Anda di halaman 1dari 50

BAB II

PEMBAHASAN

DEFINISI PENGENDALIAN INTERNAL

Pengendalian internal menurut Comittee of Sponsoring Orgnizations of the


Treadway Comission (COSO) adalah sebuah proses dipengaruhi oleh dewan
entitas direksi, manajemen dan personel lainnya yang dirancang untuk
memberikan keyakinan yang memadai tentang pencapaian tujuan dalam kategori
efektivitas dan efisiensi operasi, keandalan pelaporan keuangan, kepatuhan
terhadap hukum dan peraturan yang berlaku, dan pengamanan aset terhadap
akuisisi yanng tudak sah, penggunaan atau disposisi.

Definisi ini mencerminkan konsep dasar tertentu:

1. Pengendalian intern merupakan suatu proses. Pengendalian intern merupakan


suatu proses untuk mencapai tujuan tertentu. Pengendalian intern itu sendiri
bukan merupakan suatu tujuan. Pengendalian intern merupakan sebuah
rangkaian tindakan yang bersifat pervasif dan menjadi bagian tidak
terpisahkan, bukan hanya sebagai tambahan, dari infrastruktur entitas.
2. Pengendalian intern dijalankan oleh orang. Pengendalian intern bukan hanya
terdiri dari pedoman kebijakan dan formulir, namun dijalankan oleh orang
dari setiap jenjang organisasi, yang mencakup dewan komisaris, manajemen,
dan personel lain.
3. Pengendalian intern dapat diharapkan mampu memberikan keyakinan
memadai, bukan keyakinan mutlak, bagi manajemen dan dewan komisaris
entitas. Keterbatasan yang melekat dalam semua sistem pengendalian intern
dan pertimbangan manfaat dan pengorbanan dalam pencapaian tujuan
pengendalian menyebabkan intern tidak dapat memberikan keyakinan
muttlak.
4. Pengendalian intern ditujunkan untuk mencapai tujuan yang saling berkaitan:
pelaporan keuangan, kepatuhan, dan operasi.
TUJUAN PENGENDALIAN INTERNAL

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang


dirancang untuk memberikan manajemen kepastian yang layak bahwa perusahaan
telah mencapai tujuan dan sasarannya. Kebijakan dan prosedur ini sering kali
disebut pengendalian dan secara kolektif membentuk pengendalian internal entitas
tersebut. Manajemen biasanya memiliki 3 tujuan umum dalam merancang sistem
pengendalian internal yang efektif:

1. Reliabilitas Pelaporan Keuangan

Manajemen bertanggung jawab untuk menyiapkan laporan bagi para


investor, kreditur dan pemakai lainnya. Manajemen memikul baik
tanggung jawab hukum maupun profesional untuk memastikan bahwa
informasi telah disajikan secara wajar sesuai dengan GAAP. Tujuan
pengendalian internal yang efektif atas laporan keuangan adalah
memenuhi tanggung jawab pelaporan keuangan.

2. Efisiensi dan Aktivitas Operasi

Pengendalian dalam perusahaan akan mendorong pemakaian sumber daya


secara efisien dan efektif untuk mengoptimalkan sasaran-sasaran
perusahaan. Tujuan yang penting dari pengendalian ini adalah memperoleh
informasi keuangan dan non keuangan yang akurat tentang operasi
perusahaan untuk keperluan pengambilan keputusan.

3. Ketaatan pada Hukum dan Peraturan

Perusahaan publik, non-publik, maupun organisasi nirlaba diharuskan


untuk mematuhi beragam ketentuan hukum dan peraturan. Beberapa
peraturan yang ada terkait dengan akuntansi secara tidak langsung,
misalnya perlindungan terhadap lingkungan dan hukum hak-hak sipil,
sedang yang terkait erat dengan akuntansi misalnya peraturan pajak
penghasilan dan kecurangan. Fokus auditor dalam pengauditan laporan
keuangan maupun audit atas pengendalian internal terletak pada
pengendalian terhadap keandalan laporan keuangan ditambah beberapa
pengendalian pengendalian terhadap kegiatan operasional dan kepatuhan
terhadap hukum yang dapat berdampak langsung secara signifikan pada
laporan keuangan.

KOMPONEN PENGENDALIAN COSO

Internal Control-Integrated Framework yang dikeluarkan COSO yaitu


kerangka kerja pengendalian internal yang paling luas diterima di Amerika
Serikat, menguraikan 5 komponen pengendalian internal yang dirancang dan
diimplementasikan oleh manajemen untuk memberikan kepastian yang layak
bahwa tujuan pengendaliannya akan tercapai. Setiap komponen mengandung
banyak pengendalian, tetapi auditor hanya akan berfokus pada pengendalian yang
dirancang untuk mencegah atau mendeteksi salah saji material dalam laporan
keuangan. Komponen pengendalian internal COSO meliputi hal-hal berikut:

1. Lingkungan pengendalian

2. Penilaian risiko

3. Aktivitas pengendalian

4. Informasi dan komunikasi

5. Pemantauan

Lingkungan Pengendalian

Aktivitas Informasi dan


Penilaian Risiko Pemantauan
Pengendalian komunikasi
Dari gambar di atas, lingkungan pengendalian berfungsi sebagai payung
bagi empat kompenen lainnya. Tanpa lingkungan pengendalian yang efektif,
keempat kompenen lainnya tidak akan menghasilkan pengendalian internal yang
efektif tanpa menghiraukan kualitasnya.

Inti dari organisasi yang dikendalikan secara efektif terletak pada sikap
manajemennya, jika manajemen puncak percaya bahwa pengendalian memang
penting, anggota organisasi lainnya akan merasakan hal itu dan menanggapi
dengan mengamati secara hati-hati pengendalian yang ditetapkan. Jika anggota
organisasi itu merasa bahwa pengendalian tidak begitu diperhatikan oleh
manajemen puncak, hampir dapat dipastikan bahwa tujuan pengendalian
manajemen tidak akan tercapai secara efektif.

1. Lingkungan Pengendalian

Lingkungan pengendalian terdiri atas tindakan, kebijakan dan prosedur


yang mencerminkan sikap manajemen puncak, para direktur dan pemilik entitas
secara keseluruhan mengenai pengendalian internal serta arti pentingnya bagi
entitas itu. Untuk memahami dan menilai lingkungan pengendalian, auditor harus
mempertimbangkan subkomponen pengendalian yang paling penting.

 Integritas dan nilai-nilai etis

Integritas dan nilai nilai etis adalah produk dari standar etika dan perilaku
entitas, serta bagaimana standar itu dikomunikasikan dan diberlakukan
dalam praktik.

 Komitmen pada Kompetensi

Komitmen pada kompetensi meliputi pertimbangan manajemen tentang


tingkat kompetensi bagi pekerjaan tertentu, dan bagaimana tingkatan
tersebut diterjemahkan menjadi keterampilan dan pengetahuan yang
diperlukan.

 Partisipasi Dewan Komisaris atau Komite Audit

Dewan komisaris berperan penting dalam tata kelola korporasi yang


efektif karena memikul tanggung jawab akhir yang memastikan bahwa
manajemen telah mengimplementasikan pengendalian internal dan proses
pelaporan keuangan yang layak. Dalam membantu melakukan
pengawasan, dewan membentuk komite audit yang diserahi tanggung
jawab mengawasi pelaporan keuangan.

 Filosofi dan Gaya Operasi Manajemen

Manajemen melalui aktivitasnya memberikan isyarat yang jelas kepada


para karyawan tentang pentingnya pengendalian internal.

 Struktur Organisasi

Struktur organisasional entitas menentukan garis-garis tanggung jawab


dan kewenangan yang ada. Dengan memahami struktur organisasi klien,
auditor dapat mempelajari pengelolaan dan unsur-unsur fungsional bisnis
serta melihat bagaimana pengendalian diimplementasikan.

 Kebijakan dan Praktik Sumber Daya Manusia

Aspek paling penting dari pengendalian internal adalah personil. Jika para
karyawan kompeten dan bisa dipercaya, pengendalian lainnya dapat
diabaikan, dan laporan keuangan yang andal masih akan dihasilkan.

2. Penilaian Risiko

Penilaian risiko atas pelaporan keuangan adalah tindakan yang dilakukan


manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan
dengan penyusunan laporan keuangan yang sesuai dengan GAAP.

Penilaian risiko oleh manajemen berbeda tetapi berhubungan erat dengan


penilaian risiko oleh auditor. Manajemen menilai risiko sebagai bagian dari
perancangan dan pelaksanaan pengendalian internal untuk meminimalkan
kekeliruan serta kecurangan sedangkan auditor menilai risiko untuk memutuskan
bukti yang dibutuhkan dalam audit.

3. Aktivitas Pengendalian

Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang sudah


termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa
tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai
tujuan entitas. Aktivitas pengendalian umumnya dibagi menjadi lima jenis berikut
ini:

 Pemisahan tugas yang memadai

Ada empat pedoman umum menyangkut pemisahan tugas yang memadai


untuk mencegah baik kecurangan maupun kekeliruan yang terutama
penting bagi auditor, yaitu:

a) Pemisahan penyimpanan aktiva dari akuntansi

Untuk melindungi perusahaan dari penyelewangan, seseorang yang


ditugaskan menyimpan aktiva secara permanen atau temporer tidak
boleh mencatat aktiva itu. Jika satu orang dibiarkan melaksanakan
kedua fungsi tersebut risiko bahwa orang itu mengeluarkan aktiva
demi keuntungan pribadi dan menyesuaikan catatan untuk menutupi
pencurian itu akan meningkat.

b) Pemisahan otorisasi transaksi dari penyimpan aktiva

Sebaiknya, orang yang mengotorisasi transaksi tidak boleh memegang


kendali atas aktiva terkait, untuk mengurangi kemungkinan terjadinya
penyelewengan. Sebagai contoh, orang yang sama tidak boleh
mengotorisasi pembayaran faktur vendor dan juga menandatangani
cek pembayaran tagihan itu.

c) Pemisahan tanggung jawab operasional dari tanggung jawab


pencatatan

Untuk memastikan bahwa inforrmasi tidak bias, pencatatan biasanya


dimasukkan dalam departemen terpisah di bawah kontroler. Sebagai
contoh, jika setiap departemen atau divisi menyiapkan catatan dan
laporannya sendiri, departemen atau divisi itu bisa saja mengubah
hasilnya untuk memperbaiki kinerja yang dilaporkan.

d) Pemisahan tugas TI dari departemen pemakai


Apabila tingkat kompleksitas sistem TI meningkat, pemisahan
otorisasi, pencatatan, dan penyimpanan sering kali menjadi tidak jelas
maka perlu dilakukan pemisahan tugas.

 Otorisasi yang Tepat atas Transaksi dan Aktivitas

Agar pengendalian berjalan dengan baik, setiap transaksi harus diotorisasi


dengan tepat. Jika setiap orang dalam suatu organisasi bisa memperoleh
atau menggunakan aktiva seenaknya, hal itu akan menimbulkan
kekacauan. Otorisasi dapat bersifat umum atau khusus.

Otorisasi umum yaitu menetapkan kebijakan dan para bawahan di


instruksikan untuk mengimplementasikan otorisasi umum tersebut dengan
menyetujui semua transaksi dalam batas yang ditetapkan oleh kebijakan
itu. Contoh keputusan otorisasi umum termasuk dikeluarkannya daftar
harga tetap untuk penjualan produk, batas kredit untuk pelanggan, dan
titik pemesanan kembali yang bersifat tetap untuk melakukan akuisisi.

Otorisasi khusus berlaku untuk transaksi individual. Untuk transaksi


tertentu, manajemen memilih mengotorisasi setiap transaksi. Contohnya
adalah otorisasi transaksi penjualan oleh manajer penjualan untuk
perusahaan penjual mobil bekas.

