BAGIAN 9

SISTEM PENGENDALIAN INTERNAL

Pengauditan I - Sururi Halaman 1

 SISTEM PENGENDALIAN INTERNAL
• Sistem Pengendalian Internal (SPI)
adalah sistem yang dirancang untuk
mengendalikan kegiatan internal
organisasi atau entitas, agar tujuan
entitas dapat dicapai dengan efektif dan
efisien.
• Istilah lain kegiatan internal organisasi
adalah proses bisnis. Jadi SPI adalah
sistem untuk mengendalikan proses
bisnis.
Pengauditan I - Sururi Halaman 2
 SISTEM PENGENDALIAN INTERNAL
• Tujuan SPI dapat diringkas menjadi sbb.:
1. Menjamin keandalan laporan, baik
laporan manajerial maupun laporan
keuangan.
2. Menjamin efisiensi dan efektifitas
kegiatan operasional.
3. Menjamin kepatuhan terhadap kebijakan
manajemen.
4. Menjamin kepatuhan terhadap hukum
dan peraturan, serta komitmen terhadap
pihak luar organisasi.
Pengauditan I - Sururi Halaman 3
 SISTEM PENGENDALIAN INTERNAL
• SPI terdiri dari sejumlah unsur pengendalian, antara
lain:
1. Pemisahan fungsi
2. Otorisasi transaksi
3. Dokumen transaksi
4. Dokumen pembukuan (data base)
5. Dokumen laporan
6. Pengecekan independen
7. Teknologi informasi
8. SDM yang kompeten
9. Pemantauan periodik

Pengauditan I - Sururi Halaman 4

 TANGGUNG JAWAB SPI
• Manajemen bertanggungjawab penuh
terhadap perancangan dan implementasi SPI,
terutama untuk tujuan menjamin kemampuan
manajemen untuk menyusun laporan keuangan
sesuai dengan framework pelaporan keuangan,
seperti SAK atau IFRS.
• Konsep perancangan dan implementasi SPI:
1. Keyakinan memadai (reasonable assurance)
2. Keterbatasan bawaan (inherent limitation)

Pengauditan I - Sururi Halaman 5

 TANGGUNG JAWAB SPI
• Keyakinan memadai (reasonable assurance)
SPI dirancang hanya untuk mendapatkan
keyakinan memadai, bukan keyakinan
mutlak, terhadap kewajaran laporan
keuangan.
• Keterbatasan bawaan (inherent limitation)
SPI tidak akan pernah bisa 100% efektif,
sedetil apapun rancangan dan
implementasinya.

Pengauditan I - Sururi Halaman 6

 KETERBATASAN SPI
1. Kesalahan pengoperasian SPI (mistake in
judgment).
2. Kerusakan sistem atau teknologi pendukung
SPI (systems break-down).
3. Kolusi untuk mengelabuhi SPI, yang
dilakukan justru oleh unsur manajemen
dalam organisasi.
4. Pelanggaran SPI dengan sengaja oleh
manajemen (management override).

Pengauditan I - Sururi Halaman 7

TANGGUNG JAWAB AUDITOR ATAS SPI
• Dalam audit laporan keuangan, auditor
bertanggungjawab untuk memahami dan
menguji SPI.
• Pemahaman dan pengujian SPI ditujukan
untuk mengukur:
1. Efektifitas pengendalian atas
transaksi.
2. Efektifitas pengendalian atas
keandalan laporan keuangan.

Pengauditan I - Sururi Halaman 8

 FRAMEWORK SPI COSO
• COSO (Committee of Sponsoring Organization)
adalah asosiasi profesi di US yang anggotanya terdiri
dari AAA (the American Accounting Association),
AICPA, IIA (the Institute of Internal Auditors), IMA
(the Institute of Management Accountants), dan FEI
(the Financial Executives Institute).
• COSO dibentuk untuk mengembangkan konsep
pengendalian internal, terutama untuk perusahaan
publik, yang jika terjadi salah kelola bisa berdampak
luas terhadap masyarakat.

