PEMAHAMAN SPI

DAN PENILAIAN
RISIKO PENGENDALIAN

1
 Pengertian Pengendalian Intern
Mengadopsi pengertian Pengendalian internal dari laporan
COSO (Committee of Sponsoring Organization). COSO
terdiri atas:
IIA (Institute of Internal Auditors), AICPA (American
Institute of Certified Public Accountants), FEI
(Financial Executive Institute), AAA (American
Accounting Association), dan IMA (Institute of
Manajemen Accountants)

Internal control adalah suatu proses, dijalankan oleh

dewan komisaris, managemen, dan karyawan lain dari
suatu entitas, dirancang untuk memberikan jaminan
memadai sehubungan dengan pencapaian tujuan.
2
 Tujuan Pendalian Intern

Tujuan pengendalian intern:

Keandalan pelaporan keuangan (tujuan pelaporan

keuangan).

Efektivitas dan efesiensi operasional (tujuan operasi).

Kepatuhan terhadap undang-undang dan peraturan yang

berlaku (tujuan kepatuhan).

3
 Tujuan Pendalian Intern
-yang relevan dengan audit

Reliabilitas informasi keuangan

* PABU
Efektivitas dan efesiensi operasional
* Pengamanan aset
* Pengurangan risiko bisnis
Kepatuhan terhadap undang-undang dan peraturan-
peraturan yang berlaku
* Mendeteksi kesalahan dan ketidakberesan

4
Konsep Utama COSO
Pengendalian intern merupakan suatu proses yang
berkelanjutan, suatu alat untuk mencapai tujuan, bukan
merupakan tujuan itu sendiri
Pengendalian intern dipengaruhi oleh orang-orang yang
ada pada setiap tingkatan di organisasi, bukan hanya
merupakan kebijakan dan prosedur serta dokumentasinya
semata.
Pengendalian intern tidak pernah bisa menghilangkan
risiko tetapi dapat memberikan keyakinan memadai
bahwa pengendalian telah berjalan untuk mengurangi
risiko.
 Keterbatasan Pendalian Intern

Kesalahan dalam keputusan (kurang informasi, kendala

waktu, tekanan).
Breakdown (macet karena salah memahami instruksi
dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).
Management override (manajemen melanggar
pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan pengendalian
lebih besar dari manfaatnya).

6
 Komponen Pendalian Intern
Control Environment (Lingkungan Pengendalian)
Risk Assessment (Penilaian Risiko)
Control Activities (Aktivitas Pengendalian)
Information and Communication (Informasi dan
Komunikasi)
Monitoring (Pemantauan)

7
 Komponen SPI

8
Komponen SPI
5) Monitoring

1) Control
Environment
2) Risk 3) Control
Assessment Activities
Komponen SPI
 Hubungan Komponen SPI
dengan Aktivitas Organisasi

11
Lingkungan Pengendalian

Lingkungan pengendalian terdiri

dari tindakan, kebijakan, prosedur
yang mencerminkan sikap
keseluruhan top manajemen,
direktur, dan pemilik suatu
perusahaan terhadap pengendalian
dan pentingnya pengendalian
tersebut bagi perusahaan.
Lingkungan Pengendalian
Unsur-unsur yang perlu dipahami dan dinilai oleh auditor:
1. Integritas dan nilai etika
2. Komitmen terhadap kompetensi
3. Partisipasi dewan komisaris dan komite audit
4. Filosofi dan gaya operasi
5. Struktur Organisasi
6. Pemberian wewenang dan tanggung jawab
7. Kebijakan dan praktik SDM
Penaksiran Risiko

Mekanisme untuk
mengidentifikasikan,
menganalisis, dan mengelola
berbagai risiko dalam organisasi
atau perusahaan dihubungkan
dengan tujuan yang ingin dicapai
 Analisis Risiko

Risk Risk Risk

Assessment Management Monitoring

Process
Identification Control it
Level

Share or Activity
Measurement
Transfer it Level

Diversify or
Prioritization Entity level
Avoid it
Penaksiran Risiko
Risiko bisa muncul karena:
Perubahan lingkungan operasional
Personel baru
Sistem informasi baru atau perubahan sistem informasi
Pertumbuhan cepat
Tehnologi baru
Produk atau aktivitas baru
Restrukturisasi korporasi
Operasional luar negeri
PSAK baru
Penaksiran Risiko

High Medium Risk High Risk

I
M Share Mitigate & Control
P
A Low Risk Medium Risk
C
T
Accept Control

Low PROBABILITY High

Penilaian Risiko
Contoh: Call Center Risk Assessment
High Medium Risk High Risk
Loss of phones Customer has a long wait
Loss of computers Customer cant get through
I

Customer cant get answers

M
P
A Low Risk Medium Risk
C
Fraud Entry errors
T

Lost transactions Equipment obsolescence

Employee morale Repeat calls for same problem

Low PROBABILITY High

Penilaian Risiko

Auditor harus memperoleh pengetahuan tentang proses

penaksiran risiko untuk memahami bagaimana manajemen
mempertimbangkan risiko.

