PEMAHAMAN SPI

DAN PENILAIAN
RISIKO PENGENDALIAN

1
 Pengertian Pengendalian
Intern
 Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring
Organization). COSO terdiri atas:
IIA (Institute of Internal Auditors), AICPA (American
Institute of Certified Public Accountants), FEI
(Financial Executive Institute), AAA (American
Accounting Association), dan IMA (Institute of
Manajemen Accountants)

 Internal control adalah suatu proses, dijalankan oleh

dewan komisaris, managemen, dan karyawan lain dari
suatu entitas, dirancang untuk memberikan jaminan
memadai sehubungan dengan pencapaian tujuan.

2
 Tujuan Pendalian
Intern

Tujuan pengendalian intern:

Keandalan pelaporan keuangan (tujuan

pelaporan keuangan).

Efektivitas dan efesiensi operasional (tujuan

operasi).

Kepatuhan terhadap undang-undang dan

peraturan yang berlaku (tujuan kepatuhan).

3
 Tujuan Pendalian Intern
-yang relevan dengan audit

 Reliabilitas informasi keuangan

* PABU
 Efektivitas dan efesiensi operasional
* Pengamanan aset
* Pengurangan risiko bisnis
 Kepatuhan terhadap undang-undang dan
peraturan-peraturan yang berlaku
* Mendeteksi kesalahan dan ketidakberesan

4
Konsep Utama COSO
• Pengendalian intern merupakan suatu proses yang
berkelanjutan, suatu alat untuk mencapai tujuan,
bukan merupakan tujuan itu sendiri
• Pengendalian intern dipengaruhi oleh orang-orang
yang ada pada setiap tingkatan di organisasi, bukan
hanya merupakan kebijakan dan prosedur serta
dokumentasinya semata.
• Pengendalian intern tidak pernah bisa menghilangkan
risiko tetapi dapat memberikan keyakinan memadai
bahwa pengendalian telah berjalan untuk mengurangi
risiko.
 Keterbatasan Pendalian
Intern

Kesalahan dalam keputusan (kurang informasi,

kendala waktu, tekanan).
Breakdown (macet karena salah memahami
instruksi dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).
Management override (manajemen melanggar
pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan
pengendalian lebih besar dari manfaatnya).

6
 Komponen Pendalian
Intern
 Control Environment (Lingkungan
Pengendalian)
 Risk Assessment (Penilaian Risiko)
 Control Activities (Aktivitas Pengendalian)
 Information and Communication (Informasi
dan Komunikasi)
 Monitoring (Pemantauan)

7
 Komponen SPI

8
Komponen SPI
5)
Monitoring

w
Co
4) mu
t io n &
Fl o

m
I n ni c
i ca tio
n

fo
un rma

rm atio
at n F
1) Control
m m fo

io
Co 4 ) In

n low
Environment

&
2) Risk 4) Information & 3) Control
Assessmen Communication Activities
t Flow
Komponen SPI
 Hubungan Komponen SPI
dengan Aktivitas Organisasi

11
Lingkungan
Pengendalian

Lingkungan pengendalian terdiri dari

tindakan, kebijakan, prosedur yang
mencerminkan sikap keseluruhan top
manajemen, direktur, dan pemilik
suatu perusahaan terhadap
pengendalian dan pentingnya
pengendalian tersebut bagi
perusahaan.
Lingkungan
Pengendalian
Unsur-unsur yang perlu dipahami dan dinilai
oleh auditor:
1. Integritas dan nilai etika
2. Komitmen terhadap kompetensi
3. Partisipasi dewan komisaris dan komite audit
4. Filosofi dan gaya operasi
5. Struktur Organisasi
6. Pemberian wewenang dan tanggung jawab
7. Kebijakan dan praktik SDM
Penaksiran Risiko

Mekanisme untuk
mengidentifikasikan,
menganalisis, dan
mengelola berbagai risiko
dalam organisasi atau
perusahaan dihubungkan
dengan tujuan yang ingin
dicapai
 Analisis Risiko

Risk Risk Risk

Assessment Management Monitoring

Identification Control it Process

Level

Measurement Share or Activity

Transfer it Level

Prioritization Diversify or Entity level

Avoid it
Penaksiran Risiko
Risiko bisa muncul karena:
 Perubahan lingkungan operasional
 Personel baru
 Sistem informasi baru atau perubahan sistem
informasi
 Pertumbuhan cepat
 Tehnologi baru
 Produk atau aktivitas baru
 Restrukturisasi korporasi
 Operasional luar negeri
 PSAK baru
Penaksiran Risiko

High Medium Risk High Risk

I
M Share Mitigate & Control
P
A Low Risk Medium Risk
C
T
Accept Control

Low PROBABILITY High

Penilaian Risiko
Contoh: Call Center Risk Assessment
High Medium Risk High Risk
• Loss of phones • Customer has a long wait
Loss of computers Customer can’t get through
I
• •
• Customer can’t get answers
M
P
A Low Risk Medium Risk
C
Fraud • Entry errors
T •
• Lost transactions • Equipment obsolescence
• Employee morale • Repeat calls for same problem

Low PROBABILITY High

Penilaian Risiko

Auditor harus memperoleh pengetahuan tentang

proses penaksiran risiko untuk memahami
bagaimana manajemen mempertimbangkan
risiko.