 Dokumen Catatan yang Memadai

Dokumen dan catatan adalah objek fisik di mana transaksi akan


dicantumkan serta diikhtisarkan. Dokumen dan catatan meliputi berbagai
item seperti faktur penjualan, pesanan pembelian, catatan pembantu, jurnal
penjualan, dan kartu absensi karyawan. Banyak dari dokumen dan catatan
tersebut disimpan dalam file computer sampai waktunya diccetak.
Dokumen yang memadai sangat penting untuk mencatat transaksi dan
mengendalikan aktiva dengan benar.

Prinsip-prinsip tertentu akan mengatur perancangan dan penggunaan


dokumen serta catatan yang baik. Dokumen catatan harus:
a) Dipranomori secara berurutan untuk memudahkan pengendalian atas
dokumen yang hilang dan sebagai alat banti untuk mencari dokumen
itu ketika diperlukan dikemudian hari.

b) Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin,


untuk meminimalkan kesalahan penetapan waktu.

c) Dirancang untuk berbagai penggunaan, jika mungkin, guna


meminimalkan jumlah formulir yang berbeda.

d) Dibuat sedemikian rupa sehingga memudahkan penyiapan yang benar.

 Pengendalian Fisik atas Aktiva dan Catatan

Untuk menyelenggarakan pengendalian internal yang memadai, aktiva dan


catatan harus dilindungi. Jika dibiarkan tidak terlindungi secara memadai,
catatan bisa dicuri, rusak, atau hilang, yang dapat sangat menganggu
proses akuntansi dan operasi bisnis.

 Pemeriksaan Independen atas Kinerja

Kategori terakhir dari aktivitas pengendalian adalah review yang cermat


dan berkelanjutan atas ke empat hal lainnya, yang sering kali disebut
pemeriksaan independen atau verifikasi internal. Kebutuhan akan
pemeriksaan independen timbul karena pengendalian internal cenderung
berubah seiring dengan berlalunya waktu, kecuali review sering dilakukan.
Personil mungkin telah melupakan atau sengaja tidak mengikuti prosedur
atau mereka mungkin ceroboh kecuali ada yang mengamati dan
mengevaluasi kinerja mereka. Tanpa menghiraukan kualitas pengendalian,
personil bisa berbuat keliru atau melakukan kecurangan. Personil
bertanggung jawab melakukan prosedur verifikasi internal harus
independen dari individu yang semula bertanggung jawab menyiapkan
data. Sarana verifikasi internal yang paling murah adalah pemisahan tugas
dengan cara-cara yang telah dibahas sebelumnya.

4. Informasi dan Komunikasi


Tujuan sistem informasi dan akuntansi dari entitas adalah untuk memulai,
mencatat, memproses, dan melaporkan transaksi yang dilakukan entitas itu serta
mempertahankan akuntabilitas aktiva terkait. Sistem informasi dan komunikasi
akuntansi mempunyai beberapa subkompenen yang biasanya terdiri dari kelas-
kelas tranksaksi. Untuk setiap kelas transaksi, sistem akuntansi harus memenuhi
keenam tujuan audit yang berhubungan dengan transaksi yang sudah diidentifikasi
sebelumnya.

Untuk memahami perancangan sistem informasi akuntansi, auditor harus


menentukan:

a) Kelas transaksi utama entitas

b) Bagaimana transaksi dimulai dan dicatat

c) Catatan akuntansi apa saja yang ada serta sifatnya

d) Bagaimana sistem itu menangkap peristiwa-peristiwa lain yang


penting bagi laporan keuangan

e) Sifat serta rincian proses pelaporan keuangan yang diikuti, termasuk


prosedur pencatatan transaksi dan penyesuaian dalam buku besar
umum.

5. Pemantauan

Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian


internal secara berkelanjutan atau periodik oleh manajemen untuk menentukan
bahwa pengendalian itu telah beroperasi seperti yang diharapkan dan telah
dimodifikasi sesuai dengan peruahan kondisi. Informasi yang dinilai ini berasal
dari berbagai sumber, termasuk studi atas pengendalian internal yang ada, laporan
auditor internal, pelaporan pengecualian tentang aktivitas pengendalian, laporan
dari pembuat peraturan seperti badan pengatur bank, umpan balik dari personil
operasional, dan keluhan pelanggan tentang jumlah tagihan.
Komponen Pengendalian COSO

PENGENDALIAN INTERNAL
Komponen Uraian komponen Pembagian lebih lanjut

(jika dapat diterapkan)


Lingkungan Tindakan, kebijakan, dan Subkompenen lingkungan
pengendalian prosedur yang pengendalian:
mencerminkan sikap
 Integritas dan nilai etis
manajemen puncak,
direktur, dan pemilik  Komitmen pada
entitas secara keseluruhan kompetensi
tentang pengendalian
 Partisipasi dewan
internal dan arti
komisaris dan komite
pentingnya.
audit

 Filosofi dan gaya operasi


manajemen

 Struktur Organisasi

 Kebijakan dan praktik


sumber daya manusia
Penilaian Pengidentifikasian dan Proses penilaian risiko:
risiko analisis oleh manajemen
 Mengidentifikasi factor-
terhadap risiko yang
faktor yang
relevan dengan penyusunan
mempengaruhi risiko
laporan keuangan yang
sesuai dengan GAAP  Menilai signifikansi
risiko dan kemungkinan
terjadinya

 Menentukan tindakan
yang diperlukan untuk
mengelola risiko
Kategori asersi manajemen yang
harus dipenuhi:

 Asersi tentang kelas


transaksi dan peristiwa
lain.

 Asersi tentang saldo akun

 Asersi tentang penyajian


dan pengungkapan.
Aktivitas Kebijakan dan prosedur Jenis aktivitas pengendalian
pengendalian yang telah ditetapkan khusus:
manajemen untuk
 Pemisahan tugas yang
mencapai tujuannya bagi
memadai
pelaporan keuangan
 Otorisasi yang tepat atas
transaksi dan aktivitas

 Dokumen dan catatan


yang memadai

 Pengendalian fisik atas


aktiva dan catatan

 Pemerikasaan
independen atas kinerja.
Informasi dan Metode yang digunakan Tujuan audit yang berhubungan
komunikasi untuk memulai, mencatat, dengan transaksi yang harus
memroses, dan melaporkan dicapai:
transaksi entitas serta
 Keterjadian
mempertahankan
akuntabilitas aktiva terkait  Kelengkapan

 Keakuratan

 Posting dan
pengikhtisaran

 Klasifikasi

 Penetapan waktu
Pemantauan Penilaian berkelanjutan dan Tidak dapat diterapkan
periodik oleh manajemen
terhadap pelaksanaan
pengendalian internal untuk
menentukan apakah
pengendalian telah berjalan
seperti yang dimaksud dan
dimodifikasi bila perlu.

MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN


TENTANG PENGENDALIAN INTERNAL

Standar auditing mewajibkan auditor untuk mendapatkan dan


mendokumentasikan pemahaman tentang pengendalian internal untuk setiap audit.
Dokumentasi pengendalian internal yang diselenggarakan manajemen adalah
sumber utama untuk memperoleh pemahaman bagi auditor.

Sebagai bagian dari prosedur penilaian risiko pengendalian, auditor


menggunakan prosedur untuk mendapatkan pemahaman, yang meliputi
pengumpulan bukti tentang rancangan pengendalian internal dan apakah
rancangan tersebut telah diimplementasikan. Sebagaimana disebutkan dalam SA
315. 13:

Pada waktu memperoleh pemahaman tentang pengendalian yang relevan


dengan audit, auditor harus mengevaluasi rancangan pengendalian dan
menentukan apakah pengendalian tersebut telah diimplementasikan,
dengan melaksanakan prosedur sebagai tambahan terhadap permintaan
keterangan dari personel entitas.
Auditor biasanya menggunakan empat dari delapan jenis bukti yang telah
dijelaskan dalam bab yang lalu untuk mendapatkan pemahaman tentang
rancangan dan penerapan pengendalian, yaitu: dokumentasi, meminta keterangan
dari personel entitas, mengobservasi bagaimana pegawai entitas melaksanakan
proses pengendalian, dan melakukan ulang (reperformance) dengan cara
menelusuri suatu atau sejumlah transaksi melalui sistem akuntansi dari awal
sampai akhir (SA 315. A67)

Auditor biasanya menggunakan tiga jenis dokumen untuk mendapatkan


dan mendokumentasikan pemahamannya tentang rancangan pengendalian
internal, yaitu: naratif, bagan alir (flowcharts), dan daftar pertanyaan pengendalian
internal. Karena manajemen juga berkewajiban untuk mendokumentasikan
rancangan efektivitas pengendalian internal atas laporan keuangan, maka
dokumen ini biasanya sudah tersedia. Naratif, bagan alir, dan daftar pertanyaan
bisa digunakan auditor secara tersendiri atau bisa juga bersamaan dengan
pendokumentasian pengendalian internal, seperti akan dibahas di bawah ini.

Naratif

Naratif adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada
entitas klien. Narasi dari suatu sistem akuntansi yang baik dan pengendalian
terkait menjelaskan empat hal, yaitu:

1. Sumber dari semua dokumen dan laporan dalam sistem. Sebagai contoh,
deskripsi harus menerangkan dari mana order pembelian berasal dan
bagaimana faktur penjualan dibuat.
2. Semua pengolahan data yang dilakukan. Sebagai contoh, jika jumlah
rupiah penjualan ditentukan oleh program computer yang mengalikan
jumlah barang yang dikirim dengan harga jual standar yang tersimpan
dalam master file harga, maka prosesnya harus dijelaskan.
3. Disposisi setiap dokumen dan catatan dalam sistem. Pengisian dokumen,
pengirimannya kepada konsumen, atau pemusnahannya harus dijelaskan.
4. Indikasi pengendalian yang relevan dengan penilaian risiko
pengendalian. Hal ini meliputi pemisahan tugas (seperti misalnya
pemisahan antara pencatatan kas dan pemegang kas), otorisasi dan
pemberian persetujuan (seperti misalnya persetujuan kredit), dan verifikasi
internal (seperti misalnya pembandingan antara harga jual per unit dengan
kontrak penjualan)

Bagan Alir

Bagan Alir atau flowchart adalah suatu diagram dari dokumen-dokumen klien
dan urutan alirannya dalam organisasi. Bagan alir yang memadai mencakup
keempat karakteristik yang sama dengan naratif.

Bagan alir yang dirancang dengan baik akan bermanfaat terutama karena
memberi gambaran yang ringkas tentang sistem klien, yang bermanfaat bagi
auditor untuk mengidentifikasi pengendalian dan kelemahan dalam sistem klien.
Dibandingkan dengan naratif, bagan alir memiliki dua keunggulan, yaitu: (1)
mudah dibaca, dan (2) mudah direvisi untuk dimutahirkan. Pada umumnya bagan
alir tidak digunakan berbarengan dengan naratif untuk sistem yang sama karena
keduanya menerangkan tentang informasi yang sama.

Daftar Pertanyaan Pengendalian Internal

Suatu daftar pertanyaan pengendalian internal menanyakan serangkaian


pertanyaan tentang pengendalian pada setiap bidang yang diaudit sebagai cara
untuk mengidentifikasi defisiensi pengendalian internal. Daftar pertanyaan
kebanyakan berbentuk jawaban “Ya” atau “Tidak”. Jawaban “Tidak”
mengidentifikasikan kelemahan dalam sistem. Dengan menggunakan daftar
pertanyaan, auditor dapat mencakup setiap bidang audit dengan cukup cepat. Ada
dua kelemahan dafta pertanyaan, yaitu: (1) tidak dapat memberi gambaran
keseluruhan sistem, dan (2) tidak dapat diterapkan pada bidang-bidang audit
tertentu, terutama pada entitas kecil.

