RESUME BAB 10 (Buku Auditing Jasa Assurance Jilid I)

AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404

DAN RISIKO PENGENDALIAN

Untuk Memenuhi Tugas Mata Kuliah Sistem Pengendalian Manajemen

Disusun oleh :

Swetlana Kartika Maharani 1402150200/2015

Anisa Mutia 1402150184/2015
Ajeng Putri Adhika Fenadi 1402154304/2015
Della Desvia Hulwani 1402154312/2015

PROGRAM STUDI S1 AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS TELKOM

BANDUNG

2018
BAB 10

AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404 DAN RISIKO

PENGENDALIAN

TUJUAN PENGENDALIAN INTERNAL

Biasanya manajemen memiliki tiga tujuan umum dalam merancang sistem pengendalian internal
yang efektif:

1. Reliabilitas pelaporan keuangan

Manajemen memikul baik tanggung jawab hukum maupun professional untuk memastikan
bahwa informasi telah disajikan secara wajar sesuai dengan persyaratan pelaporan kerangka
kerja akuntansi seperti prinsip-prinsip akuntansi yang berlaku umum (GAAP) dan IFRS.
Tujuan pengendalian internal yang efektif atas pelaporan keuangan adalah memenuhi
tanggung jawab pelaporan keuangan tersebut.
2. Efisiensi dan efektivitas operasi
Pengendalian dalam perusahaan akan mendorong pemakaian sumber daya secara efisien dan
efektif untuk mengoptimalkan sasaran-sasaran perusahaan. Tujuan penting dari pengendalian
ini adalah memperoleh informasi keuangan dan nonkeuangan yang akurat tentang operasi
perusahaan untuk keperluan pengambilan keputusan.
3. Ketaatan pada hukum dan peraturan
Section 404 mengharuskan semua perusahaan publik mengeluarkan laporan tentang
keefektifan pelaksanaan pengendalian internal atas pelaporan keuangan. Selain mematuhi
ketentuan hukum dalam Section 404, organisasi-organisasi publik, nonpublik, dan nirlaba
diwajibkan menaati berbagai hukum dan peraturan.

TANGGUNG JAWAB MANAJEMEN DAN AUDITOR ATAS PENGENDALIAN

INTERNAL

Tanggung jawab atas pengendalian internal berbeda antara manajemen dan auditor. Manajemen
bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian internal entitas.
Manajemen juga diharuskan oleh Section 404 untuk melaporkan secara terbuka tentang
keefektifan pelaksanaan pengendalian tersebut. Sebaliknya, tanggung jawab auditor mencakup
memahami dan menguji pengendalian internal atas pelaporan keuangan. Auditor perusahaan
publik berukuran besar diwajibkan oleh SEC untuk menerbitkan laporan audit tentang
keefektifan pelaksanaan pengendalian tersebut setiap tahun.

Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian internal –
kepastian yang layak dan keterbatasan inheren.

Kepastian yang Layak. Perusahaan harus mengembangkan pengendalian internal yang akan
memberikan kepastian yang layak, tetapi bukan absolut, bahwa laporan keuangan telah disajikan
secara wajar.

Keterbatasan Inheren. Pengendalian internal tidak akan pernah bisa efektif 100%, tanpa
menghiraukan kecermatan yang diterapkan dalam perancangan dan implementasinya. Meskipun
personil yang menangani sistem itu sanggup merancang sebuah sistem yang ideal,
keefektifannya tergantung pada kompetensi dan ketergantungan orang-orang yang
menggunakannya.

Tanggung Jawab Pelaporan oleh Manajemen menurut Section 404

Section 404(a) dari UU Sarbanes-Oxley mengharuskan manajemen semua perusahaan publik

untuk mengeluarkan laporan pengendalian internal yang mencakup hal-hal berikut ini:

1. Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan

menyelenggarakan struktur pengendalian internal yang memadai serta prosedur pelaporan
keuangan.
2. Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur pelaporan
keuangan per akhir tahun fiskal perusahaan.

Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri dari dua
komponen utama. Pertama, manajemen harus mengevaluasi rancangan pengendalian internal
atas pelaporan keuangan. Kedua, manajemen harus menguji efektivitas pelaksanaan
pengendalian tersebut.
Rancangan Pengendalian Internal. Manajemen harus mengevaluasi apakah pengendalian telah
dirancang dan diberlakukan untuk mencegah atau mendeteksi salah saji yang material dalam
laporan keuangan. Fokus manajemen tertuju pada pengendalian atas semua asersi yang relevan
bagi semua akun dan pengungkapan yang signifikan dalam laporan keuangan.

