Anda di halaman 1dari 6

AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404 DAN RISIKO PENGENDALIAN

Tujuan pengendalian internal

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk
memberikan managemen kepastian yang layak bahwa perusahaan telah mencapai tujuan dan
sasarannya. Kebijakan dan prosedur ini sering kali disebut pengendalian, dan secara kolektif
membentuk pengendalian internal entitas tersebut. Biasanya managemen memiliki tiga tujuan
umum dalam merancang sistem pengendalian internal yang efektif :

a. Reliabilitas pelaporan keuangan


Tujuan pengendalian internal yang efektif atas laporan keuangan adalah memenuhi
tanggung jawab pelaporan keuangan tersebut.
b. Efisiensi dan efektivitas operasi
Tujuannya adalah memperoleh informasi keuangan dan non keuangan yang akurat
tentang operasi perusahaan untuk keperluan pengambilan keputusan
c. Ketaatan pada hukum dan peraturan
Section 404 mengharuskan semua perusahaan publik mengeluarkan laporan tentang
keefektifan pelaksanaan pengendalian internal atas laporan keuangan.

Tanggung jawab manajemen dan auditor atas pengendalian internal

Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian
internal, kepastian yang layak dan keterbatasan inheren.

a. Kepastian yang layak


Kepastian yang layak hanya memberikan kemungkinan yang kecil saja bahwa salah saji yang
material tidak akan tercegah atau terdeteksi secara tepat waktu oleh pengendalian internal.
b. Keterbatasan inheren
Pengendalian internal tidak akan pernah bisa efektif 100% tanpa menghiraukan kecermatan
yang diterapkan dalam perancangan dan implementasinya. Meskipun personil yang
menangani sistem itu sanggup merancang sebuah sistem yang ideal, keefektifannya
tergantung pada kompetensi dan ketergantungan orang-orang yang menggunakannya.
Tindakan untuk mencuri aset atau menyalahsajikan catatan disebut kolusi (collusion).

Section 404(a) dari UU Sarbane-Oxley mengharuskan managemen semua perusahaan publik


untuk mengeluarkan laporan pengendalian internal yang mencakup hal-hal berikut ini.
- Suatu pernyataan bahwa managemen bertanggung jawab untuk menetapkan dan
menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.
- Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur pelaporan
keuangan per akhir tahun fiskal perusahaan.
c. Rancangan pengendalian internal
Hal ini untuk mengevaluasi bagaimana transaksi yang signifikan dimulai, diotorisasi, dicatat,
diproses, dan dilaporkan untuk mengidentifikasi titik-titik arus transaksi dimana salah saji
yang material akibat kekeliruan atau kecurangan bisa saja terjadi.
d. Efektivitas pelaksanaan pengendalian.
Tujuan pengendalian ini adalah untuk menentukan apakah pengendalian telah berjalan
seperti yang dirancang, dan apakah orang yang melaksanakan memiliki kewenangan serta
kualifikasi yang diperlukan untuk melaksanakan pengendalian itu secara efektif.
Salah satu prinsip dalam pendahuluan standart auditing AICPA terklarifikasi adalah
bahwa “auditor mengidentifikasi dan menilai apakah resiko salah saji yang material dalam
laporan keuangan disebabkan oleh kekeliruan atau kecurangan berdasarkan pemahaman
yang cukup tentang entitas dan lingkungannya, termasuk pengendalian internal entitas.
e. Pengendalian atas reliabilitas pelaporan keuangan
Auditor memikul tanggung jawab yang cukup besar untuk mengungkapkan laporan
keuangan yang curang secara material serta misapropriasi aset, dan juga harus
melaksanakan prosedur audit untuk mengidentifikasi ketidaktaatan pada hukum serta
regulasi yang dapat memiliki dampak yang material terhadap laporan keuangan.
f. Pengendalian atas kelas-kelas transaksi
Auditor menekankan pengendalian internal atas kelas-kelas transaksi dan bukan saldo akun,
karena keakuratan outpu sistem akuntansi (saldo akun) sangat tergantung pada keakuratan
input dan pemrosesan (transaksi)

