DAFTAR ISI

DAFTAR ISI..............................................................................................................................2
TUJUAN PENGENDALIAN INTERNAL...............................................................................3
TANGGUNG JAWAB MANAJEMEN DAN AUDITOR ATAS PENGENDALIAN
INTERNAL................................................................................................................................3
KOMPONEN PENGENDALIAN INTERNAL COSO............................................................4
Dampak Teknologi Informasi Terhadap Pengujian Audit......................................................7
Bauran Audit...........................................................................................................................7
Perancangan Program Audit...................................................................................................8
MEMPEROLEH DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL..............................................................................................11
MENILAI RESIKO PENGENDALIAN.................................................................................12
Mengubungkan Definisi yang Signifikan dan Kelemahan yang Material dengan Tujuan
Audit Terkait.........................................................................................................................13
Komunikasi dengan Pohak yang Memikul Tanggung Jawab Tata Kelola...........................13
Surat Manajemen..................................................................................................................14
PENGUJIAN PENGENDALIAN............................................................................................14
Mengandalkan Bukti dari Audit Tahun Sebelumya..............................................................14
Menguji Pengendalian yang Berhubungan dengan Risiko yang Signifikan........................15
Menguji Kurang dari Seluruh Periode Audit........................................................................15
MEMUTUSKAN RISIKO DETEKSI YANG DIRENCANAKAN DAN MERANCANG
PENGUJIAN SUBSTANTIF...................................................................................................15
PELAPORAN PENGENDALIAN INTERNAL MENURUT SECTION 404........................15
Pendapatan Wajar Tanpa Pengecualian................................................................................15
Pendapat Tidak Wajar...........................................................................................................16
Pendapat Wajar dengan Pengecualian atau Menolak Memberikan Pendapat......................16
MENGEVALUASI, MELAPORKAN, DAN MENGUJI PENGENDALIAN INTERNAL
UNTUK PERUSAHAAN NONPUBLIK................................................................................16
DAFTAR PUSTAKA...............................................................................................................18

2 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
TUJUAN PENGENDALIAN INTERNAL
Manajemen memiliki tiga tujuan umum dalam merancang sistem pengendalian
internal yang efektif :
1. Reliabilitas pelaporan keuangan.
Pengendalian internal yang efektif atas pelaporan keuangan memiliki tujuan yaitu
untuk memenuhi tanggung jawab pelaporan keuangan tersebut.
2. Efesiensi dan efektivitas operasi.
Tujuan yang penting dari pengendalian ini adalah memperoleh informasi keuangan
dan nonkeuangan yang akurat tentang operasi perusahaan untuk keperluan
pengambilan keputusan.
3. Ketaatan pada hukum dan peraturan.
Selain mematuhi ketentuan hukum dalam Section 404, organisasi-organisasi publik,
nonpublik, dan nirlaba diwajibkan menaati berbagai hukum dan peraturan.

TANGGUNG JAWAB MANAJEMEN DAN AUDITOR ATAS

PENGENDALIAN INTERNAL
 Tanggung Jawab Manajemen untuk Menetapkan Pengendalian Internal
Manajemen diharuskan dalam section 404 untuk melaporkan secara terbuka tentang
keefektifan pelaksanaan pengendalian tersebut. Auditor juga diwajibkan oleh section 404
untuk menerbitkan laporan audit tentang penilaian manajemen atas pengendalian internalnya,
termasuk pendapat auditor mengeenai keefektifan pelaksanaan pengendalian tersebut. Ada
dua konsep utama yang melandasi perancangan dan implementasi pengendalian internal:
1. Kepastian yang layak.
Perusahaan harus mengembangkan pengendalian internal yang akan memberikan
kepastian yang layak, tetapi bukan absolut, bahwa laporan keuangan telah
disajikan secara wajar.
2. Keterbatasan inheren.
Pengendalian internal tidak akan pernah bisa efektif 100%, tanpa menghiraukan
kecermatan yang diterapkan dalam perancangan dan implementasinya.

 Tanggung Jawab Pelaporan oleh Manajemen Menurut Section 404

Section 404 mengharuskan manajemen perusahaan publik untuk mengeluarkan
laporan pengendalian internal yang mencakup hal-hal sebagai berikut:
 Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan
menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.

 Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur

pelaporan keuangan per akhir tahun fiskal perusahaan.

Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri

dari dua komponen utama, yaitu :

3 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
 1. Rancangan pengendalian internal.
Manajemen harus mengevaluasi apakah pengendalian telah dirancang dan
diberlakukan untuk mencegah dan mendeteksi salh saji yang material dalam
laporan keuangan. Termasuk juga mengevaluasi bagaimana transaksi yang
signifikan dimulai, diotorisasi, dicatat, diproses, dan dilaporkan untuk
mengidentifikasi titik-titik arus transaksi dimana salah saji yang material akibat
kekeliruan atau kecurangan bisa saja terjadi.
2. Efektivitas pelaksanaan pengendalian.
Tujuan pengujian ini adalah untuk menentukan apakah pengendalian telah
berjalan seperti yang dirancang, dan apakah orang yang melaksanakan memiliki
kewenangan serta kualifikasi yang diperlukan untuk melaksanakan pengendalian
secara efektif.

 Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Pengetahuan tentang pengendalian internal klien dicantumkan terpisah dalam standar
auditing yang berlaku umum, yaitu:
1. Pengendalian atas reabilitas pelaporan keuangan.
Auditor berfokus pada pengendalian yang berhubungan dengan perhatian manajemen
yang pertama dalam pengendalian internal: reliabilitas pelaporan keuangan.
2. Pengendalian atas kelas-kelas transaksi.
Auditor menekankan pengendalian internal atas kelas-kelas transaksi, dan bukan saldo
akun, karena keakuratan output sistem akuntansi (saldo akun) sangat tergantung pada
keakuratan input dan pemrosesan (transaksi).

 Tanggung Jawab Auditor untuk Menguji Pengendalian Internal

Section 404 mensyaratkan bahwa auditor menegaskan dan menerbitkan laporan
mengenai penilaian manajemen terhadap pengendalian internal atas pelaporan keuangan,
auditor harus memahami dan melakukan pengujian atas pengendalian untuk semua saldo
akun, kelas transaksi, dan pengungkapan yang signifikan, serta asersi terkait dalam laporan
keuangan.

KOMPONEN PENGENDALIAN INTERNAL COSO

Komponen pengendalian internal COSO meliputi antara lain:
1. Lingkungan pengendalian
2. Penilaian Risiko
3. Aktivitas pengendalian
4. Informasi dan komunikasi
5. Pemantauan
Lingkungan pengendalian berfungsi sebagai payung bagi keempat komponen lainnya. Tanpa
lingkungan pengendalian yang efektif, keempat komponen lainnya mungkin tidak akan
menghasilkan pengendalian internal yang efektif, tanpa menghiraukan kualitasnya.

1. Lingkungan Pengendalian
Lingkungan pengendalian terdiri atas tindakan, kebijakan, dan prosedur yang
mencerminkan sikap manajemen puncak, para direktur, dan pemilik entitas secara

4 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu.
Subkomponen pengendalian yang paling penting :
 Integritas dan Nilai-nilai Etis.
Integritas dan nilai-nilai etis adalah produk dari standar etika dan perilaku entitas,
serta bagaimana standar itu dikomunikasikan dan diberlakukan dalam praktik.
 Komitmen pada Kompetensi.
Komitmen pada kompetensi meliputi pertimbangan manajemen tentang tingkat
kompetensi bagi pekerja tertentu, dan bagaimana tingkatan tersebut diterjemahkan
menjadi keterampilan dan pengetahuan yang diperlukan. Sub komponen ini
meliputi tindakan manajemen untuk menghilangkan atau mengurangi dorongan
dan godaan yang mungkin membuat karyawan melakukan tindakan tidak jujur,
ilegal, atau tidak etis.
 Partisipasi Dewan Komisaris atau Komite Audit.
Dewan komisaris berperan penting dalam tata kelola korporasi yang efektif karena
memikul tanggung jawab akhir untuk memastikan bahwa manajemen telah
mengimplementasikan pengendalian internal dan proses pelaporan keuangan yang
layak. Dewan yang aktif dan objektif sering kali juga dapat mengurangi
kemungkinan bahwa manajemen mengesampingkan pengendalian yang ada.
 Filosofi dan Gaya Operasi Manajemen.
Memahami aspek ini serta aspek-aspek serupa dalam filosofi dan gaya operasi
manajemen akan membuat auditor dapat merasakan sikap manajemen tentang
pengendalian internal.
 Struktur Organisasi.
Struktur organisasional entitas menentukan garis-garis tanggung jawab dan
kewenangan yang ada. Dengan memahaminya, auditor dapat mempelajari
pengelolaan dan unsur-unsur fungsional bisnis serta melihat implementasi
pengendalian.
 Kebijakan dan Praktik Sumber Daya Manusia.
Aspek paling penting dari pengendalian internal adalah personil.

2. Penilaian Risiko
Tindakan yang dilakukan manajemen untuk mengidentifikasi dan menganalisis risiko-
risiko yang relevan dengan penyusunan laporan keuangan yang sesuai dengan GAAP.
Manajemen menilai risiko sebagai bagian dari perancangan dan pelaksanaan pengendalian
internal untuk meminimalkan kekeliruan serta kecurangan, auditor menilai risiko untuk
memutuskan bukti yang dibutuhkan dalam audit.

3. Aktivitas Pengendalian
Kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya,
yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani
risiko guna mencapai tujuan entitas. Aktivitas pengendalian dibagi menjadi lima jenis
berikut :
1) Pemisahan tugas yang memadai
Ada empat pedoman umum menyangkut pemisahan tugas yang memadai, yaitu:

5 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
  Pemisahan penyimpanan aktiva dari akuntasi.
Hal ini untuk melindungi perusahaan dari penyelewengan, seseorang yang
ditugaskan menyimpan aktiva secara permanen ataupun temporer tidak boleh
mencatat aktiva itu.
 Pemisahan otorisasi transaksi dari penyimpangan aktiva terkait.
Orang yang mengotorisasi sebaiknya tidak boleh memegang kendali atas
aktiva terkait untuk mengurangi kemungkinan terjadinya penyelewengan.
 Pemisahan tanggung jawab operasional dari tanggung jawab pencatatan.
Untuk memastikan bahwa informasi tidak bias, pencatatan biasanya
dimasukkan dalam departemen terpisah di bawah kontroler.
 Pemisahan tugas TI dari departemen pemakai.