Efektivitas Pelaksanaan Pengendalian. Di samping itu, manajemen juga harus menguji

efektivitas pelaksanaan pengendalian. Tujuan pengujian ini adalah untuk menentukan apakah
pengendalian telah berjalan seperti yang dirancang dan apakah orang yang melaksanakan
memiliki kewenangan serta kualifikasi yang diperlukan untuk melaksanakan pengendalian itu
secara efektif.

Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Pengendalian Atas Reliabilitas Pelaporan Keuangan. Auditor terutama berfokus pada

pengendalian yang berhubungan dengan perhatian manajemen yang pertama dalam pengendalian
internal: reliabilitas pelaporan keuangan. Laporan keuangan mungkin tidak sesuai dengan GAAP
atau IFRS jika pengendalian internal atas pelaporan keuangan tidak memadai.

Pengendalian atas Kelas-kelas Transaksi. Auditor menekankan pengendalian internal atas

kelas-kelas transaksi, dan bukan saldo akun, karena keakuratan output sistem akuntansi (saldo
akun) sangat tergantung pada keakuratan input dan pemrosesan (transaksi).

Tanggung Jawab Auditor untuk Menguji Pengendalian Internal

TABEL 10-1 Tujuan Audit yang Berhubungan dengan Transaksi Penjualan

Tujuan Audit yang Berhubungan dengan Tujuan Audit yang Berhubungan dengan
Transaksi–Bentuk Umum Transaksi Penjualan
Transaksi yang dicatat memang ada Penjualan yang dicatat adalah untuk
(keterjadian) pengiriman yang dilakukan kepada pelanggan
yang ada
Transaksi yang ada sudah dicatat Transaksi penjualan yang ada telah dicatat
(kelengkapan)
Transaksi yang tercatat dinyatakan pada Penjualan yang dicatat adalah senilai barang-
jumlah yang benar (keakuratan) barang yang dikirimkan serta ditagihkan dan
 dicatat dengan tepat
Transaksi yang dicatat dicantumkan dengan Transaksi penjualan dicantumkan dengan benar
benar dalam file induk dan diikhtisarkan dalam file induk dan diikhtisarkan dengan
dengan benar (posting dan pengikhtisaran) benar
Transaksi diklasifikasikan dengan benar Transaksi penjualan diklasifikasikan dengan
(klasifikasi) tepat
Transaksi dicatat pada tanggal yang benar Penjualan dicatat pada tanggal yang benar
(penetapan waktu)

KOMPONEN PENGENDALIAN INTERNAL COSO

Komponen pengendalian internal COSO meliputi hal-hal berikut ini:

1. Lingkungan pengendalian
2. Penilaian risiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan

GAMBAR 10-2 Lima Komponen Pengendalian Internal

Lingkungan Pengendalian.
Lingkungan pengendalian (control environment) terdiri atas tindakan, kebijakan, dan prosedur
yang mencerminkan sikap manajemen puncak, para direktur dan pemilik entitas secara
keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu. Untuk
memahami dan menilai lingkungan pengendalian, auditor harus mempertimbangkan
subkomponen pengendalian yang paling penting.

Integritas dan Nilai-nilai Etis. Integritas dan nilai-nilai etis adalah produk dari standar etika dan
perilaku entitas, serta bagaimana standar itu dikomunikasikan dan diberlakukan dalam etik.
Subkomponen ini meliputi tindakan manajemen untuk menghilangkan atau mengurangi
dorongan dan godaan yang mungkin membuat karyawan melakukan tindakan tidak jujur, illegal,
atau tidak etis. Ini juga meliputi pengomunikasikan nilai-nilai entitas dan standar perilaku kepada
para karyawan melalui pernyataan kebijakan, kode perilaku, dan teladan.

Komitmen pada Kompetensi. Kompetensi adalah pengetahuan dan keterampilan yang

diperlukan untuk menyelesaikan tugas mendefinisikan pekerjaan seseorang. Komitmen pada
kompetensi meliputi pertimbangan manajemen tentang tingkat kompetensi bagi pekerjaan
tertentu, dan bagaimana tingkatan tersebut diterjemahkan menjadi keterampilan dan pengetahuan
yang diperlukan.

Partisipasi Dewan Komisaris atau Komite Audit. Dewan komisaris berperan penting dalam
tata kelola korporasi yang efektif karena memikul tanggung jawab akhir untuk memastikan
bahwa manajemen telah mengimplementasikan pengendalian internal dan proses pelaporan
keuangan yang layak.

