RINGKASAN MATERI KULIAH PENGAUDITAN I

SAP VIII: MEMEHAMI PENGENDALIAN INTERNAL

OLEH
KELOMPOK 7

NAMA
IDA AYU PUTRI INDRA KIRANA 1607531126/19
NI KOMANG RISMA DWINDA PUTRI 1607531130/21
KOMANG RIMBA RAI NUGRAHA TISTA 1607531143/24
GITA NAJMI SAFITRI 1607531174/33

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS UDAYA
2018
TUJUAN PENGENDALIAN AUDIT

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk
memberikan manajemen dengan keyakinan yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya. Kebijakan-kebijakan dan prosedur-prosedur ini sering kali disebut
pengendalian, dan secara kolektif membentuk pengendalian internal entitas tersebut.

Secara lebih teknis, standar audit (SA 315.4 (c)) mendefinisikan pengendalian internal:

Proses yang dirancang, diimplementasikan, dan dipelihara oleh pihak yang

bertanggung jawab atas kelola, manajemen, dan personel lain untuk menyediakan keyakinan
memadai tentang pencapain tujuan entitas yang berkaitan dengan kendala peelaporan
keuangan, efesien dan efektivitas operasi, dan kepatuhan terhadap peraturan perundang-
undangan. Istilah “pengendalian” mengacu pada setiap aspek dari satu atau lebih komponen
pengendalian internal.

Manajemen memiliki tiga tujuan umum dalam meracang suatu system pengendalian internal
yang efektif :

a) Keandalan pelaporan keuangan

Manajemen bertanggung jawab untuk menyusun laporan keuangan kreditor dan para
pengguna lainnya. Manajemen memiliki tanggung jawab hukum maupun profesionalisme
untuk meyakinkan bahwa informasi disajikan dengan wajar sesuai dengan ketentuan dalam
pelaporan. Tujuan pengendalian yang efektif terhadap laporan keuangan adalah untuk
memenuhi tanggung jawab pelaporan keuangan ini.

b) Efektivitas dan efisiensi operasi

Pengendalian dalam suatu perusahaan akan mendorong penggunaan sumber daya

perusahaan secara efisien dan efektif untuk mengoptimalkan sasaran yang dituju perusahaan.

c) Kesusuaian dengan unang-undang dan peraturan –peraturan

Entitas-entitas public,dan organisasi nirlaba berkewajiban untuk menaati banyak

undang-undang dan peraturan-peraturan.

Dalam pengauditan atas laporan keuangan dan audit atas pengendalian internal, auditor focus
pada reliabilitas laporan keuangan dan pengendalian atas operasi serta kesesuaian dengan
undang-undang.
TANGGUNG JAWAB MANAJEMEN DAN TANGGUNG JAWAB AUDITOR ATAS
PENGENDALIAN INTERNAL

Tanggung Jawab Manajemen

Manajemen dan auditor memiliki tanggung jawab yang berbeda atas pengendalian internal.
Manajmen bertanggung jawab untuk menetapkan dan memelihara pengendalian internal
entitas.berbeda dengan auditorbyang berkewajiban untuk memahami dan melakukan
pengujian pengendalian internal untuk pelaporan keuangan.

Tanggung Jawab Manajemen untuk menetapkan pengendalian

Kepastian yang layak perusahaan harus mengembangkan pengendalian internal yang akan
memberikan kepastian yang layak,tetapi bukan absolut,bahwa laporan keuangan telah telah
disajikan secara wajar. Ada dua konsep yang melandasi rancangan dan penerapan
pengendalian internal oleh manajemen, yaitu keyakinan memadai dan keterbatasan.

Keyakinan Memadai

Entitas harus mengembangkan pengendalian internal yang memberi keyakinan memdai

(bukan keyakinan mutlak)bahwa laporan keuangan disajikkan secara wajar. Pengendalian
internal dikembangkan manajemen setelah mempertimbangkan manfaat dan biaya
pengendalian.

Keterbatasan Inheren

Pengendalian internal tidak akan pernah efektif sepenuhnya meskipun telah dirancang dan
diterapkan dengan sesungguh-sungguhnya. Meskipun manajemen dapat merancang system
yang ideal, namun efektivitasnya tergantung pada kompetensi dan kejujuran orang-orang
yang menggunakannya.

Tanggung jawab Auditor untuk memahami Pengendalian internal

a) Pengendalian atas pelaporan keuangan, auditor berfokus pada pengendalian internal

yang berhubungan dengan perhatian manajemen yang pertama dalam pengendalian
internal, yaitu reliabilitas pelaporan keuangan.
b) Pengendalian atas kelas-kelas transaksi, auditor menekankan pengendalian internal
atas kelas-kelas transaksi bukan saldo akun.

Penerapan pengendalian internal yang harus dipahami oleh auditor meliputi hal-hal berikut:

a) Sifat dan Karakteristik Umum Pengendalian Internal

 b) Pengendalian yang Relevan dengan Audit
c) Sifat luas Pemahaman tentang Pengendalian yang Relevan
d) Komponen Pengendalian Internal

Sifat Karakteristik Umum Pengendalian Internal

Sebagaimana telah ditunjukkan dalam definisi pengendalian internal di atas, pengendalian

internal dirancang, diimplementasikan dan dipelihara untuk merespons risiko bisnis yang
teridentifikasi yang mengancam pencapaian tujuan entitas yang berkaitan dengan :

a) Keandalan pelaporan keuangan entitas

b) Efektivitas dan efisiensi operasi entitas
c) Kepatuhan entitas terhadap peraturan perundang-undangan yang berlaku
Pengendalian internal dirancang, diimplementasikan dan dipelihara melalui berbagai
carayang brgantung pada ukuran dan kompleksitas entitas. Entitas yang lebih kecil
dapatmenggunakan cara yang kurang terstruktur serta proses dan prosedur yang lebih
sederhana untukmencapai tujuan mereka.

Pengendalian yang Relevan dengan Audit

Terdapat hubungan langsung antara tujuan entitas dengan pengendalian
yangdiimplementasikan oleh entitas untuk menyediakan keyakinan memadai tentang
pencapaiantujuan tersebut. Tujuan entitas, termasuk pengendalian internal entitas, berkaitan
denganpelaporan keuangan, operasi dan kepatuhan, namun tidak semua tujuan dan
pengendaliantersebut relevan dengan penilaian risiko audit.Faktor-faktor yang relevan
dengan pertimbangan auditor tentang apakah suatupengendalian, baik secara individu
maupun bersama dengan pengendalian lain, adalah relevandengan audit dapat mencakup
hal-hal sebagai berikut :
a) Materialitas
b) Signifikansi risiko yang terkait
c) Ukuran entitas
d) Sifat bisnis entitas, termasuk karakteristik organisasi dan kepemilikannya.

Sifat luas Pemahaman tentang Pengendalian yang Relevan

Pengevaluasian atas rancangan suatu pengendalian melibatkan pertimbangan atas

apakah pengendalian lain,dapat secara efektif mencegah, atau mendeteksi dan
mengoreksi,kesalahan penyajian material. Implementasi suatu pengadilan berarti bahwa
pengendalian tersebut ada dan digunakan oleh entitas. Penilaian terhadap pengimlementasi
suatu pengendalian yang tidak efektif kurang bermakna, dan oleh karena itu, pertimbangan
atas rancangan suatu pengendalian harus dilakukan lebih dahulu. Suatu pengendalian yang
dirancang secara tidak tepat dapat mengakibatkan suatu defisiensi signifisikan dalam
pengendalian internal. Sebagai contoh, pemerolehan bukti audit tentang pengimplementasian
suatu pengendalian manual pada suatu waktu tidak menyediakan bukti audit tentang
efektivitas operasi pengendalian pada waktu yang lain selama periode yang diaudit.

KOMPONEN-KOMPONEN PENGENDALIAN INTERNAL

Untuk tujuan standar audit, pembagian pengendalian internal ke dalam lima

komponen dibawah ini menyediakan suatu kerangka yang bermanfaat bagi auditor untuk
mempertimbangkan bagaimana berbagai aspek pengendalian internal yang berbeda pada
entitas dapat mempengaruhi audit.

