Adinda Rizka Marvella – 143221026

Pengauditan Berbasis Risiko I (N)

RMK TM 9
Understanding the Internal Control System

Internal Control Objectives

Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang dan diterapkan
oleh manajemen untuk mengurangi risiko dan memberikan keyakinan yang wajar bahwa
entitas dapat mencapai tujuan dan sasaran yang ditetapkan. Kebijakan adalah pernyataan
tentang apa yang seharusnya atau seharusnya tidak dilakukan dalam entitas untuk
mengendalikan situasi. Kebijakan dapat berupa pernyataan tertulis atau tersirat melalui
tindakan dan keputusan. Prosedur adalah langkah-langkah untuk melaksanakan kebijakan
tersebut.

Managements Responsibility For Internal Control

Manajemen harus menetapkan dan memelihara pengendalian internal entitas. Dalam kasus
perusahaan publik, manajemen diharuskan melaporkan secara publik tentang efektivitas
operasional pengendalian internal atas pelaporan keuangan. Perancangan dan implementasi
sistem pengendalian yang efektif atas pelaporan keuangan melibatkan pengendalian pada tiga
tingkat:
• Entitas
• Teknologi informasi
• Proses bisnis
Reasonable Assurance
Sebuah perusahaan seharusnya memiliki pengendalian internal yang memberikan keyakinan
yang wajar, tetapi tidak mutlak, tentang kebenaran laporan keuangan. Manajemen
mengembangkan pengendalian ini setelah mempertimbangkan biaya dan manfaatnya.
Inherent Limitations
Pengendalian internal tidak dapat dianggap sebagai benar-benar efektif, terlepas dari perhatian
yang diberikan dalam desain dan implementasinya. Ada keterbatasan inheren pada
pengendalian.
Management’s Reporting Responsibilities
Bagi perusahaan publik di Kanada, manajemen harus melaporkan secara publik tentang
keefektifan pengendalian internal. Kerangka kerja pengendalian internal yang umum
digunakan adalah Kerangka Kerja Pengendalian Internal dari Komite Organisasi Pendukung
Komisi Treadway (COSO).

Auditors Responsibilities For Internal Control

Relevant Controls
Relevant Controls dalam audit adalah yang terkait dengan keandalan pelaporan keuangan.
Kendali operasional biasanya tidak relevan, kecuali jika informasinya digunakan untuk
prosedur analitis atau diungkapkan dalam laporan keuangan.
Direct and Indirect Controls
Direct control adalah kendali yang cukup tepat untuk mengatasi Risiko Pernyataan Material
yang Salah (RMM) pada tingkat pernyataan. Kendali ini secara langsung mengatasi risiko
terhadap integritas informasi.
Indirect Control adalah kendali yang tidak cukup tepat untuk mencegah, mendeteksi, atau
mengoreksi pernyataan yang salah pada tingkat pernyataan, tetapi mendukung kendali
langsung dan, oleh karena itu, memiliki efek tidak langsung pada kemungkinan pernyataan
yang salah akan terdeteksi atau dicegah dalam waktu yang tepat.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
Understanding Controls and Identifying RMM
Hasil akhir pemahaman pengendalian internal adalah mengidentifikasi Risiko Pernyataan
Material yang Salah (RMM) pada tingkat laporan keuangan dan tingkat pernyataan. Tiga
komponen pertama pengendalian internal adalah dasar sistem pengendalian, dan kekurangan
dalam komponen ini dapat berdampak merata pada risiko laporan keuangan.

COSO Components Of Internal Control

Sistem pengendalian internal (CAS 315) meliputi lima komponen yang saling terkait:
• Lingkungan pengendalian
• Penilaian risiko
• Pemantauan
• Sistem informasi dan komunikasi
• Aktivitas pengendalian