Jika tingkat kompleksitas TI meningkat, pemisahan otorisasi, pencatatan, dan

penyimpangan sering kali menjadi tidak jelas.
2) Otorisasi yang sesuai atas transaksi dan aktivitas

Otorisasi dapat bersifat umum dan khusus. Dengan otorisasi umum, manajemen
menetapkan kebijakan dan para bawahan diinstruksikan untuk
mengimplementasikan otorisasi tersebut dengan menyetujui semua transaksi
dalam batas yang ditetapkan oleh kebijakan itu, termasuk batas kredit untuk
pelanggan, daftar harga tetap untuk penjualan produk. Sedangkan otorisasi khusus
berlaku untuk transaksi individual, contohnya otorisasi transaksi penjualan oleh
manajer penjualan.
3) Dokumen dan catatan yang memadai

Dokumen dan catatan adalah meliputi berbagai item seperti faktur penjualan,
pesanan pembelian, catatan pembantu, jurnal penjualan, dan kartu absensi
karyawan.
4) Pengendalian fisik atas aktiva dan catatan

Jika tidak terlindungi secara memadai, catatan bisa dicuri, rusak, atau hilang, yang
dapat sangat mengganggu proses akuntansi dan operasi bisnis.
5) Pemeriksaan kinerja secara independen
Kategori terakhir dari aktivitas pengendalian adalah review yang cermat dan
berkelanjutan atas keempat hal lainnya, yang sering kali disebut pemeriksaan
independen (independent checks) atau verifikasi internal.

Dampak Teknologi Informasi Terhadap Pengujian Audit

SAS 80 (AU 326) dan SAS 109 (AU 319) memberikan pedoman bagi auditor entitas
yang mengirimkan, memroses, memelihara, atau mengakses informasi penting secara
elektronis. Standar auditing mengakui bahwa jika ada sejumlah besar bukti audit dalam
format elektronik, mungkin tidak praktis atau tidak mungkin untuk mengurangi resiko deteksi

6 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
hingga tingkat yang dapat diterima dengan hanya melakukan pengujian substantif. Walaupun
beberapa pengujian substantif masih diperlukan, auditor dapat mengurangi pengujian
substansi secara signifikan jika hasil pengujian pengendalian mendukung keefektifan
pengendalian itu. dalam audit perusahaan publik, pengendalian yang dilaksanakan komputer
harus diuji jika auditor mempertimbangkan sebagai pengendalian kunci untuk mengurangi
kemungkinan salah saji yang material dalam laporan keuangan
Namun, karena konsistensi yang melekat dalam pemrosesan TI auditor mungkin dapat
mengurangi luas pengujian atas pengendalian yang terotomatisasi. Untuk menguji
pengendalian atau data yang terotomatisasi, auditor mungkin harus menggunakan teknik
audit berbantuan komputer atau menggunakan laporan yang dihasilkan TI untuk menguji
efektivitas operasi pengujian umum TI.

Bauran Audit

Memilih jenis pengujian mana yang akan digunakan dan seberapa ektensif pengujian
itu harus dilaksanakan dapat sangat bervariasi di antara audit dengan tingkat efektivitas
pengendalian internal dan risiko inheren yang berbeda. Bahkan dalam audit tertentu, variasi
dapat terjadi dari satu siklus ke siklus lain. Untuk mendapatkan bukti yang tepat yang
mencukupi sebagai respons terhadap risiko yang diidentifikasi melalui prosedur penilaian
risiko, auditor menggunakan kombinasi dari empat jenis pengendalian selanjutnya.
Kombinasi ini sering kali disebut bauran bukti.

Pengujian Pengujian substantif Prosedur analitis Pengujian

pengendalian atas transaksi rincian saldo
Audit 1 E S E S
Audit 2 M M E M
Audit 3 N E M E
Audit 4 M E E E
E: jumlah pengujian ekstensif; M:jumlah pengujian sedang; S:jumlah pengujian kecil;
N: tidak ada pengujian
Variasi Bauran Bukti (Arens, 2008:529)
1. Analisis Audit 1
Klien ini adalah sebuah perusahaan besar yang memiliki pengendalian internal yang
canggih dan risiko inheren yang rendah.
 Auditor melakukan pengujian pengendalian yang ekstensif
 Auditor sangat percaya kepada pengendalian internal klien untuk mengurangi
pengujian substantif
 Pengujian substantif transaksi dan pengujian rincian saldo diperkecil

 Pengujian pengendalian dan prosedur analitis, yang tergolong relatif murah.

2. Analisis Audit 2
Perusahaan ini berukuran sedang, yang memiliki sejumlah pengendalian dan beberapa
risiko inheren.

7 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
  Auditor memutuskan untuk melakukan sumua jumlah pengujian menengah, kecuali
prosedur analitis yang akan dilaksanakan secara ekstensif

 Pengujian ekstensif dilaksanakan jika ada resiko inheren.