1. Lingkungan Pengendalian.
2. Proses Penialaian Risiko Entitas.
3. Sistem Informasi Yang Relevan Dengan Pelaporan Keuangan, Termasuk Proses
Bisnis Yang Terkait Dan Komunikasi.
4. Aktivitas Pengendalian.
5. Pemantauan Terhadap Pengendalian.

Pembagian tersebut belum tentu mencerminkan bagaimana suatu entitas merancang,

mengimplementasikan, dan memelihara pengendalian internal, atau bagaimana entitas
mengklasifikasikan komponen tertentu. Auditor dapat menggunakan terminologi atau
kerangka yang berbeda untuk menjelaskan bebagai aspek pengendalian internal dan
pengaruhnya terhadap audit daripada yang digunakan dalam standar audit, selama seluruh
komponen yang dijelaskan dalam standar audit tercakup.

1. Lingkungan Pengendalian.
Lingkungan Pengendalian mencakup fungsi tata kelola dan manajemen, serta sikap,
kesadaran, dan tindakan pihak yang bertanggungjawab atas tata kelola dan manajemen
atas pengendalian internal entitas dan pentingnya pengendalian tersebut dalam entitas.
Lingkungan pengendalian menetapkan arah organisasi yang memengaruhi kesadaran
pengendalian personel organisasi tersebut.
Ensesi dari suatu organisasi pengendalian yang efektif terketak pada prilaku
manajemennya. Apabila manajemen puncak yakin bahwa pengendalian merupakan hal
yang penting, maka yang lainnya dalam organisasi akan merasakan komitmen tersebut
dan akan menanggapi dengan kesungguhan untuk melaksanakan pengendalian yang
ditetapkan. Apabila anggota organisasi berpendapat bahwa pengendalian tidak penting
bagi manajemen puncak, maka hampir dapat dipastikan bahwa tujuan pengendalian tidak
akan dapat dicapai.
Lingkungan pengendalian terdiri dari tindakan-tindakan, kebijakan-kebijakan, dan
prosedur-prosedur yang mencerminkan prilaku menyeluruh manajemen puncak, para
direktur dan pemilik entitas tentang pengendalian internal dan arti pentingnya bagi
entitas. Untuk memahami dan menilai lingkungan pengendalian, auditor harus
mempertimbangkan sub-sub komponen pengendalian yang paling penting.
Lingkungan pengendalian meliputi unsur-unsur sebagai berikut:
a) Komunikasi dan Penegakan Nilai Integritas dan Etika.
Efektivitas pengendalian tidak dapat melebihi nilai integritas dan etika dari
mereka yang menciptakan, mengelola, dan memantau pengendalian tersebut.
b) Komitmen Terhadap Kompetensi.
Kompetensi adalah pengetahuan dan keahlian yang diperlukan untuk
menyelesaikan tugas yang menjadi tanggungjawab individu. Komitmen terhadap
kompetensi mencakup pertimbangan manajemen tentang tingkat kompetensi
untuk tugas tertentu dan bagaimana hal tersebut ditejemahkan ke dalam
persyaratan keterampilan dan pengetahuan.
c) Partisipasi Oleh Pihak Yang Bertanggungjawab atas Tata Kelola.
Kesadaran pengendalian suatu entitas dipengaruhi secara signifikan oleh pihak
yang bertanggungjawab atas tata kelola.
d) Filosofi dan Gaya Operasi Manajemen.
Melalui aktivitasnya, manajemen harus memberi sinyal yang jelas tentang
pentingnya pengendalian internal dan memberi pemahaman tentang hal ini dan
aspek-aspek serupa dari filsafah dan gaya operasi manajemen akan memberikan
kepada auditor gambaran tentang bagaimana sikap manajemen terhadap
pengendalian internal.
e) Struktur Organisasi.
Struktur organisasin entitas merumuskan garis pertanggungjawaban dan
kewenangan. Dengan memahami struktur organisasi entitas, auditor akan dapat
 mempelajari manajemen dan elemen-elemen fungsional dari bisnis, serta melihat
bagaimana pengendalian di terapkan.
f) Pemberian Wewenang dan Tanggung Jawab.
Hal ini mencakup kebijakan yang berkaitan dengan praktik bisnis yang tepat,
pengetahuan dan pengalaman personel kunci dan sumber daya yang tersedia untuk
melaksanakan tugas.
g) Kebijakan dan Praktik Sumber Daya Manusia.
Aspek terpenting dalam pengendalian internal adalah manusia. Karena apabila
karyawan kompeten dan bisa dipercaya, pengendaliam lain bisa diabaikan dan
laporan keuangan yang bisa dipercaya, tetap bisa dihasilkan.
2. Proses Penialaian Risiko Entitas.
Penilaian risiko untuk pelaporan keuangan adalah identifikasi dan analisis risiko yang
dilakukan manajemen berkaitan dengan penyusunan laporan keuangan yang sesuai
dengan kerangka pelaporan keuangan entitas yang berlaku. Proses penilaian risiko entitas
membentuk suatu basis bagi manajemen untuk menentukan bagaimana risiko dikelola.
Jika proses tersebut sudah tepat sesuai dengan kondisinya, termasuk sifat, ukuran, dan
kompleksitas entitas, maka hal ini membantu auditor dalam mengidentifikasi risiko
kelemahan penyajian meterial. Ketepatan atas kesesuaian proses penilaian risiko entitas
dengan kondisinya ditentukan oleh pertimbangan auditor.
Untuk tujuan pelaporan keuangan, proses penilaian risiko entitas mencakup bagaimana
manajemen mengidentifikasi risiko bisnis yang relevan dengan penyusunan laporan
keuangan sesuai dengan kerangka pelaporan keuangan entitas yang berlaku,
mengestimasi signifikansi risiko bisnis tersebut, meniali kemungkinan keterjadiannya,
dan memutuskan tindakan untuk merespon dan mengelola risiko tersebut beserta hasil
proses penilaian risiko tersebut.
3. Sistem Informasi Yang Relevan Dengan Pelaporan Keuangan, Termasuk Proses
Bisnis Yang Terkait Dan Komunikasi.
Suatu sistem informasi terdiri dari insfrastruktur (komponen fisik dan perangkat keras),
perangkat lunak, orang, prosedur, dan data. Banyak sistem informasi menggunakan
teknologi informasi scara ekstensif.
Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup sistem
pelaporan keuangan, mencakup metoda dan catatan yang:
- Mengidentifikasi dan mencatat seluruh transaksi yang valid.
 - Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk
memungkinkan klasifikasi transaksi tersebut secara tepat dalam pelaporan keuangan.
- Mengukur nilai transaksi dengan suatu cara yang memungkinkan pencatatan nilai
moneter transaksi tersebut secara tepat dalam laporan keuangan.
- Menentukan periode terjadinya transaksi yang memungkinkan pencatatan transaksi
tersebut dalam periode akuntansi yang tepat.
- Menyajikan transaksi dan pengungkapan terkait secara tepat dalam laporan keuangan.

Sistem informasi pada suatu entitas umumnya mencakup penggunaan entri jurnal standar
yang dibutuhkan secara berulang untuk mencatat transaksi. Sebagai contoh, entri jurnal untuk
mencatat penjualan, pembelian, dan pengeluaran kas dalam buku besar, atau untuk mencatat
estimasi akuntansi yang dibuat oleh manajemen secara berkala, seperti perubahan dalam
estimasi penyisihan piutang tak tertagih.

Proses pelaporan kuangan suatu entitas juga mencakup penggunaan entri jurnal nonstandar
untuk mencatat transaksi atau lebih penyesuaian yang tidak berulang dan tidak biasa. Sebagai
contoh, penyesuaian untuk konsolidasi dan entri untuk kombinasi bisnis atau penghapusan
atau estimasi yang tidak berulang seperti penurunan nilai suatu aset.