Penggunaan daftar pertanyaan dan bagan alir secara berbarengan berguna


untuk mendapatkan pemahaman tentang rancangan pengendalian internal klien
dan untuk mengidentifikasi defisiensi pengendalian internal. Bagan alir
memberikan gambaran tentang sistem secara utuh, sedangkan daftar pertanyaan
berfungsi sebagai daftar pengecekan (checklist) untuk mengingatkan auditor akan
berbagai macam jenis pengendalian internal yang harus ada.
PENILAIAN IMPLEMENTASI PENGENDALIAN INTERNAL

Selain harus mendapatkan pemahaman tentang rancangan pengendalian internal,


auditor juga harus mengevaluasi apakah rancangan pengendalian internal telah
diterapkan. Dalam praktik, proses mendapatkan pemahaman rancangan dan
penerapan seringkali dilakukan secara bersamaan. Prosedur penilaian risiko untuk
memperoleh bukti audit tentang rancangan dan implementasi pengendalian yang
relevan dapat mencakup: (SA315.67)

Memutahirkan dan Mengevaluasi Pengalaman Masa Lalu Aduitor dengan


Klien (Entitas)

Kebanyakan audit dilakukan setiap tahun oleh kantor akuntan yang sama. Setelah
audit tahun pertama, auditor memiliki banyak informasi dari tahun lalu tentang
pengendalian internal klien. Informasi ini sangat berguna untuk menentukan
apakah pengendalian yang pada tahun lalu tida berjalan dengan efektif telah
diperbaiki.

Meminta Keterangan dari Personal Entitas

Auditor harus mengajukan pertanyaan kepada manajemen, pengawas, dan staf


agar menjelaskan tugas mereka. Pengajuan pertanyaan yang cermat kepada
personel yang tepat akan membantu auditor dalam mengevaluasi apakah para
pegawai memahami tugas mereka dan menjalankan apa yang diuraikan dalam
dokumentasi pengendalian internal klien.

Menginspeksi Dokumen dan Laporan

Kelima komponen pengendalian internal mencakup pembuatan banyak dokumen


dan catatan. Dengan memeriksa dokumen, catatan, dan file-file computer yang
telah digunakan, auditor dapat mengevaluasi apakah informasi yang diuraikan
dalam bagan alir dan narasi telah diterapkan.

Mengamati Penerapan Pengendalian Tertentu

Manakala auditor mengamati personel klien dalam menjalankan aktivitas


akuntansi dan pengendalian normal, termasuk bagaimana mereka menyiapkan
dokumen dan catatan, hal itu akan melengkapi pemahaman dan pengetahuan
auditor tentang bagaimana pengendalian diterapkan.

Menelusuri Transaksi Melalui Sistem Informasi yang Relevan dengan


Pelaporan Keuangan

Dalam mengikuti penelusuran jejak (walkthrough) suatu transaksi, auditor


memilih satu atau beberapa dokumen dari suatu jenis transaksi dan menelusurnya
sejak dari awal terjadinya transaksi sampai selesainya proses akuntansi. Pada
setiap tahapan proses, auditor mengajukan pertanyaan, mengamati aktivitas, dan
memeriksa dokumen dan catatan yang telah dikerjakan. Rekam jejak seperti ini
menggabungkan dengan baik proses mengamati, mendokumentasikan, dan
mengajukan pertanyaan untuk memastikan bahwa pengendalian yang dirancang
manajemen telah dilaksanakan.

SISTEM INFORMASI, KOMUNIKASI DAN PROSES KETERTARIKAN


BISNIS

Alasan perusahaan menetapkan sistem pengendalian adalah untuk membantu


mencapai kinerja dan tujuan profitabilitas dan mencegah hilangnya sumber daya
dengan penipuan dan cara lain. Pengendalian internal juga dapat membantu untuk
memastikan pelaporan keuangan yang dapat diandalkan dan kepatuhan terhadap
hukum dan peraturan. Sistem pengendalian internal entitas terdiri dari banyak
kebijakan khusus dan prosedur yang dirancang untuk memberikan manajemen
dengan keyakinan memadahi bahwa tujuan dan tujuan penting perusahaan akan
terpenuhi. Semua orang dalam organisasi memiliki suatu tanggung jawab untuk
melakukan pengendalian internal: manajemen, dewan direksi, auditor internal, dan
personil lainnya. Direktur akhirnya bertanggung jawab dan harus
mengansumsikan kepemilikan sistem pengendalian internal, menyediakan
kepemimpinan dan arah untuk manajer senior. Tujuan khususnya adalah bagi
petugas keuangan dan staf mereka. Dewan direksi memberikan perintah,
bimbingan, dan pengawasan. Dewan yang aktif adalah dewan yang terbaik yang
mampu mengidentifikasi dan berusaha mengoreksi manajemen dan mengabaikan
atau menahan komunikasi dari bawahan. Pengendalian internal harus menjadi
bagian eksplisit atau implisit dari deskripsi pekerjaan setiap orang.

SURVEY KECURANGAN

Survei kecurangan tahunan oleh KPMG (Empat Perusahaan Akuntansi


Internasional) menunjukkan bahwa 75 persen dari responden melaporkan mereka
menghadapi penipuan dalam organisasi mereka tahun lalu, dibandingkan dengan
62 persen dari eksekutif menanggapi survei serupa ditahun 1998. Penipuan
karyawan yang paling sering terjadi, meskipun pelaporan keuangan dan penipuan
asuransi kesehatan jauh lebih mahal.KPMG 2003 melaporkan survei eksekutif di
459 perusahaan publik AS, dengan pendapatan lebih dari $ 250 juta, dan pada
negara dan lembaga pemerintah federal. Survei tahun 2003 menunjukkan
peningkatan dramatis dalam pengendalian internal sebagai sarana utama untuk
mendeteksi penipuan dari 51 persen menjadi 77 persen.

Sebuah survei yang dilakukan oleh KPMG di Singapura melaporkan bahwa 43


persen dari 1.500 perusahaan yang di survei mengatakan penipuan adalah masalah
besar. Pengendalian internal yang buruk, menimpa internal kontrol, dan kolusi
antara karyawan dan pihak ketiga adalah tiga alasan mengapa penipuan terjadi.
Survei tersebut juga menemukan bahwa penyelidikan manajemen, pemberitahuan
informan, baik pengendalian internal tingkat tinggi sebagai metode untuk
mendeteksi meningkatnya penipuan.

TUJUAN PENGENDALIAN MANAJEMEN

Tiga kategori utama dari tujuan manajemen operasi yang efektif adalah:
keuangan, pelaporan, dan kepatuhan. Tujuan penting dari operasi yang efektif
adalah pengamanan aset. Aset fisik (misalnya cash), aset non fisik (misalnya
piutang), dokumen penting, dan catatan (misalnya jurnal) dari suatu perusahaan
dapat dicuri, disalahgunakan, atau sengaja dihancurkan kecuali mereka dilindungi
oleh kontrol yang memadai. Tujuan dari keuangan kontrol membutuhkan
informasi yang akurat untuk pengambilan intern karena manajemen memiliki
hukum dan tanggung jawab profesional untuk memastikan bahwa informasi yang
disiapkan cukup sesuai dengan standar akuntansi. Organisasi diwajibkan untuk
mematuhi berbagai undang-undang dan peraturan termasuk hukum perusahaan,
hukum pajak, dan peraturan perlindungan lingkungan.

Manajemen sebuah perusahaan menetapkan tujuan dan kemudian menerapkan


kontrol untuk menjamim pencapaian tujuan tersebut. Misalnya, manajemen
mensyaratkan bahwa semua perintah tanggal dan tanggal pengiriman untuk semua
produk dicatat sebagai kontrol untuk memantau tujuan strategis CEO “semua
pengiriman tepat waktu”. Tapi tidak semua tujuan ini dan kontrol mereka relevan
dengan audit atas laporan keuangan entitas.

PENGENDALIAN PELAPORAN KEUANGAN

Auditor tertarik terutama dalam kontrol yang berhubungan dengan suatu


keandalan pelaporan keuangan; akuntansi dan sistem pengendalian internal.
Konrol ini sangat berhubungan dengan tujuan entitas terhadap persiapan atas
penyusunan laporan keuangan untuk tujuan eksternal yang memberikan suatu
pandangan yang benar dan adil sesuai dengan standar akuntansi keuangan yang
berlaku.

Mengapa masalah pengendalian internal untuk auditor cukup jelas. Jika auditor
mampu menilai kualitas sistem akuntansi dan pengendalian internal dan untuk
memverifikasi ketepatan operasi sepanjang tahun di bawah audit, auditor mungkin
dapat bergantung pada sistem ini untuk bukti audit yang cukup.

Alasan untuk mengandalkan suatu sistem akuntansi dan pengendalian internal


perusahaan adalah dua kali lipat. Pertama, ketergantungan pada prosedur
akuntansi dan kontrol akan meningkatkan efisiensi audit eksternal. Jika risiko
yang melekat telah diantisipasi oleh prosedur pengendalian internal yang efektif,
pengujian substantif diperlukan untuk mengumpulkan bukti audit yang cukup.
Selanjutnya, dengan pengujian akuntansi dan prosedur pengendalian internal,
auditor mampu menambah nilai ke klien dengan menilai kualitas sistem
pengendalian ineternal dan memberikan rekomendasi untuk perbaikan lebih
lanjut.
Pertimbangan utama auditor adalah apakah, dan bagaimana, mencegah kontrol
tertentu, atau mendeteksi dan mengoreksi, salah saji material dalam kelompok
transaksi, saldo rekening atau pengungkapan.

TRANSAKSI MELAMPAUI PENGENDALIAN

Penekanan auditor adalah menempatkan pemahaman atas kontrol kelompok


transaksi daripada saldo atau pengungkapan rekening. Alasannya adalah bahwa
akurasi dari output atas sistem akuntansi (saldo rekening) tergantung pada
keakuratan input dan pengolahan (transaksi). Misalnya, kontrol yang memadai
untuk memastikan semua tagihan, penerimaan kas, charge-off, pembalik sudah
benar, maka saldo akhir piutang kemudian benar. Pengungkapan umumnya
tergantung pada saldo rekening.

SISTEM INFORMASI MANAJEMEN, PENGENDALIAN OPERASI DAN


KEPATUHAN

Auditor terutama mengandalkan pengendalian keuangan, tetapi pengendalian


yang dipengaruhi oleh informasi manajemen internal, seperti anggaran dan
laporan kinerja internal, kontrol yang berkaitan dengan operasi, dan kontrol untuk
tujuan kepatuhan mungkin juga relevan dengan audit. Auditor memiliki tanggung
jawab yang signifikan untuk penemuan manajemen dan penipuan karyawan dan,
untuk tingkat yang lebih rendah, jenis tertentu dari tingkatan ilegal. Pengendalian
atas data non-keuangan yang digunakan auditor dalam prosedur analitis atau
kontrol atas kepatuhan terhadap hukum pajak penghasilan mungkin relevan
dengan audit. Penggunaan ekstensif sistem informasi umum pengendalian seperti
pembatasan akses (yaitu kontrol password) terhadap data yang relevan dengan
audit laporan keuangan. Sebalikanya, pengendalian untuk mencegah penggunaan
bahan berlebihan dalam produksi umumnya tidak relevan dengan audit laporan
keuangan.

