Kamis, 03 Januari 2013

Pengendalian Intern


Pemahaman Mengenai Pengendalian Internal

Definisi Pengendalian Internal
      Pengendalian Internal atau internal control adalah suatu proses yang dilaksanakan oleh dewan direksi, manajemen, dan personel lainnya dalam suatu entitas, yang dirancang untuk menyediakan keyakinan yang memadai berkenaan dengan pencapaian tujuan dalam kategori berikut :
-          Keandalan pelaporan keuangan
-          Kepatuhan terhadap hukum dan peraturan yang berlaku
-          Efektivitas dan efisiensi operasi

Pentingnya Pengendalian Internal
      Menurut terbitan yang dikeluarkan AICPA pada tahun 1947, pengendalian internal sangat penting bagi suatu perusahaan karena faktor – faktor berikut ini :
-          Lingkup dan ukuran bisnis entitas telah menjadi sangat kompleks dan tersebar luas sehingga manajemen harus bergantung pada sejumlah laporan dan analisis untuk mengendalikan operasi secara efektif
-          Pengujian dan penelaahan yang melekat dalam sistem pengendalian internal yang baik menyediakan perlindungan terhadap kelemahan manusia dan mengurangi kemungkinan terjadinya kekeliruan dan ketidakberesan
-          Tidak praktis bagi auditor untuk melakukan audit atas kebanyakan perusahaan dengan pembatasan biaya ekonomi tanpa menggantungkan pada sistem pengendalian internal klien
      Selanjutnya pada bulan Oktober 1987 atau 40 tahun kemudian sejak terbitan AICPA tahun 1947, National Commission on Fraundulent Financial Reporting ( Treadway Commission ) menekankan ulang pentingnya pengendalian internal dalam mengurangi kejadian pelaporan yang curang. Laporan terakhir komisi ini berisi hal – hal berikut :
-          Penekanan atas pentingnya mencegah pelaporan keuangan yang curang merupakan “suasana yang ditetapkan oleh manajemen puncak” yang mempengaruhi lingkungan perusahaan di mana pelaporan keuangan dibuat
-          Semua perusahaan publik harus memelihara pengendalian internal yang akan menyediakan keyakinan yang memadai bahwa pelaporan keuangan yang curang akan dicegah atau dideteksi lebih awal
-          Organisasi yang mensponsori commission harus bekerjasama dalam mengembangkan pedoman tambahan mengenai sistem pengendalian internal
      Sebagai kelanjutan dari penerbitan laporan commission, pada tahun 1988 ASB           ( Auditing Standards Board ) menerbitkan SAS 55, consideration of the internal control structure in a financial statement audit ( AU 319 ).SAS secara signifikan memperluas baik arti pengendalian internal maupun tanggung jawab auditor dalam memenuhi standar pekerjaan lapangan.
Konsep Pengendalian Internal
      Berdasarkan laporan COSO ( Committe of Sponsoring Organization ) di Amerika Serikat, mengungkapkan bahwa terdapat empat konsep fundamental dalam pengendalian internal. Konsep fundamental tersebut antara lain :
-          Pengendalian internal merupakan suatu proses.  Hal tersebut berarti pengendalian internal merupakan suatu alat untuk mencapai suatu akhir, bukan akhir itu sendiri. Pengendalian internal terdiri dari serangkaian tindakan yang meresap dan terintegrasi dengan, tidak ditambahkan ke dalam, infrastruktur suatu entitas
-          Pengendalian internal dilaksanakan oleh orang. Pengendalian internal bukan hanya suatu manual kebijakan dan formulir – formulir, tetapi orang pada berbagai tingkatan organisasi, termasuk dewan direksi, manajemen, dan personel lainnya
-          Pengendalian internal dapat diharapkan untuk menyediakan hanya keyakinan yang memadai, bukan keyakinan yang mutlak, kepada manajemen dan dewan direksi suatu entitas karena keterbatasan yang melekat dalam semua sistem pengendalian internal dan perlunya untuk mempertimbangkan biaya dan manfaat relatif dari pengadaan pengendalian
-          Pengendalian internal diarahkan pada pencapaian tujuan dalam kategori yang saling tumpang tindih dari pelaporan keuangan, kepatuhan, dan operasi.

Komponen Pengendalian Internal
      Untuk menyediakan suatu struktur dalam mempertimbangkan banyak kemungkinan pengendalian yang berhubungan dengan tujuan entitas, muncul lah komponen – komponen dalam pengendalian internal yang saling berhubungan satu sama lain, yaitu :
-          Lingkungan pengendalian ( control environment ) menetapkan suasana suatu organisasi, yang mempengaruhi kesadaran akan pengendalian dari orang – orangnya.. Lingkungan pengendalian merupakan pondasi dari semua komponen pengendalian internal lainnya, yang menyediakan disiplin dan struktur
-          Penilaian resiko ( risk assessment ) merupakan pengidentifikasian dan analisis entitas mengenai resiko yang relevan terhadap pencapaian tujuan entitas, yang membentuk suatu dasar mengenai bagaimana resiko harus dikelola
-          Aktivitas pengendalian ( control activities ) merupakan kebijakan dan prosedur yang membantu meyakinkan bahwa perintah manajemen telah dilaksanakan
-          Informasi dan komunikasi ( information and communication ) merupakan pengidentifikasian, penangkapan, dan pertukaran informasi dalam suatu bentuk dan kerangka waktu yang membuat orang mampu melaksanakan tanggung jawabnya
-          Pemantauan ( monitoring ) merupakan suatu proses yang menilai kualitas kinerja pengendalian internal pada suatu waktu.





Keterbatasan Pengendalian Internal Suatu Entitas
      Sebaik apapun suatu pengendalian internal dirancang dan dioperasikan dalam suatu perusahaan, tetap saja ada berbagai keterbatasan yang melekat ( inherent limitations ) pada prakteknya di lapangan. Berikut di antaranya :
-          Kesalahan dalam pertimbangan. Kadang – kadang, manajemen dan personel lainnya dapat melakukan pertimbangan yang buruk dalam membuat keputusan bisnis atau dalam melaksanakan tugas rutin karena informasi yang tidak mencukupi, keterbatasan waktu, atau prosedur lainnya
-          Kemacetan. Kemacetan dalam melaksanakan pengendalian dapat terjadi ketika personel salah memahami instruksi atau membuta kekeliruan akibat kecerobohan, kebingungan, atau kelelahan. Perubahan sementara atau permanen dalam personel atau dalam sistem atau prosedur juga dapat berkontribusi pada teradinya kemacetan
-          Kolusi. Individu yang bertindak bersama, seperti karyawan yang melaksanakan suatu pengendalian penting bertindak bersama dengan karyawan lain, konsumen atau pemasok, dapat melakukan sekaligus menutupi kecurangan sehingga tidak dapat dideteksi oleh pengendalian internal
-          Penolakan manajemen. Manajemen dapat mengesampingkan kebijakan atau prosedur tertulis untuk tujuan tidak sah seperti keuntungan pribadi atau presentasi mengenai kondisi keuangan suatu entitas yang dinaikkan ( misal, menaikkan laba yang dilaporkan untuk menaikkan pembayaran bonus atau nilai pasar dari saham entitas ). Praktik penolakan termasuk membuat penyajian yang salah dengan sengaja kepada auditor dan lainnya seperti menerbitkan dokumen palsu untuk mendukung pencatatan transaksi penjualan fiktif
-          Biaya versus manfaat. Biaya pengendalian internal suatu entitas seharusnya tidak melebihi manfaat yang diharapkan untuk diperoleh. Karena pengukuran yang tepat baik dari biaya dan manfaat biasanya tidak memungkinkan, manajemen harus membuat baik estimasi kuantitatif maupun kualitatif dalam mengevaluasi hubungan antara biaya dan manfaat.

