AUDIT DAN PENGENDALIAN INTERNAL

 Mengetahui perbedaan antara jasa pengesahan dan jasa konsultasi serta mampu
menjelaskan hubungan keduanya
 Memhami struktur audit dan memiliki pemahaman yang kuat tentang elemen konseptual
proses audit
 Memahami kategori pengendalian internal yang disajikan dalam kerangka COSO
 Memahami ciri-ciri utama pasal 302 dan 404 UU Sarbanes Oxley
 Memahami hubunga antara pengendalian umum, pengendalian aplikasi dan keuangan
integritas
Tinjauan umum tentang audit
Organisasi bisnis menjalani berbagai jenis audit untuk tujuan yang berbeda yang paling
umum adalah audit eksternal ( keuangan), audit interna, dan audit kecurangan.
Audit Eksternal(Keuangan)
Audit eksternal adalah pengesahan independen yang dilakukan oleh seorang ahli
auditor yang menyatakan pendapat mengenai penyajian laporan keuangan. Tugas ini yang
dikenal sebagai jasa pengesahan, dilakukan (certified public accounting /CPA) yang bekerja
untuk kantor akuntan publik yang independen dari organisasi klien yang diaudit. Tujuan audit
selalu dikaitkan dengan memastikan penyajian laporan keuanga yang wajar. Oleh karena itu ,
audit ini sering disebut sebagai audit keuangan. CPA yang melakukan audit tersebut mewakili
kepentingan pihak luar: pemegang saham, kreditor, lembaga pemerintah dan masyarakat
umum.
Peran CPA dalam konsepnya mirip dengan seorang hakim yang mengumpulkan dan
mengevaluasi bukti dan memberikan pendapat. Konsep kunci dalam proses ini adalah
independensi. Auditor eksternal harus megngkuti aturan yang ketat dalam melakukan audit
keuangan. Aturan-aturan otoritatif ini telah ditetapkan oleh SEC, Dewan standar akuntansi
keuangan (FASB), AICPA, dan hukum federal ( Sarbanes Oxley (SOX) act of 2002). Dengan
disahkannya SOX kongres membentuk dewan pengawas akuntansi perusahaan publik
(PCAOB) yang sebagian besar telah menggantikan fungsi yang dijalankan oleh FASB dan
beberapa fungsi dari AICPA.
Layanan Pengesahan versus layanan penasehat
Persayaratan berikut ini berlaku untuk layanan penegesahan :
 Layanan pengesahan memerlukan pernyataan tertulis dan laporan tertulis dari praktiisi
 Layanan pengesahan memerlukan penetapan kriterian pengukuran formal atau
deskripsi mereka dalam presentasi
  Tingkat layanan dalam perikatan atestasi terbatas pada pemeriksaan, peninjauan, dann
penerapan prosedur yang telah disepakati.
Jasa konsultasi adalah jasa profesional yang ditawarkan oleh kantor akuntan publik untuk
meningkatkan efisiensi dan efektivitas operasional organisasi mereka. Domain jasa konsultasi
sengaja dibuat tidak terbatas agar tidak menghambaat pertumbuhan jasa-jasa lain yang saat ini
tidak terduga. Sebagai contoh, jasa konsultasi meliputi saran aktuaria, saran bisnis, jasa
investigasi kecurangam, desain dan implementasi sistem informasi, dan penilain pengendalian
internal untuk kepatuhan terhadap SOX.
Internal Audits
Institute of internal auditors mendefinisikan audit internal sebagai fungsi audit independen yang
dibentuk di dalam suatu organisasi untuk memeriksa dan mengevaluasi kegiatannya sebagai
layanan kepada organisasi. Auditor internal melakukan berbagai kegiatan atas nama
organisasi, termasuk melakukan audit keuangan, memeriksa kepatuhan terhadap kebijakan
organisasi, meninjau kepatuhan organisasi terhadap kewajiban hukum, mengevaluasi efisiensi
operasional, dan mendeteksi dan mengejar kecurangan dalam perusahaan.
External versus inernal auditors
Karakteristik yang secara konseptual membedakan auditor eksternal dengan auditor internal
adalah konsitituen masing-masing: sementara auditor eksternal mewakili pihak luar, auditor
internal mewakili kepentingan organisasi. Namun demikian, dalam kapasitasnya, auditor inernal
sering kali bekerja sama membantu auditor eksternal dalam melakukan aspek- aspek audit
keuangan.