DESAIN DAN IMPLEMENTASI PENGENDALIAN

Untuk memahami suatu pengendalian internal perusahan, seorang auditor akan


mengevaluasi desain pengendalian dan menilai apakah telah dilaksanakan.
Auditor menentukan apakah pengendalian dirancang untuk mencegah,
mendeteksi, atau mengoreksi transaksi yang salah saji secara material.
Pelaksanaan pengendalian berarti bahwa pengendalian ada dan bahwa perusahaan
menggunakannya. Seperti dikatakan dalam ISA 315, pengendalian internal, tidak
peduli seberapa baik dirancang dan dioperasikan, hanya dapat menyediakan suatu
perusahaan dengan keyakinan memadai tentang pencapaian tujuan perusahaan.
Misalnya, penilaian manusia bisa rusak dan kerusakan dalam pengendalian
internal dapat terjadi karena kesalahan manusia. Juga, pengendalian dapat
dielakkan oleh kolusi dua orang atau lebih atau manajemen yang menimpa
pengendalian internal. Sebagai contoh, manajemen dapat masuk ke dalam sisi
perjanjian dengan pelanggan yang mengubah syarat dan kondisi dari kontrak
penjualan standar perusahaan dengan cara menghalangi pengakuan pendapatan.

KETERBATASAN STRUKTUR PENGENDALIAN INTERN SUATU


PERUSAHAAN

Struktur pengendalian intern setiap perusahaan memiliki ketebatasan bawaan.


Oleh karena itu, telah dijelaskan sebelumnya bahwa struktur pengendalian intern
hanya memberikan keyakinan memadai bukan mutlak, kepada manajemen dan
dewan komisaris tentang pencapaian tujuan perusahaan. Berikut adalah
keterbatasan bawaan yang melekat dalam setiap struktur pengendalian intern:

1. Kesalahan dalam pertimbangan. Seringkali, manajemen dan personel lain


dapat salah dalam mempertimbangkan keputusan bisnis yang diambil atau
dalam melaksanakan tugas rutin karena tidak memadainya informasi,
keterbatasan waktu, atau tekanan lain.
2. Gangguan. Gangguan dalam pengendalian yang telah ditetapkan dapat terjadi
karena personel secara keliru memahami perintah atau membuat kesalahan
karena kelalaian, tidak adanya perhatian, atau kelelahan. Perubahan yang
bersifat sementara atau permanen dalam personel atau dalam sistem dan
prosedur dapat pula mengakibatkan gangguan.
3. Kolusi. Tindakan bersama beberapa individu untuk tujuan kejahatan disebut
dengan kolusi (collusion). Kolusi dapat mengakibatkan bobolnya
pengendalian intern yang dibangun untuk melindungi kekayaan entitas dan
tidak terungkapnya ketidakberesan atau tidak terdeteksinya kecurangan oleh
struktur pengendalian intern yang dirancang.
4. Pengabaian oleh manajemen. Manajemen dapat mengabaikan atau prosedur
yang telah ditetapkan untuk tujuan yang tidak sah seperti keuntungan pribadi
manajer, penyajian kondisi keuangan yang berlebihan, atau kepatuhan semu.
Contohnya adalah manajemen melaporkan laba yang lebih tinggi dari jumlah
sebenarnya untuk mendapatkan bonus yang lebih tinggi bagi dirinya atau
untuk menutupi ketidakpatuhannya terhadap peraturan perundangan yang
berlaku.
5. Biaya lawan manfaat. Biaya yang diperlukan untuk mengoperasikan struktur
pengendalian intern tidak boleh melebihi manfaat yang diharapkan dari
pengendalian intern tersebut. Karena pengukuran secara tepat baik biaya
maupun manfaat biasanya tidak mungkin dilakukan, manajemen harus
memberikan dan mempertimbangkan secara kuantitatif dan kualitatif dalam
mengevaluasi biaya dan manfaat suatu struktur pengendalian intern.

SIAPA YANG BERTANGGUNG JAWAB ATAS STRUKTUR


PENGENDALIAN INTERN SUATU PERUSAHAAN?

Setiap orang dalam organisasi bertanggung jawab dan menjadi bagian dari
struktur pengendalian intern organisasi. Di samping itu, beberapa pihak luar,
seperti auditor independen dan badan pengatur (regulatory body) dapat membantu
organisasi dengan cara memberikan informasi yang bermanfaat bagi manajemen
untuk memperlakukan pengendalian intern dalam organisasi tersebut. Pihak luar
ini tidak bertanggung jawab atas efektivitas dan merupakan bagian dari struktur
pengendalian intern organisasi. pihak pihak yang bertanggung jawab terhadap
struktur pengendalian intern beserta perannya diuraikan berikut ini:

1. Manajemen

Manjemen bertanggung jawab untuk mengembangkan dan meyelenggarakan


secara efektif struktur mengendalian intern organisasinya. Direktur utama
perusahaan bwertanggung jawab untuk ,menciptakan atmosfer prngendalian
ditingkat puncak agar kesadaran terhadap pentingnya pengendalian menjadi
tumbuh diseluruh organisasi. Disamping itu, direktur direktur utama juga
bertanggung jawab untuk menjamin bahwa semua komponen struktur
pengendalian itern terwujud di dalam organisasinya. Direktur utama keuangan dan
akutansi menjalankan peran penting dalam perancngan, implementasi, dan
pemantauan sistem pelaporan keuangan organisasi, penyusun rancangan dan
anggaran perusahaan, penilaian dan analisis, serta pencegahan dan pendekteksian
pelaporan keuangan yang menyesatkan

2. Dewan Komisaris dan Komite Audit

Dewan komisaris bertanggung jawab untuk menentukan apakah manajemen


memenuhi tanggung jawab mereka dalam mengembangkan dan meyelenggarakan
struktur pengendalian intern. Fungsi komite audit yang secara langsung
berdampak terhadap auditor adalah:

1) Menunjuk auditor yang melaksanakan audit tahunan terhadap laporan


keuangan perusahaan;
2) Membicarakan lingkup audit dengan editor;
3) Meminta para auditor untuk melakukan komunikasi langsung mengenai
masalah-masalah besar yang ditemukan oleh auditor dalam auditnya;
4) Mereview laporan keuangan dan laporan audit pada saat audit selesai
dilakukan.

3. Auditor Intern

Auditor intern bertanggung jawab untuk memeriksa dan mengevaluasi memadai


atau tidaknya struktur pengendalian intern entitas dan membuat rekomendasi
peningkatannya. Auditor intern bukan pihak utama yang bertanggung jawab atas
struktur pengendalian intern entitas. Manajemen, dewan komisasir, dan komite
audit merupakan pihak utama yang bertanggung jawab atas struktur pengendalian
intern entitas.

4. Personel Lain Entitas

Peran dan tanggung jawab semua personel lain yang menyediakan informasi atau
menggunakan informasi yang dihasilkan oleh struktur pengendalian intern harus
ditetapkan dan dikomunikasikan dengan baik. Sebagai contoh semua personel
harus memahami bahwa mereka bertanggung jawab untuk mengkomunikasikan
masalah yang timbul sebagai akibat ketidakpatuhan terhadap struktur
pengendalian intern, atua bertanggung jawab untuk menjadikan manajemen
tingkat yang lebih tinggi sadar atas terjadinya tindakan pelanggaran hukum di
dalam entitas.

5. Auditor Independen

Sebagai bagian dari prosedur auditnya terhadap laporan keuangan, auditor dapat
menemukan kelemahan struktur pengendalian intern kliennya, sehingga ia dapat
mengkomunikasikan temuan auditnya tersebut kepada manajemen, komite audit
atau dewan komisaris. Berdasar temuan auditor tersebut, perlu disadari bahwa
tujuan auditor dalam studi terhadap struktur pengendalian intern kliennya adalah
untuk memungkinkan auditor merencanakan prosedur auditnya, oleh karena itu,
auditor independen tidak dapat diharapkan untuk menyatakan pendapat atas
efektivitas struktur pengendalian intern kliennya. Jika akuntan publik diharapkan
untuk melakukan studi secara lebih mendalam terhadap struktur pengendalian
intern suatu entitas, akuntan publik harus menggunakan Pernyataan Standar
Atestasi (PSAT) No. 06 (SAT Seksi 500) pelaporan tentang struktur pengendalian
intern satuan usaha atasa pelaporan keuangan. Berdasarkan standar ini, akuntan
publik dapat melakukan evaluasi tentang memadai atau tidaknya desain dan
mengevaluasi efektivitas struktur pengendalian intern entitas.

6. Pihak Luar Lain

Pihak luar lain yang bertanggung jawab atas struktur pengendalian intern entitas
adalah badan pengatur (regulatory body), seperti Bank Indonesia dan Bapepam.
Badan pengatur ini mengeluarkan persyaratan minimum pengendalian intern yang
harus dipenuhi suatu entitas dan memantau kepatuhan suatu entitas terhadap
persyaratan tersebut.

PENGUJIAN PENGENDALIAN

Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur


pemahanaman atas struktur pengendalian intern dan pengujian pengendalian (test
of control). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur
pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi
tentang desain struktur pengendalian intern dan informasi apakah desain tersebut
dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan
auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern
dalam mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini disebut
dengan istilah pengujian kepatuhan (compliance test) atau sering disebut dengan
pengujian pengendalian (test of control). Untuk menguji kepatuhan terhadap
pengendalian intern, auditor melakukan dua macam pengujian: (1) Pengujian
adanya kepatuhan terhadap struktur pengendalian intern. (2) Pengujian tingkat
kepatuhan terhadap struktur pengendalian intern.

1) Pengujian Adanya Kepatuhan

Untuk menentukan apakah informasi mengenai struktur pengendalian yang


dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam
pengujian:

1. Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.

Dalam membuktikan adanya kepatuhan terhadap pengendalian intern, auditor


dapat memilih transaksi tertentu, kemudian melakukan pengamatan adanya
unsur-unsur struktur pengendalian intern dalam pelaksanaan transaksi
tersebut, sejak transaksi tersebut dimulai sampai dengan selesai. Misalnya,
auditor memilih transaksi penerimaan kas dari piutang sebagai objek yang
akan dibuktikan adanya kepatuhan pengendalian internnya. Auditor
melakukan pengamatan unsur-unsur struktur pengendalian intern sejak dari
cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh
fungsi penerima kas ke Bank.
Pengujian transaksi tersebut dapat berupa:

a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan


surat pemberitahuan dari debitur yang dilakukan oleh fungsi dari
penerima surat. Auditor mengamati pembuatan daftar surat
pemberitahuan oleh fungsi penerima surat dan pengiriman cek ke fungsi
penerima kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b. Pengamatan terhadap pembuatan bukti sektor bank.Auditor mengamati
endor sement atas setiap cek oleh pejabat yang berwenang,memastikan
bahwa jumlah cek yang diterima disetor segera ke bank dengan
melakukan rekonsiliasi bukti sektor bank dengan daftar surat
pemberitahuan yang dibuat oleh fungsi penerimaan surat.
c. Pengamatan penyetoran cek ke bank.dalam hal tertentu auditor tidak
melakukan pengamatan penyetoran cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima
dari piutang disetor seluruh nya ke bank dengan negara.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke
dalam kartu piutang debitur yang bersangkutan dan ke dalam jurnal
penerimaan kas.

2. Pengujian transaksi tertentu yang telah terjadi dan yang telah di catat.

Dalam hal tertentu,auditor seringkali melakukan pengujian pengendalian


terhadap pengendalian intern dengan cara melaksanakan pengujian terhadap
transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan
akuntansi.Dalam hal ini auditor harus memilih transaksi tertentu kemudian
mengikuti pelaksanaannya (reperfotming) sejak awal sampai selesai,melalui
dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya
dalam catatan akuntansi.sebagai contoh untuk menyelidiki apakah sistem
pembelian benar-benar dilaksanakan sesuai dengan yang tercantum dalam
Buku Panduan Sistem Akuntansi,auditor memeriksa surat permintaan
pembelian,surat permintaan penawaran harga,surat order pembelian,laporan
penerimaan barang dan bukti kas keluar.Informasi yang perlu diperiksa di
sini,adalah tanda tangan otorisasi pejabat yang berwenang,untuk
membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar
dilaksanakan.

