SISTEM PENGENDALIAN INTERNAL

1
 SISTEM PENGENDALIAN INTERNAL
• Sistem Pengendalian Internal (SPI)
adalah sistem yang dirancang untuk
mengendalikan kegiatan internal
organisasi atau entitas, agar tujuan
entitas dapat dicapai dengan efektif dan
efisien.
• Istilah lain kegiatan internal organisasi
adalah proses bisnis. Jadi SPI adalah
sistem untuk mengendalikan proses
bisnis.
2
 SISTEM PENGENDALIAN INTERNAL
• Tujuan SPI dapat diringkas menjadi sbb.:
1. Menjamin keandalan laporan, baik
laporan manajerial maupun laporan
keuangan.
2. Menjamin efisiensi dan efektifitas
kegiatan operasional.
3. Menjamin kepatuhan terhadap kebijakan
manajemen.
4. Menjamin kepatuhan terhadap hukum
dan peraturan, serta komitmen terhadap
pihak luar organisasi.
3
 SISTEM PENGENDALIAN INTERNAL
• SPI terdiri dari sejumlah unsur pengendalian, antara
lain:
1. Pemisahan fungsi
2. Otorisasi transaksi
3. Dokumen transaksi
4. Dokumen pembukuan (data base)
5. Dokumen laporan
6. Pengecekan independen
7. Teknologi informasi
8. SDM yang kompeten
9. Pemantauan periodik

4
 TANGGUNG JAWAB SPI
• Manajemen bertanggungjawab penuh terhadap
perancangan dan implementasi SPI, terutama
untuk tujuan menjamin kemampuan
manajemen untuk menyusun laporan keuangan
sesuai dengan framework pelaporan keuangan,
seperti SAK atau IFRS.
• Konsep perancangan dan implementasi SPI:
1. Keyakinan memadai (reasonable assurance)
2. Keterbatasan bawaan (inherent limitation)

5
 TANGGUNG JAWAB SPI
• Keyakinan memadai (reasonable assurance)
SPI dirancang hanya untuk mendapatkan
keyakinan memadai, bukan keyakinan
mutlak, terhadap kewajaran laporan
keuangan.
• Keterbatasan bawaan (inherent limitation)
SPI tidak akan pernah bisa 100% efektif,
sedetil apapun rancangan dan
implementasinya.

6
 KETERBATASAN SPI
1. Kesalahan pengoperasian SPI (mistake in
judgment).
2. Kerusakan sistem atau teknologi pendukung
SPI (systems break-down).
3. Kolusi untuk mengelabuhi SPI, yang
dilakukan justru oleh unsur manajemen
dalam organisasi.
4. Pelanggaran SPI dengan sengaja oleh
manajemen (management override).

7
TANGGUNG JAWAB AUDITOR ATAS SPI
• Dalam audit laporan keuangan, auditor
bertanggungjawab untuk memahami dan
menguji SPI.
• Pemahaman dan pengujian SPI ditujukan
untuk mengukur:
1. Efektifitas pengendalian atas
transaksi.
2. Efektifitas pengendalian atas
keandalan laporan keuangan.

8
 FRAMEWORK SPI COSO
• COSO (Committee of Sponsoring Organization)
adalah asosiasi profesi di US yang anggotanya terdiri
dari AAA (the American Accounting Association),
AICPA, IIA (the Institute of Internal Auditors), IMA
(the Institute of Management Accountants), dan FEI
(the Financial Executives Institute).
• COSO dibentuk untuk mengembangkan konsep
pengendalian internal, terutama untuk perusahaan
publik, yang jika terjadi salah kelola bisa berdampak
luas terhadap masyarakat.

9
 FRAMEWORK SPI COSO
• COSO telah mengembangkan framework SPI
yang komponennya terdiri dari:
1. Lingkungan pengendalian (control
environment)
2. Asesmen risiko (risk assessment)
3. Aktifitas pengendalian (control activities)
4. Informasi dan komunikasi (information
and communication)
5. Monitoring