Fraud audits
Audit ini telah menjadi terkenal karena lingkungan perusahaan dimana pencurian aset oleh
karyawan dan kecurangan keuangan yang dilakukan oleh manajemen( misalnya, Enron,
WorldCom dll) telah merajalela. Tujuan dari fraud audit adalah untuk menemukan anomali dan
mengumpulkan bukti-bukti kecurangan yang dapat mengarah pada hukuman pidana.
THE ROLE OF THE AUDIT COMMITTEE
Dewan direksi perusahaan publik membentuk sub komite yang dikenal sebagai komite audit,
yang memiliki tanggung jawab khusus terkait audit. Komite ini biasanya terdiri dari tiga orang
yang merupakan orang luar, dengan munculnya Sarbanex Oxley act, setidaknya satu anggota
komite audit haruslah soeang ahli keuangan. Komite audit berfungsi sebagai chek dan balance
independen untuk fungsi audit internal dan penghubung dengan auditor eksternal. Salah satu
perubahan yang sangat signifikan yang dberlakukan oleh SOX adalah hubungan antara
manajemen dan auditor eksternal. Sebelum SOX, auditor eksternal dipekerjakan dan dipecat
oleh manajemen. SOX mengamanatkan bahwa auditor eksternal sekarang melapor kepada
komite audit yang mempekerjakan dan memecat auditor dan menyelesaikan perselisihan. Agar
efektif, komite audit harus bersedia untuk menantang auditor internal ( atau entitas yang
menjalankan fungsi tersebut) dan juga manajemen, jika diperlukan, salah satu perannya adalah
mencari cara untuk mengidentifikasi risiko.
KOMPONEN AUDIT KEUANGAN
Laporan auditor menayatakan pendapat tentang apakah laporan keuangan telah sesuai dnegan
prinsip-prinsip akuntansi yang berlaku umum (GAAP), para pemakai laporan keuangan
eksternal diasumsikan mengendalkan pendapat auditor tentang keandalan laporan keuangan
dalam pengambilan keputusan.
Standar audit
Standar auditing dibagi menjadi tiga: standar kualifikasi umum, standar pekerjaan lapangan,
dan standar pelaporan. GAAS menetapkan kerangka kerja untuk mengatur kinerja auditor,
tetapi tidak cukup rinci untuk memberikan panduan yang berarti dalam situasi. Untuk
memberikan panduan yang spesifik, america institue of certified public accountans (AICPA)
menerbitkan statements on auditing standars (SAS) sebagai interpretasi otoritatif dari GAAS.
SAS pertama (SAS 1) diterbitkan oleh AICPA pada tahun 1972. Sejak saat itu banyak SAS
yang yelah diterbitkan untuk memberikan panduan kepada auditor mengenai berbagai topik,
termasuk metode untuk menyelidiki klien baru, prosedur untuk audit keuangan.
Berikut standar audit yang berlaku umum
 Standar umum:
1. Auditor harus memiliki pelatihan teknis dan kemahiran yang memadai.
2. Auditor harus memiliki indepedensi sikap mental
3. Auditor harus menggunakan kecermatan profesional dalam pelaksanaan dan penyusunan
laporan .
 Standar kerja lapangan:
1. pekerjaan audit harus direncanakan secara memadai
2. auditor harus memperoleh pemahaman yang memadai atas struktur pengendalian internal
3. auditor harus mendapatkan bukti yang cukup dan kompeten.
 Standar pelaporan :
1. auditor harus menyatakn dalam laporannya apakah keuangan disusun sesuai dengan prinisip
akuntansi yang berlaku umum
2. laporan tersebut harus mengidentifikasi keadaan-keadaan dimana prisnsip-prinsip akuntansi
yang berlaku umum tidak diterapkan
3. laporan harus mengidentifikasi setiap item yang tidak memiliki pengungkapan informatif yang
memadai
4. laporan tersebut harus memuat pernyataan pendapat auditor atas laporan keungan secara
keseluruhan.
Sebuah proses yang sistematis
Melakukan audit adalah proses yang sistematis dan logis yang berlaku untuk semua bentuk
sistem informasi. Meskipun penting dalam semua pengaturan audit, pendekatan sistematis
sangat penting dalam lingkungan TI. Kurangnya prosedur fiisk yang dapat diverifikasi dan
dievaluasi secara visual memberikan tingkat kerumitan yang tinggi dalam TI ( misalnya, jejak
audit mugkin murni elektronik, dalam digital dan dengan demikian tidak terlihat oleh mereka
mencoba memverifikasinya).