Peran dan Tanggung Jawab
Beberapa pihak yang bertanggung jawab dalam suatu organisasi :
·         Manajemen. Merupakan tanggung jawab manajemen untuk menciptakan pengendalian intern yang efektif.
·         Dewan Direksi dan Komite Audit. Dewan direksi harus menentukan bahwa manajemen telah memenuhi tanggung jawabnya untuk menciptakan dan memelihara pengendalian intern. Komite audit (atau bila tidak ada, dewan direksi sendiri) harus waspada dalam mengidentifikasi keberadaan penolakan manajemen atas pengendalian atau pelaporan keuangan yang curang, dan segera mengambil tindakan yang diperlukan untuk membatasi tindakan yang tidak sesuai oleh manajemen.
·         Auditor Internal. Auditor internal harus memeriksa dan mengevaluasi kecukupan pengendalian intern suatu entitas secara periodic dan membuat rekomendasi untuk perbaikan, tapi mereka tidak memiliki tanggung jawab utama untuk menciptakan dan memelihara pengendalian intern.
·         Personel Entitas Lainnya. Peran dan tanggung jawab dari semua personel lain yang menyediakan informasi kepada, atau menggunakan informasi yang disediakan oleh system yang mencakup pengendalian intern, harus memahami bahwa mereka memiliki tanggung jawab untuk mengkomunikasikan masalah apapun yang tidak sesuai dengan pengendalian atau tindakan melawan hukum yang mereka temui kepada tingkat yang lebih tinggi dalam organisasi.
·         Auditor Independen. Seorang akuntan public dapat melakukan perikatan atestasi terpisah untuk memeriksa dan melaporkan kepada pihak eksternal mengenai asersi manajemen terpisah atas pengendalian intern entitas.
·         Pihak Eksternal Lainnya.
Lingkungan Pengendalian
Sejumlah faktor pembentuk lingkungan pengendalian adalah :
·         Integritas dan nilai Etika
Untuk menekankan pentingnya integritas dan nilai etika di antara semua personel organisasi, CEO dan anggota manajemen puncak lainnya harus :
Ø  Menetapkan suasana melalui contoh mendemonstrasikan integritas dan mempraktikkan standar yang tinggi dari perilaku etis
Ø  Mengkomunikasikan kepada semua karyawan, baik secara verbal melalui pernyataan kebijakan tertulis dan kode etik perilaku, bahwa hal yang sama diharapkan dari mereka, bahwasetiap karyawan memiliki tanggung jawab untuk melaporkan pelanggaran yang ia ketahui atau yang mungkin akan terjadi kepada tingkat yang lebih tinggi dalam organisasi, dan bahwa pelanggaran akan dikenakan denda.
Ø  Memberikan bimbingan moral kepada karyawan yang memiliki latar belakang moral kurang baik yang telah mengakibatkan mereka tidak mempedulikan mana yang baik dan yang buruk.
Ø  Mengurangi atau menghilangkan insentif dan godaan yang dapat mengarahkan individu untuk melakukan tindakan yang tidak jujur, melawan hukum, atau tidak etis.

·         Komitmen terhadap Kompetensi
Untuk mencapai tujuan entitas, personel pada setiap tingkatan dalam organisasi harus memiliki pengetahuan dan keahlian yang diperlukan untuk melaksanakan pekerjaan mereka secara efektif. Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengeneai pengetahuan dan keahlian yang diperlukan, dan bauran dari intelegensi, pelatihan, dan pengalaman yang diperlukan untuk mengembangkan kompetensi tersebut.


·         Dewan Direksi dan Komite Audit
Komposisi dewan direksi dan komita audit dan cara mereka melaksanakan tanggung jawab atas kekuasaan dan kekeliruan memiliki dampak yang besar terhadap lingkungan pengendalian. Faktor-faktor yang mempengaruhi efektivitas dari dewan direksi dan komite audit termasuk independensi mereka dari manajemen, yang berhubungan dengan proporsi direksi dari luar perusahaan, pengalaman dan status dari anggota, sifat dan luasnya keterlibatan mereka dalam aktivitas manajemen serta pengamatan mereka terhadap aktivitas manajemen; kesesuaian tindak tanduk mereka; tingkat di mana mereka memberikan dan mencari pertanyaan yang sulit dengan manajemen; serta sifat dan luasnya interaksi mereka dengan auditor internal dan auditor eksternal. Komite audit yang hanya terdiri dari direksi dari luar perusahaan dapat berkontribusi secara signifikan terhadap pemenuhan tujuan pelaporan keuangan suatu entitas dengan melaksanakan pemeriksaan terhadap kekeliruan pelaporan keuangan dan dengan meningkatkan independensi auditor eksternal.

·         Filosofi dan Gaya Operasi Manajemen
Ada 7 karakteristik yang dapat membentuk filosofi dan gaya operasi manajemen, yaitu:
Ø  Pendekatan untuk mengambil dan memonitor resiko bisnis.
Ø  Mengandalkan pada pertemuan informal secara langsung dengan manajer kunci dibandingkan dengan system formal dalam kebijakan tertulis, indicator kinerja, dan laporan pengecualian.
Ø  Sikap dan tindakan terhadap pelaporan keuangan.
Ø  Pemilihan secara selektif atau agresif dari prinsip-prinsip akuntansi yang tersedia.
Ø  Kesadaran dan konservatisme dalam mengembangkan estimasi akuntansi.
Ø  Kesadaran dan pemahaman terhadap risiko yang dihubungkan dengan teknologi informasi.
Ø  Sikap terhadap pemrosesan informasi dan fungsi akuntansi serta personel.

·         Struktur Organisasi
Struktur organisasi berkontribusi terhadap kemampuan suatu entitas untuk memenuhi tujuan dengan menyediakan kerangka kerja menyeluruh atas perencanaan, pelaksanaan, pengendalian, dan pemantauan aktivitas suatu entitas. Mengembangkan struktur organisasi suatu entitas melibatkan penentuan bidang kunci dari wewenang dan tanggung jawab, serta garis pelaporan yang tepat. Hal ini sebagian akan tergantung pada ukuran entitas dan sifat aktivitasnya. Struktur organisasi entitas biasanya digambarkan dalam suatu bagan organisasi yang harus secara akurat merefleksikan garis wewenang dan hubungan pelaporan. Manajemen harus member perhatian tidak hanya pada operasi entitas, tetapi juga pada struktur informasi dari teknologi informasi dan system informasi akuntansi. Auditor perlu memahami hubungan ini untuk menilai lingkungan pengendalian secara tepat dan bagaimana hubungan tersebut dapat mempengaruhi efektivitas pengendalian tertentu.



