Pengendalian Internal dalam Audit Laporan Keuangan

Pendahuluan
Pengendalian internal memainkan peran penting tentang bagaimana manajemen
memenuhi pelayanan atau tanggung jawab lembaga. Manajemen memiliki tanggung jawab
untuk mempertahankan pengendalian yang memberikan assurance yang memadai bahwa
pengendalian yang memadai ada atas aset dan catatan entitas. Pengendalian internal yang kuat
menjamin agar aset dan catatan dijaga dengan baik. Manajemen juga membutuhkan sistem
pengendalian yang dapat diandalkan untuk pengambilan keputusan. Jika sistem informasi tidak
menghasilkan informasi yang tidak dapat dipercaya, manajemen mungkin tidak dapat membuat
keputusan tentang isu-isu seperti harga produk, biaya produksi, dan informasi laba.
Auditor menggunakan produser penilaian risiko untuk memperoleh pemahaman tentang
pengendalian internal entitas, auditor menggunakan pemahaman pengendalian internal untuk
mengidentifikasi jenis potensi salah saji, faktor keyakinan yang memengaruhi risiko salah saji
material, merancang pengujian pengendalian, dan prosedur substantif.

Gambaran Umum Pengendalian Internal

Definisi Pengendalian Internal
Menurut Rerangka Kerja Terpadu-Pengendalian Internal COSO, pengendalian internal
dirancang dan dipengaruhi oleh dewan entitas direksi, manajemen, dan personel lainnya untuk
memberikan keyakinan memadai tentang pencapaian tujuan entitas dalam kategori berikut: (1)
kendala pelaporan keuangan, (2) efektivitas dan efisiensi operasi, dan (3) kepatuhan terhadap
hukum dan peraturan yang berlaku. Pengendalian internal atas pengamanan terhadap akuisisi
tidak sah, penggunaan, atau disposisi juga penting dan mungkin termasuk pengendalian yang
berkaitan dengan pelaporan keuangan dan tujuan operasi.

Pengendalian Yang Relevan dengan Audit

Sementara sebuah pengendalian internal entitas membicarakan tujuan di setiap kategori,
tidak semua tujuan dan pengendalian internal terkait entitas relevan dengan audit laporan
keuangan. Pengendalian internal yang berkaitan dengan penyusunan laporan keuangan untuk
keperluan eksternal adalah relevan. Pengendalian yang berkaitan dengan operasi dan tujuan
kepatuhan yang relevan ketika mereka berhubungan dengan data yang auditor gunakan untuk
menerapkan prosedur audit. Misalnya, pengendalian internal yang berhubungan dengan statistik
operasi yang penting karena statistik tersebut dapat dimanfaatkan oleh auditor sebagai data untuk
prosedur analitis.

Pengaruh Teknologi Informasi bagi Pengendalian Internal

Luasnya penggunaan teknologi informasi (TI) dapat mempengaruhi pengendalian
internal. Penggunaan TI memengaruhi cara transaksi dimulai, diotorisasi, dicatat, diproses, dan
dilaporkan.
Pengendalian dalam kebanyakan sistem informasi terdiri dari kombinasi pengendalian manual
dan pengendalian otomatis. Dalam sistem tersebut, pengendalian manual mungkin independen
atau tergantung pada TI. Pengendalian manual juga dapat menggunakan informasi yang
dihasilkan oleh TI, atau mereka mungkin terbatas untuk memantau fungsi TI dan pengendalian
otomatis dan untuk menangani pengecualian. Sebuah campuran entitas dari pengendalian
manual dan otomatis bervariasi dengan sifat dan kompleksitas pengguna entitas TI.
Risiko pengendalian internal bervariasi tergantung pada sifat dan karakteristik sistem
informasi entitas. Sebagai contoh, di mana beberapa pengguna dapat mengakses database yang
umum, kurangnya pengendalian pada titik entri pengguna tunggal dapat mengganggu seluruh
data. Hal ini dapat mengakibatkan perubahan yang tidak benar atau kerusakan data. Ketika
personel TI atau pengguna yang diberikan, atau dapat memperoleh hak akses di luar yang
diperlukan untuk melakukan tugas mereka, gangguan dalam pemisahan tugas dapat terjadi. Hal
ini dapat mengakibatkan transaksi yang tidak sah. atau program atau perubahan data.

Rerangka Kerja COSO

Komponen Pengendalian Internal
Pengendalian internal mengendalikan kerangka kerja COSO terdiri dari lima komponen :
 Ruang lingkup.
 Proses kerugian entitas.
 Sistem informasi dan proses bisnis yang relevan dengan pelaporan keuangan dan
komunikasi.
 Aktivitas pengendalian.
 Pemantauan Pengendalian.

Anda dapat melihat bahwa masing-masing dari lima komponen berdampak pada masing-
masing tujuan. Namun, sebagaimana disebutkan di atas, auditor, terutama sibuk dengan
bagaimana lima komponen yang melaporkan tujuan. Dalam hal pengamanan aset, auditor
umumnya memperhatikan pengendalian yang relevan dengan pelaporan keuangan. Misalnya,
pengendalian akses, seperti password, yang membatasi akses ke data dan program yang
memproses transaksi yang relevan dengan audit.

Ruang lingkup pengendalian

Ruang lingkup pengendalian adalah dasar untuk semua komponen lain dari pengendalian
internal yang menyediakan disiplin dan struktur.
Pentingnya pengendalian untuk suatu, entitas mencerminkan dalam keseluruhan sikap,
kesadaran, dan tindakan dewan direksi, manajemen, dan pemilik keseluruhan mengenai
pengendalian. Ruang lingkup dapat disebut sebagai payung yang meliputiseluruh entitas dan
menetapkan kerangka kerja untuk melaksanakan sistem akuntansi entitas dan pengendalian
internal.