4. Aktivitas Pengendalian.
Aktivitas Pengendalian adalah kebijakan dan prosedur, selain yang tercakup dalam
keempat komponen pengendalian yang lain, yang membantu dalam memastikan bahwa
tindakan yang diperlukan dilakukan untuk menghadapi risiko guna tercapainya tujuan
entitas. Banyak aktivitas pengendalian yang secara potensial bisa dilakukan padasetiap
entitas, baik yang bersifat manual maupun terotomatisasi.
Pada umumnya, aktivitas pengendalian yang relevan dengan suatu audit dapat
dikategorikan sebagai kebijakan dan prosedur yang berkaitan dengan hal-hal sebagai
berikut:
- Penelaahan Kinerja. Aktivitas pengendalian ini mencakup penelaahan dan analisis
kinerja aktual dibandingkan denga anggaran, perkiraan, dan kinerja periode lalu. Serta
menggabungkan serangkaian data yang berbeda (data operasi dan data kaungan) satu
samaliannya, bersama dengan analisis hubungan dan tindakan investigatif dan
korektif. Membandingkan data internal dengan sumber informasi eksternal, serta
menelaah kinerja fungsional atau kinerja aktivitas.
- Pengolahan Informasi. Dua pengelompokan besar atas aktivitas pengendalian sistem
informasi adalah (a) Pengendalian aplikasi, yaitu pengendalian yang diterapkan atas
 pengolahan aplikasi individu. (b) Pengendalian teknologi informasi umum, yaitu
pengendalian berupa kebijakan dan prosedur yang berhubungan dengan banyak
aplikasi yang mendukung berfungsinya pengendalian aplikasi secara efektif dengan
membantu untuk menjamin beroperasinya sistem informasi secara tepat dan
berkelanjutan.
- Pengendalian Fisik. Pengendalian ini mencakup:
1. Pengamanan yang melandasi atas fisik aset, seperti fasilitas yang aman
atas akses terhadap aset dan catatan.
2. Otorisasi atas akses terhadap program komputer dn file data.
3. Penghitungan dan perbandingan dengan jumlah yang tercantum dan
catatan pengendalian secara periodik (sebagai contoh: perbandingan antara
hasil perhitungan kas, surat berharga, dan persediaan dengan catatan
akuntansi.
- Pemisahan Tugas. Pemberian tanggungjawab kepada individu yang berbeda dalam
pengotorisasian dan pencatatan transaksi, serta penyimanan aset. Pemisahan tugas
dimaksudkan untuk mengurangi peluang kemungkinan individu manapun untuk
berada dalam suatu posisi yang memungkinkannya untuk melakukan dan
menyembunyikan kesalahan atau kecurangan dalam tugas normalnya.
5. Pemantauan Terhadap Pengendalian.

Pemantauan pengendalian adalah suatu proses untuk menilai efektivitas pelaksanaan

pengendalian internal. Kegiatan ini melibatkan peniliaian efektivitas pengendalian secara
berkala dan tepat waktu, serta melakukan tindakan perbaikan yang diperlukan.
Manajemen melakukan pemantauan pengendalian melalui aktivitas yang sedang
berlangsung, pengevaluasian secara terpisah, atau kombinasi dari keduanya. Aktivitas
pengendalian yang sedang berlangsung sering dibangun dalam aktivitas berulang normal
entitas dan mencakup aktivitas pengelolaan dan pengawasan reguler.

Tanggung jawab paling penting manajemen adalah menetapkan dan memelihara

pengendalian internal secara berkelanjutan. Pemantauan pengendalian oleh manajemen
mencakup pertimbangan apakah pengendalian tersebut beroperasi sebagaimana yang
dimaksudkan dan pengendalian tersebut dimodifikasi sebagaimana diperlukan
sehubungan dengan perubahan dalam kondisi. Pemantauan pengendalian dapat mencakup
aktivitas seperti penelaahan manajemen tentang apakah rekonsiliasi bank dibuat secara
tepat waktu, evaluasi auditor internal atas kepatuhan personel penjualan terhadap
kebijakan entitas atas ketentuan kontrak penjualan, dan pengawasan departemen legal
atas kepatuhan terhadap kebijakan etika atau kebijakan praktik bisnis. Pemantauan juga
dilakukan untuk menjamin bahwa pengendalian beroperasi secara efektif secara
berkelanjutan sepanjang waktu. Sebagai contoh, jika ketepatan waktu dan keakurasian
rekonsiliasi bank tidak dipantau, maka kemungkinan personel akan menghentikan
penyiapan rekonsiliasi tersebut.

Auditor internal atau personel yang melaksanakan fungsi serupa dapat memberikan
kontribusi untuk memantau pengendalian entitas melalui evaluasi secara terpisah. Pada
umumnya, mereka menyediakan informasi reguler tentang keberfungsian pengendalian
internal pemusatan perhatian yang cukup besar atas pengevaluasian efektivitas
pengendalian internal, serta pengomunikasian informasi tentang kekuatan dan defisiensi
pengendalian internal dan rekomendasi untuk memperbaiki pengendalian internal.

Aktivitas pemantauan dapat mencakup penggunaan informasi yang berasal dari

komunikasi dengan pihak eksternal yang dapat mengindikasikan masalah atau area yang
menjadi perhatian yang memerlukan perbaikan. Validitas data penagihan didukung secara
implisit oleh pelanggan melalui pembayaran atau komplain atas faktur tagihan yang
dibebankan kepada mereka. Selain itu, regulator dapat berkomunikasi dengan entitas
tentang hal-hal yang memengaruhi keberfungsian pengendalian internal, sebagai contoh,
komunikasi tentang eksaminasi oleh badan pengatur bank. Disamping itu, manajemen
dapat mempertimbangkan komunikasi yang diperoleh dari auditor eksternal yang
berkaitan dengan pengendalian internal dalam melaksanakan aktivitas pemantauan.
MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL

Proses Mendapatkan Pemahaman Pengendalian Internal dan Penilaian Risiko

Pengendalian

• Mendapatkan dan mendokumentasikan pemahaman tentang

Tahap 1 rancangan dan pengoperasian pengendalian internal

• Menetapkan risiko pengendalian

Tahap 2

• Merancang, melaksanakan, dan mengevaluasi pengujian

Tahap 3 pengendalian

• Menetapkan risiko deteksi direncanakan dan pengujian

Tahap 4 substantif

Tahap-tahap di atas menggambarkan proses mendapatkan pemahaman tentang pengendalian

internal dan penilaian risiko pengendalian dalam audit atas laopran keuangan dan penilaian
tentang efektivitas pengendalian internal dalam pelaporan keuangan.

Standar Auditing mewajibkan auditor untuk mendapatkan dan mendokumentasikann

pemahaman tentang pengendalian internal untuk setiap audit. Dokumentasi pengendalian
internal yang diselenggarakan manajemen adalah sumber utama untuk memperoleh
pemahaman bagi auditor.

Sebagai bagian dari prosedur penilaian risiko pengendalian, auditor menggunakan

prosedur untuk mendapatkan pemahaman, yang meliputi pengumpulan bukti tentang
rancangan pengendalian internal dan apakah rancangan tersebut telah diimplementasikan.
Sebagaimana yang disebutkan dalam SA 315.13 yaitu:

Pada waktu memperoleh pemahaman tentang pengendalian yang relevan dengan audit,
auditor harus mengevaluasi rancangan pengendalian dan menentukan apakah
 pengendalian tersebut telah diimplementasikan, dengan melaksanakan prosedur
sebagai tambahan terhadap permintaan keterangan dari personal entitas.

SA 315.A67:

Auditor biasanya menggunakan empat dari delapan jenis bukti yang telah
disajikan untuk mendapatkan pemahaman tentang rancangan dan penerapan
pengendalian, yaitu: dokumentasi, meminta keterangan dari personal entitas,
mengobservasi, dan bagaimana pegawai entitas melaksanakan proses pengendalian,
dan melakukan ulang (performance) dengan cara menelusur satu atau sejumlah
transaksi melalui sistem akuntansi dari awal sampai akhir.

Auditor biasanya menggunakan tiga jenis dokumen untuk mendapatkan dan

mendokumentasikan pemahamannya tentang rancangan pengendalian internal, yaitu:
naratif, bagian alir (flowcharts), dan daftar pernyataan internal. Karena manajemen juga
berkewajiban untuk mendokumentasikan rancangan efektivitas pengendalian internal atas
pelaporan keuangan, maka dokumen ini biasanya sudah tersedia. yaitu: naratif, bagian alir
(flowcharts), dan daftar pernyataan bisa digunakan auditor secara tersendiri atau bisa juga
bersamaan dengan pendokumentasian pengendalian internal.