·         Penetapan Wewenang dan Tanggung Jawab
Penetapan wewenang dan tanggung jawab merupakan perpanjangan dari pengembangan suatu struktur organisasi. Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai bagaimana dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas entitas dibebankan, dan harus memungkinkan setiap individu untuk mengetahui (1) bagaimana tindakannya saling berhubungan dengan individu lainnya dalam memberikan kontribusi terhadap pencapaian tujuan entitas, dan (2) setiap individu akan betanggung jawab atas hal apa. Faktor ini juga mencakup kebijakan berkenaan dengan praktik bisnis yang sesuai, pengetahuan dan pengalaman personel kunci, dan sumberdaya yang tersedia untuk melaksanakan tugas.
Kebijakan dan Praktik Sumberdaya Manusia
Kebijakan dan prosedur sumberdaya manusia (human resources policies and procedures) yang diterapkan akan menjamin bahwa personel entitas memiliki tingkat integritas, nilai etika, dan kompetensi yang diharapkan. Praktik tersebut mencakup perekrutan dan proses penyelesaian yang dikembangkan dengan baik; orientasi personel baru terhadap budaya dan gaya operasi entitas, kebijakan pelatihan yang mengkomunikasikan peran prospektif dan tanggung jawab; tindakan pendisiplinan untuk pelanggaran terhadap perilaku yang diharapkan; pengevaluasian, konseling, dan mempromosikan orang berdasarkan penilaian kinerja periodik; serta program kompensasi yang memotivasi dan memberikan penghargaan atas kinerja yang tinggi sambil menghindari disinsentif terhadap perilaku etis.
Hal ini menyimpulkan penjabaran dari faktor-faktor lingkungan pengendalian, yang dapat mempengaruhi efektivitas setiap empat komponen lainnya dari pengendalian intern. Entitas yang memiliki lingkungan pengendalian yang buruk mengurangi kesempatan bagi komponen pengendalian intern lainnya untuk beroperasi secara efektif. Jika manajemen senior tidak memperkerjakan individu yang kompeten, serta memandang rendah pentingnya etika dan kompetensi dalam kinerja pekerjaan yang mendukung sistem akuntansi, karyawan mungkin tidak akan melaksanakan prosedur pengendalian lain dengan kepedulian profesional yang mencukupi. Jika dalam penetapan wewenang dan tanggung jawab manajemen puncak tidak meminta manajer lain untuk bertanggung jawab atas penggunaan sumberdaya mereka, maka terdapat sedikit dorongan untuk mengimplementasikan sisa dari komponen pengendalian inter lainnya secara efektif.

PENILAIAN RESIKO
Penilaian resiko (risk assessment) untuk tujuan pelaporan keuangan adalah identifikasi, analisis, dan pengelolaan resiko suatu entitas yang relevan dengan penyusunan laporan keuangan yang disajikan secara wajar sesuai dengan prinsip-prinsip akuntansi yang berlaku umum (AU 319.28)
Penilaian resiko oleh manajemen untuk tujuan pelaporan keuangan serupa dengan perhatian auditor eksternal dengan resiko. Keduanya menekankan pada hubungan resiko dengan asersi laporan keuangan tertentu serta aktivitas pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data keuangan yang berhubungan. Akan tetapi, ketika tujuan manajemen adalah untuk menentukan bagaimana mengelola resiko yang diidentifikasikan, tujuan auditor adalah untuk mengevaluasi kemungkinan bahwa salah saji material terdapat dalam laporan keuangan. Pada suatu saat dimana manajemen secara tepat mengidentifikasi resiko dan secara sukses memulai aktivitas pengendalian berkenaan dengan resiko tersebu, penilaian kombinasi auditor mengenai resiko bawaan dan resiko pengendalian untuk asersi yang berhubungan akan lebih rendah. Akan tetapi, dalam beberapa kasus, manajemen dapat memutuskan untuk menerima resiko tanpa memperdulikan pengendalian karena pertimbangan biaya atau pertimbangan lainnya.
Penilaian resiko oleh manajemen harus meliputi pertimbangan mengenai resiko yang dihubungkan dengan teknologi informasi. Sebagai contoh, manajemen harus merancang sistem informasi dan pengendalian yang mengurangi masalah-masalah yang berhubungan dengan dampak teknologi informasi dalam mengurangi pemisahan tugas tradisional. Jika manajemen merancang dan mengimplementasikan suatu sistem pengendalian umum komputer yang baik, maka banyak resiko menyeluruh tersebut yang akan dikurangi hingga tingkat yang dapat dikelola.
Penilaian resiko oleh manajemen juga harus mencakup pertimbangan khusus atas resiko yang dapat muncul dari perubahan kondisi seperti yang diuraikan dalam AU 319.29 :
·         Perubahan dalam lingkungan operasi
·         Personel baru
·         Sistem informasi yang baru atau dimodifikasi
·         Pertumbuhan yang cepat
·         Teknologi baru
·         Lini, produk, atau aktivitas baru
·         Restrukturisasi perusahaan
·         Operasi di luar negeri
·         Pernyataan akuntansi

INFORMASI DAN KOMUNIKASI
Sistem informasi dan komunikasi yang relevan dengan tujuan pelaporan keuangan, yang memasukan sistem akuntansi, terdiri dari metode-metode dan catatan-catatan yang diciptakan untuk mengidentifikasi, mengumpulkan, menganalisis, mengklarifikasi, mencatat, dan melaporkan transaksi-transakisi entitas dan untuk memelihara akuntabilitas dari aktiva-aktiva dan kewajiban-kewajiban yang berhubungan. Komunikasi melibatkan penyediaan suatu pemahaman yang jelas mengenai tanggung jawab dan peran individu dengan pengendalian intern atas pelaporan keuangan (AU 319.34)
Fokus utama dari kebijakan dan prosedur pengendalian yang berhubungan dengan sistem akuntansi adalah transakis yang ditangani dengan suatu cara yang dapat mencegah terjadinya salah saji dalam asersi laporan keuangan manajemen. Oleh karena itu, suatu sistem akuntansi yang efektif harus :
·         Mengidentifikasi dan mencatat hanya transaksi yang valid dari entitas yang terjadi dalam periode berjalan (asersi keberadaan atau keterjadian).
·         Mengidentifikasi dan mencatat semua transaksi yang valid dari entitas yang terjadi dalam periode berjalan (asersi kelengkapan).
·         Memastikan aktiva dan kewajiban yang tercatat merupakan hasil dari transaksi yang memberikan entitas hak untuk, atau kewajiban untuk item-item tersebut (asersi hak dan kewajiban).
·         Mengukur nilai transaksi dalam suatu cara yang mengijinkan pencatatan nilai moneter transaksi secara tepat dalam laporan keuangan (asersi penilaian atau alokasi).
·         Memperoleh rincian yang mencukupi dari semua transaksi untuk memungkinkan penyajian secara tepat dalam laporan keuangan, termasuk pengklasifikasian  yang tepat dan pengungkapan yang diperlukan (asersi penyajian dan pengungkapan).