Komunikasi dan Penegakan Integritas dan Nilai-Nilai etika

Efektivitas pengendalian internal, entitas, dipengaruhi oleh integritas dan nilai-nilai etika
dari individu yang membuat, mengelola dan memonitor pengendalian. Suatu entitas perlu
menetapkann standar etika dan perilaku yang dikomunikasikan kepada karyawan dan diperkuat
oleh praktik sehari-hari. Misalnya, manajemen harus menghapus insetif atau peluang yang
mungkin menyebabkan personel untuk melakukan tindakan tidak jujur, ilegal, atau tidak etis.
Faktor-Faktor yang Memengaruhi Lingkungan Pengendalian
 Komunikasi dan pelaksanaan integritas dan nilai-nilai etika.
 Komitmen untuk berkompetensi.
 Partisipasi pihak yang bertanggung jawab atas tata kelola (yaitu dewan direksi atau
komite audit).
 Filosofi manajemen dan gaya operasi.
 Struktur organisasi.
 Pemberian berwenang dan tanggung jawab.
 Kebijakan sumber daya manusia dan praktik.

Komitmen terhadap Kompetensi

Kompetensi adalah pengetahuan dan keterampilan yang diperlukan untuk menyelesaikan
tugas-tugas yang menentukan pekerjaan individu. Manajemen harus menentukan tingkat
kompetensi untuk pekerjaan tertentu dan menerjemahkannya ke tingkat pengetahuan dan
keterampilan yang diperlukan. Misalnya, entitas entitas harus memiliki deskripsi pekerjaan
untuk setiap pekerjaan. Manajemen kemudian harus karyawan yang memiliki kompetensi yang
sesuai untuk pekerjaan mereka. Kebijakan sumber daya manusia yang baik dibahas kemudian
dalam bagian ini) membantu menarik dan mempertahankan karyawan yang kompeten dan tidak
dapat dipercaya.

Partisipasi Mereka yang Bertanggung Jawab dengan Tata Kelola

Dewan direksi dan komite audit berpengaruh signifikan terhadap kesadaran pengendalian
entitas. Dewan direksi dan komite audit harus mengambil tanggung jawab fidusia dengan serius
dan secara aktif mewakili entitas dan prosedur kebijakan pelaporan. Faktor- faktor yang dapat
memengaruhi dewan atau komite audit termasuk:
- Kemandirian dari manajemen.
- Pengalaman dan kualitas anggotanya. Lingkup interaksi dengan pengawasan kegiatan
entitas.
- Kesesuaian tindakannya.
- Informasi yang diterimanya.
- Derajat di mana pertanyaan yang sulit diangkat dan dikejar dengan manajemen. –
- Interaksi dengan auditor internal dan eksternal.

Filosofi Manajemen dan Gaya Operasi

Filosofi manajemen dan gaya operasional dapat signifikan pengendalian internal.
karakteristik yang mungkin menandakan informasi penting kepada auditor tentang filosofi
manajemen dan gaya termasuk sebagai berikut.
- Pendekatan manajemen untuk mengambil dan menilai risiko usaha.
 - Sikap manajemen dan tindakan terhadap pelaporan keuangan (konservatif konservatif
atau agresif dari prinsip akuntansi alternatif yang tersedia, dan ketelitian dan
konservatisme yang terkait laporan akuntansi dikembangkan).
- Sikap manajemen terhadap pengolahan informasi dan fungsi dan personel akuntansi.

Struktur Organisasi
Struktur organisasi mendefinisikan bagaimana wewenang dan tanggung jawab yang
didelegasikan dan diawasi. Struktur organisasi menyediakan kerangka kerja dalam kegiatan
entitas untuk mencapai tujuan entitas yang luas telah direncanakan, dilaksanakan, dikendalikan,
dan diperiksa. Suatu entitas mengembangkan struktur organisasi yang sesuai dengan
kebutuhannya. Membangun struktur organisasi yang relevan termasuk mempertimbangkan area
kunci dari yang berwenang dan tanggung jawab dan jalur pelaporan yang tepat.
Kesesuaian struktur organisasi entitas tergantung pada ukuran dan sifat kegiannya.Faktor-
faktor seperti tingkat teknologi dalam industri entitas dan pengaruh eksternal sepertiregulasi
memainkan peran utama dalam jenis struktur organisasi yang digunakan.

Penugasan Wewenang dan Tanggung Jawab Faktor

Penugasan wewenangdan tanggung jawab termasuk kebijakan mengenai praktik bisnis
yang dapat diterima,pengetahuan dan pengalaman personil utama, dan sumber daya yang
disediakan untukmelaksanakan tugas. Penugasan wewenang dan tanggung jawab juga mencakup
kebijakandan komunikasi yang diarahkan untuk memastikan bahwa semua personel
memahamitujuan entitas, tahu bagaimana tindakan masing-masing yang saling berhubungan
danberkontribusi terhadap tujuan tersebut, dan mengakui bagaimana dan untuk apa merekaakan
dimintai pertanggungjawaban.

Kebijakan Sumber Daya Manusia dan Prosedur

Entitasharus memiliki kebijakan personel yang sehat untuk mempekerjakan,
mengarahkan,melatih, mengevaluasi, konseling, mempromosikan, memberikan kompensasi,
danmengambil tindakan perbaikan. Misalnya, dalam mempekerjakan karyawan, standar
yangmenekankan mencari individual-individual yang paling berkualitas, dengan penekananpada
latar belakang pendidikan, pengalaman kerja sebelumnya, dan bukti integritas danperilaku etis,
menunjukkan komitmen entitas untuk mempekerjakan orang yang kompeten dan dapat
dipercaya.