Naratif
Naratif adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada entitas
klien. Narasi dari suatu sistem akuntansi yang baik dan pengendalian terkait menjelaskan
empat hal yaitu:
 Sumber dari semua dokumen dan laporan dalam sistem.
Sebagai contoh, deskripsi harus menerangkan dari mana order pembelian berasal dan
bagaimana faktur penjualan dibuat.
 Semua pengolahan data yang dilakukan.
Sebagai contoh, jika jumlah rupiah penjualan ditentukan oleh program komputer
yang mengalikan jumlah barang yang dikirim dengan harga jual standar yang
tersimpan dalam master file harga, maka prosesnya harus dijelaskan.
 Disposisi setiap dokumen dan catatan dalam sitem.
Pengisian dokumen, pengirimannya kepada konsumen, atau pemusnahannya harus
dijelaskan.
 Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian.
 Hal ini meliputi pemisahan tugas (seperti misalnya pemisahan antara pencatatan kas
dan pemegang kas), otorisasi pemberian tujuan (seperti misalnya persetuan kredit),
dan verifikasi internal (seperti misalnya pembandingan antara harga jual per unit
dengan kontrak penjualan).

Bagain Alir

Bagian alir atau flowcharts adalah suatu diagram dari dokumen-dokumen klien dan
urutan alirannya dalam organisasi. Bagian alir yang memadai mencakup keempat
karakteristik yang sama dengan naratif.
Bagaian alir yang dirancang dengan baik akan bermanfaat terutama karena memberi
gambaran yang ringkas tentang sistem klien, yang bermanfaat bagi auditor untuk
mengidentifikasi pengendalian dan kelemahan dalam sistem klien. Bagian Alir memiliki
keuntungan dibandingkan dengan Naratif yaitu:
1. Mudah dibaca
2. Mudah direvisi untuk dimutahitkan
Pada umunya bagian alir tidak digunakan berbarengan dengan naratif untuk sistem
yang sama karena keduanya menerangkan tentang informasi yang sama.
Daftar Pertanyaan Pengendalian Internal
Suatu daftar pertanyaan pengendalian internal menyatakan serangkaian pertanyaan
tentang pengendalian pada setiap bidang yang diaudit sebagai cara untuk mengidentifikasi
definisi pengendalian internal. Daftar pertanyaan kebanyakan berbentuk jawaban “Ya” dan
“Tidak”. Jawaban “Tidak” mengidentifikasi kelemahan dalam sistem. Dengan menggunakan
daftar pertamyaan, auditor dapat mencakup setiap bidang audit dengan cukup cepat.
Kelemahan daftar pertanyaan:
1. Tidak dapat memberi gambarab keseluruhan sistem.
2. Tidak dapat diterapkan pada bidang-bidang tertentu, terutama pada entitas kecil.

Penggunaan daftar pertanyaan dan bagian alir secara berbarengan berguna untuk
mendapatkan pemahaman tentang rancangan pengendalian internal. Bagian alir memberikan
gambaran tentang sitem secara utuh, sedangkan daftar pertanyaan berfungsi sebagai daftar
pengecekan untuk mengingatkan auditor akan berbagai macam jenis pengendalian internal
yang ada.
PENILAIAN IMPLEMENTASI PENGENDALIAN INTERNAL

Selain mendapatkan pemahaman tentang rancangan pengendalian internal, auditor

juga harus mengevaluasi apakah rancangan pengendalian internal telah diterapkan. Dalam
praktik, proses mendapatkan pemahaman rancangan dan penerapan seeringkali dilakukan
secara bersamaan. Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan
dan implementasi pengendalian yang relevan dapat mencakup: (SA 315.67)

 Memutahirkan dan Mengevaluasi Pengalaman Masa lalu Auditor dengan Klien

(Entitas).
Kebanyakan audit dilakukan setiap tahun oleh kantor akuntan yang sama. Setelah
audit tahun pertama, auditor memiliki banyak informasi dari tahun lalu tentang
pengendalian internal klien. Informasi ini sangat berguna untuk menentukan apakah
pengendalian yang pada tahun lalu tidak berjalan dengan efektif telah diperbaiki.
 Meminta Keterangan dari Personal Entitas
Auditor harus mengajukan pertanyaan kepada manajemen, pengawas, dan staf agar
menjelaskan tugas mereka. Pengajuan pertanyaan yang cermat kepada personal yang
tepat akan membantu auditor dalam mengevaluasi apakah para pegawai memahami
tugas mereka dan menjalankan apa yang diyraikan dalam dokumentasi pengendalian
internal klien.
 Menginspeksi Dokumen dan Laporan
Kelima komponen pengendalian internal mencakup pembuatan banyak dokumen dan
catatan. Dengan memeriksa dokumen, catatan, dan file-file komputer yang telah
digunakan, auditor dapat mengevaluasi apakah informasi yang diuraikan dalam
bagian alir dan narasi telah diterapkan.
 Mengamati Penerapan Pengendalian Tertentu.
Manakala auditor mengamati personal klien dalam menjalankan aktivitas akuntansi
dan pengendalian normal, termasuk bagaimana mereka menyiapkan dokumen dan
catatan, hal itu akan melengkapi pemahaman dan pengetahuan auditor tentang
bagaimana pengendalian diterapkan.
 Menelusuri Transaksi Melalui Sistem Informasi yang Relevan denga Pelaporan
Keuangan
Dalam mengikuti penelurusan jejak (walkthrough) suatu transaksi, auditor memilih
satu atau beberapa dokumen dari suatu jenis transaksi dan menelusurinya sejak dari
awal terjadinya transaksi sampai selesainya poses akuntansi. Pada setiap tahapan
 proses, auditor mengajukan pertanyaan, mengamati aktivitas, dan memeriksa
dokumen dan catatan yang telah dikerjakan. Rekam jejak seperti ini menggabungkan
dengan baik proses mengamati, mendokumentasikan, dan mengajukan pertanyaan
untuk memastikan bahwa pengendalian yang dirancang manajemen telah
dilaksanakan.
PENGUJIAN PENGENDALIAN
Dengan telah diperolehnya pemahaman tentang pengendalian internal entitas sebagai
bagaian dari proses penilaian risiko, auditor telah dapat membuat penilaian awal risiko
pengendalian. Hasil penilaian risiko harus direspons oleh auditor baik pada tingkat laporan
keuangan maupun pada tingkat asersi. Sehubungan dengan hal tersebut Standar Audit (SA
330.6) menetapkan sebagai berikut:
Auditor harus merancang dan mengimplementasikan prosedur audit lebih lanjut yang
sifat, saat, dan luasnya didasarkan pada dan merupakan respons terhadap kesalahan
penyajian material yang telah dinilai pada tingkat asersi.
Salah satu prosedur dalam prosedur audit lebih lanjut adalah (jika perlu) melakukan
pengujian pengendalian sesuai SA 330.8.
PERENCANAAN DAN PELAKSANAAN PENGUJIAN PENGENDALIAN
Penilaian risiko pengendalian harus dilakukan auditor dengan mempertimbangkan
baik ranvangan maupun pelaksanaan pengendalian untuk menialai apakah pengendalian
tersebut bisa efektif di dalam memenuhi tujuan audit tertentu. Selama dalam tahap
pemahaman, auditor telah mengumpulkan bukti untuk mendukung baik rancangan maupun
penerapannya dengan menggunakan prosedur-prosedur untuk mendapatkan pemehaman.
Dalam banyak hal auditor tidak akan mendapatkan bukti yang cukup untuk menurunkan
penilaian risiko pengendalian ke tingkat yang cukup rendah. Oleh karena itu auditor harus
mencari bukti tambahan mengenai efektifitas pengendalian sepanjang periode yang diaudit
melalui pengujian pengendalian, yaitu:
Suatu proses audit yang dirancang untuk mengevaluasi efektivitas operasi
pengendalian dalam mencegah, atau mendeteksi dan mengoreksi kesalahan penyajian
material tingkat asersi (SA 330.4(b)).
Auditor harus merancang dan melaksanakan pengujian pengendalian untuk memperoleh
bukti audit yang cukup dan tepat terhadap efektivitas operasi pengendalian yang relevaan
jika:
1. Penilaian auditor terhadap risiko kesalahan penyajian material pada tingkat asersi
mencakup suatu harapan bahwa pengendalian beroperasi secara efektif.
 2. Prosedur substantive tidak dapat memberikan bukti audit yang cukup dan tepat pada
tingkat asersi.