Dapat dicatat bahwa konsisten dengan pengenalan terhadap lima kategori dari asersi laporan keuangan, dua persyaratan pertama di atas meliputi penentuan periode waktu dimana transaksi terjadi untuk memungkinkan mereka mencatat pada periode akuntansi yang tepat. Oleh karena itu, pengendalian yang berhubungan dengan penetapan pisah batas (cutoff) yang dapat dimasukkan sebagai bagian dari asersi keberadaan atau keterjadian dan asersi kelengkapan konsisten dengan AU 326. Beberapa auditor mengubungkan pengendalian yang berhubungan dengan transaksi pencatatan dalam periode akuntansi yang tepat dengan tujuan terpisah yang diidentifikasikan sebagai tujuan cutoff.
Sistem akuntansi entitas harus menyediakan suatu jejak audit (audit trail) atau jejak transaksi (transaction trail) yang lengkap untuk setiap transaksi. Jejak transaksi merupakan suatu rantai dari bukti yang disediakan oleh pengkodean, referensi silang, dan pendokumentasian yang menghubungkan saldo akun dan hasil ikhtisar lain dengan data transaksi orisinal. Jejak transaksi penting baik bagi manajemen maupun auditor. Sebagai contoh, manajemen menggunakan jejak tersebut untuk menjawab pertanyaan pelanggan atau pemasok berkenaan dengan saldo akun. Penting bagi manajemen untuk memastikan suatu jejak transaksi yang jelas dalam sistem teknologi informasi dimana bukti dokumentasi hanya dapat ditahan untuk suatu periode waktu yang singkat. Sebagai contoh, dalam sistem komputer yang menggunakan pemrosesan on-line biasanya diciptakan suatu nomor transaksi unik yang dapat digunakan untuk menciptakan jejak transaksi semacam itu. Auditor menggunakan jejak tersebut dalam melakukan tracing dan vouching transaksi.
Dokumen dan catatan mewakili suatu aspek dari sistem informasi dan komunikasi yang menyediakan bukti audit yang penting. Dokumen menyediakan bukti atas keterjadian transaksi dan harga, sifat, dan syarat dari transaksi. Faktur, kontrak, cek, dan tiket waktu merupakan contoh dokumen yang umum. Ketika ditandatangani dan diberi tanda, dokumen juga menyediakan suatu dasar untuk menetapkan tanggung jawab untuk pelaksanaan dan pencatatan transaksi. Catatan termasuk catatan penghasilan karyawan, yang menunjukkan data gaji kumulatif untuk setiap karyawan, dan catatan persediaan perpetual. Jenis catatan lain adalah ikhtisar harian dari dokumen yang diterbitkan seperti faktur penjualan dan cek. Ikhtisar tersebut kemudian secara independen dibandingkan dengan jumlah jurnal harian yang sesuai untuk menentukan apakah semua transaksi sudah dicatat. Dalam sistem akuntansi modern, catatan biasanya terdapat dalam bentuk elektronik dan entitas dapat membuat salinan tercetak dari setiap penggunaan.
Komunikasi termasuk memastikan bahwa personel yang terlibat dalam sistem pelaporan keuangan memahami bagaimana aktivitas mereka berhubungan dengan pekerjaan orang lain baik di dalam maupun di luar organisasi.

AKTIVITAS PENGENDALIAN
Aktivitas pengendalian yang relevan dengan audit laporan keuangan dapat dikategorikan dalam berbagai cara. Salah satu cara sebagai berikut :
§  Pemisahan tugas
§  Pengendalian pemrosesan informasi
§  Pengendalian umum
§  Pengendalian aplikasi
§  Pengendalian fisik
§  Review kinerja

Pemisahan Tugas
Pemisahan tugas melibatkan pemastian bahwa individu tidak melaksanakan tugas yang tidak seimbang. Tugas dianggap tidak seimbang dari sudut pandang pengendalian ketika memungkinkan individu untuk melakukan suatu kekeliruan atau kecurangan dan kemudian berada pada posisi untuk menutupinya dalam pelaksanaan tugas normalnya. Sebagai contoh, individu yang memroses pengiriman kas dari pelanggan (memiliki akses pada penjagaan aktiva) seharusnya tidak memiliki juga otoritas untuk menyetujui dan mencatat kredit dalam akun pelanggan untuk retur penjualan dan penyisihan atas penghapusan (melaksanakan transaki). Dalam kasus semacam ini, individu dapat mencuri pengiriman kas dan menutupi pencurian tersebut dengan mencatat suatu retur penjualan atau penyisihan atau penghapusan piutang tak tertagih.
Pemisahan tugas yang baik juga melibatkan pembandingan akuntabilitas yang tercatat dengan aktiva di tangan. Sebagai contoh, pengendalian intern yang baik melibatkan rekonsiliasi bank independen yang membandingkan saldo bank dengan saldo buku perusahaan untuk setiap akun bank. Catatan persediaan perpetual juga harus dibandingkan secara periodik dengan persediaan yang ada di tangan.
Alasan tersebut mendukung pemisahan tugas dalam dua jenis situasi berikut :
1.      Tanggung jawab untuk melaksanakan transaksi, mencatat transaksi dan memelihara penjagaan aktiva yang dihasilkan dari transaksi harus dibebankan kepada individu atau departemen yang berbeda. Sebagi contoh, personel departemen pembelian harus mengeluarkan pesanan pembelian, personel departemen akuntansi harus memelihara akuntabilitas tercatat, dan personel ruang penyimpanan harus melaksanakan penjagaan barang. Sebelum mencatat pembelian, personel akuntansi harusnya memastikan bahwa pembelian telah diotorisasi dan barang yang dipesan telah diterima. Jurnal akuntansi pada dasarnya menyediakan suatu dasar akuntabilitas untuk barang yang ada dalam ruang penyimpanan. Lebih lanjut, individu yang bertanggung jawab untuk melakukan pencatatan transaksi (seperti penerimaan kas), seharusnya tidak memiliki tanggung jawab untuk memelihara akuntabilitas tercatat (rekonsiliasi bank).
2.      Harus terdapat pemisahan tugas yang tepat di dalam departemen tenknologi informasi dan antara departemen teknologi informasi dengan departemen pemakai informasi. Beberapa fungsi dalam teknologi informasi---pengembangan sistem, operasi, pengendalian data, dan administrasi keamanan---seharusnya dipisahkan. Selain itu, teknologi informasi seharusnya tidak memperbaiki data yang dikirimkan oleh departemen pemakai informasi, dan secara organisasi harus independen dari departemen pemakai informasi. Pemisahan tugas dalam teknologi informasi sangat penting karena mempertimbangkan aspek penting dari pengendalian umum.

Ketika tugas dipisahkan dengan suatu cara hingga pekerjaan dari satu individu secara otomatis menyediakan pengecekan silang dari pekerjaan individu lain, manfaat tambahan dari pengujian independen selalu melibatkan pemisahan tugas, tetapi pemisahan tugas tidak selalu melibatkan suatu pengujian independen.