Internal Contols Specific to Information Technology

General Controls
Adalah pengendalian internal yang berlaku untuk sistem informasi otomatis dan berhubungan
dengan lebih dari satu siklus transaksi atau kelompok akun.
IT Governance
Tata kelola TI adalah proses keseluruhan yang memastikan sumber daya informasi memenuhi
kebutuhan bisnis, dengan memperhatikan nilai, biaya, dan pengurangan risiko. Ini merupakan
bagian penting dari tata kelola perusahaan, dengan MIS dan CIO berperan sebagai mitra dalam
bisnis.
Separation of IT duties
Untuk mengatasi risiko kombinasi tanggung jawab tradisional dalam sistem informasi,
organisasi yang terkontrol dengan baik memisahkan tugas kunci dalam TI. Dua pemisahan
tugas penting dalam pengendalian umum adalah:
• Pemisahan pengembangan atau akuisisi sistem dan pemeliharaan dari akuntansi
• Pemisahan operasi komputer dari pemrograman dan akuntansi
System Development and Change
Organisasi perlu memilih aktivitas pengendalian terkait pengadaan dan implementasi
perangkat lunak baru, pengembangan sistem, dan pemeliharaan perangkat lunak yang ada serta
perubahan program.
Physical and Online Security
Manajemen keamanan mencakup pengendalian terhadap data, infrastruktur TI, dan operasi
sehari-hari. Ini mencakup pengendalian untuk akuisisi, implementasi, dan pemeliharaan
program. Pengendalian keamanan mencakup kontrol fisik dan akses online. Pemantauan dan
pengendalian fisik membatasi akses fisik ke perangkat keras dan mencegah penggunaan yang
tidak sah.
Hardware Control
Pengendalian perangkat keras adalah fitur yang terpasang pada peralatan komputer oleh
produsen untuk mendeteksi dan melaporkan kegagalan peralatan.

Application Controls
• Pengendalian Aplikasi adalah kontrol yang biasanya berlaku pada tingkat proses bisnis
dan berkaitan dengan pemrosesan transaksi, seperti penginputan, pemrosesan, dan
pencetakan penjualan atau penerimaan kas.
• Pengendalian Input dirancang untuk memastikan bahwa informasi yang dimasukkan ke
dalam komputer diotorisasi, akurat, dan lengkap. Pengendalian Input ini penting karena
sebagian besar kesalahan dalam sistem TI berasal dari kesalahan penginputan data, dan,
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
tentu saja, terlepas dari kualitas pemrosesan informasi, kesalahan input akan
mengakibatkan kesalahan output.
• Pengendalian pemrosesan mencegah dan mendeteksi kesalahan saat data transaksi
diproses. Sedangkan pengendalian keluaran fokus pada mendeteksi kesalahan setelah
pemrosesan selesai, bukan mencegah kesalahan.

Impact of Information Technology on the System of Internal Control

Penggunaan teknologi oleh organisasi, termasuk sejauh mana organisasi tersebut terotomatisasi
serta aplikasi, infrastruktur, dan proses TI-nya, memiliki dampak signifikan pada desain dan
implementasi sistem pengendalian internal entitas tersebut. Penggunaan teknologi memiliki
manfaat besar, namun juga membawa risiko.
Type of Applications and Data Management Systems
• Sistem Manajemen Basis Data : sistem perangkat keras dan perangkat lunak yang
memungkinkan klien untuk membuat dan menjaga basis data yang dibagikan oleh
beberapa aplikasi.
• Sistem Perencanaan Sumber Daya Perusahaan (ERP) : sistem yang mengintegrasikan
berbagai aspek kegiatan organisasi ke dalam satu sistem informasi akuntansi.
Complexity of Underlying IT Infrastructure
Infrastruktur TI dapat bervariasi dari laptop sederhana hingga bisnis berbasis web yang
kompleks. Keamanan jaringan penting, terutama saat banyak staf bekerja dari rumah. Sistem
e-commerce menghadirkan risiko keamanan, yang bisa diatasi dengan teknik enkripsi dan
firewall.
Outsourced IT
Banyak klien mengalihkan sebagian atau seluruh kebutuhan TI mereka ke pusat layanan
komputer independen, termasuk penyedia layanan aplikasi (ASPs) dan cloud computing. Cloud
computing memungkinkan organisasi memperoleh sumber daya TI melalui internet.

