1
SISTEM PENGENDALIAN INTERNAL
• Sistem Pengendalian Internal (SPI)
adalah sistem yang dirancang untuk
mengendalikan kegiatan internal
organisasi atau entitas, agar tujuan
entitas dapat dicapai dengan efektif dan
efisien.
• Istilah lain kegiatan internal organisasi
adalah proses bisnis. Jadi SPI adalah
sistem untuk mengendalikan proses
bisnis.
2
SISTEM PENGENDALIAN INTERNAL
• Tujuan SPI dapat diringkas menjadi sbb.:
1. Menjamin keandalan laporan, baik
laporan manajerial maupun laporan
keuangan.
2. Menjamin efisiensi dan efektifitas
kegiatan operasional.
3. Menjamin kepatuhan terhadap kebijakan
manajemen.
4. Menjamin kepatuhan terhadap hukum
dan peraturan, serta komitmen terhadap
pihak luar organisasi.
3
SISTEM PENGENDALIAN INTERNAL
• SPI terdiri dari sejumlah unsur pengendalian, antara
lain:
1. Pemisahan fungsi
2. Otorisasi transaksi
3. Dokumen transaksi
4. Dokumen pembukuan (data base)
5. Dokumen laporan
6. Pengecekan independen
7. Teknologi informasi
8. SDM yang kompeten
9. Pemantauan periodik
4
TANGGUNG JAWAB SPI
• Manajemen bertanggungjawab penuh terhadap
perancangan dan implementasi SPI, terutama
untuk tujuan menjamin kemampuan
manajemen untuk menyusun laporan keuangan
sesuai dengan framework pelaporan keuangan,
seperti SAK atau IFRS.
• Konsep perancangan dan implementasi SPI:
1. Keyakinan memadai (reasonable assurance)
2. Keterbatasan bawaan (inherent limitation)
5
TANGGUNG JAWAB SPI
• Keyakinan memadai (reasonable assurance)
SPI dirancang hanya untuk mendapatkan
keyakinan memadai, bukan keyakinan
mutlak, terhadap kewajaran laporan
keuangan.
• Keterbatasan bawaan (inherent limitation)
SPI tidak akan pernah bisa 100% efektif,
sedetil apapun rancangan dan
implementasinya.
6
KETERBATASAN SPI
1. Kesalahan pengoperasian SPI (mistake in
judgment).
2. Kerusakan sistem atau teknologi pendukung
SPI (systems break-down).
3. Kolusi untuk mengelabuhi SPI, yang
dilakukan justru oleh unsur manajemen
dalam organisasi.
4. Pelanggaran SPI dengan sengaja oleh
manajemen (management override).
7
TANGGUNG JAWAB AUDITOR ATAS SPI
• Dalam audit laporan keuangan, auditor
bertanggungjawab untuk memahami dan
menguji SPI.
• Pemahaman dan pengujian SPI ditujukan
untuk mengukur:
1. Efektifitas pengendalian atas
transaksi.
2. Efektifitas pengendalian atas
keandalan laporan keuangan.
8
FRAMEWORK SPI COSO
• COSO (Committee of Sponsoring Organization)
adalah asosiasi profesi di US yang anggotanya terdiri
dari AAA (the American Accounting Association),
AICPA, IIA (the Institute of Internal Auditors), IMA
(the Institute of Management Accountants), dan FEI
(the Financial Executives Institute).
• COSO dibentuk untuk mengembangkan konsep
pengendalian internal, terutama untuk perusahaan
publik, yang jika terjadi salah kelola bisa berdampak
luas terhadap masyarakat.
9
FRAMEWORK SPI COSO
• COSO telah mengembangkan framework SPI
yang komponennya terdiri dari:
1. Lingkungan pengendalian (control
environment)
2. Asesmen risiko (risk assessment)
3. Aktifitas pengendalian (control activities)
4. Informasi dan komunikasi (information
and communication)
5. Monitoring
10
FRAMEWORK SPI COSO
• Implementasi komponen SPI COSO
harus didukung dengan bukti-bukti
dokumenter sehingga memungkinkan
untuk dilakukan audit atas kecukupan dan
efektifitasnya.