§  Gambar Pemisahan Tugas Profesional

                                                               Pelaksanaan transaksi




Memelihara

Memelihara
Akuntabilitas Tercatat
Penjagaan Aktiva

Perbandingan Periodik dari

Akuntabilitas yang Tercatat
Dengan Aktiva

Berikut adalah contoh bagaimana pemisahan tugas mempengaruhi resiko pengendalian untuk tiga asersi :
Ø  Memisahkan penjagaan aktiva dari pemeliharaan akuntansi atas aktiva akan mengurangi resiko pencurian karena seseorang tidak akan memiliki kesempatan untuk menutupi pencurian dengan menghilangkan catatan mengenai aktiva (asersi keberadaan atau keterjadian).
Ø  Pemisahan tugas untuk pemrosesan transaksi pengeluaran kas dan rekonsiliasi akun bank akan mengurangi resiko pembayaran dengan cek yang tidak tercatat karena tidak akan terdeteksi dalam proses rekonsiliasi (asersi kelengkapan).
Ø  Pemisahan tanggung jawab untuk menyetujui kredit dari pengajuan pesanan penjualan akan mengurangi resiko tidak tertagihnya piutang yang dapat diakubatkan dari penjualan yang dilakukan dengan mengambil resiko kredit yang buruk untuk mencapai target penjualan atau meningkatkan komisi (asersi penilaian atau alokasi).
Fungsi Teknologi Informasi yang Memerlukan Pemisahan
Gambar 1















Pengendalian Pemrosesan Informasi
            Pengendalian pemrosesan informasi (information processing controls) mengacu pada resiko yang berhubungan dengan otorisasi, kelengkapan, dan akurasi transaksi. Pengendalian ini relevan dengan audit laporan keuangan.
Pengendalian Umum
Tujuan dari pengendalian umum (general controls) adalah untuk mengendalikan pengembangan program, perubahan program, operasi komputer, dan untuk mengamankan akses terhadap data dan program. Berikut adalah lima jenis pengendalian umum yang diakui secara luas:
a.       Pengendalian organisasi dan operasi
b.      Pengendalian pengembangan sistem dan dokumentasi
c.       Pengendalian perangkat keras dan sistem perangkat lunak
d.      Pengendalian akses
e.       Pengendalian data dan prosedur
Pengendalian umum komputer berkenaan dengan lingkungan teknologi informasi dan semua aktivitas teknologi informasi sebagai kebalikan dari aplikasi teknologi informasi tunggal. Oleh karena itu, dampak dari pengendalian tersebut meresap secara mendalam. Jika auditor dapat memperoleh bukti bahwa pengendalian umum berfungsi secara efektif. Sebaliknya, kekurangan dalam pengendalian umum mungkin mempengaruhi banyak aplikasi dan dapat mencegah auditor dari penilaian resiko pengendalian di bawah maksimum untuk banyak aplikasi dan siklus transaksi.
Pengendalian Organisasi dan Operasi
Pengendalian Organisasi dan Operasi (organization and operation controls) berhubungan dengan faktor pengendalian fikosofi dan gaya perasi manajemen dan struktur organisasi. Selain itu, pengendalian umum tersebut berkaitan dengan pemisahan tugas dalam departemen teknologi informasi dan antara departemen teknologi informasi dan departemen pemakai informasi. Kelemahan dalam pengendalian ini biasanya mempengaruhi semua aplikasi teknologi informasi.
           
Struktur organisasi yang ditunjukkan dalam gambar 1 mengilustrasikan suatu pengaturan yang menyediakan garis wewenang dan tanggung jawab dalam departemen teknologi informasi. Tanggung jawab utama untuk setiap posisi adalah sebagai berikut:
POSISI
TANGGUNG JAWAB UTAMA
Manajer Teknologi Informasi



Melaksanakan semua pengendalian, mengembangkan rencana jangka pendek dan rencana jangka panjang dan menyetujui sistem

Pengembangan Sistem
Analisis Sistem


Programmer

Mengevaluasi sistem yang ada, merancang sistem baru, menjelaskan garis besar sistem, dan membuat spesifikasi untuk programmer
Membuat logika bagan alur untuk program komputer, mengembangkan dan mendokumentasikan program, serta mencari kesalahan dalam program dan memperbaikinya
Operasi Teknologi Informasi
Operator Komputer

Mengoperasikan perangkat keras komputer dan melaksanakan program menurut instruksi operasi
Pustakawan

Administrator Jaringan
Memelihara penjagaan dokumentasi sistem, program, dan file data
Merencanakan dan memelihara hubungan jaringan dan file data
Pengendalian Data
Kelompok Pengendali Data


Administrator Database

Bertindak sebagai penghubung antara departemen pemakai informasi dan memonitor input, pemrosesan dan output
Merancang isi dan pengorganisasian dari database serta mengendalikan akses terhadap database dan penggunaannya
Keamanan Informasi
Administrator Keamanan

Mengelola keamanan sistem teknologi informasi termasuk pengamanan perangkat keras dan perangkat lunak, memonitor akses terhadap program data, serta menindaklanjuti pelanggaran keamanan

           
Dalam organisasi yang kecil, posisi analis sistem dan programmer dapat dikombinasikan. Akan tetapi, pengkombinasian dari kedua tugas tersebut dengan tugas dalam operasi teknologi informasi mengakibatkan tugas yang tidak seimbang. Ketika ketiga tugas tersebut dilaksanakan oleh satu individu, orang tersebut berada dalam posisi yang dapat melakukan sekaligus menutupi kekeliruan. Sejumlah kecurangan komputer telah dihasikan ketika tugas-tugas tersebut dikombinasikan.
            Depertemen teknologi informasi harus diorganisasikan secara independen dari departemen pemakai informasi. Oleh karena itu, manajer teknologi informasi seharusnya melaporkan kepada seorang eksekutif seperti chief financial officer, yang tidak secara teratur terlibat dalam otorisasi transaksi untuk pemrosesan komputer. Selain itu, personel teknolgi informasi seharusnya tidak memperbaiki kekeliruan kecuali kekeliruan tersebut berasal dari dalam teknologi informasi.


Pengendalian Pengembangan Sistem dan Dokumentasi
Pengendalian pengembangan sistem dan dokumentasi (system development and documentation controls) merupakan suatu bagian integral dari komponen pengendalian intern informasi dan komunikasi. Pengendalian pengembangan sistem berhubungan dengan (1) review, pengujian dan persetujuan dan sistem baru (2) pengendalian atas perubahan program, dan (3) prosedur dokumentasi. Prosedur berikut berguna dalam menyediakan pengendalian yang dibutuhkan:
—  Perancangan sistem harus memasukkan perwakilan dari departemen pemakai dan, jika sesuai departemen akuntansi dan auditor internal
—  Setiap sistem harus memiliki spesifikasi tertulis yang ditelaah dan disetujui oleh manajemen dan departemen pemakai informasi
—  Pengujian sistem seharusnya merupakan usaha kerjasama antara pemakai dan personel tenaga teknologi informasi
—  Manajer teknologi informasi, administrator database, personel pemakai informasi dan tingkat manajemen yang sesuai harus memberikan persetujuan akhir terhadap suatu sistem baru sebelum ditempatkan dalam operasi normal
—  Perubahan program harus disetujui sebelum pengimplementasian untuk menentukan apakah perubahan tersebut telah diotorisasi, diuji, dan didokumentasikan.
           
