A.

PENGERTIAN SISTEM PENGENDALIAN INTERNAL

Sistem pengendalian internal menurut COSO(Committee of

SponsoringOrganization) merupakan suatu proses yang melibatkan dewan komisaris,
manajemen, dan personil lain, yang dirancang untuk memberikan keyakinan memadai
tentang pencapaian tiga tujuan berikut ini:

1. Efektivitas dan efisiensi operasi

2. Keandalan pelaporan keuangan
3. Kepetuhan kerhadap hukum dan peraturan yang berlaku.

B. KERANGKA PENGENDALIAN COSO

Kerangka konseptual pengendalian internal (COSO) sekarang telah menjadi
standar di seluruh dunia untuk membangun pengendalian internal. The Committee of
Sponsoring Organizations of the Treadway Commission’s didirikan pada tahun 1985, yang
merupakan aliansi dari lima organisasi profesi diantaranya :
1. Financial Executives International (FEI)
2. The American Accounting Association (AAA)
3. The American Institute of Certified Public Accountants (AICPA)
4. The Institute of Internal Auditors (IIA)
5. The Institute of Management Accountants (IMA) (formerly the National Association
of Accountants).
COSO 2013 tidak mengubah lima komponen pengendalian intern yang telah
dipakai sejak COSO 1992. Tentu saja penjelasannya tetap mengalami penyempurnaan.
Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.

1. Lingkungan Pengendalian (Control Environment)

Merupakan susunan dari standar, proses dan struktur yang menyediakan dasar
untuk terlaksananya pengendalian internal dalam organisasi. Lingkungan pengendalian
mencakup standar, proses, dan struktur yang menjadi landasan terselenggaranya
pengendalian internal di dalam organisasi secara menyeluruh. Lingkungan pengendalian
tercermin dari suasana dan kesan yang diciptakan dewan komisaris dan manajemen puncak
mengenai pentingnya pengendalian internal dan standar perilaku yang diharapkan.
Manajemen mempertegas harapan atau ekspektasi itu pada berbagai tingkatan organisasi.
Sub-komponen lingkungan pengendalian mencakup integritas dan nilai etika yang dianut
organisasi; parameter-parameter yang menjadikan dewan komisaris mampu melaksanakan
tanggung jawab tata kelola; struktur organisasi serta pembagian wewenang dan tanggung
jawab; proses untuk menarik, mengembangkan, dan mempertahankan individu yang
kompeten; serta kejelasan ukuran kinerja, insentif, dan imbalan untuk mendorong
akuntabilitas kinerja. Lingkungan pengendalian berdampak luas terhadap sistem
pengendalian internal secara keseluruhan.

2. Penilaian Risiko (Risk Assessment)

Penilaian risiko melibatkan proses yang dinamis dan berulang (iterative) untuk
mengidentifikasi dan menganalisis risiko terkait pencapaian tujuan. COSO 2013
merumuskan definisi risiko sebagai kemungkinan suatu peristiwa akan terjadi dan
berdampak merugikan bagi pencapaian tujuan. Risiko yang dihadapi organisasi bisa
bersifat internal (berasal dari dalam) ataupun eksternal (bersumber dari luar). Risiko yang
teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan.
Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Salah satu
prakondisi bagi penilaian risiko adalah penetapan tujuan yang saling terkait pada berbagai
tingkat organisasi. Manajemen harus menetapkan tujuan dalam katagori operasi,
pelaporan, dan kepatuhan dengan jelas sehingga risiko-risiko terkait bisa diidentifikasi dan
dianalisa. Manajemen juga harus mempertimbangkan kesesuaian tujuan dengan
organisasi. Penilaian risiko mengharuskan menajemen untuk memperhatikan dampak
perubahan lingkungan eksternal serta perubahan model bisnis organisasi itu sendiri yang
berpotensi mengakibatkan ketidakefektifan pengendalian intern yang ada.

