MAKALAH AUDITING

“AUDIT ATAS PENGENDALIAN MENURUT SECTION 404 DAN RISIKO

PENGENDALIAN”

Diajukan untuk memenuhi salah satu tugas mata kuliah AUDITING

Oleh Bimbim Maghriby, SE.,Ak.,M.Ak.,BKP

DI SUSUN OLEH:

Yulia Febronia Moi C10170047

Annisa Maulidawati C10170077
Melvina Susanto C10170188
Meuthia Oktaviani C10170193
Elisabet Novitasari Sinaga C10170253
Ria Aryani C10170277
Jastika Simbolon C10170279

PROGRAM STUDI AKUNTANSI S1

SEKOLAH TINGGI ILMU EKONOMI (STIE) EKUITAS

2019
 KATA PENGANTAR

Puji syukur kami ucapkan kepada Allah SWT, yang atas rahmat-Nya, maka kami dapat
menyelesaikan penyusunan makalah mata kuliah AUDIT yang berjudul, “Audit Atas
Pengendalian Internal Menurut Section 404 dan Risiko Pengendalian.”

Penyusunan makalah ini merupakan salah satu tugas untuk mata kuliah AUDIT. Semoga
dengan penyusunan makalah ini dapat menambah pengetahuan dan pemahaman diri penyusun
tentang mata kuliah ini.

Kami menyampaikan ucapan terima kasih yang tidak terhingga kepada pihak-pihak yang
terlibat secara langsung maupun tidak atas sumber-sumber materi sebagai bahan referensi yang
membantu dalam penyusunan makalah ini.

Akhir kata, semoga makalah ini bermanfaat bagi kami selaku penyusun dan penulis makalah ini
pada khususnya dan bagi pembaca pada umumnya sebagai referensi tambahan di mata kuliah
AUDIT.

Bandung, Desember 2019

Kelompok Penyusun
 Daftar Isi

KATA PENGANTAR ................................................................................................................................. 2

DAFTAR ISI................................................................................................. Error! Bookmark not defined.
BAB I ............................................................................................................................................................ 4
PENDAHULUAN ....................................................................................................................................... 4
1.1. Latar Belakang ............................................................................................................................ 4
1.2. Rumusan Masalah ...................................................................................................................... 4
BAB II .......................................................................................................................................................... 5
PEMBAHASAN .......................................................................................................................................... 5
A. Tujuan Pengendalian Internal ....................................................................................................... 5
B. Tanggung Jawab Manajemen dan Auditor Atas Pengendalian Internal .................................. 6
C. Komponen Pengendalian Internal ................................................................................................. 9
D. MEMPEROLEH DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL .......................................................................................................... 19
E. MENILAI RISIKO PENGENDALIAN ...................................................................................... 23
F. PENGUJIAN PENGENDALIAN ................................................................................................ 30
G. Memutuskan Risiko Deteksi Yang Direncanakan Dan Merancang Pengujian Substantif ... 33
BAB III....................................................................................................................................................... 36
PENUTUP.................................................................................................................................................. 36
Kesimpulan ............................................................................................................................................ 36
DAFTAR PUSTAKA ................................................................................................................................ 37
 BAB I

PENDAHULUAN
1.1. Latar Belakang
Perencanaa audit ini akan memperhatikan bagaimana pengendalian internal yang efektif
dapat mengurangi bukti audit yang direncanakan dalam audit atas laporan keuangan. Untuk
mendukung penilaian atas komponen risiko pengendalian dari model resiko audit. Dan
bagaimana auditor perusahaan publik memadukan bukti guna menyediakan dasar bagi
laporannya mengenai keefektifan pengendalian internal atas pelaporan keuangan dengan
penilaian risiko pengendalian dalam audit atas laporan keuangan. Dan akan mengidentifikasi
dan membahas perbedaan-perbedaan dalam menilai resiko pengendalian dan pengujian
pengendalian bagi perusahaan non public disbandingkan dengan perusahaan publik. Dan
dalam kedua pendekatan itu ada lebih banyak kesamaan ketimbang perbedaan.
1.2. Rumusan Masalah
1. Tujuan pengendalian internal?
2. Tanggung jawab manajemen dan auditor atas pengendalian internal?
3. Komponen Pengendalian Internal?
4. Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal?
5. Menilai risiko pengendalian?
6. Pengujian pengendalian?
7. Memutuskan Risiko Deteksi Yang Direncanakan Dan Merancang Pengujian
Substantif?
 BAB II

PEMBAHASAN
A. Tujuan Pengendalian Internal
Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang
untuk memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya. Kebijakan dan prosedur ini sering kali disebut pengendalian, dan
secara kolektif membentuk pengendalian internal entitas tersebut. Biasanya manajemen
memiliki tiga tujuan umum dalam rencana sistem pengendalian internal yang efektif.
1. Reliabilitas pelaporan keuangan, manajemen memikul baik tanggung jawab
hokum maupun profesional untuk memastikan bahwa informasi telah disajikan
secara wajar sesuai dengan persyaratan pelaporan kerangka kerja akuntansi seperti
prinsip-prinsip akuntansi yang berlaku umum (GAAP) dan IFRS. Tujuan
pengendalian internal yang efektif atas pelaporan keuangan adalah memenuhi
tanggung jawab pelaporan keuangan tersebut.
2. Efesiensi dan efektivitas operasi. Pengendalian dalam perusahaan akan mendorong
pemakaian sumber daya secara efektif dan efisien untuk mengoptimalkan sasaran-
sasaran perusahaan. Tujuan penting dari pengendalian ini adalah memperoleh
informasi keuangan dan nonkeuangan yang akurat tentang operasi perusahaan
untuk keperluan pengambilan keputusan.
3. Ketaatan pada hokum dan peraturan. Section 404 mengharuskan semua
perusahaan publik mengeluarkan laporan tentang keefektifan pelaksanaan
pengendalian internal atas pelaporan keuangan. Selain mematuhi ketentuan hokum
dalam section 404, organisasi-organisasi publik, nonpublik, dan nirlaba diwajibkan
menaati berbagai hokum dan peraturan. Beberapa hanya berhubungan secara tidak
langsung dengan akuntansi, seperti UU perlindungan lingkungan dan hak sipil,
sementara yang lainnya berkaitan erat dengan akuntansi, seperti peraturan pajak
penghasilan dan provisi legal anti kecurangan.

Manajemen merancang sistem pengendalian internal untuk mencapai ketiga tujuan

ini. Focus auditor, baik dalam audit atas laporan keuangan maupun audit atas
pengendalian internal, tujuan pada pengendalian atas reliabilitas pelaporan keuangan
 ditambah pengendalian atas operasi dan ketaatan pada hokum serta peraturan yang
dapat secara material mempengaruhi pelaporan keuangan.

B. Tanggung Jawab Manajemen dan Auditor Atas Pengendalian Internal

Tanggung jawab atas pengendalian internal berbeda antara manajemen dan auditor.
Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian
internal entitas. Menejemen diharuskan oleh section 404 untuk melapor secara terbuka
tentang keefektifan pelaksanaan pengendalian tersebut. Sebaliknya, tanggung jawab
auditor mencangkup memahami dan menguji pengendalian internal atas pelaporan
keuangan. Auditor perusahaan publik berukuran besar diwajibkan oleh SEC untuk
menerbitkan laporan audit tentang keefektifan pelaksanaan pengendalian tersebut setiap
tahun.
Manajemen bukan auditor, yang harus menetapkan dan menyelenggarakan
pengendalian internal entitas. Konsep ini konsisten dengan persyaratan bahwa manajemen,
bukan auditor, yang bertanggung jawab atas penyusunan laporan keuangan yang sesuai
dengan kerangka kerja akuntansi seperti GAAP atau IFRS. Ada dua konsep utama yang
melandasi perencanaan dan implementasi pengendalian internal-kepastian yang layak dan
keterbatasan inheren
1. Kepastian yang layak
Perusahaan harus mengembangkan pengendalian internal yang akan memberikan
kepastian yang layak, tetapi buka absolut, bahwa laporan keuangan telah disajikan secara
wajar. Pengendalian internal dikembangkan oleh manajemen setelah mempertimbangkan
biaya maupun manfaat pengendalian itu. Kepastian yang layak hanya memberikan
kemungkinan yang kecil saja bahwa salah saji yang material tidak akan tercegah atau
terdeteksi secara tepat waktu oleh pengendalian internal.
2. Keterbatasan inherent
Pengendalian internal tidak akan pernah bias efektif 100%, tanpa menghiraukan
kecermatan yang diterapkan dalam perencanaan dan implementasinya. Meskipun personil
yang menangani system itu sanggup merancang sebuah system yang ideal., keefektifannya
tergantung pada kompetensi dan ketergantungan orang-orang yang menggunakannya.
 Tanggung Jawab Pelaporan Oleh Manajemen Menurut Section 404
Section 404 (a) dari UU Sarbanes-Oxley mengharuskan manajemen semua
perusahaan publik untuk mengeluarkan laporan pengendalian internal yang mencakup hal-
hal berikut ini :
 Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan
menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.
 Suatu penilaian atau efektivitas struktur pengendalian internal dan prosedur
pelaporan keuangan per akhir tahun fiskal perusahaan.