Pengujian atas pengendalian dilaksanakan hanya untuk pengendalian yang auditor

yakini tepat dirancang untuk mencegah, atau mendeteksi, dan mengoreksi kesalahan
penyajian material atas suatu arsesi. Jika terdapat pengendalian yang sangat berbeda yang
digunakan pada waktu yang berbeda selama periode audit, maka setiap pengendalian tersebut
dianggap sebagai hal yang terpisah.

Pengujian atas efektivitas operasi pengendalian berbeda dengan pemerolehan

pemahaman tentang dan pengevaluasian terhadap rancangan dan implementasi pengendalian.
Namun, jenis prosedur audit yang sama dapat digunakan. Oleh karena itu, auditor dapat
memutuskan apakah efisien untuk menguji efektivitas operasi pengendalian pada waktu yang
sama dengan pengevaluasian terhadap rancangan pengendalian tersebut dan penentuan bahwa
rancangan tersebut telah diimplementasikan.

Walaupun bebersps prosedur penilaian risiko mungkin tidak dirancang secara spesifik
sebagai pengujian pengendalian, namun hal tersebut dapat memberikan bukti audit tentang
efektivitas operasi pengendalian tersebut, dan sebagai akibatnya, berfungsi sebagai pengujian
pengendalian. Sebagai contoh, prosedur pengendalian risiko oleh auditor mencakup:

 Permintaan keterangan tentang penggunaan anggaran oleh manajemen.

 Mengamati pembandingan anggaran beban bulanan dengan realisasinya yang
dilalakukan manajemen.
 Memeriksa laporan yang berkaitan dengan investigasi atas jumlah penyimpangan
antaran anggaran dengan realisasinya.

Prosedur audit ini memberikan pengetahuan tentang rancangan kebijakan anggaran

entitas dan apakah kebijakan tersebut telah diimplementasikan, tetapi dapat juga memberikan
bukti audit tentang efektivitas pengoperasian kebijakan anggaran dan mencegah atau
mendeteksi kesalahan penyajian material atas klasifikasi dalam penggolongan beban.

Auditor dapat merancang pengujian pengendalian untuk dilaksanakan secara

bersamaan dengan pengujian rinci atas transaksi yang sama. Walaupun tujuan pengendalian
berbeda dengan tujuan pengujian rinci, tujuan keduanya dapat dicapai secara bersamaan
dengan melakukan pengujian pengendalian dan pengujian rinci untuk transaksi yang sma,
yang dikenal dengan pengujian bertujuan ganda. Pengujian bertujuan ganda dirancang dan
dievaluasi dengan mempertimbangkan setiap pengujian secara terpisah.
PROSEDUR-PROSEDUR PENGUJIAN PENGENDALIAN

Pengevaluasian atas rancangan suatu pengendalian melibatkan pertimbangan atas

apakah pengendalian tersebut, baik secara individu maupun bersama dengan pengendalian
lain, dapat secara efektif mencegah, atau mendeteksi dan mengoreksi, kesalahan penyajian
material. Implementasi suatu pengendalian berarti bahwa pengendalian tersebut ada dan
digunakan oleh entitas. Penilaian terhadap pengimplementasian suatu pengendalian yang
tidak efektif kurang bermakna, maka pertimbangan atas rancangan suatu pengendalian harus
dilakukan terlebih dahulu. Suatu pengendalian yang dirancang secara tidak tepat dapat
mengakibatkan suatu defisiensi signifikan dalam pengendalian internal.

Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan
implementasi pengendalian yang relevan mencakup:

1. Meminta keterangan dari personel entitas yang sesuai.

Meskipun pengajuan pertanyaan bukanlah sumber utama bukti yang memiliki tingkat
kepercayaan yang tinggi tentang efektivitas pengendalian internal, namun prosedur ini
masih bisa digunakan.
2. Menginspeksi dokumen, dan laporan.
Banyak pengendalian meninggalkan jejak bukti dokumen yang jelas dapat digunakan
untuk menguji pengendalian.
3. Mengamatu penerapan pengendalian tertentu.
Sejumlah pengendalian tertentu tidak meninggalkan jejak bukti, yang berarti tidak
mungkin dilakukan pemeriksaan bukti bahwa pengendalian telah dilaksanakan. Untuk
pengendalian yang tidak meninggalkan bukti dokumen, auditor biasanya melakukan
pengamatan langsung penerapan pengendalian pada berbagai titik selama periode
audit.
4. Melakukan pelaksanaan ulang prosedur klien.
Ada pula aktivitas pengendalian yang disertai dengan dokumen dan catatan, tetapi
isinya tidak memadai untuk tujuan auditor dalam menetapkan apakah pengendalian
telah berjalan secara efektif.
Permintaan keterangan saja tidak cukup untuk menguji efektivitas operasi
pengendalian. Maka, prosedur audit lain dilakukan dengan mengkombinasikan dengan
permintaan keterangan. Oleh karena itu, permintaan keterangan yang dikombinasikan dengan
inspeksi atau prosedur pelaksanaan ulang mungkin dapat menghasilkan keyakinan yang lebih
tinggi dibandingkan dengan permintaan keterangan dan observasi, karena observasi hanya
relevan pada waktu tertentu pada saat observasi tersebut dilakukan. Sifat pengendalian
tertentu berdampak pada jenis prosedur yang diperlukan untuk memperoleh bukti audit
apakah pengendalian tersebut sudah beroperasi secara efektif.

LUAS PENGUJIAN PENGENDALIAN

Luas pengujian pengendalian yang diterapkan tergantung pada penilaian awal risiko
pengendalian. Apabila auditor menghendaki penilaian risiko pengendalian yang lebih rendah,
diperlukan pengujian pengendalian yang lebih luas, baik dalam hal jumlah pengendalian yang
diuji maupun luas pengujian untuk setiap pengendalian. Ketika dibutuhkan bukti audit yang
lebih meyakinkan berkaitan dengan efektivitas pengendalian, adalah semestinya dilakukan
dengan menambah pengujian atas pengendalian. Untuk meningkatkan keyakinan terhadap
pengendalian, hal-hal yang juga dapat dipertimbangkan oleh auditor dalam menentukan
pengujian pengendalian mencakup berikut ini sesuai dengan SA 330.A28:

1. Frekuensi dilakukannya pengendalian oleh entitas selama perode tersebut.

2. Lamanya waktu selama periode audit yang di dalamnya auditor dapat mengandalkan
efektivitas pengendalian operasi.
3. Tingkat penyimpanan yang diharapkan sari suatu pengendalian.
4. Relevasi dan keandalan bukti audit yang diperoleh yang berkaitan dengan efektivitas
operasi pengendalian tersebut pada tingkat asersi.
5. Luasnya bukti audit yang diperoleh dari pengujian atas pengendalian lainnya terhadap
asersi.

SAAT PENGUJIAN PENGENDALIAN

Ketika auditor bermaksud untuk mengandalkan pada pengendalian, auditor harus

menguji pengendalian tersebut untuk waktu tertentu, atau sepanjang periode yang diaudit,
tergantung pada situasi yang dihadapi.

Penggunaan Bukti Audit yang Diperoleh Selama Periode Interim

SA 330.12 menetapkan sebagai berikut:

jika auditor memperoleh bukti audit tentang efektivitas operasi pengendalian selama periode
interim, auditor harus:

a. Memperoleh bukti audit tentang perubahan signifikan atas pengendalian tersebut

setelah tanggal periode interim tersebut
 b. Menentukan bukti audit tambahan yang harus diperoleh setelah periode interim
sampai dengan tanggal laporan posisi keuangan.