• Lingkungan pengendalian
Terdiri dari kebijakan, prosedur, dan
tindakan yang merefleksikan sikap mental
manajemen puncak serta seluruh
komponen organisasi.
11
FRAMEWORK SPI COSO
• Lingkungan pengendalian mencakup
beberapa hal sebagai berikut, yang
semuanya harus didukung dengan bukti-
bukti dokumenter:
1. Integritas dan nilai-nilai etika, bisa
dinyatakan dalam pernyataan
kebijakan (policy statement)
2. Komitmen terhadap kompetensi
3. Partisipasi dewan komisaris dan
komite audit
12
FRAMEWORK SPI COSO
4. Integritas dan nilai-nilai etika, bisa
dinyatakan dalam pernyataan
kebijakan (policy statement
5. Filosofi manajemen dan gaya
operasional, yaitu landasan pemikiran
manajemen serta cara manajemen
menjalankan aktifitas operasional
organisasi.
6. Struktur organisasi
7. Kebijakan dan praktik bidang SDM
13
FRAMEWORK SPI COSO
• Asesmen risiko (risk assessment), adalah
kesadaran dan kepedulian manajemen
terhadap risiko kesalahan, kecurangan, dan
inefisiensi dalam setiap proses bisnis yang
dijalaninya. Asesmen risiko diwujudkan oleh
manajemen dalam bentuk SPI (Sistem
Pengendalian Interen).
• Aktifitas pengendalian (control activities),
yaitu tindakan kongkrit untuk mengendalikan
risiko kesalahan, kecurangan, dan inefisiensi.
14
FRAMEWORK SPI COSO
Bentuk dari aktifitas pengendalian adalah:
1. Pemisahan fungsi
2. Otorisasi transaksi dan aktifitas bisnis
3. Dokumen transaksi dan pembukuan
4. Pengendalian akses fisik atas aset dan
pembukuan
5. Pengecekan independen atas kinerja
operasional
15
FRAMEWORK SPI COSO
Prinsip pemisahan fungsi:
1. Pemisahan fungsi penyimpanan aset dari
fungsi pembukuan
2. Pemisahan fungsi otorisasi dari fungsi
penyimpanan aset
3. Pemisahan fungsi TI dari fungsi penggunaan
TI
Pemisahan fungsi diperlukan untuk
meminimumkan potensi kecurangan melalui
penyalahgunaan wewenang dan tanggungjawab
16
FRAMEWORK SPI COSO
Otorisasi Transaksi
Otorisasi berfungsi untuk mencegah risiko
kecurangan melalui penyalahgunaan
wewenang dan tanggung jawab. Otorisasi
mencakup:
1. Otorisasi umum, yaitu otorisasi untuk
kegiatan rutin.
2. Otorisasi khusus, yaitu otorisasi untuk
kegiatan atau transaksi non rutin yang
berpengaruh signifikan terhadap
organisasi.
17
FRAMEWORK SPI COSO
Dokumen transaksi:
Prinsip dokumen transaksi mencakup:
1. Bernomor urut tercetak (prenumbered form)
2. Dibuat bersamaan dengan terjadinya
transaksi
3. Dirancang multi fungsi
4. Mudah dibuat, kecil potensi salah isi dan
potensi penyalahgunaan.
Dokumen berfungsi sebagai: alat perintah, alat
bukti, dan alat pengendalian/pengawasan.
18
FRAMEWORK SPI COSO
Pengecekan independen:
Adalah prosedur atau sistem yang dirancang untuk
mendeteksi kesalahan atau kecurangan sedini mungkin,
misalnya pencocokan user id dengan password dst.
Informasi dan komunikasi:
Adalah sistem untuk melancarkan arus informasi dan
komunikasi, baik untuk internal entitas maupun untuk
hubungan dengan lingkungan eksternal entitas.
Monitoring:
Adalah pemantauan atas kesesuaian SPI dengan
lingkungannya, yang berubah secara berkelanjutan.