10
 FRAMEWORK SPI COSO
• Implementasi komponen SPI COSO
harus didukung dengan bukti-bukti
dokumenter sehingga memungkinkan
untuk dilakukan audit atas kecukupan dan
efektifitasnya.
• Lingkungan pengendalian
Terdiri dari kebijakan, prosedur, dan
tindakan yang merefleksikan sikap mental
manajemen puncak serta seluruh
komponen organisasi.
11
 FRAMEWORK SPI COSO
• Lingkungan pengendalian mencakup
beberapa hal sebagai berikut, yang
semuanya harus didukung dengan bukti-
bukti dokumenter:
1. Integritas dan nilai-nilai etika, bisa
dinyatakan dalam pernyataan
kebijakan (policy statement)
2. Komitmen terhadap kompetensi
3. Partisipasi dewan komisaris dan
komite audit
12
 FRAMEWORK SPI COSO
4. Integritas dan nilai-nilai etika, bisa
dinyatakan dalam pernyataan
kebijakan (policy statement
5. Filosofi manajemen dan gaya
operasional, yaitu landasan pemikiran
manajemen serta cara manajemen
menjalankan aktifitas operasional
organisasi.
6. Struktur organisasi
7. Kebijakan dan praktik bidang SDM
13
 FRAMEWORK SPI COSO
• Asesmen risiko (risk assessment), adalah
kesadaran dan kepedulian manajemen
terhadap risiko kesalahan, kecurangan, dan
inefisiensi dalam setiap proses bisnis yang
dijalaninya. Asesmen risiko diwujudkan oleh
manajemen dalam bentuk SPI (Sistem
Pengendalian Interen).
• Aktifitas pengendalian (control activities),
yaitu tindakan kongkrit untuk mengendalikan
risiko kesalahan, kecurangan, dan inefisiensi.
14
 FRAMEWORK SPI COSO
Bentuk dari aktifitas pengendalian adalah:
1. Pemisahan fungsi
2. Otorisasi transaksi dan aktifitas bisnis
3. Dokumen transaksi dan pembukuan
4. Pengendalian akses fisik atas aset dan
pembukuan
5. Pengecekan independen atas kinerja
operasional

15
 FRAMEWORK SPI COSO
Prinsip pemisahan fungsi:
1. Pemisahan fungsi penyimpanan aset dari
fungsi pembukuan
2. Pemisahan fungsi otorisasi dari fungsi
penyimpanan aset
3. Pemisahan fungsi TI dari fungsi penggunaan
TI
Pemisahan fungsi diperlukan untuk
meminimumkan potensi kecurangan melalui
penyalahgunaan wewenang dan tanggungjawab
16
 FRAMEWORK SPI COSO
Otorisasi Transaksi
Otorisasi berfungsi untuk mencegah risiko
kecurangan melalui penyalahgunaan
wewenang dan tanggung jawab. Otorisasi
mencakup:
1. Otorisasi umum, yaitu otorisasi untuk
kegiatan rutin.
2. Otorisasi khusus, yaitu otorisasi untuk
kegiatan atau transaksi non rutin yang
berpengaruh signifikan terhadap
organisasi.

17
 FRAMEWORK SPI COSO
Dokumen transaksi:
Prinsip dokumen transaksi mencakup:
1. Bernomor urut tercetak (prenumbered form)
2. Dibuat bersamaan dengan terjadinya
transaksi
3. Dirancang multi fungsi
4. Mudah dibuat, kecil potensi salah isi dan
potensi penyalahgunaan.
Dokumen berfungsi sebagai: alat perintah, alat
bukti, dan alat pengendalian/pengawasan.

18
 FRAMEWORK SPI COSO
Pengecekan independen:
Adalah prosedur atau sistem yang dirancang untuk
mendeteksi kesalahan atau kecurangan sedini mungkin,
misalnya pencocokan user id dengan password dst.
Informasi dan komunikasi:
Adalah sistem untuk melancarkan arus informasi dan
komunikasi, baik untuk internal entitas maupun untuk
hubungan dengan lingkungan eksternal entitas.
Monitoring:
Adalah pemantauan atas kesesuaian SPI dengan
lingkungannya, yang berubah secara berkelanjutan.

19
PEMAHAMAN DAN DOKUMENTASI SPI

• Pemahaman SPI dapat diperoleh melalui:

1. Kuesioner
2. Pemutakhiran dan evaluasi
pengalaman dari penugasan audit
sebelumnya
3. Wawancara dengan staf yang relevan
4. Evaluasi atas dokumen dan
pembukuan
5. Observasi aktifitas operasional
6. Observasi sistem informasi akuntansi

20
PEMAHAMAN DAN DOKUMENTASI SPI

• Dokumentasi pemahaman SPI dapat

dibuat dalam bentuk:
1. Narasi atau uraian tertulis
2. Bagan alir (gambar)
3. Kuesioner yang sudah terisi

