Dosen Pengampu:
Dr. I Ketut Budiartha, S.E., M.Si., Ak., CPA.
Disusun oleh :
1. Ni Putu Ayu Dinda Upadani (2207531158)
2. Ni Made Widya Anggraeni (2207531161)
3. Kadek Gita Prilya Udayani (2207531163)
3
Materi penerapan pengendalian internal yang harus dipahami oleh auditor
meliputi hal-hal sebagai berikut:
1. Sifat Karakteristik Umum Pengendalian Internal
Hal pertama yang harus dipahami auditor adalah tujuan pengendalian
internal. Sebagaimana telah ditunjukkan dalam definisi pengendalian
internal di atas, pengendalian internal dirancang, dimplementasikan, dan
dipelihara untuk merespons risiko bisnis yang teridentifikasi yang
mengancam pencapaian tujuan entitas yang berkaitan dengan:
o Keandalan pelaporan keuangan entitas;
o Efektivitas dan efisiensi operasi entitas; dan
o Kepatuhan entitas terhadap peraturan perundang-undangan
yang berlaku.
2. Pengendalian yang Relevan dengan Audit
Terdapat hubungan langsung antara tujuan entitas dengan pengendalian
yang dimplementasikan oleh entitas untuk menyediakan keyakinan perlu
dipertimbangkan.
3. Sifat dan Luas Pemahaman atas Pengendalian Relevan
Pengevaluasian atas rancangan suatu pengendalian melibatkan
pertimbangan atas apakah pengendalian tersebut baik secara individu
maupun bersama dengan pengendalian lain, dapat secara efektif mencegah,
atau mendeteksi dan mengoreksi, kesalahan penyajian material.
1.3 Komponen-Komponen Pengendalian Internal
Untuk tujuan standar audit, pembagian pengendalian internal ke dalam lima
komponen di bawah ini menyediakan suatu kerangka bermanfaat bagi auditor untuk
mempertimbangkan bagaimana berbagai aspek pengendalian internal yang
memengaruhi audit (SA 315. A51):
1. LINGKUNGAN PENGENDALIAN
Lingkungan pengendalian mencakup fungsi tata kelola dan manajemen,
serta sikap, kesadaran, dan tindakan pihak yang bertanggungjawab atas tata
kelola dan manajemen atas pengendalian internal entitas dan pentingnya
pengendaian tersebut dalam entitas. Lingkungan pengendalian menetapkan arah
organisasi yang memengaruhi kesadaran pengendalian personel organisasi
tersebut. Esensi dari suatu organisasi pengendalian yang efektif terletak pada
perilaku manajemennya.
4
2. PROSES PENILAIAN RISIKO ENTITAS
Penilaian risiko untuk pelaporan keuangan adalah identifik analisis
risiko yang dilakukan manajemen berkaitan dengan penyusunan laporan
keuangan yang sesuai dengan kerangka pelaporan keuangan entitas yang
berlaku. Proses penilaian risiko entitas membentuk suatu basis bagi manajemen
untuk menentukan bagaimana risiko dikelola. Ketepatan atas penilaian proses
penilaian risiko entitas dengan kondisinya ditentukan oleh
pertimbangan auditor.
3. SISTEM INFORMASI, TERMASUK PROSES BISNIS TERKAIT,
PELAPORAN KEUANGAN YANG RELEVAN, DAN KOMUNIKASI
Suatu sistem informasi terdiri dari infrastruktur (komponen fisik dan
perangkat keras), perangkat lunak, orang, prosedur, dan data. Sistem informasi
menggunakan teknologi informasi secara ekstensif. Sistem informasi yang
relevan dengan tujuan pelaporan keuangan mencakup sistem pelaporan
keuangan, mencakup metoda dan catatan yang:
• Mengidentifikasi dan mencatat seluruh transaksi yang valid.
• Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk
memungkinkan klasifikasi transaksi yang tepat untuk pelaporan keuangan.
• Mengukur nilai transaksi dengan suatu cara yang memungkinkan catatan
nilai moneter transaksi tersebut secara tepat laporan keuangan.
• Menentukan periode terjadinya transaksi yang memungkinkan pencatatan
transaksi tersebut dalam periode akuntansi yang tepat.
4. AKTIVITAS PENGENDALIAN
Aktivitas pengendalian adalah kebijakan dan prosedur, selain yang
tercakup dalam keempat komponen pengendalian yang lain, yang membantu
dalam memastikan bahwa tindakan yang diperlukan dilakukan untuk
menghadapi risiko guna tercapainya tujuan entitas. Banyak aktivias,
pengendalian yang secara potensial bisa dilakukan pada setiap entitas, baik yang
bersifat manual maupun terotomatisasi.