2) Pengujian Tingkat Kepatuhan


Dalam pengujian pengendalian terhadap pengendalian intern,auditor tidak hanya
berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian
intern,namun auditor juga berkepentingan terhadap tingkat kepatuhan klien
terhadap pengendalian intern.Dalam pengujian tingkat kepatuhan klien terhadap
pengendalian intern pembelian,auditor dapat menempuh prosedur audit berikut
ini:

1. Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen


pendukungnya (surat order pembelian,laporan penerimaan barang,dan
faktur dari pemasok)serta tanda tangan pejabat yang berwenang baik
dalam bukti kas keluar maupun dokumen pendukungnya.Tujuan pengujian
ini adalah untuk mendapat kan kepastian transaksi pembelian telah di
otorisasi oleh pejabat-pejabat yang berwenang.
2. Melaksanakan pengujian bertujuan ganda (dual purpose test), yang
merupakan kombinasi antara pengujian yang tujuannya untuk menilai
efektivitas pengendalian intern (pengujian pengendalian) dan pengujian
yang tujuan nya menilai kewajaran informasi yang disajikan dalam
laporan keuangan (pengujian substantif).

DOKUMENTASI INFORMASI TENTANG STRUKTUR PENGENDALIAN


INTERN YANG BERLAKU

Ada tiga cara yang biasanya digunakan auditor untuk mendokumentasikan


informasi mengenai struktur pengendalian intern yang berlaku dalam perusahaan.

1. Kuesioner pengendalian intern baku (Standard internal control


questionnaire)
2. Uraian Tertulis (Written description) dan
3. Bagian Alir sistem (System flowchart)

Kuesioner pengendalian intern baku merupakan cara yang banyak dipakai oleh
auditor dalam mendokumentasikan informasi struktur pengendalian intern
kliennya. Kuesioner pengendalian intern baku ini di susun untuk dapat diterapkan
dalam berbagai macam perusahaan dan biasanya dibuat untuk tiap-tiap siklus
kegiatan perusahaan yang diperiksa,misalnya siklus pendapatan,siklus pembelian,
siklus pengajian dan pengupahan,siklus biaya dan siklus kas. pertanyaan-
pertanyaan yang terdapat di dalamnya disusun sedemikiam rupa sehingga jawaban
yang diharapkan hanya terdiri dari “ya”,”tidak”dan “tidak dapat diterapkan.”jika
jawaban-jawaban yang diperoleh sebagian besar “ya” berarti struktur
pengendalian intern klien baik,sedangkan jawabannya sebagian besar “tidak”
berarti pengendalian intern klien lemah.contoh kuisioner pengendalian intern baku
disajikan pada tabel 10.2.

Kebaikan penggunaan kuesioner pengendalian intern baku ini adalah


dapat memberikan pedoman bagi seorang auditor dalam mengajukan pertanyaan
mengenai informasi struktur pengendalian intern yang berlaku dalam berbagai
jenis perusahaan. Di lain pihak, kelemahan penggunaan kuesioner pengendalian
intern baku ini adalah:

1. Kemungkinan menimbulkan kecenderungan bagi penanya untuk menyalin


data jawaban yang pernah diperoleh tahun sebelumnya.
2. Seringkali kuesioner pengendalian intern baku yang hanya merupakan cara
untuk mengumpulkan data,dianggap sebagai hasil akhir,sehingga penanya
seringkali tidak memahami kenyataan yang ada dibalik jawaban ya dan
tidak yang tercantum didalamnya.

Untuk dapat menyusun kuesisoner pengendalian intern ini,seorang auditor


harus memahami sistem akuntansi yang digunakan oleh kliennya dalam
melaksanakan berbagai siklus kegiatannya.Atas dasar pengetahuan yang
baik mengenai sistem akuntansi klien tersebut,seorang auditor kemudian
harus memahami unsur struktur pengendalian intern yang seharusnya ada
dalam sistem akuntansi tersebut.Kuesioner pengendalian intern pada
dasarnya berisi pertanyaan-pertanyaan mengenai keberadaan unsur
struktur pengendalian intern dalam sistem akuntansi kliennya.

Informasi tentang struktur pengendalian intern dapat dikumpulkan


dengan cara membuat uraian tertulis mengenai arus transaksi,catatan-
catatan yang di selenggarakan,dan pembagian tanggung jawab yang ada
dalam perusahaan.Uraian tertulis ini biasanya berisi identitas karyawan
yang melaksanakan suatu fungsi dan uraian terinci cara pelaksanaan
fungsinya.Biasanya pembuatan uraian tertulis dilakukan jika terdapat
struktur pengendalian intern yang bersifat unik,yang tidak tercakup di
dalam kuesioner pengendalian intern yang baku.penggunaan uraian tertulis
hanya praktis diterapkan pada audit atas laporan keuangan perusahaan
yang kecil saja.contoh uraian tertulis sistem permintaan dan pengeluaran
barang gudang disajikan pada 10.3.

Cara lain untuk mengumpulkan informasi tentang struktur


pengendalian intern adalah dengan membuat bagan alir sistem.Dengan
cara ini,suatu sistem digambarkan dengan menggunakan simbol-simbol
tertentu.Penggunaan cara ini memungkinkan auditor melakukan penilaian
secara cepat mengenai efektif atau tidaknya struktur pengendalian intern
dan menghindari review secara rinci terhadap uraian tertulis dan jawaban
yang terdapat dalam kuesioner pengendalian intern baku.

Tabel 10.2.Kuisioner Pengendalian Intern Baku

KUISIONER PENGENDALIAN INTERN LINGKUNGAN PENGENDALIAN

Tidak Dapat
Pertanyaan Ya Tidak Keterangan
Diterapkan

1
. Apakah perusahaan memiliki organisasi?        
2
. Apakah terdapat batasan yang jelas        
  Tanggung jawab:        
  - Dewan Komisaris?        
  - Komite Audit?        
  -Manajemen puncak perusahaan?        
  -Manajemen jenjang dibawahnya?        
3
. Apakah perusahaan memiliki:        
  -Kode etik?        
  -Kebijakan tentang kepentingan yang berte        
  ntangan (conflict of interest)        
4
. Apakah manajemen terlibat dalam peranca        
  ngan dan pengesahan perubahan dalam        
  struktur pengendalian?        
  - Apakah struktur pengendalian dipantau        
  secara memadai?        
  -Apakah terdapat tindak lanjut terhadap        
  penyimpangan dari unsur pengendalian        
  yang berlaku?        
5
. Apakah perusahaan memiliki sistem        
  penyusunan anggaran?        
  -Apakah laporan pelaksanaan anggaran di        
  buat pada waktu yang seharusnya        
  -Aapakah terdapat tindak lanjut terhadap        
penyimpangan pelaksanaan dari
  anggarannya?        
6 Apakah perusahaan memiliki fungsi audit
. intern?        
  -Objektif?        
  -Kompeten?        
  Apakah pekerjaan auditor intern        
  -Dilaksanakan dengan baik?        
  -Didokumentasikan dengan baik?        
  -Dilaporkan?        
7 Apakah kebijakan yang bersangkutan
. dengan        
  karyawan menjamin dengan memadai        
  -Penerimaan karyawan?        
  -Pelatihan karyawan?        
  -Pengawasan karyawan?        
  -Penilaian karyawan?        
8 Apakah terdapat turnover yang rendah
. dalam:        
  -Manajemen?        
  -Karyawan?        
9 Apakah terdapat petunjuk bahwa
. manajemen        
-Meningkatkan laporan keuangan yang
  wajar?        
-Jujur dalam menggapai pertanyaan-
  pertanyaan        
  dari auditor?        
  -Sungguh-sungguh dalam membuat estimasi        
  akuntansi?        
  -Memiliki Integrasi?        
-Mmeiliki kesadaran pengendalian yang
  kuat?        

Tabel 10.3.Uraian Tertulis Permintaan dan Pengeluaran Barang Gudang

Unit Organisasi Pemakai


1
. Mengisi bukti permintaan dan pengeluaran barang gudang (BPPBG) 3 lembar.
2
. Meminta otoritas dari kepala bagian yang bersangkutan.
3
. Mmenyerahkan 3 lembar BPPBG tersebut ke Bagian Gudang.
4
. Menerima barang dari Bagian Gudang disertai dengan BPPBG lembar ke 2.
5
. Mengarsipkan BPPBG lembar ke 3 menurut nomor urutnya.
Bagian Gudang
1
. Menerima 3 lembar BPPBG dari unit organisasi pemakai.
2
. Mengambil barang dengan jenis dan jumlah seperti yang tercantum di
  dalam BPPBG.
3
. Mengisikan kuantitas barang yang diserahkan pada BPPBG (3 lembar)
4
. Mencatat BPPBG di dalam kartu gudang
5
. Mendistribusikan BPPBG sebagai berikut:
  Lembar ke 1 : Bagian Akuntansi
  Lembar ke 2 : Unit Organisasi pemakai bersamaan dengan penyerahan
  Barang
  Lembar ke 3 : Arsip Bagian Gudang menurut tanggal.
Bagian Akuntansi
1
. Menerima BPPBG lembar ke 1 dari bagian gudang.
2
. Mengisi harga pokok satuan barang pada BPPBG berdasarkan kartu sediaan.
3
. Menghitung dan mengisi harga pokok total (kuantitas yang dipakai x harga
  pokok satuan) pada BPPBG.
4
. Mencatat BPPBG di dalam kartu sediaan.
5
. Mencatat BPPBG di dalam kartu biaya.
6 Mengarsipkan BPPBG menurut nomor urutnya.
.

RISIKO PENILAIAN

Semua komponen pengendalian internal,dari lingkungan pengendalian sampai


pada monitoring,harus di nilai risikonya. Penilaian risiko oleh manajemen
berbeda,namun terkait erat dengan penilaian risiko auditor.Manajemen menilai
risiko sebagai bagian dari merancan dan mengoperasikan sistem intern untuk
meminimalkan kesalahan dan penyimpangan.Auditor menilai risiko untuk
menentukan bukti yang dibutuhkan dalam audit.Dua pendekatan penilaian risiko
yang terkait bahwa jika manajemen efektif menilai dan merespon risiko,auditor
biasanya akan perlu untuk mengumpulkan sedikit bukti audit dari pada ketika
manajemen gagal,karena risiko pengendalian yang lebih rendah.

RISIKO BISNIS INTERNAL DAN EKSTERNAL

Risiko organisasi bisa timbul karena dari faktor eksternal dan internal.dari faktor
eksternal ,perkembangan teknologi dapat mempengaruhi sifat atau waktu
penelitian dan pengembangan,atau memimpin perubahan dalam
pengadaan.perubahan kebutuhan pelanggan mempengaruhi pengembangan
produk,harga,jaminan,dan juga layanan.Undang-undang dan peraturan baru bisa
memaksa perubahan kebijakan dan strategi operasi.Perubahan ekonomi
berdampak pada keputusan yang berkaitan pembiayaan,belanja modal,dan
ekspansi.Risiko yang timbul dari faktor internal mungkin termasuk gangguan
pengolahan sistem informasi,kualitas personil dan pelatihan,perubahan tanggung
jawab manajemen,peluang penyalahgunaan karena sifat dari kegiatan entitas atau
akses karyawan untuk aset,dan ketidak efektifan komite audit.

