BAB 6

PENGENDALIAN INTERNAL DALAM AUDIT

LAPORAN KEUANGAN
 PENGENDALIAN INTERNAL
Tanggung jawab manajemen
Manajemen memiliki tanggung jawab untuk merancang dan memelihara
sistem pengendalian internal yang memadai.

Definsi pengendalian internal

Sistem pengendalian internal dirancang dan dilaksanakan oleh dewan
direksi, manajemen, dan personil lainnya untuk memberikan keyakinan
memadai mengenai pencapaian tujuan entitas dalam hal berikut:
(1) Keandalan pelaporan keuangan;
(2) Efektivitas dan efisiensi operasi; dan
(3) Kepatuhan terhadap hukum dan peraturan yang berlaku
 PENGENDALIAN INTERNAL
Pengendalian yang relevan dengan audit
Tidak semua tujuan pengendalian internal klien tersebut relevan dengan
audit laporan keuangan. Pengendalian yang berkaitan dengan operasi dan
kepatuhan mungkin relevan bila berdampak pada data yang digunakan
auditor untuk menerapkan prosedur audit. Misalnya, data statistik operasi
dapat digunakan untuk prosedur analitis.

Tujuan pengendalian yang relevan dengan audit adalah pengendalian-

pengendalian yang dapat mencegah, mendeteksi, dan memperbaiki salah
saji dalam laporan keuangan (keandalan pelaporan keuangan).
 PENGENDALIAN INTERNAL
Tanggung jawab auditor
Standar audit lapangan GAAS yang kedua menyatakan, auditor harus
memperoleh pemahaman yang cukup tentang pengendalian internal untuk
merencanakan audit dan menentukan sifatnya, saat, dan luasnya pengujian
yang dilakukan”.

Auditor menggunakan pengetahuan mengenai pengendalian internal untuk;

a. mengidentifikasi jenis potensi salah saji
b. Menentukan faktor-faktor yang mempengaruhi risiko salah saji material
c. merancang prosedur uji pengendalian dan prosedur uji substantif.
 KOMPONEN PENGENDALIAN INTERNAL
Komponen pengendalian internal sebagaimana didefinisikan oleh
kerangka kerja COSO terdiri dari lima komponen:
1. Lingkungan Pengendalian.
2. Proses penilaian risiko entitas.
3. Informasi dan Komunikasi.
4. Aktivitas pengendalian
5. Monitoring/pemantauan pengendalian

Lingkungan pengendalian adalah payung untuk keempat komponen

lainnya. Tanpa suatu lingkungan pengendalian yang efektif, keempat
komponen lainnya tidak mungkin menghasilkan pengendalian internal
yang efektif, dengan mengabaikan mutu mereka.
 LINGKUNGAN PENGENDALIAN
Lingkungan pengendalian meliputi sikap, kesadaran, kebijakan, dan tindakan
manajemen dan dewan direksi mengenai pengendalian internal dan arti
pentingnya pengendalian internal bagi entitas.

Faktor-faktor yang mempengaruhi lingkungan pengendalian:

1. Komunikasi dan Penegakan Integritas dan Nilai-nilai Etika

Efektivitas pengendalian internal entitas sangat dipengaruhi oleh
integritas dan nilai etika dari individu yang bertanggung jawab untuk
membuat, mengelola, dan memantau sistem Pengendalian entitas.
Misalnya, manajemen harus menghilangkan insentif dan peluang yang
mungkin menyebabkan personil terlibat dalam tindakan tidak jujur,
ilegal, atau tidak etis.
 LINGKUNGAN PENGENDALIAN
2. Komitmen terhadap kompetensi.
Kompetensi adalah pengetahuan dan ketrampilan yang diperlukan untuk
menyelesaikan tugas-tugas yang menentukan pekerjaan individual.

Manajemen harus menentukan tingkat kompetensi untuk pekerjaan

tertentu dan memperkerjakan karyawan yang memiliki kompetensi yang
sesuai dengan pekerjaan mereka.