Proses Penilaian Risiko Entitas

Proses penilaian risiko entitas adalah proses untuk mengidentifikasi dan merespons
risikobisnis. Proses ini meliputi bagaimana manajemen mengidentifikasi risiko yang relevan
denganpenyusunan laporan keuangan, memperkirakan signifkansi risiko, menilai
kemungkinanteriadinya risiko, dan memutuskan bagaimana mengelola risiko.
 Proses penilaian risiko harus mempertimbangkan kejadian eksternal dan internal dan
keadaan yang mungkintimbul dan memengaruhikemampuanentitasuntukmemulai,mengotorisasi,
merekam, memproses, dan melaporkan data keuangan yang konsisten dengan
asersi manajemen dalam laporan keuangan.Risiko bisnis klien dapat timbul atau berubah karena
kondisi berikut:
 Perubahan dalam ruang lingkup operasi. Perubahan dalam peraturan atau
ruanglingkup operasi dapat mengubah tekanan kompetitif dan menciptakan risiko
yangsecarasignifikanberbeda..
 Personel baru. Personel baru mungkin memiliki fokus yang berbeda atau
pemahamanpengendalian internal.
 Sistem informasi baru atau dirubah. Perubahan yang cepat dan signifikan dalam
sisteminformasi dapat mengubah risiko yang berkaitan dengan pengendalian internal.
 Pertumbuhan yang cepat. Perluasan operasi yang cepat dan signifikan
dapatmeregangkan kendali dan meningkatkan risiko gangguan pengendalian.
 Teknologi baru. Menggabungkan teknologi baru ke dalani proses produksi atau
sisteminformasi dapat mengubah risiko yang terkait dengan pengendalian internal.
 Model-model bisnis baru, produk, atau kegiatan. Memasuki area bisnis atau
transaksidengan entitas yang memiliki sedikit pengalaman dapat memperkenalkan risiko
baruyang terkait dengan pengendalian internal.
 Restrukturisasi perusahaan. Restrukturisasi dapat disertai dengan pengurangan stafdan
perubahan dalam pengawasan dan pemisahan tugas yang dapat mengubah risikoyang
terkait dengan pengendalian internal.
 Operasi internasional yang diperluas. Perluasan atau akuisisi operasi
internasionalmembawa risiko baru dan sering unik yang mungkin berdampak pada
pengendalianinternal.
 Pernyataan akuntansi baru. Mengadopsi prinsip akuntansi baru atau mengubahprinsip
akuntansi dapat memengarubi risiko yang terlibat dalam penyusunan laporankeuangan.

Sistem Informasi dan Komunikasi

Sistem informasiyang relevan dengan tujuan pelaporan keuangan mencakup sistem akuntansi
dan terdiridari prosedur (baik otomatis atau manual) dan catatan yang dibentuk untuk
memulai,mengotorisasi, merekam, memproses, dan melaporkan transaksi entitas dan memelihara
akuntabilitas aset dan kewajiban terkait. Sistem akuntansi yang efektif memberikanpertimbangan
yang tepat untuk membentuk metode dan catatan yang akan:
 Mengidentifikasi dan mencatat semua transaksi yang valid.
 Menjelaskan transaksi dengan tepat waktu secara cukup rinci untuk
memungkinkanklasifikasi transaksi yang tepat untuk pelaporan keuangan.
 Mengukur nilai transaksi dengan cara yang memungkinkan mencatat nilai moneteryang
tepat dalam laporan keuangan.
  Tentukan periode waktu di mana transaksi terjadi untuk memungkinkan
pencatatantransaksi dalam periode akuntansi yang tepat.
 Menyajikan transaksi dan pengungkapan terkait dalam laporan keuangan secara benar.
Komunikasi yang melibatkan pemberian pemahaman tentang peran dan tanggungJawab
individual yang berkaitan dengan pengendalian internal atas pelaporankeuangan.Pedoman
kebijakan,pedoman akuntansi dan pelaporan, dan memorandum yang mengomunikasikan
kebijakandan prosedur untuk personel entitas. Komunikasi juga dapat dilakukan secara
elektronik,lisan, atau melalui tindakan manajemen.

Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu untuk
memastikanbahwa arahan manajemen dilaksanakan dan diterapkan untuk mengatasi risiko
yangteridentifkasi dalam proses penilaian risiko. Kegiatan pengendalian terjadi di seluruh
organisasi, di semua tingkatdan di semua fungsi. Kegiatan pengendalian umumnya dikategorikan
ke dalam empat jenisberikut:
 Review kinerja.
 Pengendalian pengolahan informasi, termasuk otorisasi dan dokumen
berdasarkanpengendalian.
 Pengendalian fisik.
 Pemisahan tugas.

Review Kinerja
Sebuah sistem akuntansi yang kuat harus memiliki pengendalianyang secara mandiri
memeriksa kinerja individual atau proses dalam sistem.. Demikian pula, manajer yang
menjalankanfungsi atau kegiatan harus meninjau laporan kinerja.Terakhir, orang dalam entitas
harus meninjau danmenganalisis hubungan antara kedua data keuangan dan nonkeuangan
(misalnya, indikatorkinerja utama), menyelidiki setiap item yang tidak biasa, dan mengambil
tindakan korektifjika diperlukan.

Pengendalian Pengolahan Informasi

Pengendalian ini dilakukan untuk memeriksa jakurasi, kelengkapan, dan otorisasi
transaksi. Data yang dimasukkan merupakan subjekedit secara online atau cocok dengan data
pengendalian yang disetujui. Misalnya,pesanan pelanggan diterima hanya setelah mengacu ke
file pelanggan dan batas kredit yangdisetujui. Selain itu, pengembangan sistem baru dan
perubahan yang ada adalah satu yangdikendalikan, seperti akses ke data, file, dan program. Dua
kategori besar pengendaliansistem informasi adalah pengendalian umum dan pengendalian
aplikasi.

Pengendalian Fisik
Pengendalian ini termasuk:
  Keamanan fsik aset, termasuk pengamanan yang memadai, seperti fasilitas keamananatas
akses ke aset dan catatan.
 Otorisasi untuk akses ke program komputer dan fail date.
 Perhitungan periodik dan perbandingan dengan jumlah yang tertera pada
pengendalianrekaman (misalnya, membandingkan hasil kas, keamanan, dan perhitungan
persediaandengan catatan akuntansi).

Pemisahan Tugas
Hal ini penting bagi entitas untuk memisahkan otorisasi transaksi,pencatatan transaksi,
dan penyimpanan aset terkait. Kinerja independen masing-masing fungsi mengurangi
kesempatan bagi satu orang untik berada dalam posisi untukmelakukan dan menyembunyikan
kesalahan atau kecurangan dalam kegiatan normaltugasnya.

Pemantauan Pengendalian
Pemantauan pengendalian adalah proses yang menilai kualitas kinerja pengendalian
internaldari waktu ke waktu. Untuk memberikan keyakinan memadai bahwa tujuan entitas akan
tercapai, manajemen harus memantau pengendalian untuk menentukan apakah merekaberoperasi
secara efektif. Karena risiko berubah seiring waktu, manajemen perlu untuk memantau apakah
perlu pengendalian dirancang ulang jika risiko berubah. Pemantauanberlaku untuk empat
komponen lain dari pengendalian internal.Gambar 6-2 menyajikan penerapan pemantauan
terhadap proses pendapatan.Pemantauan yang efektif melibatkan (I) meletakkan dasar bagi
efektivitas pengendalian,(2) merancang dan melaksanakan prosedur pemantauan yang
diprioritaskan berdasarkansignifikansi risiko bisnis relatif terhadap tujuan entitas, dan (3) menilai
dan melaporkanhasil, termasuk tindak lanjut atas tindakan perbaikan.