5. PEMANTAUAN TERHADAP PENGENDALIAN
Pemantauan pengendalian adalah suatu proses untuk menilai efektivitas
pelaksanaan pengendalian internal. Kegiatan ini melibatkan penilaian
efektivitas pengendalian secara berkala dan tepat waktu, serta melakukan
5
tindakan perbaikan yang diperlukan. Manajemen melakukan pemantauan
pengendalian melalui aktivitas yang sedang berlangsung, pengevaluasian secara
terpisah, atau kombinasi dari keduanya. Aktivitas pengendalian yang sedang
berlangsung sering dibangun dalam aktivitas berulang normal entitas dan
mencakup aktivitas pengelolaan dan pengawasan reguler.
1.4 Mendapatkan dan Mendokumentasikan Pemahaman tentang Pengendalian
Internal
Sebagai bagian dari prosedur penilaian risiko pengendalian, auditor
menggunakan prosedur untuk mendapatkan pemahaman, yang meliputi pengumpulan
bukti tentang rancangan pengendalian internal dan apakah rancangan tersebut telah
diimplementasikan. Sebagaimana disebutkan dalam SA 315.13: Pada waktu
memperoleh pemahaman tentang pengendalian yang relevan dengan audit, auditor
harus mengevaluasi rancangan pengendalian dan menentukan apakah pengendalian
tersebut telah diimplementasikan, dengan melaksanakan prosedur sebagai tambahan
terhadap permintaan keterangan dari personel entitas.
Auditor biasanya menggunakan empat dari delapan jenis bukti, yaitu:
dokumentasi, meminta keterangan dari personel entitas, mengobservasi bagaimana
pegawai entitas melaksanakan proses pengendalian, dan melakukan ulang
(reperformance) dengan cara menelusur satu atau sejumlah transaksi melalui sistem
akuntansi dari awal sampai akhir (SA 315. A67). Auditor biasanya menggunakan tiga
jenis dokumen untuk mendapatkan dan mendokumentasikan pemahamannya tentang
rancangan pengendalian internal, yaitu:
a. Naratif: adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada
entitas klien.
b. Bagan alir (flowcharts): suatu diagram dari dokumen-dokumen klien dan urutan
alirannya dalam organisasi.
c. Daftar pertanyaan pengendalian internal: menanyakan serangkaian pertanyaan
tentang pengendalian pada setiap bidang yang diaudit sebagai cara untuk
mengidentifikasi defisiensi pengendalian internal. Daftar pertanyaan kebanyakan
berbentuk jawaban "Ya" atau "Tidak".
Selain, harus mendapatkan pemahaman tentang rancangan pengendalian
internal , auditor juga harus mengevalusi apakah rancangan pengendalian internal telah
diterapkan. Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan
dan impelementasi pengendalian yang relevan dapat mencakup: (SA315.67)
6
a. Memutahirkan dan Mengevaluasi Pengalaman Masa Lalu Auditor dengan Klien
(Entitas)
b. Meminta Keterangan dari Personel Entitas
c. Menginspeksi Dokumen dan Laporan
d. Menelusuri Transaksi Melalui Sistem Informasi yang Relevan dengan Pelaporan
Keuangan
Dalam mengikuti penelusuran jejak (walkthrough) suatu transaksi, auditor
memilih satu atau beberapa dokumen dari suatu jenis transaksi dan menelusurnya sejak
dari awal terjadinya transaksi sampai selesainya proses akuntansi.
Auditor mendapatkan pemahaman tentang rancangan dan penerapan
pengendalian internal agar dapat melakukan penilaian awal risiko pengendalian sebagai
bagian dari penilaian menyeluruh risiko kesalahan penyajian material.
a. Menetapkan Apakah Laporan Keuangan Bisa Diaudit Atau Tidak. Ada dua faktor yang
mempengaruhi apakah laporan keuangan bisa diaudit atau tidak (auditabilitas) yaitu:
integritas manajemen dan kecukupan catatan akuntansi.
b. Menetapkan Risiko Pengendalian dengan Didukung Oleh Pemahaman yang Diperoleh.