3. Partisipasi mereka yang bertanggung jawab dengan tata kelola.

Dewan direksi dan komite audit secara signifikan mempengaruhi
kesadaran pengendalian entitas. Dewan direksi dan komite audit harus
serius dan secara aktif mengawasi akuntansi entitas dan prosedur serta
kebijakan pelaporan.
 LINGKUNGAN PENGENDALIAN
4. Filosofi Manajemen dan Gaya Operasi.
Filosofi manajemen dan gaya operasional secara signifikan dapat
mempengaruhi kualitas pengendalian internal. Karateristik manajemen
yang mencerminkan tentang filosofi dan gaya operasi mereka,
diantaranya termasuk sebagai berikut;
- Pendekatan manajemen untuk menghadapi dan memantau risiko
usaha.
- Sikap dan tindakan manajemen terhadap pelaporan keuangan
(konservatif atau agresif dalam memilih prinsip akuntansi alternatif
yang tersedia, ketelitian dan konservatisme terkait dengan estimasi
akuntansi dikembangan).
- Sikap manajemen terhadap pengolahan informasi dan fungsi dan
personel akuntasi.
 LINGKUNGAN PENGENDALIAN
5. Struktur Organisasi.
Struktur organisasi memberikan kerangka menyeluruh untuk
perencanaan, pelaksanaan, pengawasan, dan pemonitoran aktivitas
perusahaan.

Struktur organisasi perusahaan biasanya dituangkan dalam bentuk

bagan organisasi yang secara tepat menggambarkan hubungan
kewenangan dan pelaporan.
 LINGKUNGAN PENGENDALIAN
6. Penetapan Wewenang dan Tanggung Jawab.
Penetapan kewenangan dan tanggungjawab merupakan kelanjutan dari
pengembangan struktur organisasi. Hal ini menyangkut tentang
bagaimana dan kepada siapa kewenangan dan tanggungjawab diberikan.
Adanya penetapan kewenangan dan tanggungjawab akan membuat
setiap individu mengetahui (1) bagaimana tindakannya berkaitan dengan
pihak lain dalam upaya pencapaian tujuan perusahaan, dan (2) untuk hal
apa masing-masing individu harus bertanggungjawab. Selain itu
perusahaan biasanya menyusun suatu deskripsi jabatan yang
menggambarkan dengan jelas tugas-tugas spesifik masing-masing
jabatan dan hubungan pelaporannya.
 LINGKUNGAN PENGENDALIAN
7. Kebijakan Sumber Daya Manusia dan Prosedur.
Kualitas pengendalian internal berkaitan langsung dengan kualitas
personel yang mengoperasikan sistem. Entitas harus memiliki kebijakan
personalia yang baik untuk mempekerjakan, mengorientasikan, melatih,
mengevaluasi, menasihati, mempromosikan, memberi kompensasi,
merencanakan suksesi, dan melakukan tindakan perbaikan.
 PROSES PENILAIAN RESIKO ENTITAS
Proses penilaian resiko entitas adalah proses mengidentifikasi dan
merespon resiko bisnis.

Proses penilaian risiko entitas yang paling relevan bagi auditor adalah
bagaimana manajemen mengidentifikasi risiko yang relevan dengan
penyusunan laporan keuangan, memperkirakan signifikansi risiko, menilai
kemungkinan terjadinya risiko, dan memutuskan bagaimana cara
mengelola risiko. Misalnya, proses penilaian risiko entitas dapat
menangani risiko yang terkait dengan estimasi signifikan yang tercatat
dalam laporan keuangan.
 SISTEM INFORMASI DAN KOMUNIKASI
Sistem informasi terdiri dari; infrastruktur (perangkat lunak dan perangkat
keras), orang, prosedur (manual dan otomatis), dan data.