Pengauditan I - Sururi Halaman 9

 FRAMEWORK SPI COSO
• COSO telah mengembangkan framework SPI
yang komponennya terdiri dari:
1. Lingkungan pengendalian (control
environment)
2. Asesmen risiko (risk assessment)
3. Aktifitas pengendalian (control activities)
4. Informasi dan komunikasi (information
and communication)
5. Monitoring

Pengauditan I - Sururi Halaman 10

 FRAMEWORK SPI COSO
• Implementasi komponen SPI COSO
harus didukung dengan bukti-bukti
dokumenter sehingga memungkinkan
untuk dilakukan audit atas kecukupan dan
efektifitasnya.
• Lingkungan pengendalian
Terdiri dari kebijakan, prosedur, dan
tindakan yang merefleksikan sikap mental
manajemen puncak serta seluruh
komponen organisasi.
Pengauditan I - Sururi Halaman 11
 FRAMEWORK SPI COSO
• Lingkungan pengendalian mencakup beberapa
hal sebagai berikut, yang semuanya harus
didukung dengan bukti-bukti dokumenter:
1. Integritas dan nilai-nilai etika, bisa
dinyatakan dalam pernyataan kebijakan
(policy statement)
2. Komitmen terhadap kompetensi
3. Partisipasi pihak yang bertanggung jawab
atas tata kelola
(Independency,experience,inspeksi,
ketepatan tindakan)
Pengauditan I - Sururi Halaman 12
 FRAMEWORK SPI COSO
4. Filosofi manajemen dan gaya
operasional, yaitu landasan pemikiran
manajemen serta cara manajemen
menjalankan aktifitas operasional
organisasi.
5. Struktur organisasi
6. Pemberian wewenang dan tanggung
jawab
7. Kebijakan dan praktik bidang SDM

Pengauditan I - Sururi Halaman 13

 FRAMEWORK SPI COSO
• Asesmen risiko (risk assessment), adalah
kesadaran dan kepedulian manajemen
terhadap risiko kesalahan, kecurangan, dan
inefisiensi dalam setiap proses bisnis yang
dijalaninya. Asesmen risiko diwujudkan oleh
manajemen dalam bentuk SPI (Sistem
Pengendalian Interen).
• Aktifitas pengendalian (control activities),
yaitu tindakan kongkrit untuk mengendalikan
risiko kesalahan, kecurangan, dan inefisiensi.
Pengauditan I - Sururi Halaman 14
 FRAMEWORK SPI COSO
Bentuk dari aktifitas pengendalian adalah:
1. Pemisahan fungsi
2. Otorisasi transaksi dan aktifitas bisnis
3. Dokumen transaksi dan pembukuan
4. Pengendalian akses fisik atas aset dan
pembukuan
5. Pengecekan independen atas kinerja
operasional

Pengauditan I - Sururi Halaman 15

 FRAMEWORK SPI COSO
Prinsip pemisahan fungsi:
1. Pemisahan fungsi penyimpanan aset dari
fungsi pembukuan
2. Pemisahan fungsi otorisasi dari fungsi
penyimpanan aset
3. Pemisahan fungsi TI dari fungsi penggunaan
TI
Pemisahan fungsi diperlukan untuk
meminimumkan potensi kecurangan melalui
penyalahgunaan wewenang dan tanggungjawab
Pengauditan I - Sururi Halaman 16
 FRAMEWORK SPI COSO
Otorisasi Transaksi
Otorisasi berfungsi untuk mencegah risiko
kecurangan melalui penyalahgunaan
wewenang dan tanggung jawab. Otorisasi
mencakup:
1. Otorisasi umum, yaitu otorisasi untuk
kegiatan rutin.
2. Otorisasi khusus, yaitu otorisasi untuk
kegiatan atau transaksi non rutin yang
berpengaruh signifikan terhadap
organisasi.

Pengauditan I - Sururi Halaman 17

 FRAMEWORK SPI COSO
Dokumen transaksi:
Prinsip dokumen transaksi mencakup:
1. Bernomor urut tercetak (prenumbered form)
2. Dibuat bersamaan dengan terjadinya
transaksi
3. Dirancang multi fungsi
4. Mudah dibuat, kecil potensi salah isi dan
potensi penyalahgunaan.
Dokumen berfungsi sebagai: alat perintah, alat
bukti, dan alat pengendalian/pengawasan.