Setelah mendapat pemahaman tentang pengendalian internal, auditor melakukan
penilaian awal risiko pengendalian sebagai bagian dari penilaian menyeluruh risiko
kesalahan penyajian material.
c. Menggunakan Matrix Risiko Pengendalian Untuk Menetapkan Risiko Pengendalian.
d. Mengidentifikasi Defisiensi, Defisiensi Signifikan, dan Kelemahan Material
e. Pengomunikasian Kepada Pihak yang Bersangkutan dengan Tata Kelola dan Kepada
Manajemen.
3. Pengujian Pengendalian
Dengan telah diperolehnya pemahaman tentang pengendalian internal entitas sebagai
bagian dari proses penilaian risiko, auditor telah dapat membuat penilaian awal risiko
pengendalian. Hasil penilaian risiko harus direspons oleh auditor baik pada tingkat laporan
keuangan maupun pada tingkat asersi. Sehubungan dengan hal ini Standar Audit (SA
330.6) menetapkan sebagai berikut: “Auditor harus merancang dan mengimplementasikan
prosedur audit lebih lanjut yang sifat, saat, dan luasnya didasarkan pada dan merupakan
respons terhadap kesalahan penyajian material yang telah dinilai pada tingkat asersi".
Berikut adalah bagaimana auditor menguji pengendalian tersebut yang akan digunakan
untuk mendukung suatu penilaian risiko pengendalian:
3.1 Perancangan dan Pelaksanaan Pengujian Pengendalian
Penilaian risiko pengendalian harus dilakukan auditor dengan
mempertimbangkan baik rancangan maupun pelaksanaan (pengoperasian)
pengendalian untuk menilai apakah pengendalian tersebut bisa efektif di dalam
memenuhi tujuan audit tertentu. Selama dalam tahap pemahaman, auditor telah
8
mengumpulkan bukti untuk mendukung baik rancangan maupun penerapannya dengan
menggunakan prosedur-prosedur untuk mendapatkan pemahaman. Oleh karena itu
auditor harus mencari bukti tambahan mengenai efektifitas pengendalian sepanjang
periode yang diaudit melalui pengujian pengendallan yaitu: "Suatu prosedur audit yang
dirancang untuk mengevaluasi efektivitas operasi pengendalian dalam mencegah, atau
mendeteksi dan mengoreksi, kesalahan penyajian material pada tingkat asersi" (SA
330.4 (b)).
Auditor harus merancang dan melaksanakan pengujian pengendalian untuk
memperoleh bukti audit yang cukup dan tepat terhadap efektivitas operasi
pengendalian yang relevan jika:
a) Penilaian auditor terhadap risiko kesalahan penyajian material pada tingkat asersi
mencakup suatu harapan bahwa pengendalian beroperasi secara efektif.
b) Pengujian atas pengendalian dilaksanakan hanya untuk pengendalian yang auditor
yakini tepat dirancang untuk mencegah, atau mendeteksi, dan mengoreksi
kesalahan penyajian material atas suatu asersi. Jika terdapat pengendalian yang
sangat berbeda yang digunakan pada waktu yang berbeda selama periode audit,
maka setiap pengendalian tersebut dianggap sebagai hal yang terpisah.
3.2 Prosedur-Prosedur Pengujian Pengendalian
Prosedur penilaian risiko untuk memperoleh bukti audit tentang dan
implementasi pengendalian yang relevan dapat mencakup:
1. Meminta keterangan dari personel entitas yang sesuai. Meskipun pengajuan
pertanyaan bukanlah sumber bukti yang memiliki tingkat kepercayaan yang tinggi
tentang efektivitas pengendalian internal, namun prosedur ini masih bisa
digunakan.
2. Menginspeksi dokumen, dan laporan. Sebagai contoh, apabila pesanan dari
pembeli telah diterima, dokumen pesanan tersebut digunakan sebagai dasar untuk
membuat perintah penjualan apabila telah mendapat persetujuan kredit.
Selanjutnya pesanan dari pembeli akan dilampirkan pada perintah penjualan untuk
diproses lebih lanjut.
3. Mengamati penerapan pengendalian tertentu. Sejumlah pengendalian tertentu tidak
meninggalkan jejak bukti, yang berarti tidak mungkin dilakukan pemeriksaan bukti
bahwa pengendalian telah dilaksanakan. Sebagai contoh, pemisahan tugas yang
harus terwujud dengan adanya orang tertentu yang melaksanakan tugas tertentu,
biasanya tidak disertai dokumen yang terpisah. Untuk pengendalian yang tidak
9
meninggalkan bukti dokumen, auditor biasanya melakukan pengamatan langsung
(observasi) penerapan pengendalian pada berbagai titik selama periode audit.