IDENTIFIKASI RISIKO DARI SEBUAH BISNIS

Banyak teknik yang telah dikembangkan untuk mengidentifikasi risiko umum


untuk sebuah bisnis.Kebanyakan terlibat dalam pengidentifikasian dan
memprioritaskan kegiatan berisiko tinggi.Salah satu metode harus mengikut
prosedur berikut ini:
1. Mengidentifikasi sumber penting dari bisnis dan menentukan yang paling
berisiko.
2. Mengidentifikasi kemungkinan kewajiban yang mungkin timbul.
3. Meninjau risiko yang muncul di masa lalu.
4. Mempertimbangkan risiko tambahan yang dikenakan oleh tujuan baru
atau faktor eksternal baru.
5. Berusahan untuk mengantisipasi perubahan dengan mempertimbangkan
masalah dan peluang dasar yang berkelanjutan.

Entitas merupakan risiko yang luas sumber pasokan (termasuk kualitas,stabilitas


dan jumlah pemasok asing), fluktuasi nilai mata uang, ketepat waktuan
penerimaan kiriman (termasuk penundaan kebiasaan), ketersediaan, keandalan
dan biaya pengiriman, dan kemungkinan embargo perdagangan yang disebabkan
oleh ketidakstabilan politik. Risiko bisnis umum lainnya adalah seperti kondisi
ekonomi, penerimaan pasar, pesaing, dan perubahan peraturan juga harus di
pertimbangkan.

KONDISI YANG MUNGKIN MENINGKATKAN RISIKO

Kondisi tertentu dapat meningkatkan risiko dan membutuhkan pertimbangan


khusus. Kondisi ini adalah: perubahan lingkungan operasi, karyawan baru,
informasi baru atau perubahan sistem, pertumbuhan yang cepat, teknologi baru,
baris baru, produk dan kegiatan, restrukturisasi perusahaan, dan operasi asing.

SISTEM INFORMASI, KOMUNIKASI DAN PROSES KETERKAITAN


BISNIS

Setiap perusahaan harus menangkap informasi yang berhubungan dengan


kejadian-kejadian dan peristiwa baik pihak internal maupun eksternal dalam
bentuk keuangan dan nonkeuangan. Informasi harus diidentifikasi oleh
manajemen yang relevan dan kemudian mengomunikasikannya kepada orang
yang membutuhkannya dalam bentuk dan kerangka waktu yang memungkinkan
mereka melakukan pekerjaan mereka.
Informasi yang relevan dengan pelaporan keuangan di catat dalam sistem
akuntansi dan dikenakan prosedur yang memulai, mencatat, memproses, dan
melaporkan transaksi entitas. Kualitas informasi yang dihasilkan oleh system
mempengaruh kemampuan manajemen untuk membuat keputusan yang tepat
dalam mengendalikan kegiatan entitas dan mempersiapkan laporan keuangan
terpercaya. Tidak hanya soal pelaporan, komunikasi terjadi dalam arti luas,
mengalir ke bawah, keseberang dan sampai pada organisasi. Semua personel
harus menerima pesan yang jelas dari manajemen puncak yang bertanggung
jawab mengontrol harus di anggap serius. Karyawan harus memahami peran
mereka sendiri dalam system pengendalian internal, serta bagaimana kegiatan
individu berhubungan dengan pekerjaan orang lain, dan bagaimana melaporkan
informasi yang signifikan terhadap manajemen puncak. Penting juga membangun
komunikasi yang efektif dengan pihak eksternal seperti pelanggan, pemasok, dan
regulator.

TERMASUK SISTEM INFORMASI

Sebuah perusahaan menggunakan berbagai informasi. Sistem informasi yang di


gunakan oleh perusahaan termasuk system akuntansi, system produksi, informasi
anggaran, sistem personil, system software, aplikasi perangkat lunak untuk
pengolah kata, perhitungan, presentasi, komunikasi, database, dan semua catatan
dan file yang dihasilkan oleh software seperti pelanggan dan catatan vendor.
Sistem informasi juga mencakup informasi tentang peristiwa eksternal, kegiatan,
dan kondisi yang diperlukan untuk membuat informasi keputusan bisnis dan
mematuhi pelaporan eksternal.

SISTEM INFORMASI PELAPORAN KEUANGAN DAN PROSES

Selama audit, auditor harus memperoleh pemahaman tentang sistem informasi dan
proses bisnis terkait yang relevan dengan pelaporan keuangan dalam bidang
berikut:

1. Kelas transaksi dalam operasi entitas yang signifikan terhadap laporan


keuangan;
2. Prosedur, dengan teknologi informasi dan sistm manual, dimana transaksi
tersebut di mulai, di catat, di proses, dan dilaporkan dari kejadian mereka
untuk di masukkan dalam laporan keuangan;
3. Catatan terkait akuntansi, informasi pendukung, dan akun tertentu dalam
laporan keuangan dan bagaimana mereka memulai, mencatat, memproses,
dan melaporkan transaksi;
4. Bagaimana system informasi menangkap peristiwa dan kondisi, selain
transaksi, yang signifikan terhadap laporan keuangan;
5. Proses pelaporan keuangan yang digunakan untuk menyusun laporan
keaungan entitas, termasuk estimasi akuntansi dan pengungkapan.

PROSEDUR TRANSAKSI TEKNOLOGI INFORMASI (TI)

Prosedur dimana transaksi di mulai, di catat, di proses, dan dilaporkan dari


terjadinya sampai dimasukkannya dalam laporan keuangan meliputi memasukkan
keseluruhan transaksi ke dalam buku besar (atau catatan setara) dan memulai,
mencatat, dan proses memasukkan jurnal. Khususnya memahami penyesuaian
yang tidak biasa atas laporan keuangan.

Teknologi Informasi (TI) dapat digunakan untuk mentransfer informasi secara


otomatis dari system proses transaksi untuk buku besar dengan pelaporan
keuangan. Proses otomatis dan kontrol di sistem tersebut dapat mengurangi risiko
kesalahan yang tidak disengaja tetapi menciptakan risiko baru. Ketika teknologi
informasi digunakan untuk mentransfer informasi secara otomatis, mungkin ada
sedikit atau tidak ada bukti nyata dari intervensi yang tidak sah dalam sistem
informasi jika terjadi.

Auditor juga harus memahami bagaimana pengolahan transaksi yang salah untuk
diselesaikan. Misalnya, apakah ada ketegangan file otomatis dan, jika demikian,
bagaimana ketegangan item membersihkan secara tepat waktu? Bagaimana sistem
yang saling tumpang tindih atau lewat begitu saja dikendalikan untuk di catat?
Tabel 10.4. Input, Subsistem dan Output dari Sistem Informasi

Input

 Transaksi akuntansi
 Korrespondensi
 Informasi karyawan
 Pelanggan dan informasi vendor
 Tujuan entitas dan standards
 Prosedur manual
 Informasi tentang kejadian-kejadian external, kegiatan-kegiatan, dan
kondisi subsistem
 Sistem akuntansi
 Catatan pelanggan dan vendor
 Sistem produksi
 Sistem anggaran
 Sistem personel
 Sistem software kompeter
 Aplikasi software komputer (word processing, spreadsheet,
presentation, communication, computer languages and database)

Output

 Pelaporan akuntansi
 Pelaporan anggaran
 Pelaporan produksi
 Pelaporan operasi
 Korespondensi
 Semua catatan dan files yang dihasilkan oleh aplikasi software
RISIKO TEKNOLOGI INFORMASI

Seorang auditor harus menyadari bahwa teknologi informasi menimbulkan risiko


tertentu untuk pengendalian internal entitas termasuk :

1. Ketergantungan pada sistem atau program pengolahan data yang tidak


akurat;
2. Akses tidak sah ke data yang dapat mengakibatkan kerusakan data atau
perubahan data yang tidak benar, termasuk pencatatan transaksi yang tidak
sah atau tidak ada atau rekaman akurat dari transaksi;
3. Perubahan tidak sah data ke dalam file induk;
4. Perubahan tidak sah ke sistem atau program;
5. Kegagalan untuk melakukan perubahan yang diperlukan untuk system atau
suatu program;
6. Kepantasan intervensi manual;
7. Hilangnya potensi data atau ketidakmampuan untuk mengakses data yang
diperlukan.

KEGIATAN PENGENDALIAN (PROSEDUR PENGENDALIAN)

Prosedur pengendalian (kadang-kadang disebut “kegiatan pengendalian”) adalah


suatu kebijakan dan prosedur yang membantu memastikan arahan manajemen
dilaksanakan. Mereka membantu memastikan bahwa diperlukan tindakan yang di
ambil untuk mengatasi risiko terhadap pencapaian tujuan entitas untuk operasi,
pelaporan keuangan, atau kepatuhan. Umumnya, prosedur pengendalian
dikelompokkan ke dalam empat kategori: penilaian kinerja, pengolahan informasi,
control fisik, dan pemisahan tugas.

DUA ELEMEN PROSEDUR PENGENDALIAN

Prosedur pengendalian dapat dibagi menjadi dua elemen: kebijakan menetapkan


apa yang harus dilakukan dan prosedur untuk mempengaruhi kebijakan itu.
Control prosedur adalah review atas printout komputer atas kegiatan perdagangan
setiap harinya oleh pelanggan, dilakukan pada waktu yang tepat dan dengan
perhatian yang diberikan kepada sifat dan volume efek yang diperdagangkan.
Prosedur pengendalian menerapkan kebijakan control tugas tertentu secara rutin,
dilakukan pada waktu tertentu oleh orang-orang yang ditunjuk, bertanggungjawab
oleh pengawasan yang memadai dan bukti kinerja. Kategori aktivitas
pengendalian mencakup:

1. Telaah kinerja;
2. Pengolahan informasi;
3. Control fisik;
4. Pemisahan tugas;
5. Otorisasi.

Telaah Kinerja

Telaah kinerja pemeriksaan independen terhadap kinerja oleh pihak ketiga tidak
langsung terlibat dalam kegiatan ini. Kadang-kadang disebut verifikasi internal,
telaah ini termasuk ulasan tentang kinerja aktual dibandingkan dengan anggaran,
cek prosedur, perbandingan berkala atas catatan akuntansi dan aset fisik, dan
review fungsional atau kegiatan kinerja.

Memproses Informasi

Prosedur pengendalian pengolahan informasi secara garis besar dikelompokkan ke


dalam dua jenis: pengendalian aplikasi dan kontrol umum. Pengendalian aplikasi
merupakan kontrol yang berlaku untuk aplikasi yang memulai, mencatat,
memproses, dan melaporkan transaksi (seperti Ms Office, SAP, QuickBooks),
dari pada sistem computer pada umumnya. Contoh kontrol aplikasi adalah
mengedit cek input data, pemeriksaan urutan numerik, dan manual tindak lanjut
dari pengecualian laporan. Dalam sistem manual aplikasi kontrol dapat disebut
sebagai dokumen memadai dan catatan kontrol

Kontrol umum adalah kebijakan dan prosedur yang berhubungan dengan banyak
aplikasi dan mendukung efektivitas fungsi kontrol aplikasi dengan membantu
untuk memastikan keberlanjutan operasi yang tepat dari sistem informasi.
Beberapa contoh kontrol umum adalah kontrol atas pusat data dan operasi
jaringan, kontrol atas perangkat lunak system akuisisi, kontrol atas akses ke
perangkat lunak komputer (kontrol password), perubahan dan kontrol
pemeliharaan, keamanan akses, dan akuisisi sistem aplikasi dan kontrol
pembangunan. Sebuah contoh yang baik dari kontrol umum dalam software
akuntansi adalah pesan kesalahan jika ada masalah dalam menggunakan sistem
operasi (misalnya “Silakan masukkan CD-ROM di drive D”). Dalam sistem
manual, control umum merupakan kontrol atas otorisasi transaksi dan kegiatan
yang tepat.