Sistem informasi yang relevan dengan tujuan pelaporan keuangan

mencakup sistem akuntansi dan terdiri dari prosedur (otomatis atau
manual) dan catatan yang dibuat untuk memulai, mengotorisasi, mencatat,
memproses, dan melaporkan transaksi entitas dan untuk menjaga
akuntabilitas atas aset dan kewajiban terkait.
 SISTEM INFORMASI DAN KOMUNIKASI
Sistem akuntansi yang efektif memberikan pertimbangan yang tepat untuk
membentuk metode dan catatan yang akan;
1. Mengidentifikasi dan mencatat semua transaksi yang valid.
2. Menjelaskan transaksi secara tepat waktu secara cukup rinci untuk
memungkinkan klasifikasi yang tepat untuk pelaporan keuangan.
3. Mengukur nilai transaksi dengan cara yang memungkinkan pencatatan
nilai moneter secara tepat dalam laporan keuangan.
4. Menentukan periode waktu dimana transaksi terjadi untuk
memungkinkan pencatatan transaksi dalam periode akuntansi yang
tepat.
5. Menyajikan transaksi dan pengungkapan terkait dalam laporan keuangan
secara benar.
 AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu
memastikan bahwa arahan manajemen dilaksanakan dan diterapkan
untuk menangani risiko yang diidentifikasi dalam proses penilaian risiko.

Aktivitas pengendalian mencakup berbagai kegiatan, seperti persetujuan,

pengesahan/otorisasi, verifikasi, rekonsiliasi, review kinerja operasi, dan
pemisahan tugas. Mereka terjadi di seluruh organisasi, di semua tingkat
dan dalam semua fungsi.

Kegiatan pengendalian umumnya dikategorikan ke dalam empat jenis

berikut: 1) Review kinerja. 2) Pengendalian fisik. 3) Pemisahan tugas. 4)
Pengendalian sistim informasi.
 REVIEW KINERJA
Sistem akuntansi yang kuat harus memiliki pengendalian yang secara
mandiri memeriksa kinerja individu atau proses dalam sistem. Misalnya;
- manajemen senior harus meninjau kinerja aktual versus anggaran,
proyeksi/prakiraan, periode sebelumnya, ataupun dan pesaing.
- Manajer harus secara berkala memeriksa kualitas kerja bawahan dan
mengkaji laporan kinerja untuk unit dan personil yang berada di bawah
pengawasan mereka.
- Manajemen meninjau dan menganalisis hubungan antara data keuangan
dan non finansial (misalnya, indikator kinerja utama), menyelidiki item
yang tidak biasa, dan melakukan tindakan perbaikan bila diperlukan.
 PENGENDALIAN SISTIM INFORMASI
Pengendalian sistim informasi meliputi: 1) pengendalian umum 2)
pengendalian aplikasi.

Pengendalian umum berhubungan dengan lingkungan pemrosesan informasi

secara keseluruhan (pengendalian TI) dan mencakup;
1. Pengendalian pusat data dan jaringan; meliputi pengendalian atas
operasionalisasi komputer dan jaringannya seperti perlindungan terhadap
file dan program, memelihara jaringan, prosedur backup dan recovery,
pencegahan akses tidak sah ke program & jaringan
2. Pengendalian pembelian sistem perangkat lunak, perubahan, dan
pemeliharaan; pengendalian yang kuat memerlukan otorisasi yang tepat
untuk pembelian sistem perangkat lunak yang baru dan pengendalian yang
memadai atas perubahan dan pemeliharaan sistim perangkat lunak yang
ada.
 PENGENDALIAN SISTIM INFORMASI
3. Pengendalian akses & keamanan; berkaitan dengan 1) perlindungan
fisik perangkat komputer, perangkat lunak, dan data 2) pengendalian
atas risiko hilangnya aset dan informasi melalui pencurian atau
penggunaan yang tidak sah.