Faktor relevan dalam menentukan bukti audit tambahan apa yang diperoleh tentang
pengendalian yang dioperasikan selama periode sisa setelah periode interim mecakup:

 Signifikasi risiko yang ditentukan atas kesalahan penyajian material pada tingkat
asersi.
 Pengendalian khusus yang telah diuji selama periode interim, dan perubahan penting
atas pengendalian tersebut diuji, termasuk perubahan dalam sistem informasi,
proses, dan karyawan.
 Tingkat bukti audit atas efektivitas operasi pengendalian tersebut diperoleh.
 Lamanya sisa periode.
 Luas prosedur substantive lebih lanjut yang auditor ingin kurangi berdasarkan
keyakinan auditor atas pengendalian.
 Lingkungan pengendalian.

Bukti audit tambahan dapat diperoleh, misalnya dengan menambah pengujian

pengendalian atas sisa periode atau menguji pemantauan oleh entitas terhadap pengendalian.

Penggunaan Bukti Audit yang Diperoleh dalam Audit Sebelumnya

Dalam kondisi tertentu, bukti audit yang diperoleh dari audit periode lalu dapat
memberikan bukti audit ketika auditor melakukan prosedur audit untuk membuat pengacuan
untuk audit periode kini. Auditor dapat memperoleh bukti audit untuk menentukan apakah
perubahan yang telah terjadi pada pengendalian otomatis di periode kini mempengaruhi
fungsi efektivitas pengendalian tersebut sampai audit periode kini. Pertimbangan terhadap
bukti audit tentang perubahan ini dapat mendukung peningkatan atau pengurangan bukti
audit yang harus diperoleh pada periode kini berkiatan dengan efektivitas operasi
pengendalian.

Dalam menentukan tepat atau tidaknya untuk menggunakan bukti audit tentang
efektivitas operasi pengendalian yang diperoleh dalan audit sebelumnya, dan jika demikian,
lamanya periode waktu yang mungkin telah berlalu sebelum pengujia ulang suatu
pengendalian, auditor harus mempertimbangkan hal-hal berikut:
 a. Efektivitas unsur lain pengendalian lain pengendalian internal, termasuk lingkungan
pengendalian, pengawasan pengendalian oleh entitas, dan proses penilaian risiko oleh
entitas.
b. Risiko yang timbul dari karakteristik pengendalian, termasuk apakah pengendalian
tersebut secara manual atau otomatis.
c. Efektivitas pengendalian umum atas teknologi informasi.
d. Efektivitas pengendalian dan penerapannya oleh entitas termasuk sifat dan luas
penyimpanan dalam pengendalian yang ditemukan dalam audit sebelumnya, dan
apakah ada perubahan karyawan secara signifikan berdampak terhadap pengendalian.
e. Dalam hal terdapat perubahan kondisi, apakah tidak adanya perubahan dalam suatu
pengendalian tertentu menimbulkan suatu risiko.
f. Risiko kesalahan penyajian material dan tingkat kepercayaan terhadap pengendalian.

Jika auditor merencanakan untuk menggunakan bukti audit dari audit sebelumnya
yang berkaitan dengan efektivitas operasi pengendalian spesifik, auditor harus membuat
hubungan yang berkelanjutan atas bukti tersebut dengan memperoleh bukti audit tentang
apakah terdapat perubahan signifikan dalam pengendalian tersebut setelah audit periode lalu.
Auditor harus memperoleh bukti dengan meminta keterangan yang dikombinasikan dengan
pengamatan atau inspeksi, untuk menegaskan pemahaman atas pengendalian spesifik
tersebut.

 Jika terdapat perubahan yang berdampak pada hubungan yang berkelanjutan atas
bukti audit dari audit periode lalu, auditor harus menguji pengendalian tersebut dalam
audit kini. Perubahan dapat mempengaruhi bukti audit yang diperoleh dalam audit
sebelumnya seperti kemungkinan tidak lagi sebagai dasar untuk diandalkan secara
berkelanjutan.
 Jika tidak terjadi perubahan seperti di atas, auditor harus menguji pengendalian
tersebut paling tidak setiap tiga kali audit, dan harus menguji beberapa pengendalian
setiap kali audit untuk menghindari kemungkinan pengujian atas semua pengendalian
yang auditor ingin andalkan dalam suatu periode audit tertentu tanpa menguji
pengendalian tersebut di dua periode audit kemudian.

Keputusan auditor mengenai apakah akan mengandalkan pada bukti audit yang diperoleh dari
audit periode lalu untuk:

a. Pengendalian yang belum berubah sejak terakhir kali diuji.

 b. Pengendalian yang bukan merupakan pengendalian yang menurunkan suatu risiko
signifikan.

Merupakan suatu pertimbangan professional. Di samping itu jeda waktu untuk pengujian
kembali pengendalian tersebut disyaratkan standar audit untuk dilakukan minimal sekali
setiap audit.

Secara umum makin tinggi risiko kesalahan penyajian material, atau makin besar
kepercayaan yang diandalkan pada pengendalian, maka makin pendek jangka waktu untuk
pengujian kembali. Faktor yang dapat mengurangi periode pengujian kembali pengendalian
adalah sebagi berikut:

1. Suatu difisiensi dalam lingkungan pengendalian.

2. Defisiensi dalam pemantauan pengendalian.
3. Adanya unsure proses manual yang signifikan dalam pengendalian relevan tersebut.
4. Pergantian karyawan yang berdampak signifikan terhadap aplikasi pengendalian.
5. Perubahan kondisi yang menunjukkan perlunya perubahan dalam pengendalian.
6. Defisiensi dalam pengendalian umum teknologi informasi.

Pengendalian atas Risiko Signifikan

Jika auditor merencanakan untuk mengandalkan pengendalian terhadap suatu risiko

yang auditor telah tentukan sebagai risiko signifikan, auditor harus menguji pengendalian
tersebut dalam periode sekarang.

PENILAIAN RESIKO PENGENDALIAN

Auditor mendapatkan pemahaman tentang rancangan dan penerapan pengendalian

internalagar dapat melakukan penilaian awal risiko pengendalian sebagai bagian dari
penilaian menyeluruh risiko kesalahan penyajian material. Dalam hal tertentu auditor
menjumpai bahwa defisiensi pengendalian sangat signifikan, sehingga laporan keuangan
klien tidak dapat diaudit. Oleh karena itu, sebelum melakukan penilaian awal risiko
pengendalianuntuk setiap golongan transaksi yang material, auditor pertama-tama harus
memutuskan apakah entitas bisa diaudit atau tidak.

Menetapkan Apakah Laporan Keuangan Bisa Diaudit atau Tidak

Ada dua faktor yang mempengaruhi apakah laporan keuangan bisa diaudit atau tidak yaitu:
integritas manajemen dan kecukupan catatan akuntansi. Apabila integritas manajemen
diragukan, kebanyakan auditor akan menolak untuk melakukan audit pada entitas dengan
manajemen seperti itu.

Catatan akuntansi adalah sumber utama bukti audit untuk sebagian besar tujuan audit.
Apabila catatan akuntansi tidak memadai, bukti audit yang diperlukan biasanya tidak akan
tersedia. Sebagai contoh: apabila klien tidak menyimpan duplikat faktur penjualan dan faktur
dari pemasok, maka audit biasanya tidak dapat dilakukan

Apabila klien menerapkan teknologi informasi yang kompleks, banyak informasi

transaksi hanya tersedia dalam bentuk elektronik tanpa menghasilkan jejak audit dan catatan
yang terlihat kasat mata. Dalam situasi ini, entitas masih dapat diaudit asalkan auditor
memiliki pengetahuan yang diperlukan untuk mengumpulkan bukti yang berbentuk
elektronik dan menugasi staf dengan keterampilan dan pengalaman TI yang memadai.

Menetapkan Risiko Pengendalian dengan Didukung oleh Pemahaman yang Diperoleh

Setelah mendapatkan pemahaman tentang pengendalian internal, auditor melakukan

penilaian awal risiko pengendalian. Penilaian ini merupakan ukuran tentang ekspetasi
auditor bahwa pengendalian internal akan dapat mencegah terjadinya kesalahan penyajian
material atau mendeteksi dan membetulkannya jika hal itu terjadi.