Asersi manajemen dan tujuan audit
Laporan keuangan organisasi mencermikan seperangkat asersi manajemen tentang kesehatan
keuangan entitas. Tugas auditor adalah untuk menentukan apakah laporan keuangan telah
disajikan secara wajar. Untuk mencapai tujuan ini, auditor menetapkan tujuan audit, merancang
prosedur, dan mengumpulkan bukti yang mendukung atau menolak asersi manajemen. Asersi
ini terbagi dalam lima kategori umum:
1. Asersi keberadaan atau kejadian menegaskan bahwa semua aset dan ekuitas yang
terdapat dalam neraca ada semua transaksi dalam laporan laba rugi benar-benar terjadi.
2. Asersi kelengkapan menyatakan bahwa tidak ada aset, ekuitas, atau transaksi yang
material yang dihilangkan dari laporan keuangan.
3. Penegasan hak dan kewajiban menyatakan bahwa aset yang muncul di neraca adalah
milik entitas dan liabilitas yang dilaporkan adalah kewajiban.
4. Asersi penilaian atau lokasi menyatakan bahwa aset dan ekuitas dinilai sesuai dengan
GAAP dan jumlah yang dialokasikan seperti beban penyusutan dihitung dengan dasar
yang sistematis dan rasional.
5. Asersi penyajian dan pengungkapan menyatakan bahwa pos-pos laporan keuangan
telah diklasifikasikan dengan benar(misalnya, liabilitas jangka panjang tidak akan jatuh
tempo dalam waktu satu tahun) dan pengungkapan catatan kaki telah memadai
sehingga tidak menyesatkan para pengguna laporan keuangan.
Memperoleh bukti
Auditor mencari bukti menguatkan asersi manajemen. Dalam lingkungan TI, proses ini
melibatkan pengumpulan bukti yang berkaitan dengan keandalan pengendalian komputer serta
isi basis data yang telah diproses oleh program komputer. Bukti dikumpulkan dengan
melakukan pengujian pengendalian, yang menetapkan apakah pengendalian internal berfungsi
dengan baik, dan pengujian substantif, yang menentukan apakah basis data akuntansi secara
wajar mencerminkan transaksi dan saldo akun organisasi.
Memastikan materialitas
Auditor harus menentukan apakah kelemahan dalam pengendalian internal dan salah saji yang
ditermukan dalam transaksi dan saldo akun adalah material. Tujuan audit dan prosedur audit
berdasarkan asersi manajemen.
Mengkomunikasikan hasil
Auditor harus mengkomunikasikan hasil pengujian mereka kepada yang berkepentingan.
Auditor independen memberikan laporan kepada komite audit dewan direksi atau pemegang
saham perusahaan. Laporan audit berisi, antara lain ,opini audit. Opini ini didistribusikan
bersama dengan laporan keuangan kepada pihak- pihak yang berkepentingan baik internal
maupun eksternal organisasi. Auditor TI sering mengkomunikasikan temuan mereka kepada
auditor internal, yang kemudian dapat mengintegrasikan temuan- temuan ini dengan aspek-
aspek non TI dari audit.
RISIKO AUDIT
Risiko audit adalah probabilitas bahwa auditor akan memberikan opini wajar tanpa
pengecualian(bersih) atas laporan keuangan yang pada kenyataannya salah saji material.
Salah saji material dapat disebabkan oleh kekeliruan atau ketidakberesan atau keduanya.
Kesalahan adalah kesalahan yang tidak disengaja. Ketidakwajaran adalah salah saji yang
disengaja yang terkait dengan tindak kecurangan seperti penyalahgunaan aset fisik atau
penipuan terhadap pengguna laporan keuangan.
Komponen riisko audit
Tujuan auditor adalah untuk mencapai tingkat risiko audit yang dapat diterima oleh auditor.
Risiko audit yang dapat diterima diestimasi berdasarkan nilai dari komponen-komponen
tersebut adalah risiko bawaan,risiko pengendalian dan risiko deteksi.
PENGENDALIAN INTERNAL
Sejarah singkat perundang-undangan pengendalian internal
Undang-Undang SEC tahun 1933 dan 1934
Setelah kejatuhan pasar saham pada tahun 1929, dan penipuan keuangan di seluruh dunia
oleh Ivar Kruegar, badan legislatif AS mengesahkan dua undang-undang untuk memulihkan
kepercayaan di pasar modal. Yang pertama adalah Securities Act of 1933, yang memiliki dua
tujuan utama: (1) mengharuskan investor menerima informasi keuangan dan informasi penting
lainnya terkait sekuritas yang ditawarkan untuk dijual kepada publik; dan (2) melarang
penipuan, penggambaran yang keliru, dan kecurangan lainnya dalam penjualan sekuritas.
Undang-undang kedua, Securities Exchange Act, 1934, membentuk Securities and Exchange
Commission (SEC) dan memberinya wewenang yang luas atas semua aspek industri sekuritas,
termasuk wewenang mengenai standar audit. Undang-undang SEC juga mewajibkan
perusahaan-perusahaan yang diperdagangkan secara publik untuk diaudit oleh auditor
independen (yaitu CPA). Tetapi juga mewajibkan semua perusahaan yang melapor ke SEC
untuk memelihara sistem pengendalian internal yang dievaluasi sebagai bagian dari audit
eksternal tahunan. Bagian dari Undang-Undang tersebut telah ditegakkan dalam beberapa
kesempatan. Kelonggaran tersebut berubah dengan disahkannya Sarbanes-Oxley Act pada
bulan Juli 2002.
Undang-Undang Sarbanes-Oxley tahun 2002
Sebagai akibat dari beberapa penipuan keuangan besar (misalnya, Enron, Worldcom, Adelphia,
dll.) dan kerugian yang diderita oleh para pemegang saham, tekanan diberikan oleh Kongres
AS untuk melindungi masyarakat dari kejadian-kejadian seperti itu. Hal ini berujung pada
pengesahan Sarbanes-Oxley Act (SOX) pada tanggal 30 Juli 2002. Secara umum, undang-
undang ini mendukung upaya untuk meningkatkan kepercayaan publik terhadap pasar modal
dengan berupaya meningkatkan tata kelola perusahaan, pengendalian internal, dan kualitas
audit.
Secara khusus, SOX mewajibkan manajemen perusahaan publik untuk menerapkan
sistem pengendalian internal yang memadai atas proses pelaporan keuangan mereka. Hal ini
mencakup pengendalian atas sistem pemrosesan transaksi yang memasukkan data ke dalam
sistem pelaporan keuangan. Tanggung jawab manajemen untuk hal ini dikodifikasikan dalam
Bagian 302 dan 404 SOX. Bagian 302 mengharuskan manajemen perusahaan (termasuk CEO)
untuk mengesahkan pengendalian internal organisasi mereka setiap triwulan dan tahunan.
Bagian 302 juga memiliki implikasi yang signifikan bagi auditor.
Selain itu, Bagian 404 mewajibkan manajemen perusahaan publik untuk menilai efektivitas
pengendalian internal organisasi mereka. Hal ini mengharuskan penyediaan laporan tahunan
yang membahas hal-hal berikut ini:
1. Pahami alur transaksi, termasuk aspek TI, dengan cukup rinci untuk mengidentifikasi
titik-titik di mana salah saji dapat muncul.
2. Dengan menggunakan pendekatan berbasis risiko, menilai baik desain maupun
efektivitas operasional dari pengendalian internal yang dipilih terkait dengan akun- akun yang
material.
3. Menilai potensi kecurangan dalam sistem dan mengevaluasi kontrol yang dirancang
untuk mencegah atau mendeteksi kecurangan.
4. Mengevaluasi dan menyimpulkan kecukupan pengendalian atas proses penyajian
kembali laporan keuangan.
5. Mengevaluasi kontrol di seluruh entitas (umum) yang sesuai dengan komponen kerangka
kerja COSO.
Kerangka Kerja Pengendalian Internal Coso
Kerangka kerja COSO terdiri dari lima komponen: lingkungan pengendalian, penilaian risiko,
informasi dan komunikasi, pemantauan, dan aktivitas pengendalian.
Lingkungan Kontrol
Lingkungan pengendalian merupakan fondasi bagi empat komponen pengendalian lainnya.
Lingkungan pengendalian menentukan suasana organisasi dan mempengaruhi kesadaran
pengendalian manajemen dan karyawannya. Elemen-elemen penting dari lingkungan
pengendalian adalah:
• Integritas dan nilai-nilai etika manajemen.
• Struktur organisasi.
• Partisipasi dewan direksi dan komite audit organisasi, jika ada.
• Filosofi dan gaya operasi manajemen.
• Prosedur pendelegasian tanggung jawab dan wewenang.
• Metode manajemen untuk menilai kinerja.
• Pengaruh eksternal, seperti pemeriksaan oleh badan pengawas.
• Kebijakan dan praktik organisasi dalam mengelola sumber daya manusianya.
SAS 109 mengharuskan auditor memperoleh pengetahuan yang memadai untuk menilai sikap
dan kesadaran manajemen, dewan direksi, dan pemilik organisasi mengenai pengendalian
internal. Paragraf berikut ini memberikan contoh teknik yang dapat digunakan untuk
memperoleh pemahaman tentang lingkungan pengendalian.
Penilaian Risiko
Organisasi harus melakukan penilaian risiko untuk mengidentifikasi, menganalisis, dan
mengelola risiko yang berkaitan dengan pelaporan keuangan. Risiko dapat timbul atau berubah
dari keadaan seperti:
• Perubahan dalam lingkungan operasi yang menimbulkan tekanan persaingan baru atau
perubahan pada perusahaan.
• Personil baru yang memiliki pemahaman yang berbeda atau tidak memadai tentang
internal kontrol.
• Sistem informasi baru atau yang direkayasa ulang yang mempengaruhi pemrosesan
transaksi.
• Pertumbuhan yang signifikan dan cepat yang membebani pengendalian internal yang
ada.
• Penerapan teknologi baru ke dalam proses produksi atau informasi sistem yang
berdampak pada pemrosesan transaksi.
Informasi dan Komunikasi
Sistem informasi akuntansi terdiri dari catatan dan metode yang digunakan untuk memulai,
mengidentifikasi, menganalisis, mengklasifikasikan, dan mencatat transaksi organisasi dan
untuk memperhitungkan aset dan liabilitas yang terkait. Kualitas informasi yang dihasilkan oleh
sistem informasi akuntansi berdampak pada kemampuan manajemen untuk mengambil
tindakan dan membuat keputusan sehubungan dengan operasi organisasi dan untuk
menyiapkan laporan keuangan yang dapat diandalkan.
Pemantuan
Auditor internal organisasi dapat memantau aktivitas entitas dalam prosedur yang terpisah.
Mereka mengumpulkan bukti kecukupan pengendalian dengan menguji pengendalian dan
kemudian mengkomunikasikan kekuatan dan kelemahan pengendalian kepada manajemen.
Sebagai bagian dari proses ini, auditor internal membuat rekomendasi khusus untuk perbaikan
pengendalian.
Kegiatan Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang digunakan untuk
memastikan bahwa tindakan yang tepat telah diambil untuk menangani risiko yang telah
diidentifikasi oleh organisasi. Aktivitas pengendalian dapat dikelompokkan ke dalam dua
kategori yang berbeda: pengendalian fisik dan pengendalian teknologi informasi (TI).
IMPLIKASI AUDIT DARI SOX
Sebelum diberlakukannya SOX, auditor eksternal tidak diwajibkan untuk menguji
pengendalian internal sebagai bagian dari fungsi pengujian mereka. Mereka diharuskanuntuk
memahami pengendalian internal organisasi klien, tetapi memiliki pilihan untuk tidak bergantung
pada pengendalian internal tersebut dan dengan demikian tidak melakukan pengujian
pengendalian. Oleh karena itu, audit dapat, dan sering kali, terdiri dari pengujian substantif.
Undang-undang SOX secara dramatis memperluas peran auditor eksternal dengan
mengamanatkan bahwa mereka harus memberikan bukti atas kualitas pengendalian internal
organisasi klien mereka. Hal ini merupakan penerbitan opini audit terpisah atas pengendalian
internal selain opini atas kewajaran laporan keuangan. Standar untuk opini audit yang baru ini
cukup tinggi. Bahkan, auditor tidak diperkenankan untuk mengeluarkan opini wajar tanpa
pengecualian jika hanya terdeteksi satu kelemahan material dalam pengendalian internal.
Menariknya, auditor diizinkan untuk memberikan opini wajar dengan pengecualian atas
pengendalian internal dan opini wajar tanpa pengecualian atas laporan keuangan secara
bersamaan. Dengan kata lain, secara teknis auditor dapat menemukan bahwa pengendalian
internal atas pelaporan keuangan lemah, tetapi menyimpulkan melalui pengujian subjektif
bahwa kelemahan tersebut tidak menyebabkan laporan keuangan salah saji material.