Tujuan penaksiran risiko adalah untuk menilai,

mengelola, dan memonitor risiko yang berdampak
bagi entitas.
 Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan
prosedur yang membantu memastikan bahwa
arahan manajemen dilaksanakan. Aktivitas
pengendalian meliputi:
Review kinerja
Pengolahan informasi
Pengendalian fisik
Pemisahan tugas

20
 Aktivitas Pengendalian – Review
Kinerja

Analisis laporan ikhtisar rincian saldo akun

Analisis realisasi dengan anggaran,
prakiraan, atau periode yang lalu
Analisis hubungan seperangkat data
seperti antara data nonkeuangan dengan
data keuangan

21
 Aktivitas Pengendalian – Pengolahan
Informasi
 General Control
Pengendalian organisasi dan operasional
Pengendalian pengembangan sistem dan dokumentasi
Pengendalian perangkat keras dan lunak
Pengendalian akses
Pengendalian data dan prosedural
 Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check, sequence
test, process tracing data.
Pengendalian Output: pihak yang berhak memperoleh hasil,
perbandingan dengan dokumen sumber, visual scanning

22
 Aktivitas Pengendalian –
Pengendalian Fisik

Direct physical control

Indirect physical control
Penghitungan berkala terhadap aset

23
 Aktivitas Pengendalian – Pemisahan
Tugas
 Seseorang tidak boleh melakukan tugas yang
tidak kompatibel
 Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
 Pemisahan bagian IT dengan pengguna.
Pemisahan dalam bagian IT:
 Pengembangan sistem
 Operation
 Data control
 Securities administration

24
Informasi dan
Komunikasi
Sistem informasi dan komunikasi
memungkinkan orang dalam organisasi untuk
mendapatkan dan berbagi informasi yang
diperlukan untuk mengelola, melaksanakan,
dan mengendalikan kegiatan operasi.

Contoh:
 Memperoleh informasi internal dan eksternal
untuk diolah dan disajikan kpd manajemen
 Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
 Informasi dan
Komunikasi

Down: Top Up:

Goals /objectives Management Progress reports
Directives Problem identification
Policies Improvement
/procedures Senior Managers suggestions

Supervisors

Line staff

Across: Daily work information—all

levels
 Informasi dan
Komunikasi
 Transaksi
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
 Audit atau transaction trail
 Dokumen dan catatan

27
 Informasi dan
Komunikasi
Auditor harus memperoleh pengetahuan
tentang:
 Golongan transaksi
 Bagaimana transaksi dimulai
 Catatan akuntansi dan informasi pendukung
 Pengolahan akuntansi sejak transaksi sampai
dengan laporan keuangan

28
 Monitoring
Pengawasan oleh manajemen dan pegawai lain
yang ditunjuk atas pelaksanaan tugas sebagai
penilaian terhadap kualitas dan efektivitas
sistem pengendalian internal

Ongoing activities
Problem solution
Separate periodic evaluations
Internal auditor’s assessment

29
Monitoring

Regular Regular
Activities Activities

On-going On-going
monitoring monitoring
Progress check Observations
Performance Recording
improvements
Regular Regular
Activities Activities
 Prosedur untuk
Memahami SPI
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor, dan
staff personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas

31
 Dokumentasi Pemahaman
SPI
 Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang
pengendalian internal yang diperlukan untuk
mencegah salahsaji material

 Bagan alir
Diagram sistematik dengan memakai simbol
standar, garis penghubung dan penjelasan

 Memoranda
Komentar tertulis auditor tentang pengendalian
internal

32
Questionnaire
Narrative Memoranda
 MENILAI CR

35
 Pengertian CR
Risiko bahwa pengendalian intern tidak
mampu mencegah dan mendeteksi
salah saji.

Penilaian CR berdampak terhadap

rancangan substantive test:
Sifat
Saat
Waktu

36
Alasan Menilai
CR
CR untuk Setiap
Asersi
CR ditentukan untuk setiap asersi; asersi untuk
setiap komponen pengendalian intern.
Tahapan dalam Menilai
CR
Prosedur untuk Menilai
CR
 Pengajuan pertanyaan (enquiry): mengajukan
pertanyaan kepada berbagai pihak dalam lini
manajemen sesuai kebutuhan.
 Pengamatan / observasi (observation): auditor
mengamati aktivitas yang sedang terjadi.
 Inspeksi (inspection) : memeriksa dokumen dan
catatan.
 Mengerjakan ulang: auditor menjalankan aplikasi
yang digunakan perusahaan.
Perbedaan TOC dan ST
Perbedaan TOC dan ST
 Lingkungan SIK
 Suatu lingkungan SIK (sistem informasi
komputer) ada apabila komputer dengan tipe
dan ukuran apapun digunakan dalam
pengolahan informasi keuangan suatu entitas
yang signifikan bagi audit, terlepas apakah
komputer tersebut dioperasikan oleh entitas
tersebut atau pihak ketiga.
 Karakteristik organisasi SIK
 Pemusatan fungsi dan pengetahuan
 Pemusatan program dan data

43
 Sifat Pengolahan dan Aspek Desain dalam
SIK

Sifat pengolahan dalam SIK:

 Tidak ada dokumen masukan
 Tidak ada jejak transaksi (transaction trail)
 Tidak ada keluaran yang dapat dilihat dengan
mata
Aspek desain dan prosedur dalam SIK:
 Kinerja konsisten
 Prosedur pengendalian terprogram
 Pemutakhran transaksi ke database file
komputer
 Transaksi ada yang ditimbulkan oleh sistem
44
 Media penyimpanan data dan program rentan
 Pengendalian dalam
Lingkungan SIK

Pengendalian umum SIK

 Pengendalian organisasi dan manajemen
 Pengendalian terhadap pengembangan dan
pemeliharaan sistem aplikasi
 Pengendalian terhadap operasi sistem
 Pengendalian terhadap perangkat lunak sistem
 Pengendalian terhadap entry data dan program

45
 Pengendalian dalam
Lingkungan SIK

Pengendalian aplikasi SIK

 Pengendalian atas masukan: otorisasi transaksi,
konversi transaksi agar bisa dibaca oleh mesin,
transaksi tidak diubah oleh pihak yang tidak
berhak, transaksi yang keliru ditolak.
 Pengendalian atas pengolahan: transaksi diolah
semestinya oleh sistem, transaksi tidak diubah
atau hilang secara tidak semestinya, kekeliruan
diidentifikasi dan dikoreksi dengan tepat waktu.
 Pengendalian atas keluaran: hasil pengolahan
cermat, akses dibatasi ke pihak yang berhak,
keluaran tersedia tepat waktu.
46
 Pengendalian dalam
Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
 Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
 Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
 Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
47
keluaran didistribusi ke personel yang berhak.
 Pengendalian dalam
Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
 Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
 Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
 Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
48
keluaran didistribusi ke personel yang berhak.
 Review Pengendalian di Lingkungan SIK oleh
Auditor

Review Pengendalian Umum

 Auditor mereview pengendalian umum untuk

memastikan apakah pengendalian menyeluruh
atas aktivitas SIK dapat memberikan tingkat
keyakinan memadai bahwa tujuan pengendalian
tercapai.

49
 Review Pengendalian di Lingkungan SIK oleh
Auditor
Review Pengendalian Aplikasi
 Auditor menguji pengendalian manual. Misalnya menguji
manual masukan gaji, perhitungan gaji bersih,
persetujuan pembayaran, perbandingan ke daftar gaji,
dan rekonsiliasi ke bank (audit around the computer).
 Auditor menguji pengendalian keluaran sistem. Misalnya
auditor menguji jumlah di laporan ke buku besar dan
buku pembantu (audit around the computer)..
 Auditor menguji pengendalian program. Auditor
menggunakan teknik audit berbantuan komputer untuk
menguji pengendalian. Misalnya:
 Test Data (Data Uji), yaitu pengujian pengendalian
aplikasi dengan menginput transaksi dummy
(transaksi departemen atau karyawan) ke sistem
aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan.
Setelah itu transaksi uji dihapus (audit through the
computer).
50  Audit Software (auditor menggunakan softwarenya
Auditing Around the Computer

Auditor berkonsentrasi pada input dan

output, mengabaikan bagai proses data
oleh komputer (komputer dianggap
sebagai black box). Seperti audit manual.
Client
Client Accounting Output
Input Application

Auditor’s Compare
Predetermined with
Output Client
Output
Auditing Through the
Computer
 Pengujian langsung ke pengendalian program yang digunakan dalam
aplikasi. Auditor mengamati control function dari program aplikasi.
Menguji secara langsung ke komputer klien.

Accounting
Application
Master File 1 Master File 2

Auditor’s Compare
Predetermined with
Output Client
Output
Auditing With the Computer
 Pengujian pengendalian intern tidak dilakukan secara langsung
pada komputer yang ada melainkan dengan menggunakan
komputer dan aplikasi yang berbeda. Pendekatan audit ini
biasanya banyak memanfaatkan berbagai Teknik Audit
Berbantuan Komputer (TABK) atau Computer Assisted Audit &
Techniques (CAATs).
 Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit
namun dengan memanfaatkan database yang sama dengan
yang digunakan oleh sistem yang diaudit.
 Auditor akan menguji apakah hasil dari proses yang
dilakukannya menggunakan aplikasinya sendiri atas database
yang diambil dari sistem yang diaudit akan memberikan
memberikan hasil output yang sama seperti halnya jika
database tersebut diprosesleh aplikasi yang diaudit.