Manajemen juga harus mengidentifikasi kerangka kerja yang digunakan untuk

mengevaluasi keefektifan pengendalian internal. kerangka kerja pengendalian internal
yang digunakan oleh sebagian besar perusahaan A.S adalah Interal Control Integrated
Framework yang dikeluarkan Commite of Sponsoring Organizations dari Treadway
Commision (COSO). Ada kerangka lainnya didunia, seperti Internal Control: Guidance
for Directors on the Combined Code di Inggris (dikenal sebagai (Turnball Report) dan
Guidance on Assessing Control di Kanada (dikenal sebagai “CoCo”). Penilaian
manajemen mengenai pengendalian internal atas pelaporan keuangan tediri dari dua
komponen yaitu :

1. Rancangan Pengendalian Internal

Manajemen harus mengevaluasi apakah pengendalian telah dirancang dan
diberlakukan untuk mencegah atau mendeteksi salahsaji yang material dalam laporan
keuangan. Hal ini termasuk mengevaluasi bagaimana transaksi yang signifikan dimulai,
diotorisasi, diproses, dan dilaporkan untuk mengidentifikasi titik-titik arus transaksi
dimana salah yang material akibat kekeliruan atau kecurangan bisa saja terjadi.

2. Efektivitas Pelaksanaan Pengendalian

Tujuan pengujian ini adalah untuk menentukan apakah pengendalian telah berjalan
seperti yang dirancang, dan apakah orang yang melaksanakan memiliki kewenangan serta
kualifikasi yang diperlukan untuk melaksanakan pengendalian itu secara efektif. Hasil
pengujian manajemen, yang harus didokumentasikan, akan membentuk dasar bagi asersi
 manajemen pada akhir tahun fiskal mengenai efektivitas pelaksanaan pengendalian.
Manajemen harus mengungkapkan setiap kelemahan pengendalian internal yang material.

Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Salah satu prinsip dalam pendahuluan standar auditing AICPA adalah bahwa auditor
mengidentifikasi dan menilai apakah risiko salah saji yang material dalam laporan
keuangan disebabkan oleh kekeliruan atau kecurangan berdasarkan pemahaman yang
cukup tentang entitas dan lingkungannya, termasuk pengendalian internal entitas. Standar
auditing mengharuskan auditor memahami pengendalian internal yang relevan dengan
audit dalam setiap penugasan audit. Auditor harus memperhatikan sebgai berikut :
1. Pengendalian atas Realibilitas pelaporan Keuangan
Auditor terutama berfokus pada pengendalian yang berhubungan dengan perhatian
manajemen yang pertama dalam pengendalian internal : realibilitas laporan keuangan.
Laporan keuangan mungkin tidak sesuai dengan GAAP dan IFRS jika pengendalian
internal atas pelaporan keuangan tidak memadai. Tidak seperti klien, auditor tidak terlalu
memperhatikan pengendalian yang mempengaruhi efesiensi dan efektivitas operasi
perusahaan. Karena pengendalian semacam itu mungkn tidak mempengaruhi kewajaran
penyajian laporan keuangan. Namun, auditor tidak boleh mengabaikan pengendalian yang
mempengaruhi informasi manajemen internal, seperti anggaran dan laporan kinerja
internal.
2. Pengendalian atas Kelas-Kelas Transaksi
Auditor menekankan pengendalian internal atas kelas-kelas transaksi, dan bukan
saldo akun, karena keakuratan output sistem akuntansi (saldo akun) sangat tergantung pada
keakuratan input dan pemrosesan (transaksi). Meskipun menekankan pada pengendalian
yang berhubungan dengan transaksi, auditor jga harus memahami pengendalian atas saldo
akun akhir dan tujuan penyajian serta pengungkapan. Sebagai contoh, tujuan audit yang
berhubungan dengan transaksi biasanya tidak berpengaruh terhadap dua tujuan audit yang
berhubungan dengan saldo: nilai yang dapat direalisasi serta hak dan kewajiban.
C. Komponen Pengendalian Internal
Internal Control – Integrated Framework yang dikeluarkan COSO, yaitu kerangka
kerja pengendalian internal yang paling luas diterima di Amerika Serikat. Menguraikan
lima komponen pengendalian internal yang dirancang dan diimplementasikan manajemen
untuk memberikan kepastian yang layak bahwa tujuan pengendaliannya akan tercapai.
Setiap komponen mengandung banyak pengendalian, tetapi auditor hanya berfokus pada
pengendalian yang dirancang untuk mencegah atau mendeteksi salah saji yang material
dalam laporan keuangan. Komponen pengendalian internal COSO meliputi hal-hal berikut
1. Lingkungan pengendalian
2. Penilaian risiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan

Seperti yang diilustrasikan dalam Gambar 10-2, lingkungan pengendalian berfungsi

sebagai payung bagi keempat komponen lainnya. Tanpa lingkungan pengendalian yang efektif,
keempat komponen lainnya mungkin tidak akan menghasilkan pengendalian internal yang
efektif, tanpa menghiraukan kualitasnya.

Gambar 10-2. Lima Komponen Pengendalian Internal

Lingkungan Pengendalian (control environtment) terdiri atas tindakan, kebijakan, dan

prosedur yang mencerminkan sikap manajemen puncak, para direktur dan pemilik entitas
secara keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu. Untuk
memahami dan menilai lingkungan pengendalian, auditor harus mempertimbangkan
subkomponen pengendalian yang paling penting.

Komitmen pada Kompetensi. Kompetensi adalah pengetahuan dan keterampilan yang

diperhitungkan untuk menyelesaikan tugas mendefinisikan perkerjaan seseorang. Komitmen
pada kompetensi meliputi pertimbangan manajemen tentang tingkat kompetisi bagi pekerja
tertentu, dan bagimana tingkatan tersebut diterjemahkanmenjadi keterampilan dan
pengetahuan yang diperlukan.

Partisipasi Dewan Komisaris atau Komite Audit. Dewan komisaris berperan penting dalam
tata kelola korporasi yang efektif karena memikul tanggung jawab akhir untuk memastikan
bahwa manajemen telah mengimplementasikan pengendalian internal dan proses pelaporan
keuangan yang layak. Dewan komisaris yang efektif independen dengan manajemen, dan para
anggotanya terus meneliti dan terlibat dalam aktivitas manajemen. Meskipun mendelegasikan
tanggung jawabnya atas pengendalian internal kepada manajemen, dewan harus secara teratur
menilai pengendalian tersebut. Selain itu, dewan yang aktif dan objektif sering kali juga
mengurangi kemungkinan bahwa manajemen mengesampingkan pengendalian yang ada.

Untuk membantunya melakukan pengawasan, dewan membentuk komite audit yang

diserahi tanggung jawab mengawasi pelaporan keuangan. Komite audit juga bertanggug jawab
untuk melakukan komunikasi yang berkelanjutan dengan auditor eksternal maupun interal,
termasuk menyetujui jasa audit dan nonaudit yang dilakukan oleh para auditor perusahaan
publik. Hal ini memungkinkan para auditor dan direktur membahas berbagai masalah yang
mungkin berhubungan dengan hal-hal seperti integritas atau tindakan manajemen.

Independensi komite audit dari manajemen serta pengetahuan tentang masalah laporan
keuangan merupakan determinan yang penting menyangkut kemampuan untuk mengevaluasi
secara efektif pengendalian internal dan laporan keuangan yang disiapkan oleh manajemen.
Sarbanes-Oxley Act mengarahkan SEC agar mengharuskan bursa saham nasional (NYSE dan
NASDAQ) memberlakukan persyaratan bagi perusahaan-perusahaan yang terdaftar di bursa
itu untuk mempunyai komite audit. Sebagai respons, bursa tidak akan mencantumkan setiap
sekuritas yang dari perusahaan yang memiliki komite audit yang :
1. Bukan terdiri atas direktur dan independen.
2. Tidak bertanggung jawab untuk mempekerjakan dan memecat auditor perusahaan.
3. Tidak menetapkan prosedur penerimaan dan penanganan keluahan (misalnya
“whistleblowing”) mengenai akuntansi, pengendalian internal, atau masalah auditing.
4. Tidak memiliki kemampuan untuk melibatkan penasihat sendiri dan penasihat lainnya.
5. Tidak didanai secara memadai.

Banyak juga perusahaan tertutup yang membentuk komite audit yang efektif. Untuk
perusahaan tertutup lainnya, tata kelola mungkin dilakukan oleh partner, trustee, atau komite
manajemen, seperti komite keuangan atau anggaran. Dalam beberapa entitas yang kecil tata
kelola mungkin dilakukan hanya dilakukan oleh pemilik entitas. Pihak-pihak yang
bertanggung jawab mengawasi arah strategis entitas dan akuntabilitas entitas, termasuk
pelaporan keuangan dan pengungkapan, disebut sebagai pihak-pihak yang memikul
tanggung jawab tata kelola oleh standar auditing.