4. Pengendalian pembelian sistem aplikasi, pengembangan dan

pemeliharaan; pengadaan sistim aplikasi yang baru harus dirancang,
diprogram dan diuji sebelum diimplementasikan. Sistim aplikasi yang
baru juga harus didokumentasikan dengan baik, termasuk diagram alir,
tata letak file, daftar kode sumber, dan instruksi operator.
 PENGENDALIAN SISTIM INFORMASI
Pengendalian aplikasi berlaku untuk pemrosesan aplikasi individual dan
membantu memastikan terjadinya (validitas), kelengkapan, dan akurasi
proses transaksi. Pengendalian aplikasi meliputi;
1. Pengendalian penangkapan data; dirancang untuk memastikan bahwa
(1) semua transaksi tercatat dalam sistem (2) transaksi dicatat hanya
sekali (3) transaksi yang ditolak, dkendalikan, dikoreksi, dan masuk
kembali ke dalam sistem.
2. Pengendalian validasi data; dirancang untuk memastikan bahwa
transaksi hanya akan diproses/diolah setelah divalidasi oleh program.
 PENGENDALIAN SISTIM INFORMASI
3. Pengendalian pengolahan; transaksi diproses/diolah dengan tepat.
4. Pengendalian keluaran; keluaran komputer hanya dapat didistribusikan
atau ditampilkan pada pengguna yang sah.
5. Pengendalian kesalahan; semua kesalahan ditangani dengan tepat.
Misalnya, jika transaksi diinput dengan nomor pelanggan yang salah,
sistem akan menolak sampai nomor pelanggan diinput dengan benar.
 PENGENDALIAN FISIK
Pengendalian ini termasuk;
1. Keamanan fisik aset, termasuk pengamanan atas akses ke aset dan
catatan.
2. Otorisasi untuk akses ke program komputer dan file data hanya
diberikan kepada personil yang telah ditentukan.
3. Perhitungan dan perbandingan periodik dengan jumlah yang ditunjukkan
pada catatan Pengendalian (Misalnya membandingkan hasil
penghitungan fisik kas, persediaan, aset tetap dengan catatan
akuntansinya).
 PEMISAHAN FUNGSI/TUGAS
Penting bagi entitas untuk memisahkan fungsi otorisasi transaksi,
pencatatan transaksi, dan penyimpanan aset terkait.

Pemisahan masing-masing fungsi oleh orang yang berbeda ini

mengurangi kesempatan seseorang untuk melakukan dan
menyembunyikan kesalahan atau kecurangan dalam kegiatan normal
tugasnya. Misalnya, jika seorang karyawan menerima pembayaran
tunai dari pelanggan kredit dan memiliki akses ke buku besar piutang
usaha, ada kemungkinan bagi karyawan tersebut menyalahgunakan
uang tunai dan menyembunyian kekurangan dalam catatan akuntansi.
 PEMANTAUAN PENGENDALIAN
• Pemantauan pengendalian adalah proses menilai kualitas kinerja
pengendalian internal dari waktu ke waktu. Untuk memberikan
keyakinan memadai bahwa tujuan suatu entitas akan tercapai,
manajemen harus memantau Pengendalian untuk menentukan apakah
mereka beroperasi secara efektif. Karena risiko berubah dari waktu ke
waktu, manajemen harus memantau apakah pengendalian perlu didesain
ulang saat risiko berubah.