Merencanakan Strategi Audit

Informasi yang dikumpulkan dengan melakukan prosedur penilaian risikodigunakan
untuk mengevaluasi rancangan pengendalian dan untuk menentukan apakahpengendalian telah
dilaksanakan. Ini adalah langkah pertama dalam Gambar 6-3. Auditorkemudian
mendokumentasikan pemahaman tentang pengendalian internal. Denganketerlibatan berulang,
auditor cenderung memiliki pengetahuan substansial tentangpendalian internal klien dan
mungkin dapat memilih strategi audit setelah hanyamemperbarui pemahaman pengendalian
internal entitas. Untuk klien baru, auditor dapat menunda membuat keputusan tentang strategi
audit sampai pemahaman yang lebih rinci mengenai pengendalian internal diperoleh.

Langkah selanjutnya bagi auditor adalah apakah bergantung pada pengendalian atau
tidak. Ketika prosedur penilaian risiko auditor menunjukan bahwa pengendalian tidak dirancang
dengan benar atau tidak dilaksanakan, auditor tidak akan bergantung pada pengendalian. Ketika
prosedur penilaian risiko auditor menunjukan bahwa pengendalian yang dirancang dengan baik
dan dilaksanakan, auditor kemungkinan akan bergantung pada pengendalian. Jika auditor
bermaksud untuk mengandalkan pengendalian, pengujian pengendalian yang wajib dilakukan
untuk memperoleh bukti audit bahwa pengendalian yang dilaksanakan secara efektif. Auditor
akan melakukan penilaian risiko pengendalian berdasarkan hasil pengujian pengendalian.

Strategi Substantif
Sebuah strategi audit substantive berarti bahwa auditor telah memutuskan untuk tidak
bergantung pada pengendalian entitas dan sebagai gantinya menggunakan prosedur substantive
sebagai sumber utama bukti tentang asersi dalam laporan keuangan. Auditor dapat memutuskan
untuk mengikuti strategi substantive untuk beberapa atau semua sersi karena satu atau semua
faktor-faktor berikut :
 Pengendalian yang dilaksanakan tidak berkaitan dengan asersi yang sedang
dipertimbangan auditor.
 Pengendalian yang dilaksanakan dinilai tidak efektif.
 Menguji efektivitas operasi pengendalian akan menjadi tidak efisien.
Auditor kemudian mendokumentasikan tingkat risiko pengendalian pada tingkat
maksimum. Akhirtnya, prosedur sunstantif dirancang dan dilakukan berdasarkan pada penilaian
tingkat maksimum risiko pengendalian.
Standar audit menunjukan bahwa auditor perlu diyakinkan bahwa hanya dengan
melakukan prosedur substantive akan efektif dalam membatasi risiko deteksi ke tingkat yang
dapat diterima. Sebagai contoh, auditor dapat menentukan bahwa hanya melakukan prosedur
substantive akan efektif dan lebih efisien daripada melakukan pengujian pengendalian untuk
suatu entitas yang memiliki sejumlah transaksi utang jangka panjang karena buktinya dapat
diperoleh dengan memeriksa perjanjian pinjaman dan mengonfirmasikan informasi yang relevan.

Strategi Kepercayaan
Sebuah strategi kepercayaan berarti bahwa auditor bermaksud untuk mengandalkan
pengendalian entitas. Jika strategi kepercayaan diikuti, auditor perlu pemahaman pengendalian
internal yang lebih rinci untuk mengembangkan sebuah penilaian pendahuluan atau direncanakan
dari risiko pengendalian. Auditor kemudian akan merencanakan dan melakukan pengujian
pengendalian. Auditor menggunakan hasil pengujian untuk menilai “capaian” tingkat risiko
pengendalian. Jika hasil pengujia menunjukan bahwa risiko pengendalian dicapai lebih tinggi
dari yang direncanakan, auditor biasanya akan meningkatkan prosedur substantive yang
direncanakan dan mendokumentasikan penilaian risiko pengendalian yang direvisi. Namun, jika
tingkat risiko pengendalian yang direncanakan didukung, tidak ada revisi dari prosedur
substantive yang direncanakan diperlukan.
 Dari sudut pandang praktis, tingkat risiko pengendalian biasanya ditetapkan dalam hal
asersi tentang golongan transaksi dan aktivitas untuk periode di bawah audit.

Memperoleh Pengertian Pengendalian Internal

Gambaran Umum
Standar audit mengharuskan auditor untuk memperoleh pemahaman dari masing-
masing lima komponen pengendalian internal untuk merencanakan audit. Pemahaman itu
mencakup pengetahuan tentang rancangan pengendalian yang relevam dan apakah pengendalian
telah ditempatkan dalam operasi oleh entitas. Auditor menggunakan pengetahuan ini untuk :
 Mengidentifikasi jenis potensi salah saji.
 Menentukan faktor-faktor yang memengaruhi risiko salah saji material.
 Merancang pengujian pengendalian dan prosedur substantive.
Dalam menentukan sifat dan tingkat pemahaman pengendalian internal yang diperlukan
untuk audit, auditor harus mempertimbangkan kompleksitas dan kecanggihan operasi dan sistem
entitas, termasuk sejauh mana entitas bergantung pada pengendalian manual atau pengendalian
otomatis. Auditor dapat menentukan bahwa tim yang terlibat membutuhkan seorang spesialis TI.
Dalam menentukan apakah seorang spesialis TI diperlukan, faktor-faktor berikut harus
dipertimbangkan :
 Kompleksitas sistem TI entitas dan pengendalian serta cara di mana mereka digunakan
dalam melakukan bisnis entitas.
 Signifikansi perubahan yang dibuat untuk sistem yang ada, atau penerapan sistem baru.
 Sejauh mana data yang dibagi diantara sistem.
 Tingkat partisipasi entitas dalam perdgangan elektronik.
 Penggunaan entitas teknologi muncul.
 Signifikansi bukti audit yang tersedia hanya dalam bentuk elektronik.
Spesialis TI dapat digunakan untuk membantu tim yang terlibat dengan sejumlah cara.
Misalnya, spesialis TI dapat meminta keterangan personel TI entitas tentang bagaimana data dan
transaksi dimulai, diotorisasi, direkam, diproses, dan dilaporkan, serta bagaimana pengendalian
TI dirancang, memeriksa dokumentasi sistem, mengamati operasi pengendalian TI, dan
merencanakan dan melakukan pengujian pengendalian TI.
Untuk memahami dengan benar pengendalian internal klien, seorang auditor harus
memahami lima komponen pengendalian internal. Auditor dapat menggunakan prosedur audit
berikut untuk mendapatkan pemahaman tentang pengendalian internal klien, seperti :
 Meminta keterangan manajemen, pengawasan, dan staf personalia yang tepat.
 Pemeriksaan atas dokumen entitas dan laporan.
 Pengamatan atas aktivitas entitas dan operasi.