Independensi komite audit dari manajemen serta pengetahuan tentang masalah pelaporan
keuangan merupakan determinan yang penting menyangkut kemampuannya untuk mengevaluasi
secara efektif pengendalian internal dan laporan keuangan yang disiapkan oleh manajemen.
Sarbanex-Oxley Act mengarahkan SEC agar mengharuskan bursa saham nasional (NYSE dan
NASDAQ) memberlakukan persyaratan bagi perusahaan-perusahaan yang terdaftar di bursa itu
untuk mempunyai komite audit. Sebagai respons, bursa tidak akan mencantumkan setiap
sekuritas dari perusahaan yang memiliki komite audit yang:
 1. Bukan terdiri atas direktur yang independen
2. Tidak bertanggung jawab untuk mempekerjakan dan memecat auditor perusahaan
3. Tidak menetapkan prosedur penerimaan dan penanganan keluhan (misalnya,
“whistleblowing”) mengenai akuntansi, pengendalian internal, atau masalah auditing
4. Tidak memiliki kemampuan untuk melibatkan penasihat sendiri dan penasihat lainnya
5. Tidak didanai secara memadai

Pihak-pihak yang bertanggung jawab mengawasi arah strategis entitas dan akuntabilitas entitas,
termasuk pelaporan keuangan dan pengungkapan, disebut sebagai pihak-pihak yang memikul
tanggung jawab tata kelola oleh standar auditing.

Filososofi dan Gaya Operasi Manajemen. Manajemen, melalui aktivitasnya, memberikan

isyarat yang jelas kepada para karyawan tentang pentingnya pengendalian internal.

Struktur Organisasi. Struktur organisasional entitas menentukan garis-garis tanggung jawab

dan kewenangan yang ada. Dengan memahami struktur organisasi klien, auditor dapat
mempelajari pengelolaan dan unsur-unsur fungsional bisnis serta melihat bagaimana
pengendalian diimplementasikan.

Kebijakan dan Praktik Sumber Daya Manusia. Aspek paling penting dari pengendalian
internal adalah personil. Jika para karyawan kompeten dan bisa dipercaya, pengendalian lainnya
dapat diabaikan, dan laporan keuangan yang andal masih dihasilkan. Orang-orang yang tidak
kompeten atau tidak jujur bisa merusak sistem–meskipun ada banyak pengendalian yang
diterapkan. Orang-orang yang jujur dan efisien mampu mencapai kinerja yang tinggi meskipun
hanya ada segelintir pengendalian yang lain untuk mendukung mereka. Akan tetapi, orang-orang
yang kompeten dan terpercaya sekalipun bisa saja memiliki kekurangan. Sebagai contoh, mereka
dapat menjadi bosan atau tidak puas, masalah pribadi dapat mengganggu kinerja mereka, atau
sasarannya mungkin berubah.

Penilaian risiko (risk assessment) atas pelaporan keuangan adalah tindakan yang dilakukan
manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dengan
penyusunan laporan keuangan yang sesuai dengan GAAP. Sebagai contoh, jika suatu perusahaan
sering menjual produk dengan harga di bawah harga pokok persediaan karena pesatnya
perubahan teknologi, perusahaan itu harus menyelenggarakan pengendalian yang memadai untuk
mengatasi risiko melebihsajikan persediaan.

Aktivitas Pengendalian
Aktivitas pengendalian (control activities) adalah kebijakan dan prosedur, selain yang sudah
termasuk dalam empat komponen lainnya, yang membant memastikan bahwa tindakan yang
diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas manapun,
termasuk pengendalian manual dan terotomasi. Aktivitas pengendalian umumnya dibagi menjadi
lima jenis:
1. Pemisahan Tugas yang Memadai
Ada empat pedoman umum yang menyangkut pemisahan tugas yang memadai untuk
mencegah baik kecurangan maupun kekeliruan yang terutama penting bagi auditor yaitu:
a. Pemisahan penyimpanan aset dari akuntansi untuk melindungi perusahaan dari
penyelewengan, seseorang yang ditugaskan menyimpan aktiva secara permanen
ataupun temporer tidak boleh mencatat aset itu.
b. Pemisahan otorisasi transaksi dari dari penyimpanan aset terkait. Sebaiknya, orang
yang mengotorisasi transaksi tidak boleh memegang kendali atas aset terkait, untuk
mengurangi kemungkinan terjadinya penyelewengan.
c. Pemisahan tanggung jawab operasional dari tanggung jawab pencatatan. Untuk
memastikan bahwa informasi tidak bias, pencatatan biasanya dimasukkan dalam
departemen terpisah dibawah kontroler.
d. Pemisahan tugas TI dari departemen pemakai. Apabila tingkat kompleksitas sistem
TI meningkat, pemisahan otorisasi, pencatatan, dan penyimpanan sering kali menjai
tidak jelas.
2. Otorisasi yang Tepat atas Transaksi dan Aktivitas
Agar pengendalian berjalan dengan baik, setiap transaksi harus diotorisasi dengan
tepat. Otorisasi bersifat umum atau khusus. Dengan otorisasi umum manajemen
menetapkan kebijakan dan para bawahan diinstruksikan untuk mengimplementasikan
otorisasi umum tersebut dengan menyetujui semua transaksi dalam batas yang telah
ditetapkan oleh kebijakan itu. Otorisasi khusus berlaku untuk transaksi individual. Untuk
transaksi tersebut manajemen memilih mengotorisasi setiap transaksi. Contohnya adalah
 otorisasi transaksi penjual oleh manajer penjualan untuk perusahaan penjual mobil
bekas.