Kebanyakan auditor mengawali kegiatan ini dengan menetapkan pengendalian level-

entitas. Pada hakekatnya pengendalian level-entitas seperti kebanyakn elemen dalam
lingkungan pengendalian, pengendalian risiko, dan komponen pemantauan, memiliki dampak
yang luas pada kebanyakan transaksi utama pada setiap siklus transaksi.

Setelah auditor menentukan bahwa pengendalian level-entitas telah dirancang dan

dijalankan, selanjutnya auditor membuat penilaian awal untuk setiap tujuan audit transaksi
bagi setiap transaksi utama dalam setiap siklus transaksi. Auditor juga membuat penilaian
awal untuk pengendalian-pengendalian yang mempengaruhi tujuan audit untuk akun-akun
neraca dan penyajian serta pengungkapan pada setiap siklus.

Menggunakan Matrix Risiko Pengendalian untuk Menetapkan Risiko Pengendalian

Banyak auditor menggubakan matrix risiko pengendalian untuk membantu dalam proses
penilaian risiko pengendalian pada level transaksi. Hal ini dimaksudkan untuk memudahkan
pengorganisasian penilaian risiko pengendalian untuk setiap tujuan audit. Dibawah ini akan
diuraikan pembuatan matrix tersebut.
1. Mengidentifikasi Tujuan Audit

Langkah pertama dalam penilaian risiko pengendalian adalah mengidentifikasi tujuan audit
untuk setiap golongan transaksi, saldo akun, dan penyajian serta pengungkapan yang akan
ditetapkan risiko pengendaliannya. Hal ini dilakukan untuk golongan transaksi dengan
menerapkan tujuan audit untuk transaksi tertentu seperti telah diterangkan diatas dalam
bentuk yang umu, untuk jenis-jenis transaksi utama dalam entitas yang bersangkutan. Sebagai
contoh, auditor menetapkan tujuan keberadaan untuk penjualan, dan juga membuat penilaian
terpisah untuk tujuan kelengkapan.

2. Mengidentifikasi Pengendalian yang Ada

Langkah berikutnya, auditor menggunakan informasi yang telah dibahas pada bagian awal
bab ini yaitu pada tahap mendapatkan dan mendokumentasikan pengendalian internal untuk
mengidentifikasi pengendalian-pengendalian yang mempunyai kontribusi untuk mencapai
tujuan audit transaksi. Salah satu cara yang dilakukan auditor untuk melakukan hal ini adalah
mengidentifikasi pengendalian yang memenuhi tujuan audit.

Auditor harus mengidentifikasi dan hanya memasukkan pengendalian-pengendalian

yang diperkirakan memiliki pengaruh paling besar dalam memenuhi tujuan audit transaksi.
Hal ini sering disebut sebagai pengendalian kunci. Alasan mengapa hanya memasukkan
pengendalian kunci adalah karena pengendalian-pengendalian tersebut telah memadai untuk
mencapai tujuan audit transaksi dan demi efisiensi audit seperti yang disebutkan dalam SA
315.20.

3. Mengaitkan Pengendalian dengan Tujuan Audit yang Bersangkutan

Setiap pengendalian memenuhi satu atau beberapa tujuan audit tertentu. Hal ini dapat kita
lihat pada Gambar 8.4 pada buku untuk tujuan audit transaksi. Matrix digunakan untuk
menunjukkan bagaimana pengendalian berkontribusi untuk mencapai satu atau lebih tujuan
audit transaksi. Matrix risiko pengendalian serupa bisa dibuat untuk tujuan audit saldo dan
tujuan audit penyajian dan juga pengungkapan.

Gambar 8.4 Matrix Risiko Pengendalian – Penjualan

TUJUAN AUDIT TRANSAKSI - PENJUALAN
PENGENDALIAN INTERNAL
a b c d e f
Pemberian persetujuan kredit
secara otomatis dengan
computer dengan P
membandingkan pada batas
kredit yang disetujui perusahaan
(P1)

Penjualan dicatat dengan

didukung oleh bukti pengiriman
yang telah mendapat P P
persetujuan dan order dari
pembeli yang telah disetujui (P2)
Terdapat pemisahan wewenang
antara bagian pembuatan faktur,
pencatatan penjualan, dan P P
penanganan penerimaan kas (P3)
Dokumen pengiriman barang
setiap hari diteruskan ke bagian
pembuatan faktur dan faktur P P
dibuat pada hari berikutnya (P4)
Dokumen pengiriman barang
bernomot urut tercetak dan
dipertanggungjawabkan P P
pemakaiannya setiap minggu
(P5)
Total pengiriman barang per
batch dibandingkan dengan
kuantitas yang difaktur (P6) P P

Harga jual per unit diperoleh dari

master file harga yang telah
disetujui (P7) P

Transaksi penjualan diverifikasi

secara internal (P8)
P

Laporan piutang dikirim ke para

pelanggan setiap bulan (P9)
P P P

Komputer secara otomatis

membukukan transaksi ke buku
pembantu piutang usaha dan ke P
akun piutang usaha di buku
besar (P10)
 Master file piutang usaha
direkonsiliasi degan piutang di
buku besar setiap bulan (P11) P

Tidak terdapat verifikasi internal

untuk memeriksa kemungkinan
DEFISIENSI

faktur penjualan dicatat lebih

dari sekali (D1) D

tidak terdapat pengendalian

untuk menguji ketepatan waktu
pencatatan (D2)
D

Penilaian Risiko Pengendalian Med Rendah Rendah Rendah Rendah* Med

*) Karena tidak ada penjualan tunai; maka klasifikasi tidak menjadi masalah
P= pengendalian D=Defisiensi

Keterangan tentang kolom-kolom tujuan audit

a) Keberadaan
b) kelengkapan
c) ketelitian
d)Pembukuan dan peringkasan
e)Pengelompokan
f)

Mengidentifikasi dan Mengevaluasi Defisiensi Pengendalian, Defisiensi Signifikan, dan

Defisiensi Material

Auditor harus mengidentifikasi dan menilai risiko kesalahan penyajian material pada (a)
laporan keuangan dan (b) tingkat asersi untuk golongan transaksi, saldo akun dan
pengungkapan. Untuk tujuan ini SA 315.26 mengharuskan auditor untuk:
 a) Mengidentifikasi risiko sepanjang proses pemerolehan pemahaman tentang entitas
dan lingkungannya
b) Menilai dan mengidentifikasi risiko serta mengevaluasi risiko
c) Menghubungkan risiko yang diidentifikasi dengan apa yang bisa menjadi salah (what
can go wrong) pada tingkat asersi
d) Mempertimbangkan kemungkinan kesalahan penyajian, termasuk kemungkinan
kesalahan penyajian berganda

Dengan perkataan lain, auditor harus mengevaluasi apakah pengendalian kunci tidak
terdapat dalam rancangan pengendalian internal untuk pelaporan keuangan sebagai bagian
dari penilaian risiko penegndalian dan kemungkinan terjadinya kesalahan penyajian dalam
laporan keuangan.

1. Defisiensi pengendalian. Defisiensi penegndalian terjadi apabila rancangan atau

pengoperasian pengendalian tidak memungkinkan personel entitas untuk mencegah
atau mendeteksi kesalahan penyajian secara tepat waktu dalam kondisi normal
pelaksanaan fungsi-fungsi. Defisiensi rancangan terjadi apabila suatu pengendalian
yang diperlukan tidak ada atau tidak dirancang dengan tepat.
2. Defisiensi Signifikan. Defisiensi signifikan terjadi apabila terdapat defisiensi pada
satu atau lebih pengendalian yang kelemahannya tidak begitu besar bila dibandingkan
dengan kelemahan material.
3. Kelemahan Material. Suatu kelemahan material terjadi apabila terdapat suatu
defisiensi signnifikan atau sejumlah defisiensi signifikan, yaitu mengakibatkan
terbukanya kemungkinan bahwa pengendalian internal tidak akan dapat mencegah
atau mendeteksi kesalahan penyajian material dalam pelaporan keuangan secara tepat
waktu.