Filosofi dan Gaya Operasi Manajemen. Manajemen, melalui aktivitasnya memberikan

isyarat yang jelas kepada para karyawan tentang pentingnya pengandalian internal. Sebagai
contoh, apakah manajemen mengambil risiko yang cukup besar, atau justru menghiraukan
risiko itu? Apakah target penjualan dan laba tidak realistis, dan apakah karyawan didorong
untuk melakukan tindakan yang agresif guna mencapai target tersebut? Dapatkah manajemen
digambarkan sebagai “gemuk dan birokratis”, “ramping dan picik”, yang didominasi oleh satu
atau segelintir individu ataukah “pas”? Memahami aspek ini serta aspek-aspek serupa dalam
filosofi dan gaya operasi manajemen akan membuat auditor dapat merasakan sikap manajemen
tentang pengendalian internal.

Struktur Organisasi. Struktur organisasi entitas menentukan garis-garis tanggung jawab dan
kewenangan yang ada. Dengan memahami struktur organisasi klien, auditor dapat mempelajari
pengelolaan dan unsur-unsur fungsional biasa serta melihat bagaiman pengendalian
diimplementasikan.

Kebijakan dan Praktik Sumber Daya Manusia. Aspek paling penting dari pengendalian
internal adalah personil. Jika para karyawan kompeten dan bisa dipercaya, pengendalian
lainnya dapat diabaikan, dan laporan keuangan yang andal masih akan dihasilkan. Orang-orang
yang tidak kompeten atau tidak jujur bisa merusak sistem – meskipun ada banyak pengendalian
yang diterapkan. Orang-orang yang jujur dan efisien mampu mencapai kinerja yang tinggi
meskipun hanya ada segelintir pengendalian yang lain untuk mendukung mereka. Akan tetapi,
orang-orang yang kompeten dan terpercaya sekalipun bisa saja memiliki kekurangan. Sebagai
contoh, mereka dapat menjadi bosan, atau tidak puas, masalah pribadi dapat mengganggu
kinerja mereka, atau sasarannya mungkin berubah.

Karena pnetingnya personil yang kompeten dan terpercaya dalam mengadakan

pengendalian yang efektif, metode untuk mengangkat, mengevaluasi, melatih,
mempromosikan, dan memberi kompensasi kepada personil itu merupakan bagian yang
penting dari pengendalian internal.

Setelah memperoleh informasi tentang setiap subkomponen lingkungan pengendalian,

auditor menggunakan pemahaman ini sebagai dasar untuk menilai sikap dan kesadaran
manajemen serta para direktur mengenai pentingnya pengendalian. Sebagai contoh, auditor
dapat menentukan sifat sistem penganggaran klien sebagai bagian dari proses memahami
rancangan lingkungan pengendalian. Kemudian, pelaksanaan sistem penganggaran dapat
dievaluasi sebagian dengan mengajukan pertanyaan kepada personil penganggaran untuk
menentukan prosedur penganggaran serta menindaklanjuti perbedaan antara anggaran dan
kenyataan.

Penilaian Risiko (risk assessment) atas pelaporan keuangan adalah tindakan yang dilakukan
manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dengan
penyusunan laporan keuangan yang sesuai dengan GAAP. Penilaian risiko oleh manajemen
berbeda dari tetapi berhubungan erat dengan penilaian risiko oleh auditor. Apabila manajemen
menilai risiko sebagai bagian dari perancangan dan pelaksanaan pengendalian internal untuk
meminimalkan kekeliruan serta kecurangan, auditor menilai risiko untuk memutuskan bukti
yang dibutuhkan dalam audit. Jika manajemen secara efektif menilai dan merespon risiko itu,
biasanya auditor akan mengumpulkan lebih sedikit bukti ketimbang jika manajemen gagal
mengidentifikasi atau merespons risiko yang signifikan.

Auditor akan memperoleh pengetahuan tentang proses penilaian risiko oleh manajemen
dengan memanfaatkan kuesioner dan diskusi dengan manajemen untuk menentukan
bagaimana manajemen mengidentifikasi risiko-risiko yang relevan dengan pelaporan
keuangan, mengevaluasi signifikasi dan kemungkinan terjadinya risiko itu, serta memutuskan
tindakan apa yang diperlukan untuk menangani risiko itu.

Aktivitas Pengendalian (control activities) adalah kebijakan dan prosedur, selain yang sudah
termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang
diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas. Aktivitas
pengendalian umumnya dibagi menjadi lima jenis berikut ini :

1. Pemisahan tugas yang memadai.

2. Otoritas yang sesuai atas transaksi dan aktivitas.
3. Dokumen dan catatan yang memadai.
4. Pengendalian fisik atas aset dan catatan.
5. Pemeriksaan kinerja secara independen.

Pemisahan Tugas yang Memadai. Ada empat pedoman umum yang menyangkut pemisahan
tugas yang memadai untuk mencegah baik kecurangan maupun kekeliuan yang terutama bagi
auditor.

Pemisahan Penyimpanan Aset dari Akuntansi. Untuk melindungi perusahaan dari

penyelewengan, seseorang yang ditugaskan menyimpan aktivitas secara permanen atau
temporer tidak boleh mencatat aset itu. Jika satu orang dibiarkan melaksanakan kedua fungsi
tersebut, risiko bahwa orang itu mengeluarkan aset demi keuntungan pribadi dan
menyesuaikan catatan untuk menutupi pencurian itu akan meningkat.

Pemisahan Otorisasi Transaksi dari Penyimpana Aset Terkait. Untuk memastikan bahwa
informasi tidak bias, pencatatan biasanya dimasukan dalam departemen terpisah di bawah
kontroler.

Pemisahan Tugas TI dari Departemen Pemakai. Apabila tingkat kompleksitas sistem TI

meningkat, pemisahan otorisasi, pencatatan, dan penyimpanan sering kali menjadi tidak jelas.

Otoritas yang Tepat atas Transaksi dan Aktivitas. Agar pengendalian berjalan dengan baik,
setiap transaksi harus diotorisasi dengan tepat. Jika setiap orang dalam suatu organisasi bisa
memperole atau menggunakan aktivitas seenaknya, hal itu akan menimbulkan kekacauan.
Otorisasi dapat bersifat umum atau khusus. Dengan otorisasi umum, manajemen menetapkan
kebijakan, dan para bawahan diinstrusikan untuk mengimplementasikan otorisasi umum
tersebut dengan menyetujui semua transaksi dalam batas yang ditetapkan dalam kebijakan itu.
Contoh keputusan otorisasi umum termaksut dikeluarkannya daftar harga tetap, untuk
penjualan produk, batas kredit untuk pelanggan, dan titik pemesanan kembali yang bersifat
tetap untuk melekuken akuisisi.

Otorisasi khusus (specific authorization) berlaku untuk transaksi individual. Untuk transaksi
tertentu,manajemen memilih mengotorisasi setiap transaksi.contohnya adalah otorisasi
transaksi penjualan oleh manajer penjualan untuk perusahaan penjual mobil bekas.

Perbedaan antara otorisasi dan persetujuan juga merupakan hal yang penting. Otorisasi
adalah keputusan kebijakan, entah untuk kelas transaksi umum ataupun transaksi khusus.
Persetujuan adalah implementasi dari keputuusan otorisasi umum manajemen. Contoh
otorisasi umum adalah penetapan kebijakan yang mengotorisasi pemesanan persediaan oleh
manajemen apabila persediaanyang ada tidak cukup untuk memenuhi kebutuhan selama 3
minggu. Jika suatu departemen memesan persediaan, klerk yang bertanggung jawab
menyelenggarakan catatan perpetual akan menyetujui pesanan tersebut untuk menunjukan
bahwa kebijakan otorisasi telah dipenuhi.

Dokumen dan Catatan Memedai. Dokumen dan catatan adalah objek fisik dimana transaksi
akan dicantumkan serta diikhtisarkan. Dokumen dan catatan meliputi berbagai item seperti
faktur penjualan, pesanan pembelian, catatan pembantu, jurnal penjualan, dan kartu absensi
karyawan. Banyak dari dokumen dan catatan tersebut diselenggarakan dalam format elektronik
bukan format kertas. Dokumen yang memedai sangat penting untuk mencatat transaksi dan
mengendalikan asset dengan benar.

Dokumen dan catatan harus:

 Dipranomori secara berirutan untuk memudahkan pengendalian atas dokumen yang hilang
dan sebagai alat bantu untuk mencari dokumen itu ketika diperlikan dikemudian hari.
Dokumen yang dipranomori penting bagi tujuan kelengkapan audit yang terkait dengan
transaksi.
 Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin, untuk
meminimalkan kesalahan penetapan waktu.
 Dirancang untuk berbagai penggunaan,jika mungkin, guna meminimalkan jumlah formulir
yang berbeda.
 Dibuat sedemikian rupa sehingga memudahkan penyiapan yang benar.hal ini dapat
dilakukan dengan menecek secara internal formulir atau catatan itu.

Suatu pengendalian yang berubungan erat dengan dokumen dan catatan adalah bagan
akun (chart of account), yang mengklasifikasikan transaksi ke dalam akun-akun neraca dan
laporan laba-rugi. Bagan akun ini berguna untuk mencegah kesalahan klasifikasi jika dengan
akurat menguraikan jenis transaksimana yang harus dimasukan dalam setiap akun.