21
 ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian dibuat setelah
auditor memperoleh pemahaman SPI.
• Risiko pengendalian adalah risiko SPI tidak
mampu mencegah salah saji dengan segera,
baik karena kesalahan (error) maupun karena
kecurangan (fraud).
• Kesalahan atau kecurangan perlu dicegah
atau dideteksi dengan segera, karena jika
terlambat bisa berdampak pada kerugian
yang signifikan bagi entitas.
22
 ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian merupakan
bagian daris asesmen risiko salah saji
dalam laporan keuangan secara
keseluruhan.
• Langkah-langkah dalam asesmen risiko
pengendalian:
1. Mengidentifikasi objek audit dan
tujuan audit
2. Mengidentikasi sistem pengendalian
yang ada.
23
ASESMEN RISIKO PENGENDALIAN
3. Menghubungkan sistem
pengendalian yang ada dengan objek
audit dan tujuan audit.
4. Mengidentifikasi dan mengevaluasi
celah pengendalian (control
deficiency), celah signifikan
(significan deficiency), dan
kelemahan material (material
weakness).

24
 ASESMEN RISIKO PENGENDALIAN
5. Menghubungkan celah pengendalian dengan
objek audit dan tujuan audit.
6. Mengukur (melakukan asesmen) risiko
pengendalian untuk setiap objek audit dan
tujuan audit.
Deskripsi terminologi:
• Celah pengendalian (control deficiency),
adalah ketidakmampuan sistem pengendalian
untuk mencegah atau mendeteksi salah saji
dengan segera. Celah pengendalian terjadi pada
saat pengendalian yang diperlukan tidak ada
atau tidak dirancang dengan tepat.
25
 ASESMEN RISIKO PENGENDALIAN

Celah operasional (operational

deficiency) terjadi pada saat sistem
pengendalian yang dirancang dengan baik
gagal dioperasikan atau pada saat
operator sistem kurang kompeten atau
tidak diberi otorisasi dengan tepat.
• Celah significan (significant
deficiency), terjadi pada saat terdapat
satu atau lebih celah pengendalian, tetapi
sifatnya belum pervasive atau akut.

26
 ASESMEN RISIKO PENGENDALIAN

• Kelemahan material (material

weakness), terjadi pada saat
terdapat beberapa celah
pengendalian yang signifikan atau
akut, yang bisa membuat salah saji
material dalam laporan keuangan
tidak dapat dicegah dan dideteksi
dengan segera.

27
 ASESMEN RISIKO PENGENDALIAN

Lima cara deteksi deficiencies, significant

deficiencies, dan material weakness:
1. Identifikasi SPI yang ada.
2. Identifikasi sistem pengendalian utama
atau penting yang tidak ada.
3. Identifikasi eksistensi alternatif
pengendalian (compensating control)
untuk mengganti pengendalian utama
yang tidak ada.

28
 ASESMEN RISIKO PENGENDALIAN

4. Buat kesimpulan potensi adanya

significant deficiency atau material
weakness.
5. Buat kesimpulan tentang potensi salah
saji yang dapat terjadi, yang disebabkan
oleh adanya control deficiency,
signifincant deficiency, dan material
weakness.

29
 KOMUNIKASI SPI

• Auditor harus melaporkan secara tertulis

kepada manajemen temuan tentang celah
pengendalian (significant deficiency) dan
kelemahan material (material weakness).
• Tujuan pelaporan adalah agar kelemahan
SPI yang signifikan tersebut dapat segera
ditindaklanjuti oleh manajemen.
• Laporan ditujukan kepada komite audit
atau langsung ditujukan ke manajemen.

30
 KOMUNIKASI SPI

• Kelemahan-kelemahan SPI yang tidak

signifikan dilaporan tersendiri melalui
surat terpisah yang disebut dengan
management letters.
• Management letters tidak diwajibkan oleh
standar audit, tetapi perlu dibuat sebagai
nilai tambah layanan audit laporan
keuangan (value-added service of the
audit).

31
 PENGUJIAN PENGENDALIAN
• Pengujian pengendalian (tests of
controls) ditujukan untuk mengikur tingkat
efektifitas SPI.
• Pengujian pengendalian diperlukan
karena implementasi SPI bisa jadi
berbeda dengan standar SPI yang telah
ditetapkan, atau berbeda dengan yang
difahami oleh auditor.

32
 PENGUJIAN PENGENDALIAN

• Prosedur pengujian SPI:

1. Wawancara dengan staf terkait.
2. Evaluasi dokumen, pembukuan, dan
laporan.
3. Observasi prosedur pengendalian,
terutama untuk kegiatan yang tidak
didokumentasikan.
4. Pengerjaan ulang prosedur SPI.

33
LUAS PENGUJIAN PENGENDALIAN
Faktor-faktor yang mempengaruhi luas
pengujian pengendalian:
1. Asesmen risiko pengendalian pada tahap
perencanaan audit.
Jika asesmen risiko pengendalian ditetapkan
rendah (lower assessed control risk),
pengujian pengendalian akan lebih ekstensif
dengan bukti yang relatif lebih banyak, begitu
pula sebaliknya.

34
 LUAS PENGUJIAN PENGENDALIAN

2. Pengalaman audit tahun sebelumnya, jika SPI telah

mengalami banyak perubahan, auditor harus
melakukan pengujian untuk memastikan
kecukupan dan efektifitas SPI yang baru.
3. Adanya risiko signifikan, yaitu risiko salah saji yang
dipandang perlu mendapatkan perhatian khusus
oleh auditor.
4. Hasil pengujian pengendalian digunakan untuk
mengukur risiko pengendalian, yaitu risiko salah
saji tidak dapat dideteksi dengan segera oleh
sistem pengendalian yang ada.

35
 PENGUJIAN SUBSTANTIF

• Pengujian substantif adalah pengujian atas

kewajaran angka-angka dalam laporan
keuangan.
• Jumlah bukti dan kedalaman pengujian
substantif dipengaruhi oleh tingkat kualitas SPI
yang telah diuji melalui pengujian
pengendalian.
• Pengujian substantif dilakukan dengan cara
mencocokkan angka laporan dengan dokumen
pendukung dan standar akuntansi yang berlaku.

36
 PENDEKATAN AUDIT
PRIMARILY LOWER ASSESSED
SUBSTANTIVE AUDIT STRATEGY LEVEL OF CONTROL
APPROACH RISK APPROACH

PLANNED ASSESSED LEVEL OF CONTROL RISK

1
COMPONENTS OF PRELIMINARY

MAX HIGH MODERATE LOW

AUDIT STRATEGIES

2
EXTENT OF UNDERSTANDING OF INTERNAL CONTROL
3 STRUCTURE

TEST OF CONTROL

4 PLANNED LEVEL
OF SUBSTANTIVE TESTS

COST OF COMBINED PROCEDURES

PRELIMINARY AUDIT STRATEGIES FOR

37
MATERIAL FINANCIAL STATEMENT ASSERTIONS
 PENDEKATAN AUDIT
Keterangan gambar:
• Terdapat dua alternatif pendekatan audit:
1. Pendekatan pengujian sistem (the lower assessed
level of control risk approach), digunakan pada saat:
A. SPI diprediksi memadai dan efektif
B. Volume transaksi relatif besar
2. Pendekatan pengujian substantif (primarily
substantive approach), digunakan pada saat:
A. SPI diprediksi kurang memadai dan tidak
efektif, ATAU
B. Volume transaksi rendah, sehingga lebih efisien
langsung melakukan pengujian substantif.

38
 PENDEKATAN AUDIT
Keterangan gambar:
• Pada pendekatan pengujian pengendalian,
yang diperluas adalah pemahaman dan
pengjian SPI, sedangkan pada pendekatan
substantif, yang diperluas adalah pengujian
substantif, yaitu pengujian kewajaran
elemen laporan keuangan dengan acara
mengujia kesesuaian angka laporan
dengan bukti pendukung serta standar
akuntansi yang berlaku.

39
 PELAPORAN PENGUJIAN PENGENDALIAN

• Di US untuk audit perusahaan publik,

auditor diwajibkan menerbitkan laporan
hasil pengujian pengendalian, secara
terpisah atau menjadi satu dengan
laporan atas audit laporan keuangan.
• Cakupan laporan pengujian SPI hanya
terbatas pada keyakian memadai bawah
kelemahan material (material weakness)
dalam SPI dapat diidentifikasi.

40
 PELAPORAN PENGUJIAN PENGENDALIAN

Opini auditor atas hasil pengujian SPI:

1. Opini wajar tanpa pengecualian (unqualified
opinion), dikeluarkan pada kondisi:
 Material weakness tidak teridentifikasi
 Tidak ada pembatasan luas pemeriksaan
2. Opini tidak wajar (adverse opinion), dikeluarkan
pada saat auditor menemukan satu atau lebih
material weakness dalam SPI.
3. Opini dengan pengecualian atau menolak memberi
opini (qualified or disclaimer of opinion), dikeluarkan
pada saat auditor mengalami keterbatasan luas
pemeriksaan (scope limitation) dalam melakukan
pengujian pengendalian.
41
 Terimakasih
(Bagian Terpenting Dalam Hidup)

42