3. Analisis Audit 3
Perusahaan ini berukuran sedang tetapi mempunyai segelintir pengendalian yang
efektif dan risiko inheren yang signifikan.
 Tidak ada pengujian pengendalian yang dilakukan
 Auditor menekankan pada pengujian rincian saldo dan pengujian substantif atas
transaksi, juga beberapa prosedur analitis
 Prosedur analitis dilakukan untuk mengurangi pengujian substantif

 Biaya audit relatif tinggi karena jumlah pengujian substantif yang rinci

4. Analisis Audit 4
Auditor mungkin menemukan penyimpangan pengujian pengendalian yang ekstensif
dan salah saji yang signifikan meskipun melakukan pengujian substantif atas transaksi dan
prosedur analitis substantif.
 Pengendalian internal tidak efektif
 Pengujian rincian saldo yang ekstensif dilakukan untuk mengganti kerugian hasil
pengujian lain yang tidak dapat diterima
 Biaya lebih tinggi karena pengujian pengendalian dan pengujian substantif atas
transaksi telah dilakukan tetapi tidak dapat digunakan untuk mengurangi pengujian
rincian saldo.

Perancangan Program Audit

Perancangan program audit digunakan untuk memenuhi tujuan audit yang berkaitan
dengan saldo dan yang berkaitan dengan transaksi. Selain pada bagian program audit yang
berisi prosedur penilaian risiko yang dilaksanakan selama tahap perencanaan, program audit
juga dirancang dalam tiga bagian tambahan:
1. Program audit pengujian pengendalian dan pengujian substantif atas transaksi.
Program audit pengujian pengendalian dan pengujian substantif atas transaksi
biasanya meliputi bagian deskriptif yang mendokumentasikan pemahaman atas pengendalian
internal yang diperoleh selama pelaksanaan prosedur penilaian risiko. Auditor menggunakan
informasi ini untuk mengembangkan program audit pengujian pengendalian dan pengujian
substantif atas transaksi. Jika pengendalian sudah efektif dan risiko pengendalian dinilai
rendah, auditor akan sangat menekankan pada pengujian pengendalian. Jika risiko
pengendalian dinilai maksimum, hanya pengujian substantif atas transaksi yang akan
digunakan, dengan asumsi audit dilakukan pada perusahaan nonpublik.
Prosedur audit. Auditor menggunakan empat langkah untuk mengurangi risiko
pengendalian yang diperkirakan:
1) Memberlakukan tujuan audit yang berkaitan dengan transaksi pada kelas transaksi
yang diuji
2) Mengidentifikasi pengendalian kunci yang dapat mengurangi risiko pengendalian
untuk setiap tujuan audit yang berkaitan dengan transaksi

8 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
 3) Mengembangkan pengujian pengendalian yang tepat bagi semua pengendalian
internal yang digunakan untuk mengurangi penilaian pendahuluan atas risiko
pengendalian dibawah maksimum
4) Untuk jenis salah saji potensial yang berkaitan dengan setiap tujuan audit yang
berkaitan dengan transaksi, rancanglah pengujian substantif atas transaksi yang
tepat, dengan mempertimbangkan defisiensi dalam pengendalian internal dan hasil
yang diharapkan dari pengujian pengendalian pada langkah 3.

2. Program audit prosedur analitis substantif

Karena relatif murah, banyak auditor melaksanakan prosedur analitis pada semua
audit. Prosedur analitis yang dilaksanakan selama pengujian substansif, seperti audit piutang
usaha, biasanya lebih terfokus dan lebih ekstensif ketimbang yang dilakukan sebagai bagian
dari perencanaan. Ketika auditor berencana menggunakan prosedur analitis untuk
memberikan keyakinan substantif tentang saldo akun, data yang digunakan dalam kalkulasi
harus dipandang cukup dapat diandalkan.

3. Pengujian rincian saldo

Untuk merancang prosedur audit pengujian rincian saldo, auditor menggunakan
metodologi yang berorientasi pada tujuan audit yang berkaitan dengan saldo, sebagai
berikut :
 Mengidentifikasikan risiko bisnis klien yang mempengaruhi piutang usaha.
Jika setiap risiko bisnis klien yang diidentifikasi mempengaruhi piutang usaha, risiko
itu harus dilibatkan dalam evaluasi auditor atas risiko inheren atau risiko
pengendalian. Risiko ini kemudian akan mempengaruhi luas mempengaruhi luas bukti
yang tepat.
 Menetapkan salah saji yang dapat ditoleransi dan menilai risiko inheren untuk
piutang.
Auditor harus memutuskan pertimbangan pendahuluan tentang materialitas pada audit
secara keseluruhan dan kemudianmengalokasikan totalnya ke saldo akun, untuk
menetapkan salah saji yang dapat ditoleransi bagi untuk setiap saldo yang signifikan.
Risiko inheren dinilai dengan mengidentifikasi setiap aspek dari sejarah, lingkungan
atau operasi klien yang menunjukkan kemungkinan yang besar bahwa ada salah saji
dalam laporan keuangan tahun berjalan.

 Menilai risiko pengendalian untuk siklus penjualan dan penagihan.