3. Dokumen dan Catatan yang Memadai.

Dokumen dan catatan adalah objek fisik dimana transaksi akan dicantumkan serta
diikhtisarkan. Dokumen dan catatan meliputi berbagai item seperti faktur penjualan,
pesanan pembelian, catatan pembantu, jurnal penjualan dan kartu absensi karyawan.
Prinsip-prinsip tertentu akan mengatur perancangan dan penggunaan dokumen
serta catatan yang baik. Dokumen dan catatan harus:
a. Dipranomori secara berurutan untuk memudahkan pengendalian atas dokumen yang
hilang dan sebagai alat bantu untuk mencari dokumen itu ketika diperlukan di
kemudian hari.
b. Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin untuk
meminimalkan kesalahan penetapan waktu.
c. Dirancang untuk berbagai pengguna, jika mungkin guna meminimalkan jumlah
formulir yang berbeda
d. Dibuat sedemikian rupa sehingga memudahkan penyiapan yang benar.
4. Pengendalian Fisik atas Aset dan Catatan.
Untuk menyelenggarakan pengendalian internal yang memadai, aset dan catatan
harus dilindungi. Jika dibiarkan tidak dilindungi, aset itu bisa dicuri. Jika tidak
terlindungi secara memadai, catatan bisa dicuri, rusak, atau hilang, yang dapat sangat
mengganggu proses akuntansi dan operasi bisnis. Jika suatu perusahaan sangat
terkomputerisasi, peralatan komputer, program, dan file data harus dilindungi. Jenis
ukuran protektif yang paling penting untuk menjaga aset dan catatan adalah penggunaan
tindakan pencegahan fisik.
5. Pemeriksaan Independen atas Kinerja Kategori.
Terakhir dari aktivitas pengendalian adalah review yang cermat dan berkelanjutan atas
keempat hal lainnya, yang sering kali disebut pemeriksaan independen atau verifikasi
 internal. Kebutuhan akan pemeriksaan independen timbul karena pengendalian internal
cenderung berubah seiring dengan berlalunya waktu, kecuali review serng dilakukan.

Informasi dan Komunikasi

Tujuan sistem informasi dan komunikasi akuntansi entitas adalah untuk memulai,
mencatat, memroses, dan melaporkan transaksi yang dilakukan entitas itu serta mempertahankan
akuntabilitas aset terkait. Sistem informasi dan komunikasi akuntansi mempunyai beberapa
subkomponen , yang biasanya terdiri atas kelas-kelas transaksi seperti penjualan, retur penjualan,
penerimaan kas, akuisisi, dan sebagainya.

Sebagai contoh, sistem akuntansi penjualan harus dirancang untuk memastikan bahwa semua
penerimaan barang oleh perusahaan telah dengan tepat dicatat sebagai penjualan (tujuan
kelengkapan dan keakuratan) dan tercermin dalam laporan keuangan pada periode yang tepat
(tujuan penetapan waktu). Sistem itu juga harus menghindari pencatatan ganda penjualan dan
pencatatan penjualan bila pengiriman belum dilakukan (tujuan keterjadian). Untuk memahami
perancangan sistem informasi akuntansi, auditor menentukan:

1. Kelas transaksi utama entitas.

2. Bagaimana transaksi dimulai dan dicatat.
3. Catatan akuntansi apa saja yang ada serta sifatnya
4. Bagaimana sistem itu menangkap peristiwa-peristiwa lain yang penting bagi laporan
keuangan, seperti penurunan aset.
5. Sifat serta rincian proses pelaporan keuangan yang diikuti, temasuk prosedur
pencatatan transaksi dan penyesuaian dalam buku besar umum.

