Audit atas Pengendalian Internal dan Risiko Pengendalian

Tujuan Pengendalian Internal

Manajemen memiliki tiga tujuan umum dalam merancang sistem pengendalian internal
yang efektif :

1. Reliabilitas pelaporan keuangan. Tujuan pengendalian internal yang efektif atas

pelaporan keuangan adalah memenuhi tanggung jawab pelaporan keuangan tersebut.

2. Efesiensi dan efektivitas operasi. Tujuan yang penting dari pengendalian ini adalah
memperoleh informasi keuangan dan nonkeuangan yang akurat tentang operasi
perusahaan untuk keperluan pengambilan keputusan.

3. Ketaatan pada hukum dan peraturan. Selain mematuhi ketentuan hukum dalam
Section 404, organisasi-organisasi publik, nonpublik, dan nirlaba diwajibkan menaati
berbagai hukum dan peraturan.

Tanggung Jawab Manajemen dan Auditor atas Pengendalian

Internal
 Tanggung Jawab Manajemen untuk Menetapkan Pengendalian Internal

Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian
internal :

1. Kepastian yang Layak. Perusahaan harus mengembangkan pengendalian internal

yang akan memberikan kepastian yang layak, tetapi bukan absolut, bahwa laporan
keuangan telah disajikan secara wajar.

2. Keterbatasan Inheren. Pengendalian internal tidak akan pernah bisa efektif 100%,
tanpa menghiraukan kecermatan yang diterapkan dalam perancangan dan
implementasinya.

 Tanggung Jawab Pelaporan oleh Manajemen Menurut Section 404

Laporan pengendalian internal mencakup hal-hal sebagai berikut :

• Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan

menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.

• Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur pelaporan
 keuangan per akhir tahun fiskal perusahaan.

Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri

dari dua komponen utama, yaitu :

1. Rancangan pengendalian internal.

2. Efektivitas pelaksanaan pengendalian.

 Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Pengetahuan tentang pengendalian internal klien dicantumkan terpisah dalam standar

auditing yang berlaku umum, yaitu :

• Pengendalian atas reabilitas pelaporan keuangan. Auditor berfokus pada

pengendalian yang berhubungan dengan perhatian manajemen yang pertama dalam
pengendalian internal.

• Pengendalian atas kelas-kelas transaksi. Auditor menekankan pengendalian

internal atas kelas-kelas transaksi, dan bukan saldo akun, karena keakuratan output
sistem akuntansi (saldo akun) sangat tergantung pada keakuratan input dan
pemrosesan (transaksi).

 Tanggung Jawab Auditor untuk Menguji Pengendalian Internal

Section 404 mensyaratkan bahwa auditor menegaskan dan menerbitkan laporan

mengenai penilaian manajemen terhadap pengendalian internal atas pelaporan keuangan,
auditor harus memahami dan melakukan pengujian atas pengendalian untuk semua saldo
akun, kelas transaksi, dan pengungkapan yang signifikan, serta asersi terkait dalam laporan
keuangan.

Komponen Pengendalian Internal COSO

Kerangka kerja pengendalian internal yang paling luas diterima di Amerika Serikat,
menguraikan lima komponen pengendalian internal yang dirancang dan diimplementasikan
oleh manajemen untuk memberikan kepastian yang layak bahwa tujuan pengendaliaannya
akan tercapai.
 Komponen pengendalian internal COSO meliputi hal-hal berikut ini :

Lingkungan
Pengendalian
Informasi
Aktivitas
Penilaia dan Pemantau
Pengendal
n Risiko ian
Komunik an
asi

Lingkungan Pengendalian
Lingkungan pengendalian terdiri atas tindakan, kebijakan, dan prosedur yang
mencerminkan sikap manajemen puncak, para direktur, dan pemilik entitas secara
keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu.
Subkomponen pengendalian yang paling penting :

• Integritas dan Nilai-nilai Etis. Integritas dan nilai-nilai etis adalah produk dari
standar etika dan perilaku entitas, serta bagaimana standar itu dikomunikasikan dan
diberlakukan dalam praktik,

• Komitmen pada Kompetensi. Komitmen pada kompetensi meliputi pertimbangan

manajemen tentang tingkat kompetensi bagi pekerja tertentu, dan bagaimana
tingkatan tersebut diterjemahkan menjadi keterampilan dan pengetahuan yang
diperlukan.

• Partisipasi Dewan Komisaris atau Komite Audit. Dewan komisaris berperan

penting dalam tata kelola korporasi yang efektif karena memikul tanggung jawab
akhir untuk memastikan bahwa manajemen telah mengimplementasikan pengendalian
internal dan proses pelaporan keuangan yang layak.