Pengendalian yang efektif akan mengurangi risiko pengendalian dan karenanya, juga
mengurangi jumlah bukti yang diperlukan untuk pengujian substantif atas transaksi
dan pengujian rincian saldo. Pengendalian yang kurang memadai akan meningkatkan
bukti substantif yang diperlukan.
 Merancang dan melaksanakan pengujian pengendalian serta pengujian
substantif atas transaksi untuk siklus penjualan dan penagihan.
Pengujian pengendalian dan pengujian substantif atas transaksi dirancang dengan
harapan hasil-hasil tertentu akan diperoleh. Hasil yang diproduksi tersebut akan
mempengaruhi perancangan pengujian rincian saldo.
 Merancang dan melaksanakan prosedur analitis untuk saldo piutang usaha.

9 | B A B 1 0 ”A U D I T I N G D A N J A S A A S S U R A N C E ”
 Auditor melaksanakan prosedur analitis substantif atas akun-akun seperti piutang
usaha demi tujuan : untuk mengidentifikasi kemungkinan salah saji dalam saldo akun
dan untuk mengurangi pengujian audit yang terinci. Hasil dari prosedur analitis
substantif sacara langsung akan mengurangi luas pengujian rincian saldo.
 Merancang pengujian rincian saldo piutang usaha untuk memenuhi tujuan audit
yang berkaitan dengan saldo.
Pengujian rincian saldo yang telah direncanakan meliputi prosedur audit, ukuran
sampel, item yang dipilih, dan penetapan waktu. Prosedur ini harus dipilih dan
dirancang untuk setiap akun serta setiap tujuan audit yang berkaitan dengan saldo
pada setiap akun tersebut.

Pengendalian Fisik Atas Aktiva dan Catatan. Untuk menyelenggarakan pengendalian

internal yang memadai, aktiva dan catatan harus dilindungi. Jika tidak dilindungi, aktiva
tersebut bisa dicuri. Jika suatu perusahaan sangat terkomputerisasi, peralatan komputer,
program, dan file datanya harus dilindungi. File data adalah catatan perusahaan dan jika
rusak, rekonstruksinya bisa sangat mahal.

Pemeriksaan Independen atas Kinerja. Kategori terakhir dari aktivitas pengendalian

adalah review yang cermat dan berkelanjutan atas keempat hal lainnya, yang sering disebut
pemeriksaan independen atau verifikasi internal.
Personil yang bertanggung jawab melakukan prosedur internal harus independen dari
individu yang semula bertanggung jawab menyiapkan data. Sarana verifikasi internal yang
paling murah adalah pemisahan tugas.
SAS 109 mengharuskan auditor memahami proses yang diikuti karyawan perusahaan
untuk merekonsiliasi catatan terinci yang mendukung saldo akun yang signifikan dengan
buku besar akun tersebut untuk membantu auditor merancang dan melaksanakan prosedur
audit yang lebih efektif.

Tujuan sistem informasi dan komunikasi akuntansi dari entitas adalah untuk memulai,
mencatat, memproses dan melaporkan transaksi yang dilakukan entitas itu serta
mempertahankan akuntabilitas aktiva terkait. Sistem informasi dan komunikasi akuntansi
mempunyai beberapa sub komponen, yang biasanya terdiri atas kelas-kelas transaksi seperti
penjualan, penerimaan kas, akuisisi, dan sebagainya.

Untuk memahami perancangan sistem informasi akuntansi, auditor menentukan (1) kelas
transaksi utama entitas; (2) bagaimana transaksi dimulai dan dicatat; (3) catatan akuntansi apa
saja yang ada serta sifatnya; (4) bagaimana sistem itu menangkap peristiwa – peristiwa lain
yang penting bagi laporan keuangan; (5) sifat serta rincian proses pelaporan keuangan yang
diikuti, termasuk prosedur pencatatan transaksi dan peneyesuaian dalam buku besar umum.

Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal secara

berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa pengendalian itu telah
beroperasi seperti yang diharapkan dan telah dimodifikasi sesuai dengan perubahan kondisi.

10 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
Bagi perusahaan berukuran besar, departemen audit internal sangat penting demi tercapainya
pengawasan yang efektif. Fungsi audit internal harus dilakukan oleh staf yang independen
dari departemen operasi maupun akuntansi, mereka melapor langsung ke manajemen puncak
atau komite audit dewan direksi.

SAS 65 (AU 322) membahas cara auditor internal mempengaruhi pengumpulan bukti auditor
eksternal. PCAOB Standard 2 mendefinisikan sejauh mana auditor dapat menggunakan
pekerjaan yang dilakukan oleh auditor internal ketika melaporkan pengendalian internal
menurut Section 404

