DAN PENILAIAN
RISIKO PENGENDALIAN
1
Pengertian Pengendalian Intern
Mengadopsi pengertian Pengendalian internal dari laporan
COSO (Committee of Sponsoring Organization). COSO
terdiri atas:
IIA (Institute of Internal Auditors), AICPA (American
Institute of Certified Public Accountants), FEI
(Financial Executive Institute), AAA (American
Accounting Association), dan IMA (Institute of
Manajemen Accountants)
3
Tujuan Pendalian Intern
-yang relevan dengan audit
4
Konsep Utama COSO
Pengendalian intern merupakan suatu proses yang
berkelanjutan, suatu alat untuk mencapai tujuan, bukan
merupakan tujuan itu sendiri
Pengendalian intern dipengaruhi oleh orang-orang yang
ada pada setiap tingkatan di organisasi, bukan hanya
merupakan kebijakan dan prosedur serta dokumentasinya
semata.
Pengendalian intern tidak pernah bisa menghilangkan
risiko tetapi dapat memberikan keyakinan memadai
bahwa pengendalian telah berjalan untuk mengurangi
risiko.
Keterbatasan Pendalian Intern
6
Komponen Pendalian Intern
Control Environment (Lingkungan Pengendalian)
Risk Assessment (Penilaian Risiko)
Control Activities (Aktivitas Pengendalian)
Information and Communication (Informasi dan
Komunikasi)
Monitoring (Pemantauan)
7
Komponen SPI
8
Komponen SPI
5) Monitoring
1) Control
Environment
2) Risk 3) Control
Assessment Activities
Komponen SPI
Hubungan Komponen SPI
dengan Aktivitas Organisasi
11
Lingkungan Pengendalian
Mekanisme untuk
mengidentifikasikan,
menganalisis, dan mengelola
berbagai risiko dalam organisasi
atau perusahaan dihubungkan
dengan tujuan yang ingin dicapai
Analisis Risiko
Process
Identification Control it
Level
Share or Activity
Measurement
Transfer it Level
Diversify or
Prioritization Entity level
Avoid it
Penaksiran Risiko
Risiko bisa muncul karena:
Perubahan lingkungan operasional
Personel baru
Sistem informasi baru atau perubahan sistem informasi
Pertumbuhan cepat
Tehnologi baru
Produk atau aktivitas baru
Restrukturisasi korporasi
Operasional luar negeri
PSAK baru
Penaksiran Risiko
I
M Share Mitigate & Control
P
A Low Risk Medium Risk
C
T
Accept Control
20
Aktivitas Pengendalian Review Kinerja
21
Aktivitas Pengendalian Pengolahan Informasi
General Control
Pengendalian organisasi dan operasional
Pengendalian pengembangan sistem dan dokumentasi
Pengendalian perangkat keras dan lunak
Pengendalian akses
Pengendalian data dan prosedural
Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check, sequence test,
process tracing data.
Pengendalian Output: pihak yang berhak memperoleh hasil,
perbandingan dengan dokumen sumber, visual scanning
22
Aktivitas Pengendalian Pengendalian Fisik
23
Aktivitas Pengendalian Pemisahan Tugas
Seseorang tidak boleh melakukan tugas yang tidak
kompatibel
Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna. Pemisahan dalam
bagian IT:
Pengembangan sistem
Operation
Data control
Securities administration
24
Informasi dan Komunikasi
Sistem informasi dan komunikasi memungkinkan
orang dalam organisasi untuk mendapatkan dan
berbagi informasi yang diperlukan untuk
mengelola, melaksanakan, dan mengendalikan
kegiatan operasi.
Contoh:
Memperoleh informasi internal dan eksternal
untuk diolah dan disajikan kpd manajemen
Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
Informasi dan Komunikasi
Supervisors
Line staff
27
Informasi dan Komunikasi
Auditor harus memperoleh pengetahuan tentang:
Golongan transaksi
Bagaimana transaksi dimulai
Catatan akuntansi dan informasi pendukung
Pengolahan akuntansi sejak transaksi sampai dengan
laporan keuangan
28
Monitoring
Pengawasan oleh manajemen dan pegawai lain yang ditunjuk
atas pelaksanaan tugas sebagai penilaian terhadap kualitas
dan efektivitas sistem pengendalian internal
Ongoing activities
Problem solution
Separate periodic evaluations
Internal auditors assessment
29
Monitoring
Regular Regular
Activities Activities
Regular Regular
Activities Activities
Prosedur untuk Memahami SPI
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor, dan staff
personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas
31
Dokumentasi Pemahaman SPI
Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang pengendalian
internal yang diperlukan untuk mencegah salahsaji
material
Bagan alir
Diagram sistematik dengan memakai simbol standar,
garis penghubung dan penjelasan
Memoranda
Komentar tertulis auditor tentang pengendalian internal
32
Questionnaire
Narrative Memoranda
MENILAI CR
35
Pengertian CR
Risiko bahwa pengendalian intern tidak mampu
mencegah dan mendeteksi salah saji.