Memahami Ruang Lingkup Pengendalian

 Auditor harus mendapatkan pengetahuan yang cukup tentang ruang lingkup
pengendalian untuk memahami sikap manajemen dan dewan direksi, kesadaran, dan tindakan
mengenai ruang lingkup pengendalian. Pada tampilan 6-1 menyajikan kuisioner yang meliputi
jenis informasi yang akan auditor dokumentasikan tentang ruang lingkup pengendalian
EarthWear.

Memahami Proses Penilaian Risiko Entitas

Auditor harus memperoleh informasi yang memadai tentang proses penilaian risiko
entitas untuk memahami bagaimana manajemen mempertimbangkan risiko yang relevan dengan
tujuan pelaporan keuangan dan memutuskan tindakan yang tepat untuk mengatasi risiko tersebut.
Misalnya, klien beroperasi di industry minyak, dimana selalu ada risiko kerusakan lingkungan.
Auditor harus memperoleh pengetahuan yang memadai tentang bagaimana klien mengelola
risiko lingkungan, karena risiko ruang lingkup dapat mengakibatkan litigasi mahal terhadap
entitas.

Memahami Sistem Informasi dan Komunikasi

Auditor harus memperoleh pengetahuan yang cukup tentang sistem informasi untuk
memahami hal-hal berikut :
 Golongan transaksi dalam operasi entitas yang signifikan terhadap laporan keuangan.
 Prosedur pengendalian dimana transaksi dimulai, diotorisasi, dicatat, diproses, dan
dilaporkan, dari kejadiannya untuk dimasukkan dalam laporan keuangan.
 Catatan akuntansi terkait, baik elektronik atau manual, informasi pendukung, dan akun
tertentu dalam laporan keuangan yang terlibat dalam memulai, pencatatan, pengolahan,
dan pelaporan transaksi.

Auditor harus belajar tentang setiap proses bisnis yang memengaruhi saldo akan
signifikan dalam laporan keuangan. Itu termasuk memahami bagaimana transaksi dimulai dan
diotorisasi, bagaiaman dokumen dan catatan yang dihasilkan, dan bagaimana dokumen dan
catatan Auditor harus memahami prosedur pengendalian yang digunakan oleh entitas untuk
menyusun laporan keuangan dan pengungkapan yang terkait. Prosedur tersebut meliputi :
 Prosedur yang digunakan untuk memasukkan total transaksi ke dalam buku besar.
 Prosedur yang digunakan untuk memulai, mengesahkan, mencatat, dan memproses entri
jurnal dalam buku besar.
 Prosedur lain yang digunakan untuk mencatat penyesuaian yang berulang dan tidak
berulang terhadap laporan keuangan.

Memahami Kegiatan Pengendalian

Saat auditor belajar tentang komponen lain dari pengendalian internal, ia juga
cenderung untuk mendapatkan informasi tentang kegiatan pengendalian. Misalnya, dalam
memeriksa sistem informasi yang berkaitan dengan piutang, auditor cenderung melihat
bagaimana entitas memberikan kredit kepada pelanggan. Ketika auditor memutuskan untuk
mengikuti pendekatan strategi substantive, sedikit pekerjaan dilakukan pada pemahaman
kegiatan pengendalian tertentu.
Ketika strategi kepercayaan diikuti, auditor harus memahami kegiatan pengendalian
yang berhubungn dengan asersi dimana tingkat pengendalian risiko yang lebih rendah
diharapkan. Auditor biasanya menggunakan penelusuran untuk mengembangkan pemahaman
tentang kegiatan pengendalian.

Memahami Pengawasan Pengendalian

Auditor harus memperoleh pemahaman tentang jenis utama kegiatan yang digunakan
entitas untuk memantau pengendalian internal, termasuk sumber-sumber informasi yang
berkaitan dengan kegiatan tersebut, dan bagaimana kegiatan yang digunakan untuk melakukan
tindakan perbaikan pada pengendaliannya.

Mendokumentasikan Pemahaman Pengendalian Internal

Standar audit mengharuskan auditor mendokumentasikan pemahamannya tentang
komponen pengendalian internal entitas. Sejumlah perangkat yang tersedia bagi auditor untuk
mendokumentasikan pemahaman pengendalian internal. Itu termasuk :
 Pedoman tentang prosedur entitas dan bagan organisasi.
 Kuisioner pengendalian internal.
 Bagan alir.
 Deskripsi narasi.

Pedoman Prosedur dan Bagan Organisasi

Pada bagian ini mencakup dokumentasi sistem akuntansi dan kegiatan pengendalian
terkait. Bagan organisasi entitas menyajikan garis wewenang dan tanggung jawab.

Kuesioner Pengendalian Internal

Kuesioner menyediakan cara sistematis bagi auditor untuk menyelidiki berbagai bidang
seperti pengendalian internal. Kuesioner ini umumnya digunakan untuk entitas dengan struktur
pengendalian internal yang relatif kompleks, yang berisi pertanyaan tentang faktor – faktor
penting atau ckarakteristik lima komponen pengendalian internal.

Bagan Alir
Memberikan representasi diagram, atau gambar, dari sistem akuntansi entitas. Bagan alir
menguraikan konfigurasi sistem dalam hal fungsi, dokumen, proses, dan pelaporan. Dokumentasi
ini membuat auditor lebih mudah menganalisi kekuatan dan kelemahan sistem.