• Manajemen dapat menggunakan auditor internal atau personil yang

melakukan fungsi serupa di wilayah lain untuk memantau efektivitas
operasi pengendalian internal. Misalnya, manajemen dapat meninjau
ulang apakah rekonsiliasi bank sedang dipersiapkan secara tepat waktu
dan ditinjau oleh auditor internal.
 PENGARUH TEKNOLOGI INFORMASI BAGI PENGENDALIAN INTERNAL
Luasnya penggunaan teknologi informasi oleh entitas (TI) mempengaruhi
pengendalian internal. Penggunaan TI mempengaruhi cara transaksi dimulai,
diotorisasi, dicatat, diproses, dan dilaporkan.
Manfaat penggunaan TI:
• Aplikasi konsisten terhadap aturan bisnis yang telah ditetapkan dan
melakukan perhitungan kompleks dalam memproses sejumlah besar
transaksi atau data dengan baik.
• Peningkatan ketepatan waktu, ketersediaan, dan keakuratan informasi.
• Peningkatan kemampuan untuk mencegah atau mendeteksi pengabaikan
Pengendalian.
• Pemisahan tugas yang disempurnakan melalui Pengendalian keamanan
dalam aplikasi, database, dan sistem operasi.
 PENGARUH TEKNOLOGI INFORMASI BAGI PENGENDALIAN INTERNAL
Resiko penggunaan TI:
- Keandalan pada sistem atau program yang secara tidak akurat
memproses data, memproses data yang tidak akurat, atau keduanya.
- Akses tidak sah ke data yang dapat mengakibatkan kerusakan atau
perubahan data yang tidak benar, termasuk pencatatan yang tidak sah
atau tidak ada atau secara tidak akurat mencatat transaksi.
- Perubahan tidak sah ke dalam file master
- Perubahan yang tidak sah terhadap sistem atau program.
- Kegagalan untuk membuat perubahan yang diperlukan sistem atau
program
- Potensi hilangnya data.
 MERENCANAKAN STRATEGI AUDIT
Auditor menggunakan pemahaman dan penilaian pengendalian internal
untuk menentukan sifat, saat/waktu, dan luasnya pengujian audit.
Disini hanya akan membahas dua strategi audit: strategi substantif dan
strategi kepercayaan/ketergantungan.

Namun, perlu diingat bahwa tidak ada strategi tunggal untuk

keseluruhan audit; Sebaliknya, auditor menetapkan strategi untuk
proses bisnis individual (seperti pendapatan atau pembelian) atau
dengan penegasan spesifik (kejadian, kelengkapan, dan sebagainya)
dalam proses bisnis.
 MERENCANAKAN STRATEGI AUDIT
Bahkan ketika auditor mengikuti strategi kepercayaan, jumlah jaminan
yang diperoleh dengan pengujian Pengendalian akan bervariasi dari asersi
ke asersi. Dengan kata lain, strategi kepercayaan hanya berarti auditor
bermaksud untuk mulai mengisi ember jaminan dengan tes bukti
Pengendalian, namun persentase ember yang diisi dengan bukti
Pengendalian akan berbeda antara asersi dan akun dalam berbagai proses
bisnis.

Akhirnya, penting untuk dipahami bahwa standar auditing memerlukan

beberapa bukti substantif untuk semua akun dan asersi yang signifikan.
Dengan demikian, strategi kepercayaan berkurang namun tidak
menghilangkan kebutuhan untuk mengumpulkan bukti substantif.
 STRATEGI KEPERCAYAAN
Strategi kepercayaan berarti bahwa auditor bermaksud untuk bergantung
pada Pengendalian entitas. Jika strategi kepercayaan diikuti, auditor
mungkin memerlukan pemahaman pengendalian internal yang lebih rinci
untuk mengembangkan penilaian risiko pengendalian awal atau yang
direncanakan. Auditor kemudian merencanakan dan melakukan tes
Pengendalian. Auditor menggunakan hasil tes untuk menilai tingkat risiko
pengendalian yang "dicapai".

Jika hasil pengujian menunjukkan bahwa risiko pengendalian yang

dicapai lebih tinggi dari yang direncanakan, auditor biasanya akan
meningkatkan prosedur substantif yang direncanakan dan
mendokumentasikan penilaian risiko pengendalian yang direvisi. Jika tes
Pengendalian mendukung tingkat risiko pengendalian yang direncanakan,
tidak ada revisi prosedur substantif yang direncanakan.
 STRATEGI KEPERCAYAAN
Bila prosedur penilaian risiko auditor menunjukkan bahwa
pengendalian tidak dirancang dengan benar atau tidak
dilaksanakan, auditor tidak akan bergantung pada Pengendalian.