Pengendalian Fisik Atas Asset dan Catatan. Untuk menyelenggarakan pengendalian

internal yang memadai, asset dan catatan harus dilindungi. Jika dibiarkan tidak terlindungi,
asset itu bisa dicuri. Jika tida dilindungi secara memadai, catatan bisa dicuri, rusak, atau hilang,
yang dapat sangat menggangu proses akuntansi dan operasi bisnis. Jika suatu perusahaan
sangat berkomputerisasi, peralatan computer, program dan file datanya harus dilindungi. File
ada adalah catatan perusahaan dan, jika rusak, rekonstruksinya bisa sangat mahal atau bahkan
mustahil.

Jenis ukuran protektif yang paling penting menjaga asset dan catatan adalah menggunakan
tindakan pencegahan fisik. Sala satu contonya adalah penggunaan gudang persediaan untuk
melindungi dari persediaan untuk melindungi dari pencurian. Bila gudang berada dibawa
pengawasan karyawan yang kompeten, dapat dipastikan bahwa pencurian akan minimal.
Kotak dan ruang penyimpanan tahan api untuk melindungi asset, seperti mata uang dan
sekuritas, merupakan jenis penjagaan fisik yang penting lainnya, selain off-site back-up
perangkat lunak computer dan file data.

Pemeriksaan Independen atas Kinerja. Kategori terakhir dari aktivitas pengendalian adalah
review yang cermatdan berkelanjutan atas keempat hal lainnya, yang sering kali disebut
pemeriksaan independen (independent checks) atau verifikasi internal. Kebutuan akan
pemeriksaan independen timbul karena pengendalian internal cenderung berubah seiring
dengan berlalunya waktu, kecuali review sering dilakukan. Personil mungkin telah melupakan
atau sengaja tidak mengikuti prosedur, atau mereka mugkin ceroboh kecuali ada yang
mengamati da mengevaluasi kinerjanya. Tanpa menghiraukan kualitas pengemdalian, personil
bisa berbuat keliru atau melakukan kecurangan.

Personil yang bertanggung jawab melakukan prosedur verifikasi internal harus independen
dari individu yang semula bertanggung jawab menyiapkan data. Sarana verifikasi internal
yang paling mura adalah pemisahan tugas dengan cara-cara yang telah dibahas sebelumnya.
Sebagai contoh, jika rekonsiliasi Bank dikerjakan oleh seorang yang independen dari catatan
akuntansi dan penggunaan kas, ada peluang untuk melakukan verifikasi tanpa menimbulkan
biaya tambaan yang signifikan.

System akuntasi yang terkomputerisasi bisa dirancang sedemikian rupa seingga banyak
prosedur verifikasi internal dapat diotomasi sebagai bagian dari system. Sebagai contoh
computer dapat mencegah pemrosesan pembayaran atas faktur vendor jika dalam system tidak
tercantum nomor pemesanan pembelian atau nomor laporan penerimaan yang sesuai.

Standar auditing mengaruskan auditor memehami proses yang diikuti karyawan

perusahaan untuk merekonsiliasi catatan terinci yang mendukdung saldo akun yang signifikan
dengan buku besar akun tersebut demi membantu auditor merancang dan melaksanakan
prosedur audit secara lebi efektif. Sebagai contoh, auditor mungkin mengirimkan konfirmasi
mengenai piutang usaha pelanggan yang dipilih dari file induk piutang usaha. Sebelum
merencanakan prosedur konfirmasi, auditor harus memaami rancanan dan implementasi
pengendalian yang digunakan personil perusahaan untuk merekonsiliasi file induk piutang
usaha dengan saldo akun buku besar yang terkait.

INFORMASI DAN KOMUNIKASI

Tujuan system informasi dan komunikasi akuntansi entitas adalah untuk memulai,
mencatat, memroses, dan melaporkan transaksi yang dilakukan entitas itu serta
mempertahankan akuntabilitas asset terkait. System informasi dan komunikasi akuntansi
mempunyai beberapa subkomponen, yang biasa terdiri atas kelas-kelas transaksi seperti
penjualan, retur penjualan, penerimaan kas akuisisi, dan sebagainya. Untuk setiap kelas
transaksi, system akuntansi harus memenuhi keenam tujuan audit yang berubungan dengan
transaksi yang suda diidentifikasi sebelumnya. Sebagai contoh, system akuntansi penjualan
harus dirancang untuk memastikan bahwa semua pengiriman barang oleh perusaan tela dengan
tepat dicatat sebagai penjualan (tujuan kelengkapan dan keakuratan) dan tercermin dalam
laporan keuangan pada perode yang

tepat (tujuan penetapan waktu). System itu juga arus menghindari pencatatan ganda
penjualan bila pengiriman belum dilakukan (tujuan kejadian).

Untuk memahami perancangan sistem informasi akuntansi, auditor harus menentukan (1)
kelas transaksi utama entitas; (2) bagaimana transaksi dimulai dan dicatat; (3) catatan
akuntansi apa saja yang ada serta sifatnya; (4) bagaimana sistem itu menangkap peristiwa-
peristiwa lain yang penting untuk laporan keuangan, seperti penurunan nilai aset; dan (5)
sifat serta rincian proses pelaporan keuangan yang diikuti, termasuk proses pencatatn
transaksi dan penyesuaian dalam buku besar umum.

Pemantauan

Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal

secara berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa
pengendalian itu telah beroperasi seperti yang diharapkan, dan telah dimodifikasi sesuai
dengan perubahan kondisi. Informaasi yang dinilai ini berasal dari berbagai sumber,
termasuk studi atas pengendalian internal yang ada, laporan auditor internal, pelaporan
pengecualian tentang aktvitas pengendalian, laporan dari pembuat peraturan seperti badan
pengatur bank, umpan balik dari personil operasional, dan keluhan pelanggan tentang
jumlah tagihan.

Bagi banyak perusahaan, terutama yang berukuran lebih besar, departemen audit
internal sangat penting demi tercapainya pemantauan yang efektif atas kinerja operasi
pengendalian internal. Agar efektif, fungsi internal audit itu harus dilakukan oleh staf yang
independen dari departemen operasi maupun departemen akuntansi, dan mereka melapor
langsung ke tingkat otoritas yang lebih tiggi dalam organisasi, entah itu manajemen puncak
atau komite audit dewan direksi.

Selain perannya dalam memantau pengendalian internal entitas, staf audit internal
yang memadai juga dapat mengurangi biaya audit eksternal. PCAOB Standar 5
mendefenisikan sejauh mana auditor dapat menggunakan pekerjaan yang dilakukan oleh
auditor internal ketika melakukan pelaporan pengendalian internal menurut section 404.
Standar auditing memberikan pedoman untuk membantu auditor eksternal memperoleh
bukti yang mendukung kompetensi, integritas, dan objektivitas auditor eksternal internal,
sehingga auditor eksternal dapat mengandalkan pekerjaan auditor internal dalam sejumlah
cara.