3. Kegiatan Pengendalian (Control Activities)

Kegiatan pengendalian mencakup tindakan-tindakan yang ditetapkan melalui
kebijakan dan prosedur untuk membantu memastikan dilaksanakan arahan manajemen
dalam rangka meminimalkan risiko atas pencapaian tujuan. Kegiatan pengendalian
dilaksanakan pada semua tingkat organisasi, pada berbagai tahap proses bisnis, dan pada
konteks lingkungan teknologi. Kegiatan pengendalian ada yang bersifat preventif atau
detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah
otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan revie kenerja. Dalam memilih dan
mengembangkan kegiatan pengendalian, biasanya melekat konsep pemisahan fungsi
(segregation of duties). Jika pemisah fungsi tersebut dianggap tidak praktis, manajemen
harus memilih dan mengembangka altenatif kegiatan pengendalian sebagai
kompensasinya.

4. Informasi dan komunikasi (information and communication)

Organisasi memerlukan informasi demi terselenggaranya fungsi pengendalian
intern dalam mendukung pencapaian tujuan. . Manajemen harus memperoleh,
menghasilkan, dan menggunakan informasi yang relevan dan berkualitas, baik yang
berasal dari sumber internal maupun eksternal, untuk mendukung komponen-komponen
pengendalian internal lainnya berfungsi sebagaimana mestinya. Komunikasi sebagaimana
yang dimaksud dalam kerangka pengendalian internal COSO adalah proses iteratif dan
berkelanjutan untuk memperoleh, membagikan, dan menyediakan informasi. Komunikasi
internal harus menjadi sarana diseminasi informasi di dalam organisasi, baik dari atas ke
bawah, dari bawah ke atas, maupun lintas fungsi.

5. Kegiatan Pemantauan (Monitoring Activites)

Komponen ini merupakan satu-satunya komponen yang berubah nama.
Sebelumnya komponen ini hanya disebut pemantau (monitoring). Perubahan ini
dimaksudkan untuk memeprluas persepsi pemantauan sebagai rangkaian aktivitas yang
dilakukan sendiri dan juga sebagai bagian dari masing-masing empat komponen
pengendalian intern lainnya. Kegiatan pemantauan mencakup evaluasi berkelanjutan,
evaluasi terpisah, atau kombinasi dari keduanya yang digunakan untuk memastikan
 masing-masing komponen pengendlaian intern ada dan berfungsi sebagaimana mestinya.
Evaluasi berkelanjutan dibagun di dalam proses bisnis pada tingkat yang berbeda-beda
guna menyajikan informasi tepat waktu. Evaluasi terpisah dilakukan secara periodic,
bervariasi lingkup dan frekuensinya tergantung pada hasil penilian risiko, efektivitas
evaluasi berkelanjutan, dan pertimbangan manajemen lainnya.

C. PROSES PENILAIAN RISIKO PENGENDALIAN

Penilaian risiko pengendalian adalah proses mengevaluasi efektivitas rancangan dan
pelaksanaan pengendalian intern entitas dalam mencegah atau menemukan kesalahan
material dalam laporan, ketaatan terhadap peraturan dan ketentuan, dan pelaksanaan
kegiatan operasional entitas yang efektif dan efisien.
1. Langkah pertama adalah menilai lingkungan pengendalian. Suatu lingkungan
pengendalian yang buruk dapat melemahkan struktur pengendalian intern. Prosedur-
prosedur pengendalian intern yang kuat tidak akan bekerja dengan efektif pada
lingkungan pengendalian yang buruk. Penilaian atas lingkungan pengendalian ini
sangat melibatkan pertimbangan profesional auditor dan umumnya sama untuk semua
tujuan audit.
2. Langkah kedua adalah menilai efektivitas rancangan dari prosedur pengendalian dan
kemampuannya untuk mencegah atau mengoreksi kesalahan. Efektivitas ini tentu saja
pada akhirnya dibatasi oleh rancangannya. Risiko pengendalian dinilai untuk setiap
asersi atau tujuan-tujuan khusus audit. Karena sistem informasi terpusat pada
pemrosesan transaksi dan juga pemrosesan setiap jenis transaksi tertentu terdapat
banyak prosedur pengendalian, maka merupakan hal umum untuk memulai penilaian
risiko pengendalian untuk setiap asersi transaksi, seperti kejadian, kelengkapan,
pengukuran pembayaran kas. Hal yang perlu diperhatikan oleh auditor adalah bahwa
penilaian atas risiko pengendalian dilakukan untuk setiap asersi, bukan atas
keseluruhan sistem informasi/akuntansi.
3. Langkah terakhir adalah menilai apakah pengendalian-pengendalian tersebut telah
diterapkan secara efektif selama periode yang diaudit. Pengujian atas pengendalian
yang dapat dimasukkan pada langkah ini umumnya ditunda sampai penilaian awal
selesai dan hanya dilakukan pada langkah ini bila strategi risiko yang dipilih adalah
yang didasarkan pada penilaian tingkat risiko yang rendah.

Dalam mengevaluasi efektivitas rancangan yang cukup untuk melakukan penilaian awal
atas risiko pengendalian untuk suatu asersi, auditor dapat melakukan:
a. Identifikasi salah saji dalam asersi entitas atau ketidaktaatan atau permasalahan
kinerja yang dapat terjadi;
b. Identifikasi pengendalian-pengendalian yang diperlukan yang mampu mencegah atau
menemukan permasalahan di atas;
c. Evaluasi bukti dan membuat penilaian.

D. IDENTIFIKASI PENGENDALIAN-PENGENDALIAN YANG DIPERLUKAN

Baik menggunakan software komputer yang memproses jawabanjawaban dari
kuesioner pengendalian intern ataupun dengan menganalisa check list secara manual,
 auditor dapat mengidentifikasi pengendalianpengendalian yang diperlukan yang dapat
mencegah atau menemukan salah saji atau ketidaktaatan atau permasalahan kinerja, seperti
yang diilustrasikan pada tabel sebelumnya.
Dalam beberapa kasus tertentu, beberapa pengendalian digunakan untuk satu salah
saji atau ketidaktaatan atau permasalahan kinerja yang potensial. Dalam kasus-kasus yang
lain, cukup hanya satu pengendalian untuk mencegah satu permasalahan tersebut. Selain
itu, ada juga satu pengendalian dapat juga mencegah beberapa permasalahan tersebut.
Misalnya, rekonsiliasi bank periodik secara independen dapat menemukan cek-cek yang
belum tercatat atau cek-cek yang dikeluarkan pada jumlah yang tepat tetapi dicatat dalam
pembukuan pada jumlah yang tidak tepat.
Penentuan pengendalian-pengendalian yang diperlukan memerlukan pertimbangan
profesional auditor dan juga situasi dan kondisi yang terjadi. Misalnya, bila dalam situasi
volume transaksi pembayaran kas yang sangat tinggi, pengendalian yang mungkin penting
untuk dilakukan adalah melakukan pengecekan independen untuk mencocokkan ringkasan
cek yang dikeluarkan setiap hari dengan catatan pembukuan kas. Dengan cara ini,
kesalahankesalahan yang terjadi dapat ditemukan dengan cepat.
Bila volume transaksi pembayaran kas rendah, dan penemuan kesalahan yang tepat
pada waktunya tidak begitu penting, rekonsiliasi bank periodik secara independen cukup
untuk mengompensasi ketiadaan pengecekan independen harian. Dalam situasi kedua ini,
rekonsiliasi bank dapat dipandang sebagai pengendalian kompensasi.

E. PENILAIAN AKHIR ATAS RISIKO PENGENDALIAN

Penilaian akhir atas risiko pengendalian didasarkan pada evaluasi bukti-bukti yang
diperoleh dari :
a. (1) prosedur untuk memperoleh pemahaman atas komponen-komponen sistem
informasi dan pengendalian intern dan
b. (2) pengujian-pengujian pengendalian yang terkait.
Bila berbagai jenis bukti mendukung kesimpulan yang sama tentang efektivitas
suatu pengendalian, tingkat keyakinan auditor menjadi meningkat. Sebaliknya, bila
berbagai jenis bukti tersebut mendukung kesimpulan yang berbeda, tingkat keyakinannya
menjadi menurun. Misalnya, paraf pegawai dapat secara konsisten ada dalam dokumen-
dokumen yang menunjukkan pelaksanaan suatu prosedur pengendalian, tetapi wawancara
auditor kepada yang pegawai yang memaraf dokumen dapat menunjukkan bahwa pegawai
tersebut tidak memahami prosedur pengendalian yang dilaksanakannya. Bukti hasil
wawancara ini akan mengurangi tingkat keyakinan yang diperoleh dari pemeriksaan atas
paraf pada dokumen-dokumen. Evaluasi bukti melibatkan pertimbangan kuantitatif dan
kualitatif.
Dalam mengambil kesimpulan tentang efektivitas suatu prosedur pengendalian,
auditor seringkali menggunakan panduan-panduan berkenaan dengan frekuensi
penyimpangan yang dapat ditolerir (biasanya disajikan dalam bentuk persentase) dari
pelaksanaan-pelaksanaan suatu pengendalian yang benar. Jika hasil pengujian
mengarahkan auditor untuk menyimpulkan bahwa frekuensi penyimpangan kurang dari
atau sama dengan tingkat penyimpangan yang dapat ditolerir, pelaksanaan pengendalian
tersebut dapat dipandang sebagai efektif.
 Ketika disimpulkan bahwa frekuensi penyimpangannya melebihi tingkat
penyimpangan yang dapat ditolerir, maka pengendaliannya dianggap tidak efektif.
Sebelum mencapai kesimpulan tersebut, auditor harus mempertimbangkan penyebab-
penyebab penyimpangan. Misalnya, auditor dapat menyimpulkan tingkat signifikansi
yang berbeda atas terjadinya penyimpangan yang tinggi, yaitu karena adanya penggantian
sementara akibat pegawai mengambil cuti dibandingkan dengan karena dilakukan oleh
pegawai yang telah berpengalaman. Hal yang perlu dipertimbangkan juga apakah
penyimpangan-penyimpangan tersebut terjadi karena kesalahan secara tidak sengaja atau
ketidakberesan yang disengaja.
Bukti satu penyimpangan karena ketidakberesan dapat lebih penting daripada
banyak penyimpangan karena kesalahan. Penilaian risiko pengendalian dapat juga
dinyatakan secara kuantitatif (misalnya ada 40% kemungkinan risiko bahwa
pengendalian-pengendalian yang relevan tidak akan mencegah atau menemukan satu salah
saji/permasalahan tertentu), atau secara kualitatif (misalnya ada risiko yang rendah, sedang
atau tinggi bahwa pengendalian-pengendalian yang relevan tidak akan mencegah atau
menemukan satu salah saji/permasalahan tertentu.
Perlu juga diingat bahwa menilai risiko pengendalian untuk suatu asersi sangat
penting dalam menentukan tingkat risiko deteksi yang dapat diterima untuk asersi tersebut.
Hal ini, selanjutnya akan mempengaruhi tingkat prosedur substantif yang direncanakan
(termasuk sifat, waktu dan luas pengujianpengujian tersebut) untuk dilaksanakan dalam
menyelesaikan suatu audit.
Jika risiko pengendaliannya dinilai terlalu rendah, risiko deteksi dapat ditetapkan
terlalu tinggi dan auditor tidak dapat melaksanakan prosedur substantif yang cukup. Hal
ini akan mengakibatkan audit menjadi tidak efektif. Sebaliknya, jika risiko pengendalian
dinilai terlalu tinggi, prosedur substantif harus dilakukan lebih banyak daripada yang
diperlukan, menghasilkan audit yang tidak efisien.