Pemantauan
Aktivitas pemantauan burhubungan dengan penilaian mutu pengendalian internal serta
berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa pengendalian itu telah
beroperasi seperti yang diharapkan, dan telah dimodifikasi sesuai dengan perubahan kondisi.
Informasi yang dinilai ini berasal dari berbagai suber, termasuk studi atas pengendalian internal
yang ada.
Memperoleh dan Mendokumentasikan Pemahaman tentang Pengendalian Internal
Proses untuk memahami pengendalian internal dan menilai risiko pengendalian:
1. Tahap 1: Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal
rancangan dan operasi.
2. Tahap 2 : Menilai risiko pengendalian.
3. Tahap 3 : Merancang, melaksanakan, dan mengevaluasi pengujian pengendalian.
4. Tahap 4 : Memutuskan risiko deteksi yang direncanakan dan pengujian substantif.

Naratif
Naratif adalah urain tertukis tentang pengendalian internal klien. Suatu naratif yang baik
mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal:
1. Asal usul setiap dokumen dan catatan dalam sistem.
2. Semua pemrosesan yang berlangsung.
3. Disposisi setiap dokumen dan catatan dalam sistem.
4. Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian.

Bagan Arus Kas

Suatu bagan arus kas (flow chart) pengendalian internal adalah diagram yang menunjukkan
dokumen klien dan aliran urutannya dalam organisasi. Suatu bagan arus yang memadai
mencakup empat karakteristik yang sama yang diidentifikasi untuk naratif.

Kuesioner Pengendalian Internal

Kuesioner pengendalian internal mengajukan serangkaian pertanyaan tentang pengendalian
internal setiap area audit sebagai sarana untuk mengidentifikasi difisiensi pengendalian internal.
Sebagian kuesioner meminta jawaban “ya” atau “tidak”, dengan jawaban “tidak” menunjukkan
adanya defisiensi pengendalian internal yang potensial. Dengan menggunakan kuesioner ,
auditor dapat meliput setiap area audit dengan cukup cepat. Dua kelemahan utama kuesioner
adalah tidak mampu memberikan gambaran yang menyeluruh tentang sistem klien dan tidak
dapat diterapkan pada beberapa audit, terutama yang lebih kecil.

Mengevaluasi Pengimplementasian Pengendalian Internal

Selain memahami perancangan pengendalian internal auditor juga harus mengevaluasi
apakah pengendalian yang dirancang itu telah diimplementasikan. Dalam praktik, pemahaman
atas rancangan dan pengimplementasian sering kali dilakukan secara bersamaan. Berikut ini
adalah metode-metode umum yang digunakan:
1. Memutakhirkan dan mengevaluasikan pengalaman auditor sebelumnya dengan entitas.
2. Melakukan tanya jawab dengan personil klien.
3. Menelaah dokumen dan catatan.
4. Mengamati aktivitas dan operasi entitas.
5. Melakukan penelusuran sistem akuntansi dalam penelusuran.