4. Melakukan pelaksanaan ulang prosedur klien. Ada pula aktivitas pengendalian
yang disertai dengan dokumen dan catatan, tetapi isinya tidak memadai untuk
tujuan auditor dalam menetapkan apakah pengendalian telah berjalan secara
efektif. Sebagai contoh misal harga faktur dalam penjualan diperoleh dari daftar
harga yang telah ditetapkan entitas, tetapi tidak ada indikasi bahwa pengendalian
didokumentasikan dalam faktur penjualan.
Permintaan keterangan saja tidak cukup untuk menguji efektivitas operasi
pengendalian. Oleh karena itu, permintaan keterangan yang dikombinasikan
dengan inspeksi, atau prosedur pelaksanaan ulang (reperformance) mungkin dapat
menghasilkan tingkat keyakinan yang lebih tinggi dibandingkan dengan
permintaan keterangan dan observasi, karena observasi hanya relevan pada waktu
tertentu pada saat observasi tersebut dilakukan.
3.3 Luas Pengujian Pengendalian
Luas pengujian pengendalian yang diterapkan tergantung pada penilaian awal
risiko pengendalian. Apabila auditor menghendaki penilaian risiko pengendalian yang
lebih rendah, diperlukan pengujian pengendalian yang lebih luas, baik dalam hal
jumlah pengendalian yang diuji maupun luas pengujian untuk setiap pengendalian.
Ketika dibutuhkan bukti audit yang lebih meyakinkan berkaitan dengan efektivitas
pengendalian, adalah semestinya dilakukan dengan menambah pengujian atas
pengendalian. Untuk meningkatkan keyakinan terhadap pengendalian, hal-hal yang
juga dapat dipertimbangkan oleh auditor dalam menentukan pengujian pengendalian
mencakup berikut ini (SA 330. A28):
• Frekuensi dilakukannya pengendalian oleh entitas selama periode tersebut.
• Lamanya waktu selama periode audit yang di dalamnya auditor dapat
mengandalkan efektivitas pengendalian operasi.
• Tingkat penyimpangan yang diharapkan dari suatu pengendalian.
• Relevansi dan keandalan bukti audit yang diperoleh yang berkaitan dengan
efektivitas operasi pengendalian tersebut pada tingkat asersi.
• Luasnya bukti audit yang diperoleh dari pengujian atas pengendalian lainnya
terhadap asersi.
3.4 Saat Pengujian Pengendalian
10
Ketika auditor bermaksud untuk mengandalkan pada pengendalian, auditor
harus menguji pengendalian tersebut untuk waktu tertentu, atau sepanjang periode
yang diaudit, tergantung pada situasi yang dihadapi seperti diuraikan di bawah ini.
Penggunaan Bukti Audit yang Diperoleh Selama Periode Interim
SA330.12 menetapkan sebagai berikut:
"Jika auditor memperoleh bukti audit tentang efektivitas operasi pengendalian selama
periode interim, auditor harus:
a) Memperoleh bukti audit tentang perubahan signifikan atas pengendalian tersebut
setelah tanggal periode interim tersebut; dan
b) Menentukan bukti audit tambahan yang harus diperoleh setelah periode interim
sampai dengan tanggal laporan posisi keuangan.
Faktor relevan dalam menentukan bukti audit tambahan apa yang diperoleh
tentang pengendalian yang dioperasikan selama periode sisa setelah suatu periode
interim mencakup:
• Signifikansi risiko yang ditentukan atas kesalahan penyajian • material pada
tingkat asersi.
• Pengendalian khusus yang telah diuji selama periode interim, dan perubahan
penting atas pengendalian tersebut sejak pengendalian tersebut diuji, termasuk
perubahan dalam sistem informasi, proses, dan karyawan.
• Tingkat bukti audit atas efektivitas operasi pengendalian tersebut diperoleh.
• Lamanya sisa periode.
• Luas prosedur substantif lebih lanjut yang auditor ingin kurangi berdasarkan
keyakinan auditor atas pengendalian.
• Lingkungan pengendalian.