Pengauditan I - Sururi Halaman 18

 FRAMEWORK SPI COSO
Pengendalian akses fisik atas aset dan pembukuan
- stock opname
- asset diberikan pengamanan yang memadai

Pengecekan independen:
Adalah prosedur atau sistem yang dirancang untuk
mendeteksi kesalahan atau kecurangan sedini
mungkin, misalnya pencocokan user id dengan
password dst.

Pengauditan I - Sururi Halaman 19

 FRAMEWORK SPI COSO
• Informasi dan Komunikasi, Manajemen harus
membangun komunikasi yang berkelanjutan untuk
memperoleh, membagikan dan menyediakan
informasi untuk internal entitas maupun untuk
hubungan dengan lingkungan eksternal entitas.
• Kegiatan Pemantauan (Monitoring Activities),
mencakup evaluasi berkelanjutan untuk
memastikan masing-masing komponen
pengendalian internal ada dan berfungsi
sebagaimana mestinya.

Pengauditan I - Sururi Halaman 20

PEMAHAMAN DAN DOKUMENTASI SPI

• Pemahaman SPI dapat diperoleh melalui:

1. Kuesioner
2. Pemutakhiran dan evaluasi
pengalaman dari penugasan audit
sebelumnya
3. Wawancara dengan staf yang relevan
4. Evaluasi atas dokumen dan
pembukuan
5. Observasi aktifitas operasional
6. Observasi sistem informasi akuntansi

Pengauditan I - Sururi Halaman 21

PEMAHAMAN DAN DOKUMENTASI SPI

• Dokumentasi pemahaman SPI dapat

dibuat dalam bentuk:
1. Narasi atau uraian tertulis
2. Bagan alir (gambar)
3. Kuesioner yang sudah terisi

Pengauditan I - Sururi Halaman 22

 ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian dibuat setelah
auditor memperoleh pemahaman SPI.
• Risiko pengendalian adalah risiko SPI tidak
mampu mencegah salah saji dengan segera,
baik karena kesalahan (error) maupun karena
kecurangan (fraud).
• Kesalahan atau kecurangan perlu dicegah
atau dideteksi dengan segera, karena jika
terlambat bisa berdampak pada kerugian
yang signifikan bagi entitas.
Pengauditan I - Sururi Halaman 23
 ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian merupakan
bagian dari asesmen risiko salah saji
dalam laporan keuangan secara
keseluruhan.
• Langkah-langkah dalam asesmen risiko
pengendalian(matrix pengendalian):
1. Mengidentifikasi objek audit dan
tujuan audit
2. Mengidentikasi sistem pengendalian
yang ada.
Pengauditan I - Sururi Halaman 24
 ASESMEN RISIKO PENGENDALIAN
3. Menghubungkan sistem
pengendalian yang ada dengan objek
audit dan tujuan audit.
4. Mengidentifikasi dan mengevaluasi
celah pengendalian (control
deficiency), celah signifikan
(significan deficiency), dan
kelemahan material (material
weakness).

Pengauditan I - Sururi Halaman 25

 ASESMEN RISIKO PENGENDALIAN
5. Menghubungkan celah pengendalian dengan
objek audit dan tujuan audit.
6. Mengukur (melakukan asesmen) risiko
pengendalian untuk setiap objek audit dan
tujuan audit.
Deskripsi terminologi:
• Celah pengendalian (control deficiency),
adalah ketidakmampuan sistem pengendalian
untuk mencegah atau mendeteksi salah saji
dengan segera. Celah pengendalian terjadi pada
saat pengendalian yang diperlukan tidak ada
atau tidak dirancang dengan tepat.
Pengauditan I - Sururi Halaman 26
 ASESMEN RISIKO PENGENDALIAN

Celah operasional (operational

deficiency) terjadi pada saat sistem
pengendalian yang dirancang dengan baik
gagal dioperasikan atau pada saat
operator sistem kurang kompeten atau
tidak diberi otorisasi dengan tepat.
• Celah significan (significant
deficiency), terjadi pada saat terdapat
satu atau lebih celah pengendalian, tetapi
sifatnya belum pervasive atau akut.