Unsur pengendalian tertentu dalam lima komponen pengendalian COSO memiliki dampak
yang luas terhadap sistem pengendalian entitas dan disebut sebagai pengendalian tingkat
entitas (entity-level control) dalam standar auditing PCAOB. Contohnya termasuk unsur
dewan dan komite audit lingkungan pengendalian, proses penilaian risiko entitas, dan peran
audit internal dalam pengendalian pemantauan.
D. MEMPEROLEH DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL
Tingkat pemahaman atas pengendalian internal serta luas pengujian yang
dibutuhkan untuk audit atas pengendalian internal melampaui apa yang disyaratkan untuk
audit atas laporan keuangan saja. Karena itu, apabila terlebih dahulu berlaku pada
pemahaman atas pengendalian internal dan pengujian yang diperlukan untuk audit
pengendalian internal, auditor sudah harus memenuhi persyaratan yang diperlukan untuk
memahami dan menguji pengendalian internal atas audit laporan keuangan.
Section 404 mensyaratkan manajemen untuk mendokumentasikan proses penilaian
keefektifan pengendalian internal perusahaan atas pelaporan keuangan. Manajemen harus
mendokumentasikan rancangan pengendalian, termasuk kelima komponen pengendalian,
dan juga hasil pengujian serta evaluasinya. Jenis-jenis informasi yang dikumpulkan
manajemen untuk menilai dan mendokumentasilan keefektifan pengendalian internal dapat
mengambil banyak bentuk, termasuk manual kebijakan, bagan arus, naratif, dokumen,
kuesioner, serta bentuk lainnya dalam format kertas ataupun elektronik.
Standar auditing mengharuskan auditor memperoleh dan mendokumentaikan
pemahamannnya atas pengendalian internal untuk setiap audit. Pemahaman ini sangat
diperlukan dalam audit terhadap pengendalian internal atas pelaporan keuangan maupun
audit audit terhadap laporan keuangan. Dokumentasi manajemen merupakan sumber
informasi utama dalam memperoleh pemahaman tersebut.
Sebagai dasar dari prosedur penilaian risio, auditor menggunakan prosedur untuk
memperoleh pemahaman, yang meliputi pengumpulan bukti tentang rancangan
pengendalian internal dan apakah pengendalian itu sudah diimplementasikan, lalu
menggunakan informasi itu sebagai dasar audit terpadu. Biasanya auditor menggunakan
emoat dari delapan jenis bukti untuk memahami perancangan dan implementasi
pengendalian: dokumentasi, tanya-jawab dengan personil entitas, mengamati karyawan
yang melakukan proses pengendalian, dan melakukan kembali dengan menelusuri satu
atau beberapa transaksi melalui sistem akuntansi dari awal sampai akhir.
Biasanya auitor menggunakan tiga jenis dokumen untuk memperoleh
mendokumentasikan pehamamannya atas perancangan pengendalian internal, naratif,
bagan arus, dan kuesioner pengendalian pengendalian internal. Karena section 404
 mengahruskan manajemen untuk menilai dan mendokumentasikan efektivitas perancangan
pengendalian internal atas pelaporan keuangan, mereka biasanya sudah menyiapkan
dokumentasi ini. Naratif, bagan arus, dan kuesioner pengendalian internal, yang digunakan
auditor secara terpisah atau secara bersama-sama untuk mendokumentasikan pengendalian
internal, akan dibahas berikut ini.
Naratif
Naratif adalah uraian tertulis tentang pengendalian internal klien, suatu naratif yang baik
mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal:
1. Asal usul setiap dokumen atau catatan dalam sistem. Sebagai contoh uraian tersebut harus
menyatakan dari mana pesanan pelanggan berasal dan bagaimana faktur penjualan dibuat.
2. Semua pemrosesan yang berlangsung. Sebagai contoh, jika jumlah penjualan ditentukan
ditentukan oleh program komputer yang mengalikan kuantitas yang dikirim dengan harga
standar yang tercantum dalam file induk harga, proses itubharus diuraikan.
3. Disposisi setiap dokumen dan catatan atas sistem. Pengarsipan dokumen, pengiriman
dokumen itu kepada pelanggan, atau penghancuran dokumen itu harus diuraikan.
4. Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian. Hal
yang biasanya mencakup pemisahan tugas (seperti pemisahan pencatatan kas dari
penanganan kas), otorisasi dan persetujuan (seperti pembandingan harga jual perunit
dengan kontrak penjualan)

Bagan arus
Suatu bagan arus (flow chart) pengendalian internal adalah diagram yang
menunjukkan dokumen klien dan aliran urutannya dalam organisasi. Suatu bagan arus yang
memadai mencakup empat karakteristik yang sama yang diidentifikasi untuk naratif.
Bagan arus yang disiapkan dengan baik sangat bermanfaat karena memberikan
gambaran menyeluruh mengenai sistem klien yang membantu auditor mengidentifikasi
pengendalian dan defenisi sistem klien, bagan arus memiliki dua keunggulan bila
dibandingkan dengan naratif. Biasanya bagan arus lebih mudah dibaca dan lebih udah
diperbaharui. Auditor tidak perlu menggunakan baik naratif maupun bagan arus untuk
nenjelaskan sistem yang sama karena keduanya menyajikan informasi yang sama.
 Kuesioner Pengendalian Internal
Kuesioner pengendalian internal merupakan serangkaian pertanyaan tentang
pengendalian dalam setiap area audit sebagai sarana untuk mengidentifikasi defenisi
pengendalian internal. Sebagian besar kuesioner meminta jawaban “ya” atau “tidak”,
dengan jawaban “tidak” menunjukkan adanya defenisi pengendalian internal yang
potensial. Dengan menggunakan kuesioner auditor dapat meliput setiap area audit dengan
cukup cepat. Dua kelemahan utama kuesioner adalah tidak mampu memberikan gambaran
yang menyeluruh tentang sistem klien dan tidak dapat diterapkan pada beberapa audit,
terutama yang lebih kecil.
Penggunaan kuesioner dan bagan arus secara bersamaan sangat bermanfaat untuk
memahami perancangan pengendalian internal klien dan mengidentifikasi pengendalian
internal serta defenisinya. Bagan arus memberikan gambaran yang menyeluruh tentang
sistem, sedangkan kuesioner menyajikan daftar pengecekan yang bermanfaat untuk
mengingatkan auditor tentang berbagai jenis pengendalian internal yang seharusnya
diberlakukan.

Evaluasi Pengimplementasian Pengendalian Internal

Selain memahami perancangan pengendalian internal, auditor juga harus mengevaluasi

apakah pengendalian yang dirancang itu telah diimplementasikan. Dalam praktik,
pemahaman atas rancangan dan pengimplementasian sering kali dilakukan secara
bersamaan. Berikut adalah metode-metode yang umum digunakan.

1. Memutakhirkan dan Mengevaluasi Pengalaman Auditor Sebelumnya dengan Entitas

Kebanyakan audit atas suatu perusahaan dilakukan setahun sekali oleh kantor akuntan
publik yang sama. Setelah audit yang pertama, auditor memulai audit dengan sejumlah
besar informasi yang berasal dari tahun-tahun sebelumnya tentang pengendalian internal
klien. Informasi itu terutama berguna untuk menentukan apakah pengendalian yang
sebelumnya tidak beroperasi dengan efektif sudah diperbaiki.
2. Melakukan Tanya-Jawab dengan Personil Klien Auditor harus meminta manajemen,
penyelia, dan staf untuk menjelaskan tugas-tugasnya. Pengajuan pertanyaan yang cermat
kepada personil yang tepat akan membantu auditor mengevaluasi apakah karyawan
 memahami tugasnya, dan melakukan apa yang diuraikan dalam dokumentasi pengendalian
klien.
3. Menelaah Dokumen dan Catatan Kelima komponen pengendalian internal melibatkan
penciptaan yang banyak dokumen dan catatan. Dengan menelaah dokumen yang telah
lengkap,catatan, dan file komputer, auditor dapat mengevaluasi apakah informasi yang
diuraikan dalam bagan arus serta naratif telah diimplementasikan.
4. Mengamati Aktivitas dan Operasi Entitas Apabila auditor mengamati personil klien
dalam melaksanakan aktivitas akuntansi dan pengendalian yang normal, termasuk
penyiapan dokumen dan catatan, hal ini akan semakin, meningkatkan pemahaman dan
pengetahuan auditor bahwa pengendalian telah diimplementasikan.
5. Melakukan Penelusuran Sistem Akuntansi Dalam penelusuran (walkthrough), auditor
memilih satu atau beberapa dokumen dari suatu jenis transaksi dan menelusurinya dari
awal selama seluruh proses akuntansi. Pada setiap tahap pemrosesan, auditor mengajukan
pertanyaan, mengamati aktivitas, serta menelaah dokumen dan catatan yang telah lengkap,
penelusuran menggabungkan pengamatan inspeksi, dan pengajuan pertanyaan secara
praktis untuk memastikan bahwa pengendalian yang dirancang oleh manajemen telah
diimplementasikan
E. MENILAI RISIKO PENGENDALIAN

Auditor harus memahami perancangan dan pengimplementasikan pengendalian internal

untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian
risiko salah saji yang material secara keseluruhan. Auditor menggunakan penilaian
pendahuluan atas risiko pengendalian ini untuk merencanakan audit bagi setiap kelas transaksi
yang material. Sebelum melakukan penilaian pendahuluan atas risiko pengendalian bagi setiap
kelas transaksi yang material, prtama auditor harus memutuskan, apakah entitas itu dapat
diaudit.

Menilai Apakah Laporan Keuangan Bisa Diaudit?

Ada dua faktor utama yang menentukan auditabilitas: integritas manajemen dan
kememadaian catatan akuntansi. Jika manajemen tidk memiliki integritas, sebagaian besar
auditor tidak akan menerima penugasan audit.

Catatan akuntansi merupakan sumber bukti audit yang penting bagi sebagian besar tujuan
audit. Jika catatan akuntansi defisien, bukti audit yang diperlukan mungkin tidak tersedia.
Sebagai contoh, jika klien tidak menyimpan salinan faktur penjualan dan faktur vendor,
biasanya tidak praktis untuk melakukan audit.

Dalam lingkungan IT yang rumit, sebagaian besar informasi tentang transaksi hanya
tersedia dalam format elektronik tanpa meninggalkan jejak audit yang bisa dilihat seperti
dokumen dan catatan. Dalam hal ini, perusahaan umumnya tetap bisa diaudit; namun auditor
harus menilai apakah mereka mempunyai keterampilan yang diperlukan untuk mengumpulkan
bukti dalam bentuk elektronik dan dapat menugaskan personil yang memiliki pelatihan dan
pengalaman TI yang memadai.

Menentukan Penilaian Risiko Pengendalian yang Didukung oleh Pemahaman yang

Diperoleh

Setelah memahami pengendalian internal, auditor dapat membuat penilaian pendahuluan

atas risiko pengendalian sebagai bagian dari penilaian risiko salah saji yang materiaal secara
keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor bahwa pengendalian internal
akan mencegah salah saji yang material atau mendeteksi dan mengoreksi jika salah saji itu
sudah terjadi.