Pengendalian dokumentasi yang berkenaan dengan dokumen dan catatan dipelihara oleh sebuah perusahaan untuk menguraikan aktivitas pemrosesan komputer. Pendokumentasian yang mencukupi adalah penting, baik bagi manajemen maupun bagi auditor. Bagi manajemen, dokumentasi membuat manajemen dapat (1) me-review sistem, (2) melatih personel baru, dan (3) memelihara dan merevisi sistem dan program yang ada. Bagi auditor, dokumentasi menyediakan sumber informasi utama mengenai arus transaksi melalui sistem dan pengendalian akuntansi yang berhubungan. Dokumentasi mencakup:
—  Uraian dan bagan alur dari sistem dan program
—  Instruksi pengoperasian bagi operator komputer
—  Prosedur pengendalian yang akan diikuti oleh operator dan pemakai
—  Uraian dan contoh dari masukan dan keluaran yang diperlukan

Dalam sistem manajemen database, pengendalian dokumentasi yang penting adalah kamus data/directory (data dictionary/directory). Directory merupakan perangkat lunak yang menyimpan jejak definisi dan lokasi elemen data dalam database.

Pengendalian Perangkat Keras dan Perangkat Lunak Sistem
Pengendalian perangkat keras dan perangkat lunak sistem (hardware and systen software controls) merupakan faktor penting yang berkontribusi pada tingkat keandalan yang tinggi dari teknologi informasi saat ini. Pengendalian perangkat keras dan perangkat lunak dirancang untuk mendeteksi kerusakan peralatan. Kategori pengendalian ini mencakup hal-hal berikut:
—  Pembacaan dua kali (dual read). Data masukan dibaca dua kali dan kedua bacaan diperbandingkan
—  Pengujian keseimbangan (parity check). Data diproses oleh komputer dalam deretan titik (digit 0 atau 1). Disamping titik yang diperlukan untuk mewakili karakter numerik dan alphabet, suatu titik keseimbangan ditambahkan ketika diperlukan, untuk membuat jumlah dari semua 1 titik genap atau ganjil. Ketika data dimasukkan dan dikirimkan dalam komputer, pengujian keseimbangan diaplikasikan oleh komputer untuk memastikan bahwa titik tidak hilang selama proses
—  Pengujian gema (echo check). Echo check melibatkan pengiriman kembali data yang diterima oleh suatu alat keluaran kepada unit sumber untuk diperbandingkan dengan data asli.
—  Baca setelah tulis (read after write). Komputer membaca kembali data setelah dicatat, baik dalam penyimpanan maupun dalam alat keluaran dan memeriksa data dengan membandingkannya dengan sumber asli.

Untuk mencapai manfaat yang maksimum dari pengendalian ini, (1) harus terdapat suatu program pemeliharaan pencegahan untuk semua perangkat keras dan (2) pengendalian terhadap perubahan dalam perangkat lunak sistem harus paralel dengan pengembangan sistem dan pengendalian dokumentasi yang diuraikan di atas.

Pengendalian Akses
 Pengendalian akses (access control) harus mencegah penggunaan yang tidak terotorisasi dari peralatan teknologi informasi file data dan pemrogaman komputer. Pengendalian khusus meliputi penjagaan secara fisik perangkat lunak, dan prosedur.
            Akses ke perangkat keras komputer harus dibatasi pada individu yang diotorisasi seperti operator komputer. Penjagaan fisik termasuk penempatan peralatan di lokasi yang terpisah dari departemen pemakai informasi. Petugas keamanan, pintu dalam keadaan terkunci, atau kunci khusus harus dapat membatasi akses terhadap lokasi komputer.
Akses terhadap file data dan program harus dirancang untuk mencegah penggunaan yang tidak diotorisasi baik untuk program maupun data. Pengendalian fisik dalam bentuk suatu perpustakaan dan seorang pustakawan. Akses terhadap dokumentasi program dan file data harus dibatasi pada individu yang memiliki otorisasi untuk memroses, memelihara atau memodifikasi sistem tertentu.
            Pengendalian akses lainnya adalah (1) prosedur pemanggilan kembali komputer ketika telepon digunakan untuk menghubungi komputer, dan (2) kata sandi yang diperiksa oleh komputer sebelum seseorang dapat memasuki suatu transaksi.

Pengendalian Data dan Prosedur
                  Pengendalian data dan prosedur (data and procedural controls) menyediakan suatu kerangka kerja untuk mengendalikan operasi komputer sehari-hari, meminimalkan kemungkinan kekeliruan pemrosesan, dan memastikan kelanjutan operasi dari kejadian kehancuran fisik atau kegagalan komputer.
            Dua tujuan pertama dicapai  melalui fungsi pengendalian yang dilaksanakan oleh individu atau departemen yang secara organisasi independen dan pengoperasian komputer. Kelompok pengendali data dalam teknologi iniformasi biasanya memikul tanggung jawab ini. Fungsi pengendalian tersebut meliputi:
  • Penerimaan dan pemilihan semua data yang akan diproses 
  • Akuntansi untuk semua data masukan 
  • Penindaklanjutan dari pemroses kekeliruan 
  • Pemeriksaan distribusi output dengan tepat
          Kemampuan untuk memelihara kelanjutan pengoperasian komputer melibatkan (1) penggunaan penyimpanan off-premiere untuk file-file, program-program dan dokumentasi-dokumentasi yang penting; (2) perlindungan fisik terhadap bahaya lingkungan; (3) penahanan catatan formal dan rencana pemulihan data; serta (4) pengaturan penggunaan backup pada lokasi lain.
Kemampuan untuk menyusun kembali file data sama pentingnya. Ketika pemrosesan berurutan digunakan, suatu metode umum untuk menyusun kembali catatan adalah konsep kakek-ayah-anak (grandfather-father-son concept) yang diilustrasikan dalam bagian atas gambar 9-3. Menurut konsep ini, file utama yang diperbarui merupakan anak. File utama yang digunakan dalam operasi yang terus diperbarui, yang menghasilkan anak adalah ayah, dan file utama sebelumnya adalah kakek. Untuk memperbarui file utama tersebut, catatan dari transaksi periode berjalan dan periode lalu harus ditahan. Dalam kejadian file utama komputer hancur, sistem kemudian memiliki kemampuan untuk menggantikan file tersebut. Idealnya, tiga generasi dari file utama dan file transaksi harus disimpan dalam lokasi yang terpisah untuk meminimalkan resiko hilangnya file secara sekaligus.