MENILAI RISIKO PENGENDALIAN

a. Menilai apakah laporan keuangan bisa di audit

Catatan akuntansi merupakan sumber bukti audit yang penting bagi sebagian
besar tujuan audit. Jika catatan akuntansi defisien, bukti audit yang diperlukan mungkin
tidak tersedia. Dalam lingkungan IT yang rumit, sebagian besar informasi tentang
transaksi hanya tersedia dalam format elektronik tanpa meninggalkan jejak audit yang
bisa dilihat seperti dokumen dan catatan. Dalam hal ini, perusahaan umumnya tetap bisa
diaudit. Namun, auditor harus menilai apakah mereka mempunyai keterampilan yang
diperlukan untuk mengumpulkan bukti dalam bentuk elektronik dan dapat menugaskan
personil yang memiliki pelatihan dan pengalaman IT yang memadai.
b. Menentukan penilaian risiko pengendalian yang didukung oleh pemahaman yang
diperoleh
Penilaian ini merupakan ukuran ekspektasi auditor bahwa pengendalian internal
akan mencegah salah saji yang material atau mendeteksi dan mengoreksinya jika salah
saji itu sudah terjadi. Titik awal bagi sebagian besar auditor adalah penilaian
pengendalian tingkat entitas. Secara alami, pengendalian entitas, seperti banyak unsur
yang terkandung di lingkungan pengendalian, penilaian risiko, dan komponen
pemantauan, memiliki dampak yang luas terhadap kebanyakkan jenis transaksi utama
dalam setiap siklus transaksi.
Setelah menentukan bahwa pengendalian tingkat entitas dirancang dan
dioperasikan, auditor lalu membuat penilaian pendahuluan ini untuk setiap tujuan audit
yang berhubungan dengan transaksi bagi setiap jenis transaksi utama dalam masing-
masing siklus transaksi. Auditor juga membuat penilaian pendahuluan atas pengendalian
 yang mempengaruhi tujuan audit untuk akun-akun neraca serta penyajian dan
pengukapan dalam setiap siklus.
c. Penggunaan matriks risiko pengendalian untuk menilai risiko pengendalian
Banyak auditor yang menggunakan matriks risiko pengendalian untuk membantu
proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara yang mudah
untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit.
- Mengidentifikasi tujuan audit
Langkah pertama dalam penilaian adalah mengidentifikasi tujuan audit untuk kelas
transaksi, saldo akun, serta penyajian dan pengungkapan yang akan dinilai. Hal ini
dilakukan untuk kelas-kelas transaksi dengan menerapkan tujuan audit khusus yang
berhubungan dengan transaksi yang sudah dibahas sebelumnya, yang dinyatakan
dalam bentuk umum, bagi setiap jenis transaksi utama entitas bersangkutan.
- Mengidentifikasi pengendalian yang ada
Salah satu cara yang dapat ditempuh auditor untuk melakukan hal ini adalah
mengidentifikasi pengendalian guna memenuhi setiap tujuan. Auditor juga akan
terbantu jika menggunakan kelima aktivitas pengendalian (pemisahan tugas, otorisasi
yang tepat, dokumen dan catatan yang memadai, pengendalian fisik atas aset dan
catatan, serta pemeriksaan independen atas kinerja) sebagai pengingat pengendalian.
Auditor harus mengidentifikasi dan hanya memasukkan pengendalian yang
diperkirakan akan berdampak paling besar terhadap pencapaian tujuan audit yang
berhubungan dengan transaksi. Pengendalian ini sering kali disebut pengendalian
kunci. Alasan hanya memasukkan pengendalian kunci adalah bahwa pengendalian ini
sudah mencukupi untuk mencapai tujuan audit yang berhubungan dengan transaksi,
di samping memungkinkan efisiensi audit.
- Menghubungkan pengendalian dengan tujuan audit yang terkait
Setiap pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait. Bagian
matriks digunakan untuk menunjukkan bagaimana setiap pengendalian berperan
dalam mencapai satu atau lebih tujuan audit yang berhubungan dengan transaksi.
Matriks risiko pengendalian yang serupa akan dilengkapi untuk tujuan audit yang
berhubungan dengan saldo serta yang berhubungan dengan penyajian dan
pengungkapan.
 - Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang
signifikan, dan kelemahan yang material
Auditor harus mengevaluasi apakah pengendalian kunci tidak diterapkan dalam
perancangan pengendalian internal atas pelaporan keuangan sebagai bagian dari
mengevaluasi risiko pengendalian dan kemungkinan salah saji laporan keuangan.
Standar auditing mendefinisikan tiga tingkat tidak diterapkannya pengendalian
internal:

1. Definisi pengendalian
Definisi pengendalian terjadi jika perancangan atau pelaksanaan
pengendalian tidak memungkinkan karyawan perusahaan mencegah atau
mendeteksi salah saji secara tepat waktu. Definisi perancangan terjadi jika
pengendalian yang diperlukan tidak ada atau tidak dirancang dengan baik.
Definisi operasi terjadi jika pengendalian yang dirancang dengan baik tidak
berjalan seperti yang dirancang, atau jika orang yang melaksanakan pengendalian
tidak memiliki kualifikasi atau kewenangan yang memadai.
2. Definisi yang signifikan
Definisi yang signifikan terjadi jika ada satu atau lebih defisiensi
pengendalian yang jauh lebih kecil ketimbang kelemahan yang material, tetapi
cukup penting untuk diperhatikan oleh pihak yang bertanggung jawab mengawasi
pelaporan keuangan perusahaan.
3. Kelemahan yang material
yang material terjadi jika defisiensi yang siginifikan, secara sendiri atau
Bersama-sama dnegan defisiensi yang signifikan lainnya, mengakibatkan
kemungkinannya lebih dari kecil bahwa pengendalian internal tidak akan
mencegah atau mendeteksi salah saji yang material dalam laporan keuangan
secara tepat waktu.