Dalam hal ini, auditor akan menetapkan risiko pengendalian secara

tinggi dan menggunakan prosedur substantif untuk mengurangi
risiko salah saji material ke tingkat yang dapat diterima rendah.
Bila prosedur penilaian risiko auditor menunjukkan bahwa
pengendalian dirancang dan diterapkan dengan benar, auditor
kemungkinan akan bergantung pada Pengendalian.
 STRATEGI SUBSTANTIF
Strategi audit substantif berarti bahwa auditor memutuskan untuk tidak
bergantung pada pengendalian internal entitas, dan sebaliknya
menggunakan prosedur substantif sebagai sumber utama bukti tentang
asersi dalam laporan keuangan. Namun, strategi substantif masih
mengharuskan auditor untuk memiliki pemahaman yang memadai mengenai
pengendalian internal entitas untuk mengetahui apakah mereka dirancang
dan diterapkan dengan benar.

Auditor dapat memutuskan untuk mengikuti strategi substantif

dikarenakan beberapa atau semua kondisi pengendalian berikut:
- Pengendalian yang dilaksanakan tidak sesuai dengan asersi yang sedang
dipertimbangkan oleh auditor.
- Pengendalian yang dilaksanakan dinilai tidak efektif.
- Menguji efektivitas operasi pengendalian akan menjadi tidak efisien.
 KETERBATASAN PENGENDALIAN INTERNAL ENTITAS
Sebuah sistem pengendalian internal harus dirancang dan dioperasikan
untuk memberikan keyakinan memadai bahwa tujuan suatu entitas
tercapai. Konsep jaminan yang memadai mengakui bahwa biaya sistem
pengendalian internal suatu entitas tidak boleh melebihi manfaat yang
diharapkan diperoleh. Menyeimbangkan biaya pengendalian dengan
manfaatnya, memerlukan estimasi dan penilaian yang cukup besar dari
pihak manajemen.

Efektivitas sistem pengendalian internal tunduk pada keterbatasan inheren

tertentu, termasuk;
1. Pengabaian manajemen atas pengendalian internal,
2. Kesalahan atau kekeliruan personil, dan
3. Kolusi.
 MENDOKUMENTASIKAN PEMAHAMAN ATAS PENGENDALIAN
Sejumlah perangkat yang tersedia bagi auditor untuk
mendokumentasikan pemahaman pengendalian internal:
• Bagan alir. Bagan alir/flowchart menguraikan sistem pengendalian
dalam hal fungsi, dokumen, proses dan pelaporan. Dokumentasi ini
memudahkan auditor dalam menilai kekuatan dan kelemahan
pengendalian internal.
• Deksripsi narasi. Pengendalian internal dapat didokumentasikan
dalam sebuah memorandum. Pendekatan ini paling tepat ketika
entitas memiliki sistim pengendalian yang sederhana.
• Pedoman tentang prosedur entitas dan bagan organisasi
• Internal kontrol kuesioner.
 MENILAI PENGENDALIAN INTERNAL
1. Identifikasi pengendalian spesifik yang akan diandalkan.
Auditor mungkin akan menguji beberapa pengendalian tertentu
yang dapat diandalkan dalam mencegah salah saji material dan
memiliki efek luas pada banyak asersi.
2. Lakukan pengujian pengendalian.
3. Simpulkan tingkat resiko pengendalian yang dicapai.
Jika pengujian pengendalian konsisten dengan penilaian risiko
pengendalian yang direncanakan, tidak ada revisi pada sifat,
waktu, atau luas pengujian yang diperlukan.
 MENGKOMUNIKASIKAN MASALAH PENGENDALIAN INTERNAL
Auditor harus mengkomunikasikan secara tertulis semua kekurangan
signifikan dan kelemahan material yang ditemukan pada manajemen dan
pihak yang bertanggung jawab atas tata kelola.
• Kelemahan material. Kelemahan material adalah defisiensi, atau
kombinasi defisiensi, dalam pengendalian internal, sehingga ada
kemungkinan yang masuk akal bahwa salah saji material dari laporan
keuangan tidak akan dapat dicegah, atau dideteksi dan diperbaiki.

• Kekurangan signifikan. Defisiensi yang signifikan adalah defisiensi, atau

kombinasi dari defisiensi, dalam pengendalian internal yang tidak
separah kelemahan material, namun cukup penting untuk mendapatkan
perhatian oleh mereka yang bertanggung jawab atas tata kelola.