Komponen pengendalian internal coso

Internal Control-Integrated Framework yang dikeluarkan COSO, yaitu kerangka kerja pengendalian
internal yang paling luas diterima di Amerika Serikat, menguraikan lima komponen pengendalian
internal yang dirancang dan diimplementasikan oleh managemen untuk memberikan kepastian yang
layak bahwa tujuan pengendaliannya akan tercapai. Komponen pengendalian internal COSO meliputi
hal-hal berikut ini :

1. Lingkungan pengendalian
2. Penilaian risiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan

a. Lingkungan pengendalian
Terdiri atas tindakan, kebijakan, dan prosedur yang mencerminkan sikap managemen
puncak, para kreditur, dan pemilik entitas secara keseluruhan mengenai pengendalian
internal serta arti pentingnya entitas itu.
b. Integritas dan nilai-nilai etis
Adalah produk dari standart etika dan perilaku entitas, serta bagaimana standart itu
dikomunikasikan dan diberlakukan dalam praktik
c. Komitmen pada kompetensi
Komitmen pada kompetensi meliputi pertimbangan managemen tentang tingkat
kompetensi bagi pekerjaan tertentu dan bagaimana tingkatan tersebut diterjemahkan
menjadi keterampilan dan pengetahuan yang diperlukan.
d. Partisipasi dewan komisaris atau komite audit
Dewan komisaris berperan penting dalam tata kelola korporasi yang efektif karena memikul
tanggung jawab akhir untuk memastikan bahwa managemen telah mengimplementasikan
pengendalian internal dan proses pelaporan keuangan yang layak.
Komite audit bertanggung jawab untuk melakukan komunikasi yang berkelanjutan dengan
auditor eksternal maupun internal, termasuk menyetujui jasa audit dan non audit yang
dilakukan oleh para auditor perusahaan publik.
e. Filosofi dan gaya operasi managemen
Managemen melalui aktivitasnya memberikan isyarat yang jelas kepada para karyawan
tentang pentignya pengendalian internal
f. Struktur organisasi
Dengan memahami struktur organisasi klien, auditor dapat mempelajari pengelolaan dan
unsur-unsur fungsional bisnis serta melihat bagaimana pengendalian diimplementasikan.
g. Kebijakan dan praktik sumber daya manusia
Orang-orang yang tidak kompeten atau tidak jujur bisa merusak sistem meskipun ada
banyak pengendalian yang diterapkan. Orang-orang yang jujur dan efisien mampu mencapai
kinerja yang tinggi meskipun hanya ada segelintir pengendalian yang lain untuk mendukung
mereka. Akan tetapi orang yang kompeten dan terpercaya sekalipun bisa saja memiliki
kekurangan.
h. Penilaian risiko
Penilaian risiko atas laporan keuangan adalah tindakan yang dilakukan managemen untuk
mengidentifikasi dan menganalisis risiko-risiko yang relevan dengan penyusunan laporan
keuangan yang sesuai dengan GAAP.
i. Aktivitas pengendalian
Adalah kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen
lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk
menangani risiko guna mencapai tujuan entitas.
- Pemisahan tugas yang memadai
Ada 4 pedoman umum menyangkut pemisahan tugas yang memadai untuk mencegah
baik kecurangan maupun kekeliruan yang terutama peting bagi auditor.
a. Pemisahan penyimpanan aset dari akuntansi
b. Pemisahan otorisasi transaksi dari penyimpanan aset terkait
c. Pemisahan tanggung jawab operasional dari tanggung jawab pencatatan
d. Pemisahan tugas TI dari departemen pemakai
- Otorisasi yang tepat atas transaksi dan aktivitas
Otorisasi bersifat umum managemen menetapkan kebijakan, dan para bawahan
diinstruksikan untuk mengimplementasikan otorisasi umum tersebut dengan menyetujui
semua transaksi dalam batas yang ditetapkan oleh kebijakan itu.
Otorisasi bersifat khusus berlaku untuk transaksi individual. Maka otorisasi adalah
keputusan kebijakan, entah untuk kelas transaksi umum ataupun transaksi khusus.
- Dokumen dan catatan yang memadai
Dokumen dan catatan adalah pbjek fisik dimana transaksi akan dicantumkan serta
diikhtisarkan.
- Pengendalian fisik atas aset dan catatan
File data adalah catatan perusahaan dan jika rusak rekonstruksinya bisa sangat mahal
atau bahkan mustahil
- Pemeriksaan independen atas kinerja
Pemeriksaan independen adalah review yang cermat dan berkelanjutan atas keempat
hal lainnya. Kebutuhan akan pemeriksaan independen timbul karena pengendalian
internal cenderung berubah seiring dengan berlalunya waktu, kecuali review sering
dilakukan.
Tujuan sistem informasi dan komunikasi akuntansi entitas adalah untuk memulai,
mencatat, memroses dan melaporkan transaksi yang dilakukan entitas itu serta
mempertahankan akuntabilitas aset terkait.
j. Pemantauan
Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal secara
berkelanjutan atau periodik oleh managemen untuk menentukan bahwa pengendalian itu
telah beroprasi seperti yang diharapkan, dan telah dimodifikasi sesuai dengan perubahan
kondisi.

Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal

- Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu naratif yang
baik mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal :
1. Asal usul setiap dokumen dan catatan dalam sistem
2. Semua pemrosesan yang berlangsung
3. Disposisi setiap dokumen dan catatan dalam sistem
4. Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian
- Bagan arus pengendalian internal adalah diagram yang menunjukkan dokumen klien dan
aliran urutannya dalam organisasi
- Kuesioner pengendalian internal mengajukan serangkaian pertanyaan tentang
pengendalian dalam setiap area audit sebagai sarana untuk mengidentifikasi definisi
pengendalian internal.

Menilai risiko pengendalian

Ada dua faktor utama yang menentukan auditabilitas : Integritas manajemen dan kememadaian
catatan akuntansi.

- Mengidentifikasi tujuan audit


Hal ini dilakukan untuk kelas-kelas transaksi dengan menerapkan tujuan audit khusus
yang berhubungan dengan transaksi yang dinyatakan dalam bentuk umum, bagi setiap
jenis transaksi utama entitas bersangkutan.
- Mengidentifikasi pengendalian yang ada
Salah satu cara auditor untuk melakukan hal ini adalah mengidentifikasi pengendalian
guna memenuhi setiap tujuan.
- Menghubungkan pengendalian dengan tujuan audit yang terkait
- Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan,
dan kelemahan yang material
Standart auditing mendefinisikan tiga tingkat tidak diterapkannya pengendalian internal
a. Defisiensi pengendalian
b. Defisiensi yang signifikan
c. Kelemahan yang material
- Pendekatan lima langkah dapat digunakan untuk mengidentifikasi defisiensi yang
signifikan dan kelemahan yang material :
a. Mengidentifikasi pengendalian yang ada
b. Mengidentifikasi tidak diterapkannya pengendalian kunci
c. Mempertimbangkan kemungkinan pengendalian pengimbang
d. Memutuskan apakah dua defisiensi yang signifikan atau kelemahan yang material
e. Menentukan salah saji yang potensial yang bisa dihasilkan.
- Menghubungkan defisiensi yang signifikandan kelemahan yang material dengan tujuan
audit terkait
Sama seperti untuk pengendalian, setiap defisiensi yang signifikan atau kelemahan yang
material dapat diterapkan pada satu atau lebih tujuan audit yang terkait
- Menilai risiko pengendalian untuk setiap tujuan audit yang terkait
Auditor menggunakan semua informasi yang telah dibahas sebelumnya untuk menilai
risiko pengendalian yang subjektif bagi setiap tujuan.
- Komunikasi dengan pihak yang memikul tanggung jawab tata kelola
Komunikasi ini biasanya ditunjukkan kepada komete audit dan manajemen.
- Surat menejemen
Selain masalah tersebut, auditor sering kali juga mengidentifikasi hal-hal yang berkaitan
dengan pengendalian internal yang tidak begitu penting, serta kesempatan bagi klien
untuk memperbaiki oprasi.