19
PEMAHAMAN DAN DOKUMENTASI SPI
20
PEMAHAMAN DAN DOKUMENTASI SPI
21
ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian dibuat setelah
auditor memperoleh pemahaman SPI.
• Risiko pengendalian adalah risiko SPI tidak
mampu mencegah salah saji dengan segera,
baik karena kesalahan (error) maupun karena
kecurangan (fraud).
• Kesalahan atau kecurangan perlu dicegah
atau dideteksi dengan segera, karena jika
terlambat bisa berdampak pada kerugian
yang signifikan bagi entitas.
22
ASESMEN RISIKO PENGENDALIAN
• Asesmen risiko pengendalian merupakan
bagian daris asesmen risiko salah saji
dalam laporan keuangan secara
keseluruhan.
• Langkah-langkah dalam asesmen risiko
pengendalian:
1. Mengidentifikasi objek audit dan
tujuan audit
2. Mengidentikasi sistem pengendalian
yang ada.
23
ASESMEN RISIKO PENGENDALIAN
3. Menghubungkan sistem
pengendalian yang ada dengan objek
audit dan tujuan audit.
4. Mengidentifikasi dan mengevaluasi
celah pengendalian (control
deficiency), celah signifikan
(significan deficiency), dan
kelemahan material (material
weakness).
24
ASESMEN RISIKO PENGENDALIAN
5. Menghubungkan celah pengendalian dengan
objek audit dan tujuan audit.
6. Mengukur (melakukan asesmen) risiko
pengendalian untuk setiap objek audit dan
tujuan audit.
Deskripsi terminologi:
• Celah pengendalian (control deficiency),
adalah ketidakmampuan sistem pengendalian
untuk mencegah atau mendeteksi salah saji
dengan segera. Celah pengendalian terjadi pada
saat pengendalian yang diperlukan tidak ada
atau tidak dirancang dengan tepat.
25
ASESMEN RISIKO PENGENDALIAN
26
ASESMEN RISIKO PENGENDALIAN
27
ASESMEN RISIKO PENGENDALIAN
28
ASESMEN RISIKO PENGENDALIAN
29
KOMUNIKASI SPI
30
KOMUNIKASI SPI
31
PENGUJIAN PENGENDALIAN
• Pengujian pengendalian (tests of
controls) ditujukan untuk mengikur tingkat
efektifitas SPI.
• Pengujian pengendalian diperlukan
karena implementasi SPI bisa jadi
berbeda dengan standar SPI yang telah
ditetapkan, atau berbeda dengan yang
difahami oleh auditor.
32
PENGUJIAN PENGENDALIAN
33
LUAS PENGUJIAN PENGENDALIAN
Faktor-faktor yang mempengaruhi luas
pengujian pengendalian:
1. Asesmen risiko pengendalian pada tahap
perencanaan audit.
Jika asesmen risiko pengendalian ditetapkan
rendah (lower assessed control risk),
pengujian pengendalian akan lebih ekstensif
dengan bukti yang relatif lebih banyak, begitu
pula sebaliknya.
34
LUAS PENGUJIAN PENGENDALIAN
35
PENGUJIAN SUBSTANTIF
36
PENDEKATAN AUDIT
PRIMARILY LOWER ASSESSED
SUBSTANTIVE AUDIT STRATEGY LEVEL OF CONTROL
APPROACH RISK APPROACH
2
EXTENT OF UNDERSTANDING OF INTERNAL CONTROL
3 STRUCTURE
TEST OF CONTROL
4 PLANNED LEVEL
OF SUBSTANTIVE TESTS
38
PENDEKATAN AUDIT
Keterangan gambar:
• Pada pendekatan pengujian pengendalian,
yang diperluas adalah pemahaman dan
pengjian SPI, sedangkan pada pendekatan
substantif, yang diperluas adalah pengujian
substantif, yaitu pengujian kewajaran
elemen laporan keuangan dengan acara
mengujia kesesuaian angka laporan
dengan bukti pendukung serta standar
akuntansi yang berlaku.
39
PELAPORAN PENGUJIAN PENGENDALIAN
40
PELAPORAN PENGUJIAN PENGENDALIAN
42