MEMPEROLEH DAN MENDOKUMENTASIKAN PEMAHAMAN

TENTANG PENGENDALIAN INTERNAL
Tingkat pemahaman atas pengendalian internal serta luas pengujian yang dibutuhkan
untuk audit atas pengendalian internal melampaui apa yang disyaratkan untuk audit atas
laporan keuangan saja. PCAOB Standard 2 mengharuskan auditor mengevaluasi dokumentasi
klien. Manajemen harus mendokumentasikan rancangan pengendalian, termasuk kelima
komponen pengendalian, dan juga hasil pengujian serta evaluasinya. Dokumentasi
manajemen merupakan sumber informasi utama dalam memperoleh pemahaman
pengendalian internal.
Sebagai bagian dari prosedur penilaian resiko, auditor menggunakan prosdur untk
memperoleh pemahaman yang meliputi pengumpulan bukti tentang rancangan pengendalian
internal dan apakah pengendalian itu sudah diimplementasikan, lalu menggunakan informasi
itu sebagai dasar audit terpadu. Biasanya auditor menggunakan tiga jenis dokumen untuk
memperoleh dan mendokumentasikan pemahamannya atas perancangan pengendalian
internal adalah naratif, bagan arus, dan kuesioner pengendalian internal.
Naratif. Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu baratif yang
baik mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal :
1) Asal – usul setiap dokumen dan catatan dalam akuntansi
2) Semua pemrosesan yang berlangsung
3) Disposisi setiap dokumen dan catatan dalam sistem
4) Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian
Bagan arus. Suatu bagan arus pengendalian internal adalah diagram yang menunjukkan
dokumen klien dan aliran urutannya dalam organisasi. Suatu bagan arus yang memadai
mencangkup empat karakteristik yang sama yang diidentifikasi untuk naratif.
Kuesioner Pengendalian Internal. Kuesioner pengendalian internal mengajukan
serangkaian pertanyaan tentang pengendalian dalam setiap area audit sebagai sarana untuk
mengidentifikasi defisiensi pengendalian internal. Dua kelemahan kuesioner adalah tidak
mampu memberikan gambaran yang menyeluruh tentang sistem klien dan tidak dapat
diterapkan pada beberapa audit, terutama skala kecil.

Selain memahami perancangan pengendalian internal, auditor juga harus mengevaluasi

apakah pengendalian yang dirancang itu telah diimplementasikan. Dalam praktik,

11 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
pemahaman atas rancangan dan pengimplementasian sering kali dilakukan secara bersamaan.
Berikut adalah metode umum yang digunakan :
- Memutakhirkan dan mengevaluasi pengalaman audior sebelumnya dengan entitas
- Melakukan tanya jawab dengan personil klien
- Menelaah dokumen dan catatan’mengamati aktivitas dan operasi entitas
- Melakukan penelusuran sistem akuntansi

MENILAI RESIKO PENGENDALIAN

Auditor harus memahami perancangan dan pengimplementasian pengendalian internal untuk
melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian
risiko salah saji yang material secara keseluruhan. Banyak auditor menggunakan matriks
risiko pengendalian untuk membantu proses penilaian risiko pengendalian. Tujuannya adalah
menyediakan cara yang mudah untuk mengatur penilaian risiko pengendalian bagi setiap
tujuan audit. Penyusunan matriks meliputi :
- Mengidentifikasi tujuan audit. Langkah pertama dalam penilaian adalah
mengidentifikasi tujuan audit untuk kelas transaksi, saldo akun, serta penyajian dan
pengungkapan yang akan dinilai.
- Mengidentifikasi pengendalian yang ada. Selanjutnya, auditor menggunakan
informasi yang telah dibahas pada bagian terdahulu, mengenai perolehan dan
pendokumentasian pemahaman atas pengendalian internal untuk mengidentifikasi
pengendalian yang berperan dalam mencapai tujuan audit yang berhubungan dengan
transaksi.
- Menghubungkan pengendalian dengan tujuan audit yang terkait. Setiap
pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait.
- Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang
signifikan dan kelemahan yang material. Auditor harus mengevaluasi apakah
pengendalian kunci tidak diterapkan dalam perancangan pengendalian internal atas
pelaporan keuangan sebagai bagian dari mengevaluasi risiko pengendalian dan
kemungkinan salah saji laporan keuangan. Standar auditing mendefinisikan tiga
tingkat tidak diterapkannya pengendalian internal :
1) Defisiensi pengendalian. Terjadi jika perancangan atau pelaksanaan pengendalian
tidak memungkinkan jaryawan perusahaan mencegah atau mendeteksi salah saji
secara tepat wkatu.
2) Defisiensi yang signifikan. Terjadi jika ada satu atau lebih defisiensi pengendalian
yang mengakibatkan kemungkinannya lebih dari kecil bahwa salah saji yang
lebih dari tidak logis tidak akan terdeteksi.
3) Kelemahan yang material. Terjadi jika defisiensi yang signifikan, secara sendiri
atau bersama sama dengan defisiensi yang signifikan lainnya, mengakibatkan
kemungkinannya lebih kevil bahwa pengendalian internal tidak akan mencegah
atau mendeteksi salah saji yang material dalam laporan keuangan.
Pendekatan lima-langkah dapat digunakan untuk mengidentifikasi defisiensi, defisiensi yang
signifikan, dan kelemahan yang material :
1) Mengidentifikasi pengendalian yang ada
2) Mengidentifikasi tidak diterapkannya pengendalian kunci

12 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
 3) Mempertimbangkan kemungkinan pengendalian pengimbang
4) Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material
5) Menentukan salah saji yang potensial yang bisa dihasilkan

Mengubungkan Definisi yang Signifikan dan Kelemahan yang Material dengan Tujuan
Audit Terkait
Sama seperti pengendalian, setiap defini yang signifikan atau kelemahan yang
material dapat diterapkan pada satu atau lebih tujuan audit yang terkait

Menilai Risiko Pengendalian untuk Setiap Tujuan Audit yang Terkait

Setelah pengendalian, definisi yang signifkan dan kelemaham material diidentifikasi

serta dihubungkan dengan tujuan audit yang berkaitan dengan transaksi, auditor dapat menilai
risiko pengendalian untuk tujuan audit yang berkaitan dengan transaksi. Inilah keputusan
yang penting dalam evaluasi pengendalian internal. Auditor menggunakan semua informasi
yang dibahas sebelumnya untuk menilai risiko pengendalian yang subjektif bagi setiap tujuan

Matriks risiko pengendalian merupakan alat yang bermanfaat untuk melakukan

penilaian. Auditor menilai risiko pengendalian bagi setiap tujuan untuk penjualan Hillsburg
dengan mereview setiap kolom guna mencari pengendalian yang berkaitan dan defisiensi
yang signifikan.