Pengauditan I - Sururi Halaman 27

 ASESMEN RISIKO PENGENDALIAN

• Kelemahan material (material

weakness), terjadi pada saat
terdapat beberapa celah
pengendalian yang signifikan atau
akut, yang bisa membuat salah saji
material dalam laporan keuangan
tidak dapat dicegah dan dideteksi
dengan segera.

Pengauditan I - Sururi Halaman 28

 ASESMEN RISIKO PENGENDALIAN

Lima cara deteksi deficiencies, significant

deficiencies, dan material weakness:
1. Identifikasi SPI yang ada.
2. Identifikasi sistem pengendalian utama
atau penting yang tidak ada.
3. Identifikasi eksistensi alternatif
pengendalian (compensating control)
untuk mengganti pengendalian utama
yang tidak ada.

Pengauditan I - Sururi Halaman 29

 ASESMEN RISIKO PENGENDALIAN

4. Buat kesimpulan potensi adanya

significant deficiency atau material
weakness.
5. Buat kesimpulan tentang potensi salah
saji yang dapat terjadi, yang disebabkan
oleh adanya control deficiency,
signifincant deficiency, dan material
weakness.

Pengauditan I - Sururi Halaman 30

 KOMUNIKASI SPI

• Auditor harus melaporkan secara tertulis

kepada manajemen temuan tentang celah
pengendalian (significant deficiency) dan
kelemahan material (material weakness).
• Tujuan pelaporan adalah agar kelemahan
SPI yang signifikan tersebut dapat segera
ditindaklanjuti oleh manajemen.
• Laporan ditujukan kepada komite audit
atau langsung ditujukan ke manajemen.

Pengauditan I - Sururi Halaman 31

 KOMUNIKASI SPI

• Kelemahan-kelemahan SPI yang tidak

signifikan dilaporan tersendiri melalui
surat terpisah yang disebut dengan
management letters.
• Management letters tidak diwajibkan oleh
standar audit, tetapi perlu dibuat sebagai
nilai tambah layanan audit laporan
keuangan (value-added service of the
audit).

Pengauditan I - Sururi Halaman 32

 PENGUJIAN PENGENDALIAN
• Pengujian pengendalian (tests of
controls) ditujukan untuk mengukur
tingkat efektifitas SPI.
• Pengujian pengendalian diperlukan
karena implementasi SPI bisa jadi
berbeda dengan standar SPI yang telah
ditetapkan, atau berbeda dengan yang
difahami oleh auditor.

Pengauditan I - Sururi Halaman 33

 PENGUJIAN PENGENDALIAN

• Prosedur pengujian SPI:

1. Wawancara dengan staf terkait.
2. Evaluasi dokumen, pembukuan, dan
laporan.
3. Observasi prosedur pengendalian,
terutama untuk kegiatan yang tidak
didokumentasikan.
4. Pengerjaan ulang prosedur SPI.

Pengauditan I - Sururi Halaman 34

LUAS PENGUJIAN PENGENDALIAN
Faktor-faktor yang mempengaruhi luas
pengujian pengendalian:
1. Asesmen risiko pengendalian pada tahap
perencanaan audit.
Jika asesmen risiko pengendalian ditetapkan
rendah (lower assessed control risk),
pengujian pengendalian akan lebih ekstensif
dengan bukti yang relatif lebih banyak, begitu
pula sebaliknya.

Pengauditan I - Sururi Halaman 35

 LUAS PENGUJIAN PENGENDALIAN

2. Pengalaman audit tahun sebelumnya, jika SPI telah

mengalami banyak perubahan, auditor harus
melakukan pengujian untuk memastikan
kecukupan dan efektifitas SPI yang baru.
3. Adanya risiko signifikan, yaitu risiko salah saji yang
dipandang perlu mendapatkan perhatian khusus
oleh auditor.
4. Hasil pengujian pengendalian digunakan untuk
mengukur risiko pengendalian, yaitu risiko salah
saji tidak dapat dideteksi dengan segera oleh
sistem pengendalian yang ada.

Pengauditan I - Sururi Halaman 36

 PENGUJIAN SUBSTANTIF

• Pengujian substantif adalah pengujian atas

kewajaran angka-angka dalam laporan
keuangan.
• Jumlah bukti dan kedalaman pengujian
substantif dipengaruhi oleh tingkat kualitas SPI
yang telah diuji melalui pengujian
pengendalian.
• Pengujian substantif dilakukan dengan cara
mencocokkan angka laporan dengan dokumen
pendukung dan standar akuntansi yang berlaku.

Pengauditan I - Sururi Halaman 37

 PENDEKATAN AUDIT
PRIMARILY LOWER ASSESSED
SUBSTANTIVE AUDIT STRATEGY LEVEL OF CONTROL
APPROACH RISK APPROACH

PLANNED ASSESSED LEVEL OF CONTROL RISK

1
COMPONENTS OF PRELIMINARY

MAX HIGH MODERATE LOW

AUDIT STRATEGIES

2
EXTENT OF UNDERSTANDING OF INTERNAL CONTROL
3 STRUCTURE

TEST OF CONTROL

4 PLANNED LEVEL
OF SUBSTANTIVE TESTS

COST OF COMBINED PROCEDURES

PRELIMINARY AUDIT STRATEGIES FOR

Pengauditan I - Sururi MATERIAL FINANCIAL STATEMENT ASSERTIONS Halaman 38
 PENDEKATAN AUDIT
Keterangan gambar:
• Terdapat dua alternatif pendekatan audit:
1. Pendekatan pengujian system pengendalian (the
lower assessed level of control risk approach),
digunakan pada saat:
A. SPI diprediksi memadai dan efektif
B. Volume transaksi relatif besar
2. Pendekatan pengujian substantif (primarily
substantive approach), digunakan pada saat:
A. SPI diprediksi kurang memadai dan tidak efektif,
ATAU
B. Volume transaksi rendah, sehingga lebih efisien
langsung melakukan pengujian substantif.
Pengauditan I - Sururi Halaman 39
 PENDEKATAN AUDIT
Keterangan gambar:
• Pada pendekatan pengujian pengendalian,
yang diperluas adalah pemahaman dan
pengjian SPI, sedangkan pada pendekatan
substantif, yang diperluas adalah pengujian
substantif, yaitu pengujian kewajaran
elemen laporan keuangan dengan acara
mengujia kesesuaian angka laporan
dengan bukti pendukung serta standar
akuntansi yang berlaku.

Pengauditan I - Sururi Halaman 40

 PELAPORAN PENGUJIAN PENGENDALIAN

• Di US untuk audit perusahaan publik,

auditor diwajibkan menerbitkan laporan
hasil pengujian pengendalian, secara
terpisah atau menjadi satu dengan
laporan atas audit laporan keuangan.
• Cakupan laporan pengujian SPI hanya
terbatas pada keyakian memadai bawah
kelemahan material (material weakness)
dalam SPI dapat diidentifikasi.

Pengauditan I - Sururi Halaman 41

 PELAPORAN PENGUJIAN PENGENDALIAN

Opini auditor atas hasil pengujian SPI:

1. Opini wajar tanpa pengecualian (unqualified
opinion), dikeluarkan pada kondisi:
 Material weakness tidak teridentifikasi
 Tidak ada pembatasan luas pemeriksaan
2. Opini tidak wajar (adverse opinion), dikeluarkan
pada saat auditor menemukan satu atau lebih
material weakness dalam SPI.
3. Opini dengan pengecualian atau menolak memberi
opini (qualified or disclaimer of opinion), dikeluarkan
pada saat auditor mengalami keterbatasan luas
pemeriksaan (scope limitation) dalam melakukan
pengujian pengendalian.
Pengauditan I - Sururi Halaman 42
 Terimakasih
(Bagian Terpenting Dalam Hidup)

Pengauditan I - Sururi Halaman 43