Pengujian pengendalian

- Prosedur untuk pengujian pengendalian :


a. Mangajukan pertanyaan kepada personil klien yang tepat
b. Memeriksa dokumen, catatan dan laporan
c. Mengamati aktivitas yang terkait dengan pengendalian
d. Melaksanakan kembali prosedur klien
- Luas prosedur
a. Mengandalkan bukti dari audit tahun sebelumnya
b. Menguji pengendalian yang berhubungan dengan risiko yang signifikan
c. Menguji kurang dari seluruh periode audit
- Hubungan antara pengujian pengendalian dan prosedur untuk memperoleh
pemahaman
Ada dua perbedaan utama dalam penerapan prosedur umum tersebut
a. Untuk memahami pengendalian internal, prosedur untuk memperoleh pemahaman
harus diterapkan pada semua pengendalian yang teridentifikasi selama tahap
tersebut. Sebaliknya, pengujian pengendalian hanya diterapkan bila penilaian risiko
pengendalian tidak terpenuhi oleh prosedur untuk memperoleh pemahaman itu.
b. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa
transaksi atau dalam kasus observasi pada satu titik waktu. Pengujian pengendalian
dilakukan pada sampel transaksi yang lebih besar (mungkin 20 sampai 100) dan
observasi sering kali dilakukan pada lebih dari satu titik waktu.

Memutuskan risiko deteksi yang direncanakan dan merancang pengujian substantif


Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian untuk
menentukan risiko deteksi yang direncanakan serta pengujian sebstansif terkait untuk audit atas
laporan keuangan.

Pelaporan pengendalian internal menurut section 404

- Pendapat wajar tanpa pengecualian


Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai pengendalian
internal atas pelaporan keuangan apabila dua kondisi berikut berlaku :
a. Tidak ada kelemahan material yang teridentifikasi
b. Tidak ada pembatasan atas ruang lingkup pekerjaan auditor
- Pendapat tidak wajar
Penyebab paling umum dikeluarkannya pendapat tidak wajar dalam laporan auditor
mengenai pengendalian internal adalah apabila manajemen mengidentifikasi suatu
kelemahan yang material dalam laporannya.
- Pendapat wajar dengan pengecualian atau menolak memberikan pendapat
Pendapat ini keluarkan apabila auditor tidak dapat menentukan apakah ada kelamahan
yang material, akibat pembatasan ruang lingkup audit terhadap pengendalian internal
atas pelaporan keuangan atau situasi lainnya di mana auditor tidak dapat memperoleh
bukti yang mencukupi dan tepat.

Istilah-istilah penting

Penilaian risiko pengendalian (assesment of control risk) ukuran ekspektasi auditor bahwa
pengendalian internal tidak akan mencegah terjadinya salah saji yang material maupun mendeteksi
dan mengoreksinya jika sudah terjadi; sementara risiko pengendalian dinilai untuk setiap tujuan
audit yang berhubungan dengan transaksi dalam suatu siklus atau kelas transaksi

Bagan akun (chart of accounts) daftar semua akun entitas yang mengklarifikasikan transaksi kedalam
akun-akun neraca dan laporan laba-rugi.

Pengendalian pengimbang (compensating control) pengendalian lain dalam sistem yang mengoffset
tidak adanya pengendalian kunci.

Kolusi (collusion) kerja sama diantara karyawan untuk mencuri aset atau menyalahsajikan catatan.

Aktivitas pengendalian (control activities) kebijakan dan prosedur, selain yang sudah termasuk dalam
empat komponen pengendalian internal lainnya, yang membantu memastikan bahwa tindakan yang
diperlukan sudah diambil untuk mengatasi risiko dalam pencapaian tujuan entitas; biasanya meliputi
lima aktivitas pengendalian khusus berikut ini : (1) pemisahan tugas yang memadai (2) otorisasi yang
tepat atas