Sebelum melakukan penilaian final pada akhir audit terpadu, auditor akan menguji
pengendalian dan melaksanakan pengujian substantif atas rinciannya. Prosedur ini dapat
mendukung penilaian pendahuluan atau menyebabkan auditor melakukan perubahan.

Komunikasi dengan Pohak yang Memikul Tanggung Jawab Tata Kelola

Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang material
secara tertulis kepada pihak yang memikul tanggung jawab taat kelola begitu auditor
mengetahui keberadaanya. Komunikasi ini biasanya ditujukan kepada kompite audit dan
manajemen. Komunikasi yang tepat wajtu dapat memberi manajemen kesempatan untuk
menangani defisiensi pengendalian sebelum laporan manajemen mengenai pengendalian
internal harus dikeluarkan.

Surat Manajemen
Auditor sering kali mengidentifikasi hal yang berkaitan dengan pengendalian internal
yang tidak penting, serta kesempatan bagi klien untuk memperbaiki operasi. Hal tersebut juga
harus dikomunikasikan kepada klien. Bentuk komunikasi sering kali berupa surat terpisah
untuk tujuan itu yang disebut surat manajemen.

PENGUJIAN PENGENDALIAN
Penilaian risiko pengendalian mengharuskan auditor mempertimbangkan perancangan
dan pelaksanaan pengendalian untuk mengevaluasi apakah pengendalian itu efektif dalam
memenuhi tujuan audit yang terkait. Prosedur untuk menguji efektivitas pengendalian dalam
mendukung penilaian risiko pengendalian yang lebih rendah disebut pengujian pengendalian.

13 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
 Jika hasil pengujian pengendalian mendukung perancangan dan pelaksanaan,
pengendalian seperti yang diharapkan, auditor akan menggunakan penilaian risiko
pengendalian yang sama dengan penilaian pendahuluan. Akan tetapi jika pengujian
pengendalian itu menunjukkan bahwa pengendalian tidak berjalan efektif, penilaian risiko
pengendalian harus dipertimbangkan kembali.

Auditor mungkin menggunakan empat jenis prosedur untuk mendukung keefektifan

pelaksanaan pengendalian internal. Keempat jenis prosedur itu adalah

1. Mengajukan pertanyaan kepada personil klien yang tepat. Walaupun pengajuan

pertanyaan bukan merupakan sumber bukti yang handal tentang pelaksanaan
pengendalian yang efektif, prosedur ini masih sesuai.
2. Memeriksa dokumen , catatan, dan laporan. Banyak pengendalian yang meninggalkan
jejak yang jelas berupa bukti dokumenter yang dapat digunakan untuk menguji
pengendalian
3. Mengamati aktivitas yang terkait dengan pengendalian. Beberapa pengendalian tidak
meninggalkan jejak bukti yang berarti di kemudian hari tidak mungkin memeriksa
bukti bahwa pengendalian itu telah dilaksanakan
4. Melaksanakan kembali prosedur klien. Ada aktivitas yang terkait dengan
pengendalian yang memiliki dokumen dan catata, tetapi isinya tidak mencukupi untuk
mengakomodasi tujuan auditor menilai apakah pengendalian telah berjalan secara
efektif.

Mengandalkan Bukti dari Audit Tahun Sebelumya

Apabila auditor berencana menggunakan bukti tentang efektivitas pelaksanaan
pengendalian internal yang diperoleh audit terdahulu, SAS 110 mengharuskan auditor untuk
menguji keefektifan pengendalian itu paling sedikit tiga tahun sekali.

Menguji Pengendalian yang Berhubungan dengan Risiko yang Signifikan

Risiko yang signifikan adalah risiko yang diyakini auditor membutuhkan
pertimbangan audit khusus. Apabila prosedur penilaian dilakukan auditor mengidentifikasi
risiko yang signifikan, auditor diharuskan mengji efektivitas pelaksanaan pengendalian yang
mengurangi risiko tersebut.

Menguji Kurang dari Seluruh Periode Audit

PCAOB Standard 2 mengharuskan auditor melaksanakan pengujian pengendalian
yang memadai untuk menentukan apakan pengendalian itu telah berjalan efektif pada akhir
tahun. Karena itu, waktu pelaksanaan pengujian pengendalian oleh audtior akan tergantung
pada sifat pengendalian dan kapan perusahaan menggunakannya. Ada dua perbedaan utama
dalam meneraokan prosedur umum :

1. Untuk memahami pengendalian internal, prosedur untuk memperoleh pemahaman

yang harus diterapkan pada semua pengendalian yang terindetifikasi.

14 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
 2. Prosedur untuk memperoleh pemahaman yang dilakukan pada satu atau beberapa
transaksi dalam kasus obesrvasi pada satu titik waktu.