Tujuan penaksiran risiko adalah untuk menilai, mengelola, dan

memonitor risiko yang berdampak bagi entitas.
 Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang
membantu memastikan bahwa arahan manajemen
dilaksanakan. Aktivitas pengendalian meliputi:
Review kinerja
Pengolahan informasi
Pengendalian fisik
Pemisahan tugas

20
 Aktivitas Pengendalian Review Kinerja

Analisis laporan ikhtisar rincian saldo akun

Analisis realisasi dengan anggaran, prakiraan, atau
periode yang lalu
Analisis hubungan seperangkat data seperti antara
data nonkeuangan dengan data keuangan

21
 Aktivitas Pengendalian Pengolahan Informasi
General Control
Pengendalian organisasi dan operasional
Pengendalian pengembangan sistem dan dokumentasi
Pengendalian perangkat keras dan lunak
Pengendalian akses
Pengendalian data dan prosedural
Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check, sequence test,
process tracing data.
Pengendalian Output: pihak yang berhak memperoleh hasil,
perbandingan dengan dokumen sumber, visual scanning

22
 Aktivitas Pengendalian Pengendalian Fisik

Direct physical control

Indirect physical control
Penghitungan berkala terhadap aset

23
 Aktivitas Pengendalian Pemisahan Tugas
Seseorang tidak boleh melakukan tugas yang tidak
kompatibel
Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna. Pemisahan dalam
bagian IT:
Pengembangan sistem
Operation
Data control
Securities administration

24
Informasi dan Komunikasi
Sistem informasi dan komunikasi memungkinkan
orang dalam organisasi untuk mendapatkan dan
berbagi informasi yang diperlukan untuk
mengelola, melaksanakan, dan mengendalikan
kegiatan operasi.

Contoh:
Memperoleh informasi internal dan eksternal
untuk diolah dan disajikan kpd manajemen
Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
 Informasi dan Komunikasi

Down: Top Up:

Goals /objectives Management Progress reports
Directives Problem identification
Policies /procedures Improvement suggestions
Senior Managers

Supervisors

Line staff

Across: Daily work informationall levels

 Informasi dan Komunikasi
Transaksi
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
Audit atau transaction trail
Dokumen dan catatan

27
 Informasi dan Komunikasi
Auditor harus memperoleh pengetahuan tentang:
Golongan transaksi
Bagaimana transaksi dimulai
Catatan akuntansi dan informasi pendukung
Pengolahan akuntansi sejak transaksi sampai dengan
laporan keuangan

28
 Monitoring
Pengawasan oleh manajemen dan pegawai lain yang ditunjuk
atas pelaksanaan tugas sebagai penilaian terhadap kualitas
dan efektivitas sistem pengendalian internal

Ongoing activities
Problem solution
Separate periodic evaluations
Internal auditors assessment

29
Monitoring

Regular Regular
Activities Activities

On-going monitoring On-going monitoring

Progress check Observations
Performance Recording
improvements

Regular Regular
Activities Activities
 Prosedur untuk Memahami SPI
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor, dan staff
personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas
31
 Dokumentasi Pemahaman SPI
Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang pengendalian
internal yang diperlukan untuk mencegah salahsaji
material

Bagan alir
Diagram sistematik dengan memakai simbol standar,
garis penghubung dan penjelasan

Memoranda
Komentar tertulis auditor tentang pengendalian internal

32
Questionnaire
Narrative Memoranda
 MENILAI CR

35
 Pengertian CR
Risiko bahwa pengendalian intern tidak mampu
mencegah dan mendeteksi salah saji.

Penilaian CR berdampak terhadap rancangan substantive

test:
Sifat
Saat
Waktu

36
Alasan Menilai CR
CR untuk Setiap Asersi
CR ditentukan untuk setiap asersi; asersi untuk setiap
komponen pengendalian intern.
Tahapan dalam Menilai CR
Prosedur untuk Menilai CR
Pengajuan pertanyaan (enquiry): mengajukan pertanyaan
kepada berbagai pihak dalam lini manajemen sesuai
kebutuhan.
Pengamatan / observasi (observation): auditor mengamati
aktivitas yang sedang terjadi.
Inspeksi (inspection) : memeriksa dokumen dan catatan.
Mengerjakan ulang: auditor menjalankan aplikasi yang
digunakan perusahaan.
Perbedaan TOC dan ST
Perbedaan TOC dan ST
 Lingkungan SIK
Suatu lingkungan SIK (sistem informasi komputer) ada
apabila komputer dengan tipe dan ukuran apapun
digunakan dalam pengolahan informasi keuangan suatu
entitas yang signifikan bagi audit, terlepas apakah komputer
tersebut dioperasikan oleh entitas tersebut atau pihak
ketiga.
Karakteristik organisasi SIK
Pemusatan fungsi dan pengetahuan
Pemusatan program dan data