Catatan Transaksi

Perusahaan harus mempertahankan aturan catatan transaksi yang dicatat dan


diringkas. Dalam sistem manual, catatan ini termasuk faktur penjualan, dokumen
pengiriman, pesanan pembelian, catatan subsidiary, jurnal, buku besar, dan kartu
waktu karyawan. Di sistem komputer, catatan ini semua terwakili dalam database
yang dipelihara oleh program aplikasi akuntansi (seperti QuickBooks, SAP,
Oracle Financials).

Catatan-catatan ini harus cukup untuk memberikan jaminan yang baik bahwa
semua aset yang benar dikontrol dan semua transaksi dicatat dengan benar.
Dokumen yang dirancang dalam sistem manual dan layar input terformat dalam
sistem computer harus pra-nomor berturut-turut, disiapkan pada saat terjadi
transaksi, cukup mudah untuk dipahami, dirancang untuk beberapa penggunaan
untuk meminimalkan jumlah bentuk yang berbeda, dan dibangun dengan cara
yang mendorong persiapan yang benar.

Control Aplikasi

Ada beberapa contoh kontrol aplikasi standar. Bagan akun adalah aplikasi penting
karena memberikan kerangka untuk menentukan informasi yang disajikan pada
laporan keuangan dan anggaran. Kontrol yang paling banyak diterapkan adalah
perangkat penggunaan nomor seri pada dokumen dan transaksi masukan. Nomor
seri memberikan kontrol atas jumlah dokumen yang dikeluarkan. Cek, tiket,
faktur penjualan, pesanan pembelian, sertifikat saham, dan banyak makalah bisnis
lainnya menggunakan kontrol ini. Dokumen harus dicatat segera karena waktu
yang lama antara transaksi dan perekaman meningkatkan kemungkinan salah saji.
Sistem manual akuntansi komputer perangkat lunak harus memberikan informasi
yang cukup untuk membuat fungsi akuntansi jelas.
Kontrol Umum

Teknologi informasi memastikan bahwa akses ke sistem komputer terbatas pada


orang-orang yang memiliki hak atas informasi tersebut. Delegasi sesuai
kewenangan menetapkan batasan pada tingkat risiko apa yang dapat diterima dan
batas-batas ini menentukan kebijaksanaan karyawan mendelegasikan jenis utama
transaksi bisnis. Otorisasi mungkin umum atau khusus. Contoh dari batas umum
yang ditetapkan oleh kebijakan adalah daftar harga produk, point pencatatan ulang
persediaan, dan batas kredit pelanggan. Otorisasi tertentu dapat dilakukan pada
kasus-per-kasus seperti otorisasi atas penurunan harga gaun atas hilangnya
kancing di toko ritel-pakaian.

Kontrol Fasilitas Komputer

Fasilitas komputer mungkin memiliki beberapa jenis kontrol. Kontrol akses yang
umum atau kontrol aplikasi seperti password memungkinkan hanya orang yang
berwenang masuk ke perangkat lunak computer on line. Sebuah kontrol umum
yang sangat penting adalah back-up dan pemulihan prosedur. Kontrol fisik seperti
mengunci pintu ke ruang computer dan mengunci lemari untuk perangkat lunak
dan memback-up kaset melindungi komponen nyata dari sistem computer.

PENGENDALIAN FISIK

Kontrol fisik merupakan prosedur untuk memastikan keamanan fisik aset. Aset
dan catatan yang tidak dilindungi secara memadai dapat di curi, rusak, atau hilang.
Dalam komputerisasi perusahaan file data yang rusak bisa mahal atau bahkan
tidak mungkin untuk ganti. Untuk alasan ini hanya individu yang berwenang dan
benar yang diizinkan memiliki akses terhadap aset perusahaan. Akses fisik
langsung ke aset dapat dikontrol melalui tindakan pencegahan fisik, misalnya:
gudang menjaga persediaan terhadap pencurian; kunci, pagar dan penjaga
melindungi aset lainnya seperti peralatan; dan brankas tahan api untuk melindungi
keamanan deposito, aset seperti mata uang dan surat berharga.

PEMISAHAN TUGAS
Pemisahan tugas berupaya untuk mencegah seseorang yang memiliki akses yang
mudah terhadap aset atas kemampuannya untuk menyesuaikan catatan yang
direkam dan mampu dalam mengendalikan aset tersebut. Pembagian tugas, atau
terpisah, antara orang-orang yang berbeda adalah untuk mengurangi risiko
kesalahan atau tindakan yang tidak pantas. Misalnya, tanggung jawab untuk
otorisasi transaksi, catatan mereka, dan penanganan aset terkait (disebut tahanan
aset) telah dibagi. Pemisahan tugas memerlukan tiga fungsi mendasar yang harus
dipisahkan dan diawasi:

1. Otorisasi adalah delegasi inisiasi transaksi dan kewajiban pada nama


perusahaan;
2. Penitipan kontrol fisik atas aset atau catatan;
3. Rekaman adalah penciptaan bukti dokumenter dari transaksi dan
masuknya ke catatan akuntansi.

Pemisahan dari tiga fungsi ini merupakan unsur penting dari kontrol. Sebagai
contoh adalah upah. Otorisasi diperlukan untuk mempekerjakan staf dan fungsi
dari departemen personalia. Penerimaan gaji dan penerbitannya untuk karyawan
ditangani oleh pengawas pekerjaan. Departemen akuntansi menangani pencatatan
catatan waktu dan gaji dalam jurnal penggajian.

Tabel 10.5 Gambaran Pemisahan Tugas

Jenis Transaksi Kontrol


Otorisasi Kontrol memastikan bahwa transaksi hanya diperlukan
berdasarkan tujuan entitas yang dilakukan. Mereka
mencegah yang tidak perlu dan penipuan transaksi.
Contoh: bagan organisasi, akuntansi prosedur manual,
bagan akun, konflik kepentingan kebijakan, tanda tangan
pada cek sebatas itu presiden, dll
Pencatatan Kontrol memastikan bahwa semua transaksi resmi yang
diperbolehkan dalam catatan akuntansi, dimasukkan
dengan benar, dan tidak dihapus atau diubah tanpa otorisasi
yang tepat. Contoh: entri dalam jurnal kemudian buku
besar, posting referensi dalam jurnal, rotasi personil
akuntansi, daftar penerimaan mail, kaset kasir, rekonsiliasi
laporan bank, dll
Penitipan Kontrol memastikan bahwa aset tidak dapat
disalahgunakan. Contoh: diberi bentuk nomor sebelumnya,
akses ke catatan (komputer atau manual) terbatas pada
personil yang berwenang, seseorang menangani kas tidak
menjaga catatan akuntansi kas, ikatan karyawan,
penyimpanan terkunci, orang yang bertanggung jawab
untuk aset tidak harus berwenang untuk menjual mereka,
deposito harian kas, dll

Orang-orang yang mengotorisasi transaksi tidak harus memiliki kontrol atas aset
terkait. Di Barings tahun 1995, sebuah bank Inggris usia 300 tahun, di paksa
bangkrut dengan kerugian ratusan juta dolar AS. Nicholas Leeson, manajer
cabang Singapura, tidak hanya melakukan investasi dalam pertukaran di indeks
derivatif Nikkei, tetapi juga mampu mengotorisasi investasinya sendiri. Otorisasi
transaksi dan penanganan aset terkait oleh orang yang sama meningkatkan
kemungkinan penyalahgunaan kepercayaan dalam organisasi.

Penitipan dan Pencatatan

Jika seorang individu memiliki ha katas suatu aset, ada risiko yang tinggi orang
mengeluarkan aset untuk keuntungan pribadi dan menyesuaikan catatan untuk
menutupi pencurian. Kontrol dasar yang diberlakukan oleh pembukuan double-
entry berarti bahwa, untuk menyembunyikan pencurian atau penggunaan penipuan
aset, pelaku harus dapat mencegah pencatatan aset di tempat pertama atau menulis
dihapuskan.

1. Pemisahan Tugas

Tanggung jawab operasi dan pencatatan dan tugas teknologi informasi


harus terpisah. Sistem informasi merupakan hal yang sangat penting untuk
kontrol, sehingga menyarankan bahwa seluruh tugas mereka dipisahkan untuk
programer, operator komputer, pustakawan, dan reviewer data. Seorang
programer menulis (atau di konfigurasi) perangkat lunak. Memberinya akses
terhadap input data menciptakan godaan. Operator komputer (yang masukkan
data akuntansi) tidak harus dapat memodifikasi program. Seorang pustakawan
dan kustodian mempertahankan catatan dan file yang seharusnya hanya dirilis
ke petugas yang berwenang. Orang yang menguji efisiensi semua aspek dari
sistem harus independen dari pekerjaan komputer lainnya.

2. Prosedur Pengendalian Risiko

Semua prosedur pengendalian harus dianalisis untuk risiko. Risiko


utama adalah bahwa prosedur pengendalian belum dibentuk untuk memastikan
kebijakan dilakukan. dengan kata lain, kebijakan telah diidentifikasi, tetapi
tidak ada aktivitas pengendalian untuk memastikan pencapaian dan
pemantauan tujuan, itu dianggap sebagai kelemahan dalam pengendalian
internal. Risiko juga meningkat jika prosedur kontrol dirancang, namun belum
beroperasi. Juga, karena perubahan dalam bisnis, produk atau industri,
mungkin ada kegiatan pengendalian di tempat yang tidak lagi relevan.

A. PEMANTAUAN KONTROL

Sistem pengendalian internal perlu di pantau. Pemantauan adalah


proses yang berhubungan dengan penilaian berkelanjutan dari kualitas kinerja
pengendalian internal. Proses ini melibatkan penilaian desain kontrol dan
operasi mereka secara tepat waktu dan mengambil tindakan korektif yang
diperlukan. Dengan pemantauan, manajemen dapat menentukan bahwa
pengendalian internal beroperasi sebagaimana dimaksud dan bahwa mereka
dimodifikasi sesuai untuk perubahan kondisi.

Informasi monitoring berasal dari beberapa sumber: pelaporan yang


dikecualikan atas kegiatan pengendalian, laporan oleh regulator pemerintah,
umpan balik dari karyawan, keluhan dari pelanggan, dan yang paling penting
adalah laporan dari auditor internal. Untuk perusahaan besar, departemen audit
internal juga dapat membantu auditor eksternal mengurangi bukti persyaratan.

Kegiatan-kegiatan manajemen monitoring mungkin termasuk


menggunakan informasi dan komunikasi dari pihak eksternal seperti keluhan
pelanggan dan komentar regulator yang mungkin menunjukkan masalah atau
area yang membutuhkan perbaikan. Dua contoh lain dari kegiatan monitoring
adalah penelaahan manajemen atas rekonsiliasi bank, dan evaluasi internal
auditor atas kepatuhan tenaga penjualan dengan kebijakan sumber daya
manusia perusahaan.

1. Pengendalian Internal Sepanjang Waktu

Sistem pengendalian internal berubah dari waktu ke waktu. Cara


kontrol yang diterapkan dapat berkembang. Beberapa prosedur dapat menjadi
kurang efektif atau mungkin tidak lagi dilakukan. hal ini dapat disebabkan
kedatangan personil baru, efektivitas berbagai pelatihan dan pengawasan,
kendala waktu dan sumber daya, atau bertambahnya tekanan. Selanjutnya,
keadaan sistem pengendalian internal yang awalnya sudah dirancang juga bisa
berubah, menyebabkan ia kurang mampu memperingatkan risiko yang dibawa
oleh kondisi baru. Oleh karena itu, manajemen perlu untuk menentukan apakah
sistem pengendalian internal terus menjadi relevan dan mampu mengatasi
risiko baru. Ini merupakan fungsi pengawasan.