Untuk menentukan apakah suatu defiensi pengendalian internal yang signifikan merupakan
kelemahan yang material. Defisiensi itu harus dievaluasi dari dua dimensi: kemungkinan dan
signifikansi.
d. Mengidentifikasi defisiensi, defisiensi yang signifikan, dan kelemahan yang material
Pendekatan lima langkah dapat digunakan untuk mengidentifikasi defisiensi-
defisiensi yang siginifikan, dan kelemahan yang material:
 Mengidentifikasi pengendalian yang ada
Defisiensi dan material adalah tidak diterapkannya pengendalian yang memadai.
Pertama auditor harus mengetahui pengendalian mana saja yang ada.
 Mengidentifikasi tidak diterapkannya pengendalian kunci
Kuesioner pengendalian internal, bagan arus dan penelusuran adalah sarana yang
berguna untuk mengidentifikasi di mana saja pengendalian itu tidak ada sehingga
kemungkinan terjadinya salah saji meningkat.
 Mempertimbangkan kemungkinan pengendalian pengimbang
Pengendalian pengimbang adalah pengendalian yang diterapkan di suatu tempat
dalam sistem yang mengoffset tidak diterapkannya pengendalian kunci. Bila ada
pengendalian pengimbang, tidak ada lagi defisiensi yang signifikan atau kelemahan
yang material.
 Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material
Kemungkinan salah saji serta materialitasnya digunakan untuk mengevaluasi apakah
ada defisiensi yang signifikan atau kelemahan yang material.
 Menentukan salah saji yang potensial yang bisa dihasilkan
Langkah ini dimaksudkan untuk mengidentifikais salah saji spesifik yang mungkin
diakibatkan oleh defisiensi yang signifikan atay kelemahan yang material. Arti
penting dari defisiensi yang siginifikan dan kelehaman yang material berhubungan
langsung dengan kemungkinan dan materialitas salah satu yang potensial.

4. Menghubungkan defisiensi yang signifikan dan kelemahan yang material dengan

tujuan audit terkait
Sama seperti untuk pengendalian, setiap defisiensi yang signifikan atau
kelemahan yang material dapat diterapkan pada satu atau lebih tujuan audit yang
terkait.
5. Menilai risiko pengendalian untuk setiap tujuan audit yang terkait
 Setelah pengendalian, defisiensi yang signifikan, dan kelemahan yang material
diidentifikasi serta dihubungkan dnegan tujuan audit yang berkaitan dengan
transaksi, auditor dapat menilai risiko pengendalian untuk tujuan audit yang
berkaitan dengan transaksi. Auditor menggunakan semua informasi yang telah
dibahas sebelumnya untuk menilai risiko pengendalian yang subyektif bagi setiap
tujuan. Ada banyak cara untuk menyatakan penilaian ini. Beberapa auditor
menggunakan pernyataan yang subjektif seperti tinggi, moderat atau rendah.
Sementara yang lainnya menggunakan probabilitas numerik seperti 1,0, 0,6, atau
0,2.
Matriks risiko pengendalian adalah alat yang bermanfaat untuk melakukan
penilaian. Sebelum melakukan penilaian final pada akhir audit terpadu, auditor
akan menguji pengendalian dan melaksanakan pengguna substantive atas
rinciannya. Prosedur ini dapat mendukung penilaian pendahuluan atau
menyebabkan auditor melakukan perubahan. Dalam beberapa kasus, manajemen
dapat mengoreksi defisiensi dan kelemahan yang material sebelum auditor
melakukan pengujian yang mendalam, yang memungkinkan risiko pengendalian
dikurangi.
e. Komunikasi dengan pihak yang memikul tanggung jawab tata kelola dan surat
manajemen
1. Komunikasi dengan pihak yang memikul tanggung jawab
Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang material
secara tertulis kepada pihak yang memikul tanggung jawab tata kelola begitu auditor
mengetahui keberadaannya. Komunikasi ini biasanya ditujukan kepada komite audit
dan manajemen. Komunikasi yang tepat waktu dapat memberi manajemen
kesempatan untuk menangani defisiensi pengendalian sebelum laporan manajemen
mengenai pengendalian internal harus dikeluarkan.
2. Surat manajemen
Bentuk komunikasinya sering kali berupa surat terpisah untuk tujuann itu, yang
disebut surat manajemen. Walaupun surat manajemen tidak dinyatakan oleh standar
auditing, biasanya auditor menyiapkan surat ini sebagai jasa audit bernilai tambah.