43
 Sifat Pengolahan dan Aspek Desain dalam SIK

Sifat pengolahan dalam SIK:

Tidak ada dokumen masukan
Tidak ada jejak transaksi (transaction trail)
Tidak ada keluaran yang dapat dilihat dengan mata
Aspek desain dan prosedur dalam SIK:
Kinerja konsisten
Prosedur pengendalian terprogram
Pemutakhran transaksi ke database file komputer
Transaksi ada yang ditimbulkan oleh sistem
Media penyimpanan data dan program rentan
44
 Pengendalian dalam Lingkungan SIK
Pengendalian umum SIK
Pengendalian organisasi dan manajemen
Pengendalian terhadap pengembangan dan pemeliharaan
sistem aplikasi
Pengendalian terhadap operasi sistem
Pengendalian terhadap perangkat lunak sistem
Pengendalian terhadap entry data dan program

45
 Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK
Pengendalian atas masukan: otorisasi transaksi, konversi
transaksi agar bisa dibaca oleh mesin, transaksi tidak
diubah oleh pihak yang tidak berhak, transaksi yang keliru
ditolak.
Pengendalian atas pengolahan: transaksi diolah semestinya
oleh sistem, transaksi tidak diubah atau hilang secara tidak
semestinya, kekeliruan diidentifikasi dan dikoreksi dengan
tepat waktu.
Pengendalian atas keluaran: hasil pengolahan cermat, akses
dibatasi ke pihak yang berhak, keluaran tersedia tepat
waktu.
46
 Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke terminal
semestinya, data entry cermat, entry ke periode semestinya, data
entry diklasifikasi dan bernilai valid, transaksi yang tidak valid
ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram,
logika pengolahan benar, file pengolahan benar, record
pengolahan benar, tabel yang digunakan benar, data yang tidak
valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap,
keluaran diterima telah terklasifikasi, keluaran didistribusi ke
personel yang berhak.
47
 Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke terminal
semestinya, data entry cermat, entry ke periode semestinya, data
entry diklasifikasi dan bernilai valid, transaksi yang tidak valid
ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram,
logika pengolahan benar, file pengolahan benar, record
pengolahan benar, tabel yang digunakan benar, data yang tidak
valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap,
keluaran diterima telah terklasifikasi, keluaran didistribusi ke
personel yang berhak.
48
 Review Pengendalian di Lingkungan SIK oleh Auditor

Review Pengendalian Umum

Auditor mereview pengendalian umum untuk memastikan

apakah pengendalian menyeluruh atas aktivitas SIK dapat
memberikan tingkat keyakinan memadai bahwa tujuan
pengendalian tercapai.

49
 Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Aplikasi
Auditor menguji pengendalian manual. Misalnya menguji manual
masukan gaji, perhitungan gaji bersih, persetujuan pembayaran,
perbandingan ke daftar gaji, dan rekonsiliasi ke bank (audit around the
computer).
Auditor menguji pengendalian keluaran sistem. Misalnya auditor
menguji jumlah di laporan ke buku besar dan buku pembantu (audit
around the computer)..
Auditor menguji pengendalian program. Auditor menggunakan teknik
audit berbantuan komputer untuk menguji pengendalian. Misalnya:
Test Data (Data Uji), yaitu pengujian pengendalian aplikasi dengan
menginput transaksi dummy (transaksi departemen atau
karyawan) ke sistem aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan. Setelah itu
transaksi uji dihapus (audit through the computer).
Audit Software (auditor menggunakan softwarenya untuk
mengolah transaksi dan membandingkan hasilnya dengan software
klien) (audit with the computer).
50
Auditing Around the Computer

Auditor berkonsentrasi pada input dan output,

mengabaikan bagai proses data oleh komputer (komputer
dianggap sebagai black box). Seperti audit manual.
Client
Client Accounting Output
Input Application

Auditors Compare
Predetermined with
Output Client
Output
Auditing Through the Computer
Pengujian langsung ke pengendalian program yang digunakan
dalam aplikasi. Auditor mengamati control function dari
program aplikasi. Menguji secara langsung ke komputer klien.

Accounting
Application
Master File 1 Master File 2

Auditors Compare
Predetermined with
Output Client
Output
Auditing With the Computer
Pengujian pengendalian intern tidak dilakukan secara langsung pada
komputer yang ada melainkan dengan menggunakan komputer dan
aplikasi yang berbeda. Pendekatan audit ini biasanya banyak
memanfaatkan berbagai Teknik Audit Berbantuan Komputer
(TABK) atau Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit namun
dengan memanfaatkan database yang sama dengan yang digunakan
oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang dilakukannya
menggunakan aplikasinya sendiri atas database yang diambil dari
sistem yang diaudit akan memberikan memberikan hasil output
yang sama seperti halnya jika database tersebut diprosesleh aplikasi
yang diaudit.