Titik awal bagi sebagaian besar auditor adalah penilaian pengendalian tingkat entitas.
Secara alami, pengendalian tingkat entitas, seperti banyak unsur yang terkandung di
lingkungan pengendalian, penilaian risiko, dan komponen pemantauan, memiliki dampak yang
luas terhadap kebanyakan jenis transaksi utama dalam setiap siklus transaksi. Sebagai contoh,
dewan direksi yang tidak efektif atau manajemen yang tidak memiliki proses apa pun untuk
mengimplementasikan atau mengelola risiko utama, berpotensi merusak pengendalian tujuan
audit terkait transaksi. Jadi, auditor umumnya menilai pengendalian tingkat entitas sebelum
menilai pengendalian khusus transaksi.

Setelah menentukan bahawa pengendalian tingkat entitas dioperasikan, auditor lalu

membuat penilaian pendahuluan ini setiap masing-masing siklus transaksi. Auditor juga
membuat penilaian pendahuluan atas pengendalian yang mempengaruhi tujuan audit untuk
akun-akun neraca serta penyajian dan pengungkapan dalam setiap siklus.ggunaaa

Penggunaan Matriks Risiko Pengendalian untuk Menilai Risiko Pengendalian

Banyak auditor menggunakan matriks risiko pengendalian (control risk matris) untuk
membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara yang
mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit. Auditor
menggunakan format matriks risiko pengendalian yang serupa untuk menilai risiko
pengendalian bagi tujuan audit yang berhubungan dengan saldo dan penyajian serta
pengungkapan.

Mengindentifikasi Tujuan Audit

Langkah pertama dalam penilaian adalah mengindentifikasi tujuan audit untuk kelas
transaksi, saldo akun, serta penyajian dan pengungkapan yang akan dinilai. Hal ini
dilakukan untuk kelas-kelas transaksi dengan menerapakan tujuan audit khusus yang
berhubungan dengan transaksi yang sudah dibahas sebelumnya, yang dinyatakan dalam
bentuk umum, bagi setiap jenis transaksi utama entitas bersangkutan. Sebagai contoh,
auditor menilai secara terpisah tujuan keterjadian untuk penjualan dan menilai secara
terpisah tujuan kelengkapan. Tujuan audit yang berhubungan dengan transaksi
dipelihatkan untuk transaksi penjualan.

Mengindentifikasi Pengendalian yang Ada

Selanjutnya, auditor menggunakan informasi, yang telah dibahas pada bagian

terdahulu, mengenai perolehan dan pendokumentasikan pemahaman atas pengendalian
internal untuk mengidentifikasi pengendalian yang berperan dalam mencapai tujuan audit
yang berhubungan dengan transaksi. Salah satu cara yang dapat ditempuh auditor untuk
melakukan hal ini adalah mengindentifikasi pengendalian guna memenuhi setiaap tujuan.
Sebagai contoh, auditor dapat menggunakan pengetahuan tentang sistem klien untuk
mengidentifikasi pengendalian yang mungkin akan mencegah kekeliruan atau kecurangan
dalam tujuan audit keterjadian yang berhubungan dengan transaksi. Hal yang sama dapat
dilakukan untuk semua tujuan lainnya. Auditor juga akan terbantu jika menggunakan
kelima aktivitas pengendalian (pemishn tugs, otorisasi yang tepat, dokumen dan catatan
yang memadai, pengendalian fisik atas aset dan catatan, serta pemeriksaan independen atas
kinerja) sebagai pengingat pengendalian . Sebagai contoh, Apakah ada pemisahan tugas
yang memadai dan bagaimana hal itu tercapai? Apakah transaksi diotorisasi dengan tepat?
Apakah dokumen yang dipranomori telah dipertanggungjawabkan dengan tepat? Apakah
file induk yang penting dibatasi secara ketat dari akses yang tidak diotorisasi?

Auditor harus mengidentifikasi dan hanya memasukan pengendalian yang

Diperkirakan akan berdampak paling besar terhadap pencapaian tujuan audit yang
berhubungan dengan transaksi. Pengendalian ini sering kali disebut pengendalian kunci
(key controls). Alasan hanya memasukkan pengendalian kunci adalah bahwa pengendalian
ini sudah mencukupi untuk mencapai tujuan audit yang berhubungan dengan transaksi, di
samping memungkinkan efisiensi audit. Contoh pengendalian kunci untuk Hillsburg
Hardware ditunjukan dalam Gambar 10-5.

Menghubungkan pengendalian dengan tujuan Audit yang Terkait setiap

pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait. Hal ini dapat dilihat
dalam Gambar 10-5 untuk tujuan audit yang berhubungan dengan transaksi. Bagian
matriks digunakan untuk menunjukkan bagaimana setiap pengendalian berperan dalam
 mencapai satu atau lebih tujuan Audit yang berhubungan dengan transaksi. Dalam ilustrasi
ini. Huruf C dimasukan dalam setiap sel di mana pengendalian memenuhui sebagian atau
semua tujuan. Matriks risiko pengendalian yang serupa akan dilengkapi untuk tujuan audit
yang berhubungan dengan saldo serta yang berhubungan dengan penyajian dan
pengungkapansebagai contoh, pengiriman laporan kepada pelanggan memenuhi tiga
tujuan dalam audit atas Hillsburg Hardware, yang ditandai dengan ditempatkannya setiap
huruf C pada baris di Gambar 10-5 yang menguraikan pengendalian tersebut.

Mengidentifikasi dan Mengevaluasi Defisiensi pengendalian, Defisiensi yang

signifikan, dan kelemahan yang material Auditor harus mengevaluasi apakah
pengendalian kunci tidak diterapkan dalam perancangan pengendalian internal atas
pelaporan keuangan sebagai bagian dari mengevaluasi risiko pengendalian dan
kemungkinan salah saji laporan keuangan. Standar auditing mendefinisikan tiga tingkat
tidak diterapkannya pengendalian internal;

1. Defisiensi pengendalian ( control deficiency) terjadi jika perancangan atau

pelaksanaan pengendalian tidak memungkinkan karyawan perusahaan mencegah atau
mendeteksi salah saji secara tepat waktu. Defisiensi perancangan terjadi jika
pengendalianyang diperlukan tidak ada atau tidak dirancang dengan baik tidak berjalan
seperti yang dirancang, atau jika orang yang melaksanakan pengendalian tidak memiliki
kualifikasi atau kewenangan yang memedai.
2. Defisiensi yang signifikan (significant deficiency) terjadi jika ada satu atau lebih
defisiensi pengendalian yang jauh lebih kecil ketimbang kelemahan yang material ( di
bawah yang ditetapkan ), tetapi cukup penting untuk diperhatikan oleh pihak yang
bertanggung jawab mengawasi pelaporan keuangan perusahaan.
3. Kelemahan yang material (material weakness) terjadi jika defisiensi yang signifikan,
secara sendiri atau bersama-sama dengan defisiensi yang signifikan lainnya,
mengakibatkan kemungkinannya lebih dari kecil bahwa pengendalian internal tidak akan
mencegah atau mendeteksi salah saji yang material dalam laporan keuangan secara tepat
waktu.
 Untuk menentukan apakah suatu defisiensi pengendalian internal yang signifikan
merupakan kelemahan yang material, defisiensi itu harus dievaluasi dari dua dimensi;
kemungkinan dan signifikansi. Garis horizontal pada Gambar 10-6 menggambarkan
kemungkinan salah saji yang berasal dari defisiensi yang signifikan, sedangkan garis
vertikal menggambarkan signifikasinya. Jika peluangnya lebih kecil (kemungkinan) bahwa
salah saji yang material (signifikansi) berasal dari defisiensi yang signifikan. Maka
defisiensi itu dianggap sebagai kelemahan yang material.

Pendekatan lima-langkah dapat digunakan untuk mengidentifikasi defisiensi-

defisiensi yang signifikan, dan kelemahan yang material;
1. Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan yang material
adalah tidak diterapkannya pengendalian yang memadai. Pertama auditor harus
mengetahui pengendalian mana saja yang ada Metode untuk mengidentifikasi
pengendalian sudah dibahan.
2. Mengidentifikasi tidak diterapkannya pengendalian kunci. ……… pengendalian internal,
bagian arus, dan penelusuran adalah serata yang berguna untuk mengidentifikasi dimana
saja pengendalian itu tidak ada sehingga kemungkinan terjadinya salah saji meningkat.
Hal yang juga berguna adalah menelaah matriks risiko pengendalian, seprti yang
ditunjukkan dalam Gambar 10-5, untuk mencari pada tujuan masa pengendalian itu tidak
ada atau hanya ada segelintir pengendalian untuk mencegah atau mendeteksi salah saji,
3. Mempertimbangkan kemungkinan pengendalian pengimbang pengendalian
pengimbang (compensating control) adalah pengendalian yang diterapkan di suatu
tempat dalam system yang mengoffset tidak diterapkannya pengendalian kunci. Contoh
yang umum dalam perusahaan kecil adalah peran aktif pemilik perusahaan. Bila ada
pengendalian pengimbang, tidak ada lagi defisiensi yang signifikan atau kelemahan yang
material.
4. Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material.
Kemungkinan salah saji serta materialitasnya digunakan untuk mengevaluasi apakah ada
defisiensi yang signifikan atau kelemahan yang material.
5. Menentukan salah saji yang potensial yang bias dihasilkan. Langkah ini dimaksudkan
untuk mengidentifikasi salah saji spesifik yang mungkin diakibatkan oleh defisiensi yang
disignifikan atau kelemahan yang material berhubungan langsung dengan kemungkinan
dan materialitas salah saji yang potensial.
Menurut Hillsburg Hardware mencakup dua defisiensi pengendalian kedua
defisiensi itu dianggap sebagai kelemahan yang pertama terkait dengan faktor penjualan
yang dipranomori yang dianggap sebagai defisiensi yang signifikan.