Impact Of Emerging Technologies on Internal Control

Teknologi selalu berubah dan berkembang. ecara khusus, auditor perlu:
• memahami efek langsung dan tidak langsung dari teknologi baru dan menentukan
bagaimana penggunaannya memengaruhi penilaian risiko keseluruhan auditor;
• memahami bagaimana teknologi baru memengaruhi aliran transaksi; dan
• menilai kecocokan proses manajemen dalam memilih, mengembangkan,
mengoperasikan, dan memelihara pengendalian terkait teknologi baru
Internet of Things and Peripheral Devices
IoT adalah konsep menghubungkan perangkat ke internet. Perusahaan menggunakannya untuk
mengelola proses mereka, tetapi ini membawa risiko keamanan dan privasi. Auditor perlu
mempertimbangkan pengendalian otomatis dan mengevaluasi layanan baru yang muncul.
Smart Contracts and Blockchain
Smart contract adalah cara transaksi otomatis tanpa perlu perantara. Ini bergantung pada
teknologi blockchain. Smart contract adalah kode komputer yang menjalankan aturan
kesepakatan tanpa campur tangan manusia. Auditor perlu memahami penggunaan smart
contract, mengevaluasi pengendalian internal jika mempengaruhi pelaporan keuangan.
Machine Learning and Artificial Intelligence (AI)
Auditor dapat menggunakan machine learning dan AI untuk tugas seperti mencari kata kunci
dalam kontrak dan mengidentifikasi entri jurnal berisiko tinggi. Klien juga dapat menggunakan
machine learning untuk klasifikasi transaksi.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
Understanding Controls of Small Business
Ukuran perusahaan memengaruhi sifat pengendalian internal. Bisnis kecil mungkin kesulitan
memisahkan tugas dengan baik dan lebih mengandalkan pemasok teknologi. Mereka mungkin
memiliki pengendalian kata sandi yang sederhana.

REVIEW QUESTIONS
8-1 Describe the four broad objectives management has when designing effective internal
control.
8-2 Describe which of the four categories of broad objectives for internal controls are
considered by the auditor in an audit of both the financial statements and internal controls over
financial reporting. Why are these categories considered?
8-5 What are the five components of internal control in the COSO (Committee of Sponsoring
Organizations of the Treadway Commission) internal control framework? Provide an example
of a control for each component.
8-6 What is meant by the “control environment”?
8-13 Why does the auditor need to assess controls over information systems acquisition,
development, and maintenance?

ANSWER
8-1 four broad objectives management has when designing effective internal control:
• Tujuan strategis dan tingkat tinggi yang mendukung misi entitas.
• Keandalan pelaporan keuangan.
• Efisiensi dan efektivitas operasi.
• Kepatuhan dengan hukum dan peraturan.

8-2 Semuanya. Auditor mempertimbangkan keempat kategori tujuan strategis untuk

pengendalian internal karena mereka saling terkait dan bersama-sama memengaruhi kualitas
dan keandalan pelaporan keuangan. Dengan mengevaluasi kategori-kategori ini, auditor dapat
memberikan jaminan kepada pemangku kepentingan bahwa laporan keuangan organisasi
akurat, andal, dan disusun sesuai dengan hukum dan regulasi yang berlaku, sambil juga
mendukung misi strategis entitas dan operasi yang efisien.

8-5 five components of internal control in the COSO:

1. Lingkungan Pengendalian (Control Environment). Contoh:
• Manajemen mendefinisikan nilai-nilai inti perusahaan yang menekankan
kejujuran dan etika dalam bisnis.
• Manajemen menunjuk pejabat kepatuhan untuk memastikan pematuhan dengan
peraturan dan kebijakan perusahaan.
2. Penilaian Resiko (Risk Assessment) . Contoh:
• Organisasi mengidentifikasi risiko-risiko yang terkait dengan perubahan dalam
lingkungan bisnis dan menganalisis dampaknya pada operasi.
• Organisasi mengevaluasi risiko-risiko yang terkait dengan fluktuasi harga
bahan baku dan mengambil tindakan untuk mengurangi dampaknya pada biaya
produksi.
3. Aktivitas Pengendalian (Control Activities). Contoh:
• Manajemen menerapkan prosedur persetujuan untuk setiap transaksi keuangan
di atas sejumlah tertentu.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
•Organisasi memiliki kebijakan yang mewajibkan verifikasi dua orang terhadap
persediaan fisik secara berkala untuk mencegah pencurian atau kehilangan
barang.
4. Informasi dan Komunikasi (Information and Communication). Contoh:
• Organisasi memiliki sistem pelaporan keuangan yang terintegrasi yang
memungkinkan pemantauan transaksi dan laporan keuangan yang akurat.
• Manajemen mengadakan pertemuan rutin dengan staf untuk memberikan
arahan dan memastikan pemahaman tentang kebijakan dan prosedur.
5. Pemantauan (Monitoring). Contoh:
• Internal audit atau tim audit internal secara rutin melakukan pemeriksaan
independen terhadap operasi dan pengendalian internal.
• Manajemen memeriksa laporan kejadian insiden atau pelanggaran etika sebagai
bagian dari pemantauan terhadap perilaku karyawan.