2. Evaluasi Pemantauan Aktivitas

Ketika mengevaluasi monitoring berkelanjutan, isu-isu berikut mungkin


perlu untuk dipertimbangkan:

a. Perbandingan periodic dalam jumlah yang tercatat dengan sistem akuntansi


dengan fisik aset:
b. Tanggap terhadap rekomendasi auditor internal dan eksternal pada sarana
untuk memperkuat pengendalian internal;
c. Sejauh mana seminar pelatihan, sesi perencanaan, dan pertemuan lain
memberikan manajemen informasi tentang operasi yang efektif atas kontrol;
d. Apakah personil diminta secara berkala untuk menyatakan apakah mereka
dapat memahami dan mematuhi code of conduct entitas dan secara teratur
melakukan kegiatan pengendalian kritis;
e. Efektivitas kegiatan audit internal;
f. Sejauh mana personil, dalam melaksanakan kegiatan rutin mereka,
mendapatkan bukti untuk apakah sistem pengendalian intern terus berfungsi.

Evaluasi dari semua komponen yang di ambil bersama-sama untuk


evaluasi keseluruhan dan evaluasi sampel formulir kosong ditunjukkan dalam
tabel 10.6

Tabel 10.6. Alat Evaluasi Pengendalian Internal Menyeluruh

Lampiran ini adalah alat kosong (kertas kerja) untuk mengevaluasi


lingkungan pengendalian suatu entitas. Formulir ini adalah untuk diisi secara
rinci seperti yang ditunjukkan dalam tabel berikut.

Komponen Pengendalian Internal Tanggapan Ya/Tidak


Pengendalian Lingkungan
1) Apakah manajemen memadai
menyampaikan pesan bahwa integritas tidak Ya/Tidak
bisa dikompromikan?
2) Apakah lingkungan kontrol positif ada,
dimana ada sikap kontrol kesadaran seluruh Ya/Tidak
organisasi dan positif “Nada di atas?”
3) Apakah kompetensi orang entitas sepadan
Ya/Tidak
dengan mereka tanggung jawab?
4) Apakah gaya operasi manajemen, cara itu
memberikan otoritas dan tanggung jawab,
Ya/Tidak
dan mengatur dan mengembangkan orang-
orang yang tepat?
5) Apakah papan memberikan tingkat yang
Ya/Tidak
tepat perhatian?
Perkiraan Risiko
1) Apakah tujuan entitas-luas dan mendukung Ya/Tidak
tujuan kegiatan-tingkat didirikan dan
dihubungkan?
2) Apakah risiko internal dan eksternal yang
mempengaruhi keberhasilan atau kegagalan
Ya/Tidak
dari pencapaian tujuan diidentifikasi dan
dinilai?
3) Apakah mekanisme untuk mengidentifikasi
perubahan yang mempengaruhi kemampuan Ya/Tidak
entitas untuk mencapai tujuannya?
4) Apakah kebijakan dan prosedur
Ya/Tidak
dimodifikasi sesuai kebutuhan?
Kegiatan Pengendalian
1) Kegiatan pengendalian di tempat untuk
memastikan kepatuhan terhadap kebijakan
Ya/Tidak
yang ditetapkan dan melakukan tindakan
untuk mengatasi risiko yang terkait?
2) Apakah ada kegiatan pengendalian yang
Ya/Tidak
tepat untuk setiap kegiatan entitas?
Informasi dan Komunikasi
1) Apakah sistem informasi di tempat untuk
mengidentifikasi dan menangkap yang
bersangkutan informasi-keuangan dan non-
keuangan, yang berkaitan dengan eksternal
Ya/Tidak
dan internal peristiwa dan membawanya ke
personil dalam bentuk yang memungkinkan
mereka untuk melaksanakan tanggung
jawab mereka?
2) Apakah komunikasi informasi yang relevan
Ya/Tidak
berlangsung?
3) Apakah informasi yang disampaikan jelas Ya/Tidak
sehubungan dengan harapan dan tanggung
jawab individu dan kelompok, dan
pelaporan hasil?
4) Dan apakah komunikasi terjadi turun,
menemukan dan ke atas dalam entitas, serta Ya/Tidak
antara entitas dari pihak lain?
Pemantauan
1) Apakah prosedur yang tepat di tempat untuk
memantau secara terus-menerus, atau secara
Ya/Tidak
berkala mengevaluasi fungsi komponen lain
dari pengendalian internal?
2) Apakah kekurangan dilaporkan kepada
Ya/Tidak
orang yang tepat?
3) Apakah kebijakan dan prosedur
Ya/Tidak
dimodifikasi sesuai kebutuhan?
Kesimpulan menyeluruh

B. DESAIN PENGENDALIAN INTERNAL

Akhir-akhir ini, evaluasi yang cermat dari desain pengendalian internal


dan bagaimana hal itu beroperasi dalam prakteknya dirangsang oleh persyaratan
peraturan, seperti Undang-Undang Sarbanes-Oxley (dimana laporan pengendalian
internal diperlukan), dan SEC. Laporan pengendalian internal berisi pernyataan
tanggung jawab manajemen untuk membangun dan mempertahankan kontrol
memadai atas pelaporan keuangan, dan kerangka pernyataan dari manajemen
yang digunakan untuk mengevaluasi efektivitas pengendalian. Manajemen harus
memberikan penilaian mereka atas efektivitas pengendalian internal dan auditor
diminta untuk melaporkan atestasi atas penilaian manajemen.

Untuk memperoleh suatu pemahaman tentang pengendalian intern entitas,


auditor diperlukan untuk mengevaluasi desain kontrol dan menentukan apakah
mereka telah dilaksanakan. Mengevaluasi desain kontrol melibatkan
mempertimbangkan apakah kontrol mampu efektif mencegah, atau juga
mendeteksi dan mengoreksi, salah saji material.
Kesalahan dalam desain terjadi ketika kegiatan penting dari pengendalian
internal yang dirancang oleh individu memiliki pengetahuan yang terbatas tentang
akuntansi. Misalnya, jika dilakukan oleh personil teknologi informasi perusahaan
yang tidak sepenuhnya memahami bagaimana sistem proses order entry transaksi
penjualan, mereka mungkin keliru merancang perubahan sistem. Di sisi lain,
desain yang baik mungkin diimplementasikan dengan buruk. Sebuah perubahan
kontrol teknologi informasi mungkin dirancang dengan benar tapi disalahpahami
oleh individu yang menerjemahkan desain ke dalam kode program. Kontrol
teknologi informasi yang di rancang adalah untuk melaporkan transaksi atas
jumlah rupiah yang telah ditentukan oleh manajemen, tapi individu yang
bertanggung jawab untuk melakukan review mungkin tidak memahami tujuan
laporan tersebut dan, karenanya, mungkin gagal untuk menelaah atau menyelidiki
item yang tidak biasa.

1. Kontrol Mengatasi Risiko Signifikan

Hal ini terutama penting untuk mengevaluasi desain kontrol yang


menangani risiko yang signifikan dan kontrol prosedur substantif yang tidak
cukup. Untuk risiko yang signifikan, auditor harus mengevaluasi desain
kontrol entitas, termasuk kontrol prosedur yang relevan. Pelaksanaan kontrol
berarti bahwa kontrol ada dan entitas menggunakannya.

2. Pengendalian Risiko

Pengendalian risiko merupakan fungsi dari efektivitas desain dan


operasi internal kontrol dalam mencapai tujuan entitas yang relevan dengan
penyusunan laporan keuangan entitas. Beberapa pengendalian risiko akan
selalu ada karena keterbatasan yang melekat pada pengendalian internal.
Pengendalian internal, tidak peduli seberapa baik dirancang dan dioperasikan,
hanya dapat memberikan keyakinan memadai untuk mencapai tujuan entitas.
Keterbatasan untuk pengendalian internal meliputi faultiness dari penilaian
manusia dalam pengambilan keputusan dan kekeliruan manusia seperti
kesalahan atau kegagalan.

3. Menilai Kontrol Desain


Tidak ada prosedur standar untuk menilai desain pengendalian
internal, tapi semua kontrol diciptakan untuk memastikan bahwa tujuan
terpenuhi. Ketika menilai desain kontrol, auditor akan mulai dengan tujuan.
Kemudian ia akan bertanya pada diri sendiri apa yang harus dan mengontrol
bisa berada di tempat untuk memastikan bahwa tujuan ini terpenuhi dan
dengan cara apa kontrol ini mungkin diimplementasikan. Ini merupakan
desain kontrol.

4. Pernyataan Laporan Keuangan dan Kontrol

Ada tujuan standar pelaporan keuangan, atau asersi, yang di


asumsikan di tempat untuk laporan keuangan yang cukup mewakili kondisi
keuangan yang mendasari entitas. Misalnya, adanya pernyataan dapat
diterapkan untuk penjualan, yaitu “pendapatan ada”. Tujuannya adalah bahwa
semua penjualan yang berjumlah saldo rekening pendapatan sebenarnya ada,
setiap menyusun transaksi penjualan pendapatan harus memenuhi definisi
“pendapatan” dan benar-benar terjadi (penjualan tidak wajar). Kontrol seperti
register cash, akses terbatas untuk catatan penjualan di buku besar, dan
kontrol kegiatan seperti segregasi tugas dan pemantauan transaksi yang tidak
biasa harus dirancang dan dilaksanakan untuk menjamin bahwa saldo akun
pendapatan benar. Apakah input penerimaan transaksi melalui kasir? Ini
merupakan desain untuk menjamin pendapatan ada. Selain menggunakan
kasir, bagian tambahan dari desain kontrol adalah bahwa semua karyawan
dilatih untuk menggunakan kasir.

5. Metode untuk Mendapatkan Kontrol Bukti Audit

Memperoleh bukti audit tentang desain dan implementasi


pengendalian yang relevan harus mencakup:

a. Meminta personil entitas. Pertanyaan diarahkan pada personil audit internal


yang mungkin berhubungan dengan kegiatan mereka mengenai desain dan
efektivitas pengendalian internal entitas. Biasanya, hanya dengan meminta
personil entitas tidak akan cukup untuk mengevaluasi desain pengendalian
atau untuk menentukan apakah kontrol telah dilaksanakan;
b. Mengamati dan kembali melakukan penerapan kontrol tertentu. Auditor dapat
mengamati penerapan kontrol atau reperform aplikasi sendiri;
c. Memeriksa dokumen dan laporan;
d. Menelusuri transaksi melalui sistem informasi yang relevan dengan pelaporan
keuangan.
6. Kontrol Tes Desain

Pengujian efektivitas operasi pengendalian dapat dilakukan pada


kontrol bahwa auditor telah menentukan kesesuaian desain untuk mencegah,
atau mendeteksi dan mengkoreksi, bahan salah saji. Beberapa prosedur
penilaian pengendalian risiko desain dapat memberikan bukti audit dan,
akibatnya, menjadi tes kontrol. Misalnya, dalam memperoleh pemahaman
tentang lingkungan pengendalian, auditor dapat membuat pertanyaan tentang
penggunaan manajemen anggaran, mengamati perbandingan manajemen
bulanan yang dianggarkan dan biaya aktual, dan memeriksa laporan yang
berkaitan dengan penyelidikan varians antara jumlah yang dianggarkan dan
aktual. Prosedur ini dapat memberikan pengetahuan tentang desain kebijakan
anggaran entitas dan juga dapat memberikan bukti audit tentang efektivitas
kebijakan operasi penganggaran dalam mencegah atau mendeteksi bahan
salah saji.

Hasil pengujian desain dapat mengungkapkan kelemahan dalam


pengendalian internal, yang harus dilaporkan kepada manajemen. Auditor
harus membuat semua pihak yang bertanggung jawab dalampengelolaan atau
manajemen menyadari, sesegera mungkin, dan pada tingkat yang sesuai
dengan tanggung jawab, kelemahan material dalam desain atau pelaksanaan
pengendalian internal yang menjadi perhatian auditor.

Anda mungkin juga menyukai