36
Alasan Menilai CR
CR untuk Setiap Asersi
CR ditentukan untuk setiap asersi; asersi untuk setiap
komponen pengendalian intern.
Tahapan dalam Menilai CR
Prosedur untuk Menilai CR
Pengajuan pertanyaan (enquiry): mengajukan pertanyaan
kepada berbagai pihak dalam lini manajemen sesuai
kebutuhan.
Pengamatan / observasi (observation): auditor mengamati
aktivitas yang sedang terjadi.
Inspeksi (inspection) : memeriksa dokumen dan catatan.
Mengerjakan ulang: auditor menjalankan aplikasi yang
digunakan perusahaan.
Perbedaan TOC dan ST
Perbedaan TOC dan ST
Lingkungan SIK
Suatu lingkungan SIK (sistem informasi komputer) ada
apabila komputer dengan tipe dan ukuran apapun
digunakan dalam pengolahan informasi keuangan suatu
entitas yang signifikan bagi audit, terlepas apakah komputer
tersebut dioperasikan oleh entitas tersebut atau pihak
ketiga.
Karakteristik organisasi SIK
Pemusatan fungsi dan pengetahuan
Pemusatan program dan data
43
Sifat Pengolahan dan Aspek Desain dalam SIK
45
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK
Pengendalian atas masukan: otorisasi transaksi, konversi
transaksi agar bisa dibaca oleh mesin, transaksi tidak
diubah oleh pihak yang tidak berhak, transaksi yang keliru
ditolak.
Pengendalian atas pengolahan: transaksi diolah semestinya
oleh sistem, transaksi tidak diubah atau hilang secara tidak
semestinya, kekeliruan diidentifikasi dan dikoreksi dengan
tepat waktu.
Pengendalian atas keluaran: hasil pengolahan cermat, akses
dibatasi ke pihak yang berhak, keluaran tersedia tepat
waktu.
46
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke terminal
semestinya, data entry cermat, entry ke periode semestinya, data
entry diklasifikasi dan bernilai valid, transaksi yang tidak valid
ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram,
logika pengolahan benar, file pengolahan benar, record
pengolahan benar, tabel yang digunakan benar, data yang tidak
valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap,
keluaran diterima telah terklasifikasi, keluaran didistribusi ke
personel yang berhak.
47
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke terminal
semestinya, data entry cermat, entry ke periode semestinya, data
entry diklasifikasi dan bernilai valid, transaksi yang tidak valid
ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram,
logika pengolahan benar, file pengolahan benar, record
pengolahan benar, tabel yang digunakan benar, data yang tidak
valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap,
keluaran diterima telah terklasifikasi, keluaran didistribusi ke
personel yang berhak.
48
Review Pengendalian di Lingkungan SIK oleh Auditor
49
Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Aplikasi
Auditor menguji pengendalian manual. Misalnya menguji manual
masukan gaji, perhitungan gaji bersih, persetujuan pembayaran,
perbandingan ke daftar gaji, dan rekonsiliasi ke bank (audit around the
computer).
Auditor menguji pengendalian keluaran sistem. Misalnya auditor
menguji jumlah di laporan ke buku besar dan buku pembantu (audit
around the computer)..
Auditor menguji pengendalian program. Auditor menggunakan teknik
audit berbantuan komputer untuk menguji pengendalian. Misalnya:
Test Data (Data Uji), yaitu pengujian pengendalian aplikasi dengan
menginput transaksi dummy (transaksi departemen atau
karyawan) ke sistem aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan. Setelah itu
transaksi uji dihapus (audit through the computer).
Audit Software (auditor menggunakan softwarenya untuk
mengolah transaksi dan membandingkan hasilnya dengan software
klien) (audit with the computer).
50
Auditing Around the Computer
Auditors Compare
Predetermined with
Output Client
Output
Auditing Through the Computer
Pengujian langsung ke pengendalian program yang digunakan
dalam aplikasi. Auditor mengamati control function dari
program aplikasi. Menguji secara langsung ke komputer klien.
Accounting
Application
Master File 1 Master File 2
Auditors Compare
Predetermined with
Output Client
Output
Auditing With the Computer
Pengujian pengendalian intern tidak dilakukan secara langsung pada
komputer yang ada melainkan dengan menggunakan komputer dan
aplikasi yang berbeda. Pendekatan audit ini biasanya banyak
memanfaatkan berbagai Teknik Audit Berbantuan Komputer
(TABK) atau Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit namun
dengan memanfaatkan database yang sama dengan yang digunakan
oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang dilakukannya
menggunakan aplikasinya sendiri atas database yang diambil dari
sistem yang diaudit akan memberikan memberikan hasil output
yang sama seperti halnya jika database tersebut diprosesleh aplikasi
yang diaudit.