Pengaruh Ukuran Entitas pada Pengendalian Internal

 Ukuran dari suatu entitas dapat memengaruhi bagaimana berbagai komponen
pengendalian internal diimplementasikan. Entitas besar mungkin bisa menerapkan lima
komponen pengendalian internal, namun entitas kecil sampai menengah kadang – kadang
menggunakan pendekatan alternatif.
Sementara konsep dasar dari lima komponen harus ada di semua entitas, lima komponen tersebut
biasanya cenderung kurang formal dalam suatu entitas kecil atau menengah.

Batasan – Batasan dari Pengendalian Internal Entitas

Efektivitas sistem pengendalian internal adalah persoalan atas keterbatasan bawaan
tertentu, termasuk :
Manajemen Mengabaikan Pengendalian Internal
Terkadang pengendalian entitas dapat diabaikan oleh manajemen. Hal ini dapat terkait
dengan pencatatan akuntansi yang disyaratkan oleh manajer kepada karyawan, dimana aktivitas
pencatatan tidak konsisten dengan substansi transaksi, dan yang melanggar pengendalian entitas.
Kesalahan atau Kekeliruan Manusia
Gangguan dalam pengendalian internal dapat terjadi karena kesalahan atau kekeliruan
manusia. Kesalahan mungkin terjadi dalam perancangan, pemeliharaan, atau pemantauan
otomatis.
Kolusi
Akan selalu ada risiko bahwa kolusi antara individual akan menghancurkan efektivitas
pemisahan tugas. Kolusi merupakan sebagai alasan utama kecurangan dalam perusahaan.

Menilai Risiko Pengendalian

Menilai Risiko Pengendalian adalah proses mengevaluasi efektivitas pengendalian
internal entitas dalam mencegah atau mengoreksi salah saji material dalam laporan keuangan.
Untuk menetapkan pengendalian risiko dibawah maksimum, auditor harus :
 Mengidentifikasi Pengendalian Khusus yang akan Diandalkan
 Melakukan Pengujian Pengendalian
 Menyimpulkan tingkat risiko pengendalian yang dicapai
 Mendokumentasikan Tingkat yang Dicapai Pengendalian Risiko

Prosedur – Prosedur Substantif

Langkah terakhir dalam proses keputusan berdasarkan salah satu strategi adalah
melakukan prosedur substantif yang mencakup prosedur analitis substantif dan pengujian rinci.

Waktu Prosedur Audit

 Prosedur audit dapat dilakukan pada tanggal interim atau akhir tahun. Pertimbangan
auditor untuk melakukan pengujian pengendalian dan pengujian substantif pada tanggal interim
akan dibahas pada gilirannya.

Pengujian Interim Pengendalian

Orang auditor mungkin menguji pengendalian pada tanggal interim karena asersi yang
diuji mungkin tidak signifikan, pengendalian telah efektif dalam audit sebelumnya, atau mungkin
lebih efisien untuk melakukan pengujian pada waktu itu. alasannya bahwa staf akuntan mungkin
kurang sibuk pada waktu itu, dan dapat meminimalkan jumlah lembur yang dibutuhkan pada
akhir tahun. Dalam  membuat keputusan ini, auditor harus mempertimbangkan faktor-faktor
seperti asertif signifikan, evaluasi rancangan dan operasi pengendalian yang relevan, Hasil
pengujian pengendalian, lama waktu yang tersisa, dan prosedur substantif yang direncanakan
dalam menentukan sifat dan tingkat pekerjaan audit untuk periode tersisa . Secara minimal,
auditor akan menanyakan tentang sifat dan dan tingkat perubahan dalam kebijakan, prosedur,
atau personal yang terjadi setelah periode interim. Jika perubahan signifikan telah terjadi, Atau
jika Hasil pengujian pengendalian tidak menguntungkan, auditor Mungkin perlu untuk
melakukan Prosedur audit tambahan untuk periode yang tersisa. 

Prosedur Substantif Interim

Melakukan prosedur substantif hanya pada tanggal interim dapat meningkatkan risiko
bahwa salah saji Material ada dalam pelaporan keuangan. auditor dapat mengendalikan potensi
masalah ini dengan mempertimbangkan Kapan waktu yang tepat untuk memeriksa akun pada
tanggal interim dan dengan melakukan prosedur audit yang dipilih untuk periode antara tanggal
interim dan akhir tahun. faktor-faktor yang harus dipertimbangkan oleh auditor ketika prosedur
substantif akan dilakukan pada tanggal interim : 
a. Ruang lingkup pengendalian dan pengendalian lain yang relevan
b. Ketersediaan informasi di kemudian hari yang diperlukan untuk prosedur
auditor( misalnya informasi yang disimpan secara elektronik untuk jangka waktu
terbatas)
c. Tujuan dari prosedur substantif
d. Penilaian risiko salah saji material
e. Sifat dari golongan transaksi atau saldo akun dan asersi yang relevan
f. Kemampuan auditor untuk melakukan prosedur substantif yang tepat atau prosedur
substantif yang dikombinasikan dengan pengujian pengendalian untuk mencakup sisa
periode untuk mengurangi risiko bahwa salah saji yang mungkin ada pada akhir periode
yang tidak akan terdeteksi.

Audit Penerapan Akuntansi Yang Diproses oleh Organisasi Jasa

 Seorang klien mungkin memiliki beberapa atau semua transaksi akuntansi yang diproses
oleh sebuah organisasi jasa di luar entitas. Contoh organisasi jasa tersebut termasuk bankir
hipotek yang melayani hipotek untuk orang lain dan Departemen trust yang menginvestasikan
atau menyimpan aset untuk rencana tunjangan karyawan. Standar audit memberikan bimbingan
kepada auditor ketika klien menggunakan organisasi jasa untuk memproses transaksi tertentu.
Pentingnya pengendalian dari organisasi jasa kepada klien sangat tergantung pada sifat dan
materialitas transaksi yang diproses untuk klien dan tingkat interaksi antara kegiatan dan
kepentingan klien. Karena transaksi klien dikenakan pengendalian dari organisasi jasa, salah
satu perhatian auditor adalah sistem Pengendalian internal di tempat di organisasi jasa. Setelah
memperoleh pemahaman tentang Pengendalian internal, auditor mengidentifikasi pengendalian
yang atau organisasi jasa yang akan memungkinkan penilaian risiko pengendalian berkurang.
Auditor dapat memperoleh bukti untuk mendukung penilaian yang lebih rendah dari risiko
pengendalian dengan menguji pengendalian klien atas kegiatan yang dilakukan oleh organisasi
jasa atau dengan pengujian pengendalian di organisasi jasa. Karena banyak pelanggan, mereka
tidak terbiasa dengan auditor yang menerbitkan laporan   atestasi atas operasi. Laporan tersebut
dapat didistribusikan kepada auditor dari pelanggan sebuah organisasi jasa.