Memahami Komponen Pengendalian Internal
Memahami Lingkungan Pengendalian
AU 319.26 menyatakan bahwa auditor harus memperoleh pengetahuan mengenai lingkungan pengendalian yang mencukupi untuk memahami sikap dan tindakan manajemen serta dewan direksi berkenaan dengan lingkungan pengendalian , dengan mempertimbangkan baik substansi pengendalian maupun dampak kolektif mereka pada pengendalian lain. Auditor harus memahami substansi, tidak hanya bentuk, dari kebijakan dan prosedur manajemen untuk komponen ini. Sebagai contoh, penetapan suatu kode etik perilaku tertulis formal oleh manajemen untuk personel entitas akan tidak berarti jika manajemen sendiri melanggar kode etik atau tindakan tersebut dengan suatu cara yang mendorong pelanggaran oleh orang lain.
Tingkat pemahaman yang diperlukan dari beberapa faktor lingkungan pengendalian, seperti filosofi dan gaya operasi manajemen, struktur organisasi, serta dewan direksi dan komite audit, akan sama untuk setiap strategi audit. Akan tetapi, untuk beberapa faktor, mungkin akan diperlukan pengetahuan tambahan untuk pendekatan tingkat resiko pengendalian yang dinilai lebih rendah. Oleh karena itu, selain pemahaman mendasar mengenai kebijakan dan praktik sumber daya manusia yang akan diperoleh menurut pendekatan substantif utama, auditor juga dapat menginginkan pengetahuan spesifik mengenai perekrutan, pengalaman, dan pelatihan personel komputer dan lainnya yang memiliki tanggung jawab pengendalian yang penting, seperti kasir, penjaga gudang, dan penyelia gaji.

Memahami Penilaian Risiko
AU 319.30 menyatakan bahwa auditor harus menentukan bagaimana manajemen mengidentifikasi risiko yang relevan terhadap penyajian laporan keuangan yang wajar, kepedulian mengenai bagaimana ia menilai signifikansi dari risiko tersebut dan bagaimana ia memutuskan aktivitas pengendalian atau tindakan lain berkenaan dengan resiko tersebut. Secara khusus, auditor harus waspada terhadap pemahaman  manajemen mengenai risiko teknologi informasi dan respon terhadap risiko tersebut. Hal yang juga penting adalah pemahaman mengenai bagaimana manajemen mengidentifikasi dan bereaksi terhadap perusahaan baik dalam situasi eksternal maupun internal yang dapat mempengaruhi risiko yang berhubungan dengan pelaporan keuangan. Pemahaman yang lebih luas mengenai komponen ini biasanya diperlukan apabila menggunakan strategi tingkat risiko pengendalian yang dinilai lebih rendah daripada apabila menggunakan strategi audit substantif utama.

Memahami Informasi dan Komunikasi
Suatu sistem informasi entitas secara signifikan mempengaruhi risiko salah saji material dalam laporan keuangan. Secara khusus, sistem akuntansi yang dirancang dengan baik dan secara efektif beroperasi harus menyediakan data akuntansi yang dapat diandalkan, sementara sistem yang dirancang dengan buruk akan memberikan hasil sebaliknya.
AU 319.36 mengindikasikan bahwa auditor harus memperoleh pengetahuan yang mencukupi mengenai sistem informasi yang relevan dengan pelaporan keuangan untuk memahami :
·         Golongan transaksi dalam operasi entitas yang signifikan terhadap laporan keuangan.
·         Bagaimana transaksi-transaksi tersebut dimulai.
·         Catatan akuntansi, dokumen pendukung, dan akun-akun spesifik dalam laporan keuangan yang terlibat dalam pemrosesan dan pelaporan transaksi.
·         Pemrosesan akuntansi yang terlibat dalam pengerjaan transaksi hingga pemasukannya dalam laporan keuangan, termasuk cara elektronik yang digunakan untuk mengirimkan, memroses, memelihara, dan mengakses informasi.
·         Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas, termasuk estimasi dan pengungkapan akuntansi yang signifikan.
Golongan transaksi yang secara umum memiliki dampak signifikan terhadap laporan keuangan meliputi penjualan dan penerimaan kas, pembelian dan pengeluaran kas, persediaan, serta penggajian. Seringkali terdapat volume yang tinggi dari transaksi-transaksi tersebut yang memerlukan pemrosesan akuntansi secara luas dan melibatkan risiko salah saji yang lebih tinggi, yang memerlukan suatu pemahaman yang lebih mendalam oleh auditor. Sebaliknya, dalam suatu periode tertentu untuk entitas tertentu, transaksi investasi dan pembiayaan dapat minimal, sehingga memerlukan pemahaman yang lebih sedikit. Auditor juga harus memperoleh suatu pemahaman mengenai bagaimana entitas mengkomunikasikan peran dan tanggung jawab serta masalah signifikan lainnya yang berhubungan dengan pelaporan keuangan.
Risiko salah saji dikaitkan dengan perubahan isi atau bentuk dari informasi. Terdapat empat fungsi ekonomi penting yang dihubungkan dengan transaksi dalam rangka memahami di mana informasi baru dapat ditambahkan atau bentuk informasi dapat diubah
·      Pelaksanaan transaksi
·      Pengiriman atau penerimaan barang dan jasa
·      Pencatatan transaksi
·      Penerimaan kas atau pengeluaran kas

Dalam memahami sistem akuntansi adalah penting untuk memahami bagaimana sistem akuntansi menangani kejadian-kejadian ekonomi tersebut.
Secara umum, tingkat pemahaman yang lebih tinggi mengenai komponen informasi dan komunikasi diperlukan untuk bagian sistem informasi yang lebih canggih dan lebih kompleks yang mempengaruhi asersi dimana auditor memilih untuk menggunakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah.

Memahami Aktivitas Pengendalian
AU 319.33 menunjukkan bahwa auditor harus memperoleh suatu pemahaman tentang aktivitas pengendalian yang relevan dengan perencanaan audit. Dalam memperoleh suatu pemahaman mengenai lingkungan pengendalian, penilaian risiko, informasi dan komunikasi, serta komponen pemantauan dari pengendalian intern, auditor secara tidak langsung akan memperoleh pengetahuan mengenai beberapa aktivitas pengendalian. Tingkat pemahaman ini mungkin mencukupi untuk tujuan perencanaan audit untuk asersi dimana auditor memutuskan memilih satu dari pendekatan substantif utama. Karena pada kasus tersebut auditor menilai risiko pengendalian pada tingkat yang tinggi atau maksimum, dan merencanakan pengujian substantif dalam bentuk prosedur analisis atau pengujian rincian, maka hal tersebut biasanya tidak efisien atau tidak perlu untuk memperoleh suatu pemahaman mengenai aktivitas pengendalian tambahan yang berkenaan dengan asersi laporan keuangan yang berhubungan. Ketika auditor merencanakan pendekatan substantif utama, tambahan pengetahuan mengenai prosedur pengendalian mungkin tidak diperlukan untuk mengidentifikasi faktor-faktor yang mempengaruhi risiko salah saji, menilai risiko salah saji, dan merancang pengujian substantif.
Akan tetapi, untuk asersi dimana auditor berharap menggunakan pendekatan tingkat resiko pengendalian yang dinilai lebih rendah, ia akan lebih mungkin untuk menginginkan memperoleh suatu pemahaman mengenai aktivitas pengendalian tambahan yang relevan dengan asersi tertentu. Sebagai contoh, auditor mungkin perlu memahami pengendalian umum, pengendalian aplikasi, dan bagaimana mereka melaporkan pengecualian, dalam rangka merancang pengujian pengendalian guna mendukung penilaian risiko pengendalian yang rendah.