PENGUJIAN PENGENDALIAN
a. Tujuan pengujian pengendalian
Penilaian risiko pengendalian mengharuskan auditor mempertimbangkan perancangan
dan pelaksanaan pengendalian untuk mengevaluasi apakah pengendalian itu efektif dalam
memenuhi tujuan audit yang terkait. Selama tahap pemahaman, auditor sudah harus
mengumpulkan sejumlah bukti untuk mendukung perancangan pengendalian dan
implementasinya dengan menggunakan prosedur untuk memperoleh pemahaman.
Prosedur untuk menguji efektivitas pengendalian dalam mendukung penilaian risiko
pengendalian yang lebih rendah disebut pengujian pengendalian.
Jika hasil pengujian pengendalian mendukung perancangan dan pelaksanaan
pengendalian seperti yang diharapkan, audtor akan menggunakan penilaian risiko
pengendalian yang sama dengan penilaian pendahuluan. Akan tetapi, jika pengujian
pengendalian itu menunjukkan bahwa pengendalian tidak berjalan efektif, penilaian
risiko pengendalian harus dipertimbangkan kembali.
b. Prosedur untuk pengujian pengendalian
Pengujian manajemen atas pengendalian internal mungkin akan termasuk empat jenis
prosedur yang sama itu. Keempat jenis prosedur itu adalah sebagai berikut:
- Mengajukan pertanyaan kepada personil klien yang tepat
Walaupun pengajuan pertanyaan bukan merupakan sumber bukti yang sangat andal
tentang pelaksanaan pengendalian yang efektif, prosedur ini masih sesuai.
- Memeriksa dokumen, catatan, dan laporan
Banyak pengendalian yang meninggalkan jejak yang jelas berupa bukti documenter
yang dapat digunakan untuk menguji pengendalian.
- Mengamati aktivitas yang terkait dengan pengendalian
Beberapa pengendalian tidak meninggalkan jejak bukti, yang berarti di kemudian hari
tidak mungkin memeriksa bukti bahwa pengendalian itu telah dilaksanakan.
- Melaksanakan kembali prosedur klien
Ada juga aktivitas yang terkait dengan pengendalian yang memiliki dokumen dan
catatan, tetapi isinya tidak mencukupi untuk mengakomodasi tujuan auditor menilai
apakah pengendalian telah berjalan secara efektif.
c. Luas prosedur
 Seberapa luas pengujiann pengendalian diterapkan tergantung pada penilaian
pendahuluan atas risiko pengendalian. Jika menginginkan risiko pengendalian yang
dinilai lebih rendah, auditor akan menerapkan pengujian pengendalian yang lebih
ekstensif, baik dalam hal jumlah pengendalian yang diuji maupun luas pengujian untuk
setiap pengendalian.
- Mengandalkan bukti dari audit tahun sebelumnya
Apabila auditor berencana menggunakan bukti tentang efektivitas pelaksanaan
internal yang diperoleh dalam audit terdahulu, standar auditing mengharuskan auditor
untuk menguji keefektifan pengendalian itu paling sedikit tiga tahun.
- Menguji pengendalian yang berhubungan dengan risiko yang signifikan
Risiko yang siginifikan adalah risiko yang diyakini auditor membutuhkan
pertimbangan audit khusus. Apabila prosedur penilaian risiko yang dilakukan auditor
mengidentifikasi risiko yang signifikan, auditor diharuskan menentukan efektivitas
pelaksanaan pengendalian yang mengurangi risiko tersebut dalam audit tahun
berjalan, jika auditor berencana menggunakan pengendalian tersebut untuk
mendukung penilaian risiko pengendalian di bawah 100%.
- Menguji kurang dari seluruh periode audit
Bagi pengendalian yang diterapkan selama periode akuntansi, biasanya tidak praktis
jika diuji pada tanggal interim. Jadi auditor akan menentukan apakah telah terjadi
perubahan dalam periode yang tidak diuji dan memutuskan implikasi setiap
perubahan itu. Pengendalian yang berhubungan dengan penyusunan laporan
keuangan hanya diterapkan secara kuartalar atau pada akhir tahun sehingga juga
harus diuji pada akhir kuartal dan akhir tahun.
f. Hubungan antara pengujian pengendalian dan prosedur untuk memperoleh pemahaman
Ada dua perbedaan utama dalam penerapan prosedur utama tersebut.
1. Untuk memahami pengendalian internal, prosedur untuk memperoleh pemahaman
harus diterapkan pada semua pengendaliann yang teridentifikasi selama tahap
tersebut.
2. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa
transaksi atau dalam kasus observasi, pada satu titik waktu.