• Filosofi dan Gaya Operasi Manajemen. Memahami aspek ini serta aspek-aspek
serupa dalam filosofi dan gaya operasi manajemen akan membuat auditor dapat
merasakan sikap manajemen tentang pengendalian internal.

• Struktur Organisasi. Struktur organisasional entitas menentukan garis-garis

 tanggung jawab dan kewenangan yang ada.

• Kebijakan dan Praktik Sumber Daya Manusia. Aspek paling penting dari
pengendalian internal adalah personil.

Penilaian Risiko
Tindakan yang dilakukan manajemen untuk mengidentifikasi dan
menganalisis risiko-risiko yang relevan dengan penyusunan laporan keuangan yang sesuai
dengan GAAP.

Aktivitas Pengendalian
Kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya,
yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani
risiko guna mencapai tujuan entitas.

Aktivitas pengendalian dibagi menjadi lima jenis berikut :

1. Pemisahan tugas yang memadai. Ada empat pedoman umum menyangkut

pemisahan tugas yang memadai, yaitu : pemisahan penyimpanan aktiva dari akuntasi;
pemisahan otorisasi transaksi dari penyimpangan aktiva terkait; pemisahan tanggung
jawab operasional dari tanggung jawab pencatatan; dan pemisahan tugas TI dari
departemen pemakai.

2. Otorisasi yang sesuai atas transaksi dan aktivitas. Otorisasi dapat bersifat umum
atau khusus.

3. Dokumen dan catatan yang memadai. Dokumen dan catatan adalah meliputi
berbagai item seperti faktur penjualan, pesanan pembelian, catatan pembantu, jurnal
penjualan, dan kartu absensi karyawan.

4. Pengendalian fisik atas aktiva dan catatan. Jika tidak terlindungi secara memadai,
catatan bisa dicuri, rusak, atau hilang, yang dapat sangat mengganggu proses
akuntansi dan operasi bisnis.

5. Pemeriksaan kinerja secara independen. Kategori terakhir dari aktivitas

pengendalian adalah review yang cermat dan berkelanjutan atas keempat hal lainnya,
yang sering kali disebut pemeriksaan independen (independent checks) atau
verifikasi internal.
b
jy
,v
c
M
ig
s
t
u
k
n
a
d
lh
o
r
p
m
e
f
Informasi dan Komunikasi
Tujuan sistem informasi dan komunikasi akuntansi dari entitas adalah untuk memulai,
mencatat, memroses, dan melaporkan transaksi yang dilakukan entitas itu serta
mempertahankan akuntabilitas aktiva terkait.

Pemantauan
Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian
secara berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa pengendalian
itu telah beroperasi seperti yang diharapkan, dan telah dimodifikasi sesuai dengan perubahan
kondisi.

Proses untuk Memahami Pengendalian Internal dan Menilai Risiko Pengendalian

Memperoleh dan Mendokumentasikan Pemahaman tentang Pengendalian
Internal
Auditor menggunakan prosedur untuk memperoleh pemahaman, yang meliputi
pengumpulan bukti tentang rancangan pengendalian internal dan apakah pengendalian itu
sudah diimplementasikan, lalu menggunakan informasi itu sebagai dasar audit terpadu.

Dokumen yang digunakan oleh auditor :

o Naratif. Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu
naratif yang baik mengenai sistem akuntansi dan pengendalian yang terkait terdapat
empat hal : asal-usul setiap dokumen dan catatan dalam sistem; semua pemrosesan
yang berlangsung; disposisi setiap dokumen dan catatan dalam sistem; dan petunjuk
tentang pengendalian yang relevan dengan penilaian risiko pengendalian.

o Bagan arus. Suatu bagan arus pengendalian internal adalah diagram yang
menunjukkan dokumen klien dan aliran urutannya dalam organisasi.

o Kuesioner Pengendalian Internal. Kuesioner pengendalian internal mengajukan

serangkaian pertanyaan tentang pengendalian dalam setiap area audit sebagai sarana
untuk mengidentifikasi defisiensi pengendalian internal.

Metode-metode yang digunakan dalam mengevaluasi pengimplementasian

pengendalian internal :

• Memutakhirkan dan mengevaluasi pengalaman auditor sebelumnya dengan entitas.

• Melakukan tanya jawab dengan personil klien.

• Menelaah dokumen dan catatan.

• Mengamati aktivitas dan operasi entitas.

• Melakukan penelusuran sistem akuntansi.

Menilai Risiko Pengendalian

Auditor harus memahami perancangan dan pengimplementasian pengendalian
internal untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari
penilaian risiko salah saji yang material secara keseluruhan.