MENGIDENTIFIKASI DEFISIENSI, DEFIISIENSI SIGNIFIKAN, DAN

KELEMAHAN MATERIAL

Untuk mengidentifikasi defisiensi, defisiensi signifikan, dan kelemahan material, bisa

dilakukan dengan pendekatan lima tahap berikut

1. Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan material

adalah ketiadaan pengendalian yang memadai, auditor pertama-tama harus
mengetahui pengendalian mana yang ada
 2. Mengidentifikasi pengendalian kunci yang tidak ada. Daftar pertanyaan pengendalian
internal, bagan alir dan naratif berguna untuk mengidentifikasi pengendalian mana
yang tidak ada dan oleh karenanya kemungkinan kesalahan penyajian menjadi
meningkat.
3. Mempertimbangkan kemungkinan adanya pengendalian pengganti. Suatu
pengendalian pengganti adalah sesuatu yang terdapat dalam sistem yang dapat
menggantikan ketiadaan suatu pengendalian kunci
4. Menentukan apakah terdapat defisiensi signifikan atau kelemahan material.
Kemungkinan terjadinya keslahan penyajian dan tingkat materialitasnya digunakan
untuk mengevaluasi apakah terdapat defisiensi signifikan atau kelemahan material
5. Menentukan kesalahn penyajian potensial yang bisa terjadi. Tahap ini dimaksudkan
untuk mengidentifikasi kesalahan penyajian spesifik sebagai akibat defisiensi
signifikan atau kelemahan material.

Mengaitkan Defisiensi Signifikan dan Kelemahan Material dengan Tujuan Audit yang
Bersangkutan

Seperti halnya untuk pengendalian, setiap defisiensi signifikan atau kelemahan material dapat
diterapkan pada satu atau lebih tujuan audit

Menetapkan Risiko Pengendalian untuk Setiap Tujuan Audit yang Bersangkutan

Hal selanutnya yang dilakukan oleh auditor adalah menetapkan risiko penegndalian untuk
tujuan audit transaksi. Dalam hal ini matriks risiko pengendalian merupakan alat yang
berguna untuk membuat penilaian.

Keputusan ini bukanlah keputusan final. Sebelum membuat penilaian akhir pada akhir audit
auditor lalu akan melakukan pengujian pengendalian dan melakukan pengujian substantive.

PENGOMUNIKASIAN KEPADA PIHAK YANG BERSANGKUTAN DENGAN

TATA KELOLA DAN KEPADA MANAJEMEN

Komunikasi Kepada Pihak yang Bersangkutan dengan Tata Kelola

SA 265.9 menetapkan sebagai berikut.

“Auditor harus mengkomunikasikan secara tertulis tentang defisiensi signifikan

dalam pengendalian internal yang diidentifikasi selama audit kepada pihak yang
bertanggungjawab atas tata kelola secara tepat waktu”
Auditor dalam mengomunikasikan defisiensi signifikan dalam pengendalian internal secara
tertulis harus menyertakan tentang (SA 265.11)

a) Deskripsi serta penjelasan dampak potensial atas defisiensi tersebut; dan

b) Informasi yang cukup untuk memungkinkan pihak yang bertanggungjawab atas tata
kelola dan manajemen dalam memahami konteks komunikasi tersebut. Auditor
terutama harus menjelaskan bahwa:
i. Tujuan audit adalah untuk auditor dapat menyatakan opini atas laporan
keuangan
ii. Audit mencakup pertimbangan atas pengendalian internal yang relevan
terhadap penyusunan laporan keuangan dan merancang prosedur audit
yang tepat sesuai dengan kondisi, namun tidak bertujuan untuk
menyatakan opini atas efektivitas pengendalian internal; dan
iii. Hal-hal yang dilaporkan terbatas pada defisiensi yang diidentifikasi
oleh auditor selama audit dan auditor telah menyimpulkan bahwa hal-
hal tersebut cukup penting untuk dilaporkan kepada pihak yang
bertanggungjawab atas tata kelola.

Komunikasi Kepada Manajemen

Auditor juga harus mengomunikasikan kepada manajemen pada tingkat tanggung jawab yang
tepat secara tepat waktu (SA 265.10)

a) Secarag tertulis, defisiensi signifikan dalam pengendalian internal yang oleh auditor
telah dikomunikasikan kepa pihak yang bertanggungjawab atas tata kelola kecuali jika
hal itu tidak dapat dikomunikasikan secara langsung oleh manajemen oleh kondisi
tersebut
b) Defisiensi lain dalam pengendalian internal yang diidentifikasi selama audit yang
belum dikomunikasikan oleh pihak lain kepada manajemen yang, menurut
pertimbangan professional auditor, adalah cukup penting untuk mendapatkan
perhatian manajemen.

Tingkat kerincian dalam mengomunikasikan defisiensi signifikan merupakan pertimbangan

profesional auditor terhadap kondisi. Faktor-faktor yang dapat dipertimbangkan oleh auditor
dalam menentukan tingkat kerincian komunikasi mencakup:
  Sifat entitas: Sebagai contoh, komunikasi yang disyaratkan untuk entitas yang
memiliki kepentingan public dapat berbeda dengan komunikasi yang disyaratkan
untuk entitas yang di dalamnya tidak memiliki kepentingan public
 Ukuran dan kompleksitas entitas: sebagai contoh, komunikasi yang disyaratkan untuk
entitas yang kompleks dapat berbeda dengan yang beroperasi dalam bisnis sederhana
 Sifat defisiensi signifikan yang diidentifikasi oleh auditor
 Komposisi tata kelola entitas: Sebagai contoh, komunikasi yang lebih detail mungkin
diperlukan jika pihak yang bertanggungjawab atas tata kelola terdiri dari anggota
yang tidak memiliki pengalaman signifikan dalam industri entitas tersebut atau pada
bidang-bidang yang terkait dengannya
 Ketentuan peraturan perundang-undangan tentang komunikasi atas tipe spesifik dalam
defisiensi pengendalian internal

PENILAIAN TERHADAP EFEKTIVITAS OPERASI PENGENDALIAN

Kesalahan penyajian material yang diidentifikasi oleh prosedur audit merupakan

indicator yang kuat akan adanya defisiensi signifisikan dalam pengendalian internal. Jika
telah terdeteksi penyimpangan atas pengendalian yang auditor ingin andalkan, auditor harus
meminta keterangan secara khusus untuk memahami hal tersebut dan dampak ptensialnya,
serta harus menentukkan :

a) Pengujian pengendalian yang telah dilakukan memberikan suatu dasar yang tepat bagi
auditor untuk mengendalikan pada pengendalian tersebut.
b) Tambahan pengujian pengendalian diperlukan
c) Risiko potensi kesalahan penyajian perlu direspons dengan menggunakan prosedur
substantive.

Apabila hasil pengujian pengdalian mendukung rancangan dan pelaksanaan pengendalian

sebagaimana diharapkan , maka auditor akan menggunakan penetapkan risiko pengendalian
yang sama sebagaimana awal. Namun apabila pengujian pengendalian menunjukkan bahwa
pengendalian yang telah ditetapkan harusn dipertimbangkan kembali.

MEMUTUSKAN RENCANA RISIKO DETEKSI DAN MERANCANG PENGUJIAN

SUBSTANTIF

Auditor menggunakan risiko pengendalian dan hasil pengujian pengendalian untuk

menetapkan rencana risiko deteksi dan pengujian substantif yang bersangkutan untuk audit
laporan keuangan. Auditor melakukan hal ini dengan mengaitkan penilaian risiko
pengendalian dengan tujuan audit saldo untuk akun-akun yang dipengaruhi oleh jenis-jenis
transaksi utama dan dengan keempat tujuan penyajian dan pengungkapan. Tingkat risiko
deteksi yang tepat untuk stiap tujuan audit saldo, selanjutnya ditentukan dengan
menggunakan model risiko audit.
 DAFTAR PUSTAKA

Abdul Halim 2001. Auditing 1. Dasar-dasar Audit Laporan Keuangan. Edisi 2, UPP-AMP
YKPN, Yogyakarta