8-6 Control environment atau lingkungan pengendalian mengacu pada budaya dan sikap
organisasi terhadap pengendalian internal. Ini mencakup nilai-nilai etika, komitmen
manajemen terhadap kontrol, dan faktor-faktor yang memengaruhi bagaimana pengendalian
internal dirancang dan dijalankan.

8-13 Auditor perlu menilai pengendalian atas akuisisi, pengembangan, dan pemeliharaan
sistem informasi karena ini adalah area penting dalam menjaga integritas, kehandalan, dan
keamanan sistem informasi yang digunakan dalam organisasi.
• Integritas Data
• Kepatuhan dengan Standar dan Kebijakan
• Keandalan dan Ketersediaan Sistem
• Keamanan Data dan Akses
• Kepatuhan Terhadap Anggaran dan Proyek
• Pemulihan Bencana dan Kelangsungan Bisnis

PJ 8-31.

JAWAB

a) Membagi lima fungsi di antara empat orang untuk menjaga sistem pengendalian yang
terbaik mungkin dapat dilakukan sebagai berikut:
• Operator Komputer: Bertanggung jawab atas operasi sistem sehari-hari dan
memastikan pencadangan data, pemeliharaan rutin, dan pemantauan sistem.
• Analis Sistem: Fokus pada desain dan perbaikan sistem, memastikan bahwa
proyek TI sejalan dengan tujuan perguruan tinggi dan memenuhi persyaratan
pengguna.
• Pustakawan: Mengelola sumber daya data dan informasi, memastikan
organisasi yang benar, akses, dan kepatuhan dengan kebijakan retensi data.
• Programmer: Mengembangkan dan memelihara aplikasi perangkat lunak dan
sistem, mengatasi kebutuhan pemrograman khusus.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
b) Jika kondisi ekonomi memburuk, dan Phelps College harus mengakhiri pekerjaan satu
orang lagi, membagi fungsi-fungsi di antara tiga orang untuk menjaga sistem
pengendalian yang terbaik mungkin dapat dilakukan sebagai berikut:
• Analis Sistem dan Pustakawan: Menggabungkan tanggung jawab analisis
sistem dan manajemen data, memastikan bahwa proyek TI sejalan dengan
tujuan dan memelihara organisasi dan akses data.
• Operator Komputer: Melanjutkan menangani operasi sistem sehari-hari dan
pemeliharaan, termasuk pencadangan data dan pemantauan sistem.
• Programmer: Fokus hanya pada pengembangan dan pemeliharaan perangkat
lunak.
c) Jika situasi ekonomi semakin memburuk, dan hanya dua orang yang bisa dipekerjakan
untuk melakukan fungsi TI sambil menjaga sistem pengendalian yang terbaik mungkin
dapat dilakukan sebagai berikut:
• Analis Sistem dan Pustakawan: Menggabungkan peran analisis sistem,
manajemen data, dan tugas-tugas perpustakaan, memastikan keselarasan sistem
dengan tujuan dan organisasi serta akses data.
• Operator Komputer dan Programmer: Mengelola operasi sistem sehari-hari,
pemeliharaan, pencadangan data, dan tugas pengembangan perangkat lunak
bersama.
d) Jika seluruh lima fungsi dijalankan oleh satu orang, pengendalian internal kemungkinan
akan terganggu secara serius. Masalah utamanya adalah kurangnya pemisahan tugas,
yang merupakan prinsip dasar pengendalian internal. Satu orang yang menangani
semua aspek operasi TI, analisis sistem, manajemen data, pengembangan perangkat
lunak, dan pengendalian data mengenalkan risiko yang signifikan terhadap kesalahan,
penyelenggaraan yang buruk, atau bahkan penipuan.