Banyak auditor menggunakan matriks risiko pengendalian untuk membantu proses

penilaian risiko pengendalian. Penyusunan matriks meliputi :

• Mengidentifikasi tujuan audit. Langkah pertama dalam penilaian adalah

mengidentifikasi tujuan audit untuk kelas transaksi, saldo akun, serta penyajian dan
pengungkapan yang akan dinilai,

• Mengidentifikasi pengendalian yang ada. Selanjutnya, auditor menggunakan

informasi yang telah dibahas pada bagian terdahulu, mengenai perolehan dan
pendokumentasian pemahaman atas pengendalian internal untuk mengidentifikasi
pengendalian yang berperan dalam mencapai tujuan audit yang berhubungan dengan
transaksi.

• Menghubungkan pengendalian dengan tujuan audit yang terkait. Setiap

pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait.

• Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang

signifikan dan kelemahan yang material. Auditor harus mengevaluasi apakah
pengendalian kunci tidak diterapkan dalam perancangan pengendalian internal atas
pelaporan keuangan sebagai bagian dari mengevaluasi risiko pengendalian dan
kemungkinan salah saji laporan keuangan.

Pengujian Pengendalian
Penilaian risiko pengendalian mengharuskan auditor mempertimbangkan perancangan
dan pelaksanaan pengendalian untuk mengevaluasi apakah pengendalian itu efektif dalam
memenuhi tujuan audit yang terkait.

Prosedur untuk pengujian pengendalian, yaitu :

1. Mengajukan pertanyaan kepada personil klien yang tepat.

2. Memeriksa dokumen, catatan, dan laporan.

3. Mengamati aktivitas yang terkait dengan pengendalian.

4. Melaksanakan kembali prosedur klien.

Penerapan pengujian pengendalian untuk mengukur seberapa luas prosedur, meliputi :

1. Mengandalkan bukti dari audit tahun sebelumnya. Apabila auditor berencana

menggunakan bukti tentang efektivitas pelaksanaan pengendalian internal yang
diperoleh dalam audit terdahulu, SAS 110 mengharuskan auditor untuk menguji
 keefektifan pengendalian itu paling sedikit tiga tahun sekali.

2. Menguji pengendalian yang berhubungan dengan risiko yang signifikan. Adalah

risiko yang diyakini auditor membutuhkan pertimbangan audit khusus.

3. Menguji kurang dari seluruh periode audit. PCAOB Standard 2 mengharuskan

auditor melaksanakan pengujian pengendalian yang memadai untuk menentukan
apakah pengendalian itu telah berjalan efektif pada akhir tahun.

Pelaporan Pengendalian Internal Menurut Section 404

Laporan auditor mengenai pengendalian internal harus mencakup dua pendapat
auditor :

1. Pendapat auditor mengenai apakah penilaian manajemen terhadap keefektifan

pengendalian internal atas pelaporan keuangan per akhir periode fiskal telah
dinyatakan secara wajar, dalam semua hal yang material.
2. Pendapat auditor mengenai apakah perusahaan telah menyelenggarakan, dalam
semua hal yang material, pengendalian internal yang efektif atas pelaporan
keuangan per tanggal yang disebutkan.

Jenis-jenis pendapat:

1. Pendapat Wajar Tanpa Pengecualian (Unqualified Opinion).

2. Pendapat Tidak Wajar (Adverse Opinion).

3. Pendapat Wajar dengan Pengecualian atau Menolak Memberikan Pendapat

(Qualified or Disclaimer of Opinion).

Mengevaluasi, Melaporkan, dan Menguji Pengendalian Internal

untuk Perusahaan Nonpublik
Bagian berikut akan mengidentifikasi dan membahas perbedaan paling penting dalam
mengevaluasi, melaporkan, dan menguji pengendalian internal untuk perusahaan nonpublik:

1. Persyaratan pelaporan. Dalam audit atas perusahaan nonpublik, tidak ada persyaratan
untuk mengaudit pengendalian internal atas pelaporan keuangan.

2. Luas pengendalian internal yang disyaratkan. Manajemen, dan bukan auditor, yang
bertanggung jawab untuk menetapkan pengendalian internal yang memadai dalam
perusahaan nonpublik, persis seperti manajemen untuk perusahaan publik.
3. Luas pemahaman yang diperlukan. Standar auditing mengharuskan auditor memiliki
pemahaman yang mencukupi tentang pengendalian internal untuk menilai risiko
pengendalian.

4. Menilai risiko pengendalian. Perbedaan paling penting dalam meilai risiko

pengendalian perusahaan nonpublik adalah penilaian risiko pengendalian pada tingkat
maksimum untuk satu atau semua tujuan yang berkaitan dengan pengendalian apabila
pengendalian internal untuk tujuan itu tidak ada atau tidak efektif.

5. Luas pengujian pengendalian yang diperlukan. Auditor tidak akan melakukan

pengujian pengendalian apabila menilai risiko pengendalian pada tingkat maksimum
akibat tidak memadainya pengendalian.