Komunikasi Pengendalian Internal - Hal-Hal Terkait

Standar untuk pelaporan kekurangan Pengendalian internal berbeda untuk entitas public
dibandingkan dengan entitas perseorangan. Meskipun audit laporan keuangan untuk perusahaan
perseorangan tidak termasuk audit sistem Pengendalian internal klien, auditor dapat menemukan
kekurangan dalam Pengendalian internal klien selama audit. Kekurangan pengendalian dalam
Pengendalian internal terjadi ketika rancangan atau operasi pengendalian tidak memperkenankan
manajemen atau karyawan dalam kegiatan normal melakukan fungsi yang ditugaskan kepada
mereka, untuk mencegah atau mendeteksi dan memperbaiki salah saji secara tepat waktu.
Kelemahan material adalah kekurangan atau kombinasi kekurangan dalam Pengendalian
internal sehingga Ada kemungkinan wajar bahwa salah saji material laporan keuangan entitas
tidak akan dicegah atau dideteksi dan dikoreksi, secara tepat waktu .kekurangan signifikan yaitu
kombinasi dari kekurangan dalam Pengendalian internal yang sangat kurang daripada kelemahan
material, namun cukup penting untuk mendapatkan perhatian oleh pihak yang bertanggung
jawab atas tata kelola. 

Jenis-Jenis Pengendalian dalam Ruang Lingkup TI

Ada dua kategori besar kegiatan pengendalian sistem informasi :
Pengendalian umum dan pengendalian aplikasi. Pengendalian umum (general control)
berhubungan dengan ruang lingkup pengolahan informasi secara keseluruhan dan memiliki efek
yang luas pada ada operasi komputer entitas.Pengendalian aplikasi (application control) Berlaku
untuk pengolahan aplikasi komputer yang spesifik dan merupakan bagian dari program komputer
yang digunakan dalam sistem akuntansi, misalnya : pendapatan atau pembelian.
Pengendalian umum
Pengendalian umum termasuk pengendalian terhadap :
a. Pusat data dan jaringan operasi
b. Pembelian sistem perangkat lunak, perubahan, dan pemeliharaan
c. Akses keamanan
d. Pembelian sistem aplikasi, pengembangan, dan pemeliharaan

Pengendalian pusat data dan jaringan operasi

Pengendalian ini termasuk pengendalian atas operasi komputer dan jaringan, anne-marie
siapan data, pengendalian aliran kerja, dan fungsi perpustakaan. Sistem operasi log yang
mendokumentasikan semua program dan kegiatan operator, perlu dikaji secara berkala untuk
memastikan bahwa operator tidak melakukan kegiatan yang tidak sah. Pengendalian atas alur
kerja termasuk penjadwalan program aplikasi, pengaturan yang tepat untuk program, jam-jam
dan penggunaan file yang benar.
Pengendalian pembelian sistem perangkat lunak, perubahan, dan pemeliharaan.
Sistem perangkat lunak adalah program komputer yang mengontrol fungsi komputer dan
memungkinkan program aplikasi untuk berjalan. Program-program ini mencakup sistem operasi,
perpustakaan dan paket keamanan, dan sistem manajemen database. Entitas harus memiliki
pengendalian yang kuat yang memastikan persetujuan yang tepat untuk pembelian sistem
perangkat lunak baru dan pengendalian yang memadai atas perubahan dan pemeliharaan
perangkat lunak sistem yang ada.
Pengendalian akses dan keamanan
Pengendalian ini berkaitan dengan 1) perlindungan fisik peralatan komputer, perangkat
lunak, dan data, dan 2) hilangnya aset dan informasi melalui pencurian atau penggunaan yang
tidak sah. Pengendalian ini juga termasuk membatasi akses ke fasilitas komputer melalui
penggunaan pintu terkunci dengan personil yang berwenang yang diterima melalui penggunaan
kunci konvensional, kartu otorisasi, atau pengakuan fisik. Harus ada perlindungan yang memadai
terhadap peristiwa-peristiwa seperti kerusakan yang diakibatkan kebakaran dan banjir, masalah
listrik, dan sabotase. Akses yang tidak diotorisasi ke program atau data dapat menyebabkan
hilangnya aset dan informasi. Tanpa pengendalian, penggunaan yang tidak sah dapat mengakses
sistem akan berakibat kerugian aset atau penurunan keandalan data.

Pengendalian Pembelian Sistem Aplikasi, Pengembangan, dan Pemeliharaan

Pengendalian seperti ini sangat penting untuk memastikan keandalan pengelolaan
informasi. Kemampuan untuk mengaudit sistem informasi akan mengalami peningkatan jika :
1. Entitas mengikuti kebijakan dan prosedur umum untuk pembelian atau pengembangan
sistem.
 2. Auditor internal dan/ eksternal yang terlibat dalam peembelian atau proses pembangunan.
3. Pengguna yang tepat, sistem operator, dan dokumentasi program disediakan untuk setiap
aplikasi.
Entitas harus menetapkan kebijakan dan prosedur tertulis untuk perencanaan, pembelian atau
pengembangan dan penerapan sistem baru. Biasanya, permintaan untuk sistem yang baru
diajukan oleh departemen pengguna untuk departemen IT atau komite layanan informasi.

Pengendalian Apikasi
Pengendalian aplikasi menerapkan pengolaan aplikasi akuntansi individual, seperti
penjualan atau gaji, dan membantu memastikan kelengkapan dan akurasi pemrosesan transaksi,
otorisasi dan validitas. Sebagai contoh, banyak dari pemeriksaan validasi data yang pernah
dilakukan sebagai bagian dari program produksi sekarang dicapai dengan rutinitas pengeditan
yang canggih dan peralatan entri data yang cerdas. Hasilnya, pengendalian aplikasi yang dibahas
dalam kategori berikut:
 Pengendalian penangkapan data.
 Pengendalian validasi data.
 Pengendalian pengolahan.
 Pengendalian ountput.
 Pengendalian kesalahan.

Pengendalian Penangkapan Data.

Pengendalian penangkapan harus memastikan bahwa :
1. Semua transakai tercatat dalam sistem aplikasi.
2. Transaksi dicatat hanya sekali
3. Transaksi yang ditolak diidentifikasi, dikendalikan, dikoreksi, dan masuk kembali
kedalam sistem.
Dengan demikian. Pengendalian penangkapan data dikaitkan terutama dengan asersi kejadian,
kelengkapan, dan akurasi.
Ada tiga cara untuk menangkap data dalam sistem informasi:
1. Sumber dokumentasi
2. Entri data langsung
3. Kombinasi dari keduanya
ketika sumber dokumen yang ada, prosesi batch adalah cara yang efektif untuk mengendalikan
penangkapan data.
Entri data langsung, disisi lain melibatkan pengolahan online dari data tanpa dokumen sumber.
Metode kombinasi meungkin melibatka entri data dari dokumen sumber langsung melalui
pengolahan online. Jika entri data langsung atau kombinasi dari dokumen sumber dan entri data
langsung digunakan, sistem harus membuat log transaksi. Log harus berisi catatan rinci dari
setiap transaksi, termasuk gagal dan waktu masuk, terminal dan identifikasi operator, dan nomor
unik (seperti nomor pesanan pelanggan.
Pengendalian Validasi Data
Pengendalian ini dapat diterapkan pada berbagai tahap, tergantung pada kemampuan
entitas. Data tersebut kemudian divalidasi oleh program edit atau oleh rutinitas yang merupakan
bagian dari program produksi. Ketika data dimasukan langsung ke dalam penyimpanan offline
melalui terminal cerdas atau langsung ke program validasi dengan pemrosesan berikutnya
(tertunda atau real-time) kedalam sistem aplikasi, setiap transaksi harus dikenakan sejumlah
pemeriksaan edit terprogram. Table 6-8 berisikan daftar pengujian vaalidasi umum. Sebagai
contoh, sebuah program aplikasi penggajian mungkin memiliki uji batas bahwa setiap transaksi
penggajian pegawai yang melibatkan lebih dari 80 jam kerja untuk ditinjau sebelum diproses.
Beberapa entitas menggunakan dokumen turnaround untuk meningkatkan akurasi data.
Dokumen turnaround adalah dokumen output dari aplikasi yang digunakan sebagai dokumen
sumber dalam pengolahan nanti. Misalnya, laporan bulanan dikirim ke pelanggan mungkin berisi
dua bagian, satu bagian dari laporan bulanan disimpan oleh pelanggan, sementara bagian lainnya
dikembalikan dengan pembayaran.

Pengendalian Pengolahan
Ini adalah pengendalian yang memastikan proses yang tepat dari transaksi. Dalam
beberapa sistem informasi, banyak pengendalian dibahas dalam validasi data yang dapat
dilakukan sebagai bagian dari pengolahan data. Pengendalian umum memainkan peran penting
dalam memberikan jaminan tentang kualitas pengendalian pengolahan. Jika entitas memiliki
pengendalian umum kuat (seperti aplikasi sistem pembelian, pengembangan, dan pengendalian
pemeliharaan, pengendalian perpustakaan, praktik personel, dan pemisah tugas), ada
kemungkinan bahwa program akan ditulis dan diuji dengan benar, fail yang benar akan
digunakan untuk pengolahan dan akses tidak sah ke sistem akan dibatasi.

Pengendalian Keluaran
Output mencakup laporan, cek, dokumen, dan informasi yang dicetak atau ditampilkan di
layar terminal lainnya. Kelompok pengendalian data harus bertanggung jawab untuk meninjau
keluaran untuk kewajaran dan mencocokan total pengendalian atau batch ke keluaran.
Departemen pengguna juga harus meninjau keluaran untuk kelengkapan dan akurasi karena
departemen pengguna mungkin memiliki pengetahuan yang memadai untuk mengenali
kesalahan jenis tertentu.

Pengendalian Kesalahan
Kesalahan dapat diidentifikasi pada setiap titik dalam sistem. Sementara kesalahan
transaksi seharusnya diidentifikasi dengan menangkap data dan pengendalian validasi data.
Setelah diidentifikasi, kesalahan harus diperbaiki dan dikirimkan kembali ke sistem aplikasi pada
titik yang benar dalam pengolahan. Pengendalian kesalahan membantu memastikan bahwa
kesalahan ditangani dengan tepat. Misalnya, jika transaksi yang dimasukan dengan nomor
pelanggan yang salah, itu harus ditolak oleh uji validitas. Setelah nomor pelanggan dikoreksi,
harus diajukan kembali kedalam sistem.

Teknik Bagan Air

Dari sudut pandang auditor teknik bagan air adalah representasi diagram dari sistem
akuntansi entitas. Literatur sistem informasi biasanya membahas tiga jenis bagan air. Bagan air
dokumen, bagan air sistem, dan bagan air program.

Simbol-Simbol
Satu set standar symbol digunakan untuk mewakili dokumen dan proses. Gambar 6-7
menyajikan contoh contoh dari symbol yang lebih umum digunakan. Perhatikan bahwa symbol
dibagi menjadi tiga kelompok : Simbol output/input, symbol pengolahan dan symbol aliran data
dan penyimpanan.

Organisasi dan Aliran

Sebuah bagan air dirancang dengan baik harus dimulai dari bagian kiri atas halaman dan
berlanjut ke bagian kanan bawah halaman. Apabila diperlukan untuk menunjukkan pergerakan
dokumen atau melapurkan kembali ke fungsi sebelumnya, sebuah konektor pada halaman harus
digunakan. Ketika bagan air berlanjut ke halaman berikutnya, pergerakan dokumen atau laporan
dapat ditangani dengan menggunakan konektor off-page. Panah aliran menunjukkan pergerakan
dokumen, catatan, atau informasi.

Pengendalian Aplikasi
Pengendalian yang diterapkan untuk pengolahan aplikasi computer khusus dan
merupakan bagian dari program computer yang digunakan dalam sistem akuntansi.
Teknik audit dengan bantuan Komputer (TABK)
Program computer yang memungkinkan auditor untuk menguji fail computer dan basis
data.