Memahami Pemantauan
Menurut AU 319.39 adalah penting untuk memahami jenis aktivitas yang digunakan oleh entitas, manajemen puncak, manajemen akuntansi, dan auditor internal untuk memantau efektifitas pengendalian intern dalam memenuhi tujuan pelaporan keuangan. Pengetahuan mengenai bagaimana tindakan perbaikan dimulai juga harus diperoleh berdasarkan informasi yang sedikit dari aktivitas pemantauan.
Informasi yang diperoleh dari prosedur pemantauan yang dilaksanakan oleh auditor internal dapat berguna secara khusus bagi auditor eksternal. Sebagai contoh, auditor eksternal mungkin akan memperoleh suatu pemahaman mengenai rancangan sistem penjualan dan piutang usaha yang terkomputerisasi dengan mereview bagan arus auditor internal mengenai sistem tersebut. Demikian juga, suatu review terhadap laporan auditor internal dapat mengungkap pengendalian spesifik yang telah ditempatkan dalam operasi.
Auditor eksternal tidak diwajibkan untuk menguji pekerjaan auditor internal yang berkenaan dengan perolehan suatu pemahaman, tetapi ia dapat memilih untuk melakukan hal tersebut. Akan tetapi, perolehan pemahaman harus mencakup pengajuan pertanyaan kepada manajemen dan personel auditor internal yang sesuai berkenaan dengan hal-hal seperti (1) keberadaan staf internal audit dalam suatu entitas, (2) aktivitasnya, (3) kesesuaiannya dengan standar-standar profesional internal auditing, dan (4) sifat, waktu, serta luas pekerjaannya.

Prosedur Untuk Memperoleh Suatu Pemahaman
Dalam memperoleh suatu pemahaman mengenai pengendalian yang relevan dengan perencanaan audit, auditor harus melaksanakan prosedur untuk menyediakan pengetahuan yang cukup mengenai rancangan pengendalian yang relevan berkenaan dengan kelima komponen pengendalian intern dan apakah hal itu telah ditempatkan dalam operasi. AU 319.41 menyarankan agar prosedur untuk memperoleh suatu pemahaman (procedures to obtain an understanding) terdiri dari :
·      Review pengalaman masa lalu dengan klien
·      Mengajukan pertanyaan kepada manajemen, pengawas, dan staf personel yang tepat
·      Memeriksa dokumen dan catatan
·      Mengamati aktivitas dan operasi entitas
Sifat dan luas prosedur yang dilaksanakan secara umum bervariasi dari entitas ke entitas dan dipengaruhi oleh ukuran dan kompleksitas entitas, pengalaman masa lalu auditor dengan entitas, sifat pengendalian tertentu, serta sifat dari pendokumentasian pengendalian tertentu.
Jika auditor memiliki pengalaman masa lalu dengan klien, maka kertas kerja tahun lalu harus berisi sejumlah besar informasi yang relevan dengan audit tahun berjalan. Kertas kerja juga harus berisi informasi mengenai jenis salah saji yang ditemukan sebelum audit dan penyebabnya. Sebagai contoh, kertas kerja harus menunjukkan apakah salah saji masa lalu yang dihasilkan dari (1) kurangnya pengendalian yang mencukupi, (2) pelaksanaan yang salah secara sengaja dari pengendalian yang ada, (3) ketidakpatuhan yang tidak disengaja dari pengendalian yang ada oleh personel yang tidak berpengalaman, atau (4) perbedaan dalam memberikan pertimbangan profesional mengenai estimasi akuntansi. Auditor dapat menindaklanjuti informasi tersebut untuk menentukan apakah tindakan perbaikan telah diambil.
Dokumen dan catatan dari entitas yang relevan harus diperiksa. Contohnya termasuk bagan organisasi, pedoman kebijakan, bagan akun, buku besar akuntansi, jurnal, dokumen sumber, bagan arus transaksi, dan laporan yang digunakan oleh manajemen dalam me-review kinerja seperti laporan komparatif yang menunjukkan data anggaran dan data aktual serta variansnya. Pemeriksaan ini secara langsung akan mengarah pada penambahan pertanyaan mengenai pengendalian spesifik dan perubahan kondisi. Pengamatan kinerja dari beberapa pengendalian akan diperlukan untuk menentukan apakah pengendalian tersebut telah ditempatkan dalam operasi.
Untuk memperkuat pemahaman mengenai beberapa aspek sistem akuntansi serta beberapa aktivitas pengendalian tertentu, beberapa auditor melaksanakan review transaksi walkthrough (transaction walkthrough review). Untuk melaksanakan review tersebut, satu atau beberapa transaksi dalam setiap golongan transaksi utama ditelusuri melalui jejak transaksi, dan kebijakan serta prosedur pengendalian yang berhubungan diidentifikasi dan diamati.

Mendokumentasikan Pemahaman
Mendokuntasikan pemahaman (documenting the understanding) tentang pengendalian intern diperlukan dalam sebuah audit. AU 319.44 menyatakan bahwa bentuk dan luas pendokumentasian dipengaruhi oleh ukuran dan kompleksitas entitas, dan sifat dari pengendalian intern entitas. Pendokumentasian dalam kertas kerja dapat berupa kuesioner yang lengkap, bagan arus, tabel keputusan (dalam sistem akuntansi terkomputerisasi), dan memorandum naratif. Dalam audit terhadap entitas besar yang melibatkan kombinasi strategi audit, keempat jenis pendokumentasian dapat digunakan untuk berbagai bagian dari pemahaman. Dalam audit terhadap entitas kecil, dimana pendekatan substantif utama mendominasi, suatu memorandum tunggal mungkin sudah cukup untuk mendokumentasikan pemahaman mengenai semua komponen.
Auditor dapat mendokumentasikan pemahaman bersamaaan dengan ketika mereka memperoleh pemahaman itu. Sebagai contoh, auditor seringkali mencatat jawaban klien atas pertanyaan dalam kuesioner yang telah dicetak sebelumnya yang menjadi bagian dari kertas kerja. Dalam perikatan berulang, auditor mungkin hanya perlu memperbarui kuesioner, bagan arus, atau memorandum naratif yang telah ada dari kertas kerja tahun lalu. Dokumentasi yang diperlukan hanya berkenaan dengan bagian pengendalian intern yang relevan dengan audit. Pembahasan berikut menjelaskan empat bentuk pendokumentasian yang secara umum digunakan oleh auditor.

Kuesioner
Kuesioner terdiri dari serangkaian pertanyaan mengenai pengendalian intern yang perlu dipertimbangkan auditor untuk mencegah salah saji yang material dalam laporan keuangan. Pertanyaan biasanya dibuat dalam bentuk jawaban Ya atau Tidak atau N/A (not applicable), dengan jawaban Ya mengindikasikan suatu kondisi yang menguntungkan. Ruang kosong juga disediakan untuk menyediakan komentar seperti siapa yang melaksanakan prosedur pengendalian dan seberapa sering prosedur pengendalian dilