada defisiensi yang signifikan atau
kelemahan yang material.
e) Menentukan Salah Saji yang Potensial yang Bisa Dihasilkan
Langkah ini diwujudkan untuk mengidentifikasi salah saji spesifik yang
mungkin diakibatkan oleh defisiensi yang signfikan atau kelemahan material.
5. Komunikasi dengan Pihak yang Memikul Tanggung Jawab Tata Kelola dan
Surat Manajemen
Sebagai bagian dari pemahaman atas pengendalian internal dan penilaian
risiko pengendalian, auditor diharuskan untuk mengomunikasikan masalah-masalah
tertentu dengan pihak yang memikul tanggung jawab tata kelola. Informasi ini dan
rekomendasi lain tentang pengendalian juga sering dikomunikasikan kepada
manajemen.
a) Komunikasi dengan Pihak yang Memikul Tanggung Jawab Tata Kelola
Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan
yang material secara tertulis kepada pihak yang memikul tenggungjawab tata
kelola begitu auditor mengetahui keberadaanya.
b) Surat Manajemen
Bentuk komunikasi yang dikomunikasikan kepada klien seringkali berupa
surat terpisah dengan tujuan sebagai jasa audit bernilai tambah.

E. Pengujian Pengendalian
1. Tujuan Pengujian Pengendalian

Penilaian risiko pengendalian mengharuskan auditor mempertimbangkan

perancangan dan pelaksanaan pengendalian untuk mengevaluasi apakah
pengendalian itu efektif dalam memenuhi tujuan audit yang terkait. Pengujian
pengendalian merupakan prosedur untuk menguji efektifitas pengendalian dalam
mendukung penilaian risiko pengendalian yang lebih rendah.

2. Prosedur untuk Pengujian Pengendalian

Auditor mungkin akan menggunakan empat jenis prosedur untuk mendukung
keefektifan pengendalian internal. Berikut ini adalah prosedur untuk pengujian
pengendalian.
a) Mengajukan Pertanyaan Kepada Personil Klien yang Tepat
Walaupun pengajuan pertanyaan bukan merupakan sumber bukti yang
sangat andal tentang pelaksanaan pengendalian yang efektif, prosedur ini masih
sesuai.
b) Memeriksa Dokumen, Catatan, dan Laporan
Banyak pengendalian yang meninggalkan jejak yang jelas berupa bukti
dokumenter yang dapat digunakan untuk menguji pengendalian.
c) Mengamati Aktivitas yang Terkait dengan Pengendalian
Beberapa pengendalian tidak meninggalkan jejak bukti, yang berarti
dikemudian hari tidak mungkin memeriksa bukti bahwa pengendalian itu telah
dilaksanakan.
d) Melaksankan Kembali Prosedur Klien
Aktivitas yang terkait dengan pengendalian yang memiliki dokumen dua
catatan, tetapi isinya tidak mencukupi untuk mengakomodasi tujuan auditor
menilai apakah pengendalian telah berjalan atau efektif.
3. Luas Prosedur
Seberapa luas pengujian pengendalian diterapkan tergantung pada penilaian
pendahuluan atas risiko pengendalian. Luas pengujian juga bergantung pada
frekuensi operasi pengendalian dan apakah pengendalian itu manual atau
terotomasi.
a) Mengandalkan Bukti dari Audit Tahun Sebelumnya
Apabila auditor berencana menggunakan bukti tentang efektivitas
pelaksanaan pengendalian internal yang diperoleh dalam audit terdahulu,
standar auditing mengharuskan auditor untuk menguji keefektifan pengendalian
paling sedikit tiga tahun sekali.
b) Menguji Pengendalian yang Berhubungan Dengan Risiko yang Signifikan Risiko
yang Signifikan
Risiko yang diyakini auditor membutuhkan pertimbangan audit khusus.
Semakin besar risikonya, semakin banyak bukti audit yang harus diperoleh
auditor bahwa pengendalian itu berjalan efektif.
c) Menguji Kurang dari Seluruh Periode Audit
 Jika auditor akan menentukan apakah telah terjadi perubahan dalam
periode yang tidak diuji akan memutuskan implikasi setiap perubahan.
4. Hubungan antara Pengujian Pengendalian dan Prosedur untuk Memperoleh
Pemahaman
Terdapat tumpang tindih yang signifikan antara pengujian dan prosedur untuk
memperoleh pemahaman. Keduanya mencakup pengajuan pertanyaan,
dokumentasi, dan observasi atau pengamatan. Ada dua perbedaan utama dalam
penerapan prosedur umum tersebut, yaitu:
a) Untuk memahami pengendalian internal prosedur untuk memperoleh
pemahaman harus diterapkan pada semua pengendalian yang teridentifikasi
selama tahap tersebut.
b) Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau
beberapa transaksi atau kasus observasi pada titik waktu.

F. Memutuskan Risiko Deteksi yang Dirancangkan dan Merancang Pengujian

Substantif

Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian

pengendalian untuk menentukan risiko deteksi yang direncanakan serta pengujian
substantif terkait untuk audit atas laporan keuangan. Auditor melakukannya dengan
menghubungkan penilaian risiko pengendalian dengan tujuan audit yang berkaitan
dengan saldo untuk akun-akun yang dipengaruhi oleh jenis transaksi utama, serta
dengan empat tujuan audit penyajian dan pengungkapan. Tingkat risiko deteksi yang
tepat untuk setiap tujuan audit yang berhubungan dengan saldo kemudian diputuskan
dengan menggunakan model risiko audit. Hubungan antara tujuan audit yang berkaitan
dengan transaksi dengan tujuan audit yang berkaitan dengan saldo, dan pemilih serta
perancangan prosedur audit untuk pengujian substansif atas saldo laporan keuangan.

G. Pelaporan Pengendalian Internal Menurut Section 404

Berdasarkan penilaian dan pengujian auditor atas pengendalian internal, auditor

diharuskan menyusun laporan audit mengenai pengendalian internal atas pelaporan
keuangan untuk mempercepat persiapan perusahaan publik yang harus memenuhi
persyaratan pelaporan Section 404. Berikut ini adalah jenis-jenis pendapat dari
pengendalian internal.

1. Pendapat Wajar Tanpa Pengecualian (Unqualified Opinion)

Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai
pengendalian internal atas pelaporan keuangan apabila dua kondisi berikut berlaku:
a) Tidak ada kelemahan material yang teridentifikasi
b) Tidak ada pembatasan atas ruangan lingkup pekerjaan auditor
2. Pendapatan Tidak Wajar (Adverse Opinion)
 Apabila ada kelemahan yang material, auditor harus menyatakan pendapat
tidak wajar mengenai efektivitas pengendalian internal. Penyebab paling umum
dikeluarkannya pendapat tidak wajar dalam laporan auditor mengenai pengendalian
internal adalah apabila manajemen mengidentifikasi suatuu kelemahan yang material
dalam laporannya.
3. Pendapat Wajar dengan Pengecualian atau Menolak Memberikan Pendapat
(Qualified or Disclaimer of Opinion)
Pembatasan ruang lingkup mengharuskan auditor untuk menyatakan
pendapat wajar dengan dengan pengecualian atau menolak memberikan pendapat
mengenai pengendalian internal atas laporan keuangan. Jenis pendapat ini
dikeluarkan apabila auditor tiddak dapat menetukan apakah ada kelemahan yang
material, akibat pembatasan ruang lingkup audit terhadap pengendalian internal atas
pelaporan keuangan atau situasi lainnya dimana auditor tidak dapat memperoleh
bukti yang mencakupi dan tepat.
Karena audit laporan keuangan dan audit pengendalian internal atas
pelaporan keuangan terintegrasi, auditor harus memperhitungkan hasil presedur
audit yang dilakukan untuk mengeluarkan laporan audit mengenai laporan keuangan
ketika mengeluarkan laporan audit mengenai pengendalian internal. Sebagai contoh,
anggaplah auditor mengidentifikasi salah saji yang material dalam laporan keuangan
yang sebelumnya tidak teridentifikasi oleh pengendalian internal perusahaan. Dari
temuan tersebut dapat muncul empat respons, yaitu:
a) Karena ada kesalahan yang material dalam laporan keuangan, auditor harus
mempertimbangkan apakah salah saji itu menunjukkan adanya kelemahan yang
material.
b) Auditor dapat mengeluarkan pendapat wajar tanpa pengecualian atas laporan
keuangan jika klien menyesuaikan laporannya untuk mengoreksi salah saji
sebelum diterbitkan.
c) Manajemen mungkin akan mengubah laporannya mengenai pengendalian
internalnya untuk menegaskan bahwa pengendalian tidak berjalan efektif.
d) Auditor harus mengeluarkan pendapat tidak wajar mengenai pengendalian
internal atas pelaporan keuangan jika defisiensi itu dianggap sebagai kelemahan
yang material.
Berikut ini adalah ilustrasi dari laporan auditor parsial menurut Section 404
mengenai pengendalian internal apabila terdapat kelemahan yang material.
 LAPORAN KANTOR AKUNTAN PUBLIK INDEPENDEN YANG TERDAFTAR

[Defenisi paragraf kelemahan yang material]

Kelemahan yang material adalah defisiensi, atau kombinasi defisiensi,

pengendalian internal atas pelaporan keuangan, seperti ada kemungkinan yang
masuk akal bahwa salah saji yang material dalam laporan keuangan interim atau
tahunan perusahaan tidak akan dapat dicegah atau dideteksi secara tepat waktu.

[Paragraf Pendapat]

Menurut pendapat kami, karena adanya dampak kelemahan yang material

yang diuaraikan diatas terhadap pencapaian tujuan kriteria pengendalian,
Kincannon Company belum menyelenggarakan pengendalian internl yang
efektif atas pelaporan keuangan per 31 Desember 2013, berdasarkan kriteria yang
ditetapkan dalam internal Control-Integrated Framework yang dikeluarkan
Commitee of Sponsoring Organizations of the Treadway Commision (COSO).

Kellum & Kellum, LLP

Brentwood, Tennessee

2 februari 2014

H. Mengevaluasi, Melaporkan, dan Menguji Pengendalian Internal untuk Perusahaan

Nonpublik

1. Persyaratan Pelaporan

Dalam audit atas perusahaan nonpublik, tidak ada persyaratan untuk

mengaudit pengendalian internal atas pelaporan keuangan. Karena itu, auditor
berfokus pada pengendalian internal hanya sebatas yang diperlukan untuk
melakukan audit laporan keuangan yang bermutu.

2. Laporan Pengendalian Internal yang Disyaratkan

Manajemen bertanggung jawab untuk menetapkan pengendalian internal

yang memadai dalam perusahaan nonpublik, persis seperti manajemen untuk
 perusahaan publik. Jika lingkungan pengendalian atau dokumentasi tidak memadai,
auditor dapat memutuskan untuk mengundurkan diri penugasan atau menolak
memberikan pendapat mengenai laporan keuangan. Selain itu, perusahaaan
nonpublik yang dijalankan dengan baik juga memahami pentingnya pengendalian
yang efektif untuk mengurangi kemungkinan terjadinya kekeliruan dan kecurangan,
serta untuk meningkatkan efektivitas dan efesiensi.

Beberapa perusahaan nonpublik tidak bersedia mengimplementasikan sistem

pengendalian internal yang ideal karena terbentur biaya. Bagi perusahaan nonpublik
yang kecil, mengangkat personil tambahan mungkin hanya sedikit meningkatkan
reliabilitas data akuntansi. Sebaliknya, sering kali lebih murah bagi perusahaan
nonpublik meminta auditor untuk melakukan audit yang lebih ekstentif ketimbang
menanggung biaya pengendalian internal lebih tinggi.

3. Luas Pemahaman yang Diperlukan

Standar auditing mengharuskan auditor memiliki pemahaman yang
mencakup tentang pengendalian internal untuk menilai risiko pengendalian. Dalam,
praktik, prosedur untuk mendapatkan pemahaman tentang pengendalian internal
sangat bervariasi dari klien ke klien. Untuk nonpublik yang lebih kecil, banyak auditor
memperoleh tingkat pemahaman yang hanya cukup untuk menilai apakah laporan
keuangan dapat diaudit, dan untuk mengevaluasi lingkungan pengendalian guna
mengetahui sikap manajemen terhadap pengendalian internal.
4. Menilai Risiko Pengendalian
Perbedaan paling penting dalam menilai risiko pengendalian perusahaan
nonpublik adalah penilaian risiko pengendalian pada tingkat maksimum untuk satu
atau semua tujuan yang berkaitan dengan pengendalian apabila pengendalian
internal untuk tujuan itu tidak ada atau tidak efektif. Akibat ekspektasi bahwa
perusahaan publik harus memiliki pengendalian internal yang efektif untuk semua
transaksi dan akun yang signifikan, berlaku asumsi awal bahwa risiko pengendalian
adalah rendah dalam audit atas laporan keuangan perusahaan publik. Dengan
demikian, auditor perusahaan publik mungkin tidak akan membuat penilaian
pendahuluan atas risiko pengendalian pada tingkat maksimum.
5. Luas Pengujian Pengendalian yang Diperlukan
Auditor tidak akan melakukan pengujian pengendalian apabila menilai risiko
pengendalian pada tingkat maksimum akibat tidak memadainya pengendalian.
Apabila risiko pengendalian dinilai dibawah tingkat maksimum untuk perusahaan
nonpublik, auditor akan merancang dan melaksanakan kombinasi pengujian
pengendalian dan proseur substanntif untuk memperoleh kepastian yang layak
bahwa laporan keuangan telah dinyatakan secara wajar. Sebaliknya, jumlah
pengendalian yang diuji oleh auditor untuk menyatakan pendapat mengenai
pengendalian internal bagi sebuah perusahaan publik jauh lebih besar ketimbang
hanya untuk menyatakan pendapat tentang laporan keuangan.