11
Dalam menentukan tepat atau tidaknya untuk menggunakan bukti audit tentang
efektivitas operasi pengendalian yang diperoleh dalam audit sebelumnya, dan, jika
demikian, lamanya periode waktu yang mungkin telah berlalu sebelum pengujian ulang
suatu pengendalian, auditor harus mempertimbangkan hal-hal berikut:
a) Efektivitas unsur lain pengendalian Internal, termasuk lingkungan pengendalian,
pengawasan pengendalian oleh entitas, dan proses penilaian risiko oleh entitas;
b) Risiko yang timbul dari karakteristik pengendalian, termasuk apakah pengendalian
tersebut secara manual atau otomatis;
c) Efektivitas pengendalian umum atas teknologi informasi;
d) Efektivitas pengendalian dan penerapannya oleh entitas;
e) Dalam hal terdapat perubahan kondisi, apakah tidak adanya perubahan dalam suatu
pengendalian tertentu menimbulkan suatu risiko; dan
f) Risiko kesalahan penyajian material dan tingkat kepercayaan terhadap
pengendalian.
Jika auditor merencanakan untuk menggunakan bukti audit dari audit
sebelumnya yang berkaitan dengan efektivitas operasi pengendalian spesifik, auditor
harus membuat hubungan yang berkelanjutan atas bukti tersebut dengan memperoleh
bukti audit tentang apakah terdapat perubahan signifikan dalam pengendalian tersebut
setelah audit periode lalu. Auditor harus memperoleh bukti dengan meminta keterangan
yang dikombinasikan dengan pengamatan atau inspeksi, untuk menegaskan
pemahaman atas pengendalian spesifik tersebut;
a) Jika terdapat perubahan yang berdampak pada hubungan yang berkelanjutan atas
bukti audit dari audit periode lalu, auditor harus menguji pengendalian tersebut
dalam periode audit kini. Perubahan dapat memengaruhi bukti audit yang diperoleh
dalam audit sebelumnya seperti kemungkinan tidak lagi sebagai dasar untuk
diandalkan secara berkelanjutan.
b) Jika tidak terjadi perubahan seperti tersebut di atas, auditor harus menguji
pengendalian tersebut paling tidak sekall setiap tiga kali audit, dan harus menguji
beberapa pengendalian setiap kali audit untuk menghindari kemungkinan pengujian
atas semua pengendalian yang auditor ingin andalkan dalam suatu periode audit
tertentu tanpa menguji pengendalian tersebut di dua periode audit kemudian.
Keputusan auditor mengenai apakah akan mengandalkan pada bukti audit yang
diperoleh dari audit periode lalu untuk:
a) Pengendalian yang belum berubah sejak terakhir kali diuji;
12
b) Pengendalian yang bukan merupakan pengendalian yang menurunkan suatu risiko
signifikan;
Merupakan suatu pertimbangan profesional. Di samping itu jeda waktu untuk pengujian
kembali pengendalian tersebut disyaratkan oleh standar audit untuk dilakukan
sekurang-kurangnya sekali setiap kali audit seperti telah disebutkan di atas.
Secara umum, makin tinggi risiko kesalahan penyajian material, atau makin
besar kepercayaan yang diandalkan pada pengendalian, maka makin pendek jeda waktu
untuk pengujian kembali. Faktor yang dapat mengurangi periode pengujian kembali
pengendalian, atau mengakibat- kan tidak diandalkannya bukti audit yang diperoleh
dalam audit periode lalu, mencakup hal-hal berikut ini.
• Suatu defisiensi dalam lingkungan pengendalian. Defisiensi dalam pemantauan
pengendalian.
• Adanya unsur proses manual yang signifikan dalam pengendali- an relevan
tersebut.
• Pergantian karyawan yang berdampak signifikan terhadap aplikasi
pengendalian.
• Perubahan kondisi yang menunjukkan perlunya perubahan dalam pengendalian.
• Defisiensi dalam pengendalian umum teknologi informasi.
Pengendalian atas Risiko Signifikan
Jika auditor merencanakan untuk mengandalkan pengendalian terhadap suatu
risiko yang auditor telah tentukan sebagai risiko signifikan, auditor harus menguji
pengendalian tersebut dalam periode sekarang.
13
c) Risiko potensial kesalahan penyajian perlu direspons dengan menggunakan prosedur
substantif.
Apabila hasil pengujian pengendalian mendukung rancangan dan pelaksanaan
pengendalian sebagaimana diharapkan, maka auditor akan menggunakan penetapatan
risiko pengendalian yang sama sebagaimana ditetapkan di awal. Namun apabila pengujian
pengendalian menunjukkan bahwa pengendalian tidak berjalan dengan efektif, maka risiko
pengendalian yang telah ditetapkan harus dipertimbangkan kembali.
14
DAFTAR PUSTAKA
Al Haryono Jusup. 2014. Auditing (Pengauditan Berbasis ISA) Edisi II. Yogyakarta
: Sekolah Tinggi Ilmu Manajemen YPKN.
15