Menghubungkan Defisiensi yang Signifikan dan Kelemahan yang Material dengan

Tujuan Audit Terkait
Sama seperti untuk pengendalian, setiap defisiensi yang signifikan atau kelemahan
yang material dapat diterapkan pada satu atau lebih tujuan audit yang terkait. Dalam kasus
Hillsburg Hardware pada Gambar 10-5, ada dua defisiensi yang signifikan, dan masing-
masing hanya berlaku pada satu tujuan yang berhubungan dengan transaksi. Defisiensi
yang sigifikan itu ditunjukkan dalam bagian utama Ganbar dengan huruf D didalam
kolom tujuan yang sesuai.

Menilai Risiko Pengendalian untuk Setiap Tujuan Audit yang Terkait

Setelah pengendalian, defisiensi yang Signifikan , dan kelemahan yang material

diidentifikasi serta dihubungkan dengan tujuan audit yang berkaitan dengan transaksi,
auditor dapat menilai risiko pengendalian untuk tujuan audit yang berkaitan dengan
transaksi. Inilah keputusan yang penting dalam evaluasi pengendalian internal. Beberapa
auditor menggunakan pernyataan yang subjektif seperti tinggi, moderat, atau rendah.
Sementara yang lainnya menggunakan probabilitas numerik seperti 1,0 , 0,6 , atau 2,0.

Komunikasi dengan Pihak yang Memikul Tanggung Jawab Tata Kelola

Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang

material secara tertulis kepada pihak yang memikul tanggung jawab tata kelola begitu
auditor mengetahui keberadaannya. Komunikasi ini biasanya ditunjukkan kepada komite
audit dan manajemen. Komunikasi yang tepat waktu dapat memberi manajemen
kesempatan untuk menangani defisiensi pengendalian sebelum laporan manajemen
mengenai pengenalian internal harus dikeluarkan. Dalam beberapa kasus, defisiensi dapat
dikoreksi dengan cepat sehinggabaik manajmen maupun auditor bisa menyimpulkan
bahwa pengendalian telah berjalan efektif per tanggal neraca. Karena itu, komunikasi ini
harus dilakukan paling lambat 60 hari setelah laporan audit dikeluarkan.

Surat Manajemen Selain masalah tersebut, auditor sering kali juga

mengidentifikasi hal-hal yang berkaitan dengan pengendalian internal yang tidak begitu
penting, serta kesempatan bagi klien untuk memperbaiki operasi. Hal-hal tersebut juga
harus dikomunikasikan kepada klien. Bentuk komunikasinya sering kali berupa surat
terpisah untuk tujuan itu, yang disebut surat manajemen ( management letter ).
Walaupun surat manajemen tidak disyaratkan oleh standar auditing, biasanya auditor
menyiapkan surat ini sebagai jasa audit bernilai tambah.
F. PENGUJIAN PENGENDALIAN
Kita sudah mengkaji bagaimana auditor mengubungkan pengendalian, defisiensi
yang signifikan, dan kelemahan yang material dalam pengendalian internal dengan tijuan
audit yang terkait untuk menilai resiko pengendalian bagi setiap tujuan. Sebagai contoh,
setiap pengendalian yang ingin diandalkan auditor untuk mendukung resiko pengendalian
yang sedang atau randa harus didukung oleh pengujian pengendalian yang mencukupi.

TUJUAN PENGUJIAN PENGENDALIAN

Penilaian resiko pengendalian mengharuskan auditor mempertimbangkan

perancangan dan pelaksanaan pengendalian untuk mengevaluasi apakah pengendalian itu
efektif dalam memenuhi tujuan audit yang terkaiit. Selama tahap pemahaman, auditor
sudah harus mengumpulkan sejumlah bukti untuk mendukung perancagan pegendalian dan
implemetasinya dengan meggunakan prosedur untuk memeperoleh pemahaman. Dalam
sebagian besar kasus, auditor belum mengumpulkan bukti yang cukup untuk megurangi
penilaian resiko pengendalian ke tingkat yang cukup rendah. Karena itu, auditor harus
medapatkan bukti tambahan tentang efektivitas pelaksanaan pengendalian selama seluruh,
atau paling tidak sebagian besar, periode yang diaudit. Prosedur untuk menguji efektivitas
pengedalian dalam mendukung penilaian resiko pengendalian yang lebih rendah disebut
pengujian pengendalian.

Jika hasil pengujian pengendalian mendukung pelaksanaan dan pelaksanaan

pengendalian seperti yang diharapkan, auditor akan menggunakan penilaian resiko
pengendalian yang sama dengan penilaian pendahuluan. Akan tetapi, jika pengujian
pengedalian itu menunjukan bahwa pengendalian tidak berjalan efektif, penilaian risiko
pengendalian harus dipertimbangkan kembali. Sebagai contoh, pengujian mungkin
menunjukan bahwa penerapan pengendalian dihentikan pada pertengahan tahun atau
oramg yang menerapkannya sering membuat salah saji. Dalam situasi demikian, auditor
menggunakan risiko pengendalian yang dinilai lebih tinggi, kecuali pengendalian
pengimbang untuk tujuan audit terkait yang sama teridentifikasi dan ternyata efektif. Tentu
saja, auditor juga harus memperimbangkan dampak pengendalian yang tidak berjalan
efektif itu teradap laporan auditor mengenai pengendalian internal.
 PROSEDUR UNTUK PEGUJIAN PENGENDALIAN

Auditor mungkin akan menggunakan empat jenis prosedur unuk mendukung keefektifan
pelaksanaan pengendalian internal. Pengujian manejemen atas pengendalian internal
mukin akan termaksut empat jenis prosedur yang sama itu. Keempat jenis prosedur itu
adalah sebagai berikut:

1. Mengajukan pertanyaan kepada personil klien yang tepat. Walaupun pengajuan

pertanyaan bukan merupakan sumber bukti yang sangat andal tentang pelaksanaan
pengedalian yang efektif, prosedur ini masih sesuai.
2. Memeriksa dokumen, catatan, dan laporan. Banyak pengendalian yag meinggalkan jejak
yag jelas berupa bukti documenter yang dapat digunakan untuk menguji pengendalian.
3. Mengamati aktivitas yang berkaitan dengan pengendalian. Beberapa pengendalian tidak
meninggalkan jejak bukti, yang berarti dikemudian hari tidak mugkin memeriksa bukti
bahwa pengendalian itu telah dilaksanakan.
4. Melaksanakan kembali prosedur klien. Ada juga aktivitas yang terkait dengan
pengendalian yang memiliki dokume dan catatan, tetapi isinya tidak mecukupi untuk
mengakomodasi tujuan auditor menilai apakah pengendaliantelah berjalan secara efektif.
LUAS PROSEDUR
Seberapa luas pengujian pengendalian diterapkan, tergantung pada penilaian
pendahuluan atau risiko pengedalian. Jika menginginkan resiko pengendalian yan dinilai
lebih rendah, auditor akan menerapkan pengujian pengendalian yang lebih ekstensif, baik
dalam al jumlah pengendalian, yang diuji maupun luas pegujian untuk setiap
pengendalian.
Menandalkan Bukti Audit dari Audit Tahun Sebelumnya. Apabila auditor berencana
menggunakan bukti tentang efektifitas pelaksaan pengendalia internal yang diperoleh
dalam audit terdahulu, standar auditing mengharuskan auditor untuk meguju keefektifan
pengendalian itu paling sedikit tiga tahun sekali. Jika auditor menentukan bahwa
pengendalian kunci suda duibah sejak terakhir kali diuji, auditor harus meguji
pegendalian itu pada tahun berjalan. Jika ada sejumlan pengendalian yang diuji dalam
audit terdahulu yang belum berubah, standar auditing mengharuskan auditor menguji
 sebagian pengendalian itu setiap tahun untuk mastikan adanya rotasi pengujian
pengendalian selama periode tiga tahun.
Menguji Pengendalian yang Berhubungan dengan Risiko yang Sigifikan. Risiko
yang sigifikan adalah resiko yang meyakini auditor membutuhkan pertimbangan auditor
khusus. Apabila prosedur penilaian risiko yang dilakukan auditor mengidetifikasi resiko
yang signifikan, auditor diaruska menguji efektivitas pelaksanaan pengendalian yang
menguragi risiko tersebut dalam audit tahu berjalan, jika auditor berecana menggunakan
pengendalian tersebut untuk mendukung penilaian risiko pengendalian dibawa 100%.
Semakin besar risikonya, semakin banyak bukti audit yag harus diperoleh auditor bahwa
pengendalian itu berjalan efektif.
Menguji Kurang dari Seluruh Periode Audit laporan manajemen mengenai
pengendalian internal per akhir tahun fiscal. PCAOB standar 5 mengaruskan auditor
melaksanakan pengujian pengendalian yang memadai untuk menentukan apakah
pengendalian itu telah berjalan efektif pada akhir tahun. Karena itu, waktu pelaksanaan
pengujian pengendalian ole auditor akan tergantug pada sifat pengendalian dan kapan
perusahaan menggunakannya. Bagi pengedalian yang diterapkan selama periode
akuntansi, biasaya tidak praktis jika diuji pada tanggal interim. Jadi auditor akan
menentukan apakah telah terjadi perubahan dalam periode yang tidak diuji da
memutuskan impikasi setiap perubahan itu. Pengendalian yang berubugan dengan
penyusunan lapkeu hanya diterapkan secara kuartalan atau pada akhir tahun seigga juga
harus diuji pada akhir kuatral dan akhir tahun.

HUBUNGAN ANTARA PENGUJIAN PENGENDALIAN DAN PROSEDUR

UNTUK MEMAHAMI PENGENDALIAN
Terdapat tumpang tindih yang signifikan antara pengujian pengendalian da
prosedur untuk memperoleh pemahaman. Keduanya mencakup pengajuan pertanyaan,
dokumentasi, dan observasi atau pengamatan. Ada dua perbedaan utama dalam
penerapan prosedur umum tersebut.
1. Untuk memahami pengendalia interanal, prosedur untuk pemahaman harus diterapkan
pada semua pengendalian yang teridentifikasi selama tahap tersebut. Sebaliknya, pegujian
 pengendalian hanya diterapkan bila penilaian resiko pengendalian tidak terpenuhi oleh
prosedur untuk memperoleh pemahaman itu.
2. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa
transaksi atau, dalam kasus observasi, pada satu titik waktu. Pengujian pengedalian
dilakukan pada sampel transaksi yang lebi besar (mungkin 20 sampai 100), dan observasi
seringkali dilakukan pada lebih dari satu titik waktu.
Untuk pengendalian kunci, pengujia pegendalian selain pelaksanaan kembali pada
hakikatnya merupakan perluasan dari, prosedur untuk memperoleh pemahaman. Oleh
karena itu, dengan mengasumsikan auditor berencana memperoleh penilaian risiko
pengendalian yang rendah sejak awal audit terpadu, mereka mungkin akan
menggabungkan kedua jenis prosedur itu dan melakukannya secara bersamaan.

G. Memutuskan Risiko Deteksi Yang Direncanakan Dan Merancang Pengujian

Substantif
Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian
pengendalian untuk menentukan risiko deteksi yang direncanakan serta pengujian
substantif terkait untuk audit atas laporan keuangan. Auditor melakukannya dengan
menghubungkan penialaian risiko pengendalian dengan tujuan audit yang berkaitan
dengan saldo untuk akun-akun yang dipengaruhi oleh jenis transaksi utama, serta dengan
empat tujuan audit penyajian dan pengungkapan. Tingkat risiko deteksi yang tepat untuk
setiap tujuan audit yang berhubungan dengan saldo kemudian diputuskan dengan
menggunakan model risiko audit. Hubungan antara tujuan audit yang berkaitan dengan
transaksi dengan tujuan audit yang berkaitan dengan saldo dan pemilihan serta
perancangan prosedur audit untuk pengujian substantif.Pelaporan Pengendalian Internal
Menurut Section 404
Berdasarkan penilaian dan pengujian auditor atas pengendalian internal, auditor
diharuskan menyusun laporan audit mengenai pengendalian internal atas pelaporan
keuangan untuk mempercepat pengarsipan perusahaan public yang harus memenuhi
persyaratan pelaporan Section 404. Auditor dapat mengeluarkan laporan audit terpisah atau
gabungan terhadap laporan keuangan dan pengendalian internal atas pelaporan keuangan.
 Pendapat Wajar Tanpa Pengecualian (Unqualified Opinion).
Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai
pengendalian internal atas pelaporan keuangan apabila dua kondisi berikut berlaku :
1. Tidak ada kelemahan material yang teridentifikasi
2. Tidak ada pembatasan atas ruang lingkup pekerjaan auditor

Pendapat Tidak Wajar (Adverse Opinion).

Bila ada kelemahan yang material, auditor harus menyatakan pendapat tidak wajar
mengenai efektivitas pengendalian internal. Penyebab paling umum dikeluarkannya
pendapat tidak wajar dalam laporan auditor mengenai pengendalian internal adalah apabila
manajemen mengidentifikasi suatu kelemahan yang material dalam laporannya.

Pendapat Wajar Dengan Pengecualian atau Menolak Memberikan Pendapat

(Qualified or Disclaimer of Opinion).
Pembatasan ruang lingkup mengharuskan auditor untuk menyatakan pendapat
wajar dengan pengecualian atau menolak memberikan pendapat mengenai pengendalian
internal atas pelaporan keuangan. Jenis pendapat ini dikeluarkan apabila auditor tidak dapat
menentukan apakah ada kelemahan yang material, akibat pembatasan ruang lingkup audit
terhadap pengendalian internal atas pelaporan keuangan atau situasi lainnya dimana auditor
tidak dapat memperoleh bukti yang mencukupi dan tepat.
Karena audit laporan keuangan dan audit pengendalian internal atas pelaporan
keuangan terintegrasi, auditor harus memperhitungkan hasil prosedur audit yang dilakukan
untuk mengeluarkan laporan audit mengenai laporan keuangan ketika mengeluarkan
laporan audit mengenai pengendalian internal. Sebagai contoh, anggaplah auditor
mengidentifikasi salah saji yang material dalam laporan keuangan yang sebelumnya tidak
teridentifikasi oleh pengendalian internal perusahaan. Dari temuan tersebut dapat muncul
empat respon berikut ini :
1. Karena ada kesalahan yang material dalam laporan keuangan, auditor harus
mempertimbangkan apakah salah saji itu menunjukkan adanya kelemahan yang material.
Penentuan apakah salah saji itu merupakan suatu kelemahan yang material atau defisiensi
yang signifikan memerlukan pertimbangan dan tergantung pada sifat serta besar salah saji.
2. Auditor dapat mengeluarkan pendapat wajar tanpa pengecualian atas laporan keuangan jika
klien menyesuaikan laporannya untuk mengoreksi salah saji sebelum diterbitkan.
3. Manajemen mungkin akan mengubah laporannya mengenai pengendalian internal untuk
menegaskan bahwa pengendalian tidak berjalan efektif.
4. Auditor harus mengeluarkan pendapat tidak wajar mengenai pengendalian internal atas
pelaporan keuangan jika defisiensi itu dianggap sebagai kelemahan yang material.
 BAB III
PENUTUP

Kesimpulan

Dalam akuntansi, sistem pengendalian internal yang berlaku pada perusahaan/entitas

merupajkan faktor yang menentukan keandalan latau tidaknya aporan keuangan yang
dihasilkan oleh entitas tersebut. Oleh karena itu dalam memberikan pendapat atas kewajaran
laporan yang di auditnya, auditor meletakan kepercayaan atas efektifitas system pengendalian
internal dalam mencegah terjadinya kesalahan yang material dalam proses akuntansi.

Pengendalain internal merupakan suatu proses yang dijalankan oleh dewan komisaris,
manajemen, dan personel lain entitas yang didesain untuk memberikan keyakinan memadai
tentang kepercayaan tiga golongan tujuan berikut ini : (a) keandalan pelaporan keuangan, (b)
efektifitas dan efisiensi operasi, (c) kepatuhan terhadap hukum dan peraturan yang berlaku.

Arti pentinganya system pengendalian internal bagi manajemen dan auditor independen,
karena manajemen tidak dapat melakukan pengendalian secara langsung atau secara pribadi
terhadap jalannya perusahaan. Pengecekan dan review yang melekat pada system pengendalian
internal yang baik dapat akan pula melindungi dari kelemahan manusia dan mengurangi
kekeliruan dan penyimpangan yang akan terjadi, tidak praktis bagi auditor untuk melakukan
pengauditan secara menyeluruh atau secara detail untuk hamper semua transaksi perusahaan
dalam waktu dan biaya terbatas.

Pemahaman auditor tentang struktur pengendalian internal yang berkaitan dengan suatu
asersi adalah untuk digunakan dalam kegiatan mungkin atau tidaknya audit dilaksanakan,
salah saji material yang potensial dapat terjadi, risiko deteksi, perancangan pengujian
substantif.
 DAFTAR PUSTAKA
Alvin A. Arens Randal J. Elder Mark S. Beasley. Auditing & Jasa Assurance: edisi ke
limabelas jilid 1 ERLANGGA.