MEMUTUSKAN RISIKO DETEKSI YANG DIRENCANAKAN DAN

MERANCANG PENGUJIAN SUBSTANTIF
Auditor menggunakan penilaian risiko pengendalian dan hasil pengendalian untuk
menentukan risiko deteksi yang direncanakan serta pengujian substantif terkait untuk audit
atas laporan keuangan. Tingkat risiko deteksi yang tepat untuk setiap tujuan audit yang
berhubungan dengan saldo kemudian diputuskan dengan menggunakan model risiko audit.

PELAPORAN PENGENDALIAN INTERNAL MENURUT SECTION 404

Laporan audit mengenai pengendalian internal harus mencakup dua pendapat auditor :

1. Pendapat auditor mengenai apakah penilaian manajemen terhadap keefektifan

pengendalian internal atas pelaporan keuangan per akhir periode fiskal telah
dinyatakan secara wajar.
2. Pendapat auditor mengenai apakah perusahaan telah menyelenggarakan dalam semua
hal yang material, pengendalian internal yang efektif atas pelaporan keuangan per
tanggal yang disebutkan.

Pendapatan Wajar Tanpa Pengecualian

Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai
pengendalian internal atas pelaporan keuangan apabila dua kondisi berikut berlaku :

 Tidak ada kelemaham material yang teridentifikasi

 Tidak ada pembatasan atas ruang lingkup pekerjaan auditor

Pendapat Tidak Wajar

Bila ada kelemahan yang material auditor harus menyatakan pendapat yang tidak
wajar mengenai efetivitas pengendalian interl. Penyebab umumnya pendapat tidak wajar
mengenai pengendalian yaitu apabila manajemen mengidentifikasi suatu kelemahan yang
material dalam laporannya.

Pendapat Wajar dengan Pengecualian atau Menolak Memberikan Pendapat

Pembatasan ruang lingkup mengharuskan auditor untuk menyatakan pendapat wajar
dengan pengecualian atau menolak memberikan pendapat mengenai pengendalian internal
atas pelaporan keuangan.

15 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
MENGEVALUASI, MELAPORKAN, DAN MENGUJI PENGENDALIAN
INTERNAL UNTUK PERUSAHAAN NONPUBLIK
Bagian berikut akan mengidentifikasi dan membahas perbedaan paling penting dalam
mengevaluasi, melaporkan, dan menguji pengendalian internal untuk perusahaan nonpublik :

1. Persyaratan pelaporan. Audit diharuskan oleh standar auditing SAS 112 untuk
mengeluarkan laporan tertulis mengenai defini yang signifikan dan kelemahan yang
material dalam pengendalian internal kepada pihak yang bertanggung jawab.
2. Luas pengendalian internal yang disyaratkan. Manajemen, dan bukan auditor yang
bertanggung jawab untuk menetapkan pengendalian internal yang memadai dalam
perusahaan nonpublik, persis seperti manajemen untuk perusahaan publik. Ukuran
perusahaan memiliki dampak yang signifikan terhadap sifat pengendalian internal dan
pengendalian khusus yang dimplementasikan. Jadi jelas lebih sulit menetapkan
pemisahan tugas yang memadai dalam perusahaan yang berukuran kecil. Juga tidak
masuk akal mengharapkan perusahaan kecil memiliki audior internal.
3. Luas pemahaman yang diperlukan. Standar auditing mengharuskan auditor memiliki
pemahaman yang mencukupi tentang pengendalian internal untuk menilai risiko
pengendalian. Dalam praktik, prosedur untuk mendapatkan pemahaman pengendalian
sangat bervariasi dari klien ke klien. Jika audior berfikir sikap manajemen tidak
memadai untuk mendukung kompone pengendalian, auditor akan menilai risiko
pengendalian pada tingkat maksimum
4. Menilai risiko pengendalian. Perbedaan paling penting dalam menilai risiko
pengendaoan perusahaan nonpublik adalah penilaian risiko pengendalian pada tingkat
maksimum untuk tujuan yang berkaitan dengan pengendalian apabila pengendalian
internal untuk tujuan itu tidak ada atau tidak efektif.
5. Luas pengujian pengendalian yang diperlukan. Auditor tidak akan melakukan
pengujian pengendalian apabila menilai risiko pengendalian pada tingkat maksimum
akubat tidak memadainya pengendalian. Apabila risiko pengendalian dan prosedur
substantif untuk memperoleh kepastian yang layak bahwa laporan keuangan tidak
dinayatakn secara wajar.

Gambar perbedaan lingkup pengendalian yang diuji dalam audit pengendalian internal
dan audit laporan keuangan
Pengendalian internal atas
pelaporan keuangan

Pengendalian Internal yang digunakan untuk

menilai risiko pengendalian di bawah maksimum

16 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”

Pengendalian yang harus diuji dalam audit atas Pengendalian yang harus diuji dalam audit atas
pengendalian internal laporan keuangan
17 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”
 DAFTAR PUSTAKA

A.Arens Alvin, J. Elder Rancal, S. Beasley Mark. Auditing dan Jasa Assurance. Edition twelfth.
Indonesia : Erlangga.

18 | B A B 1 0 ” A U D I T I N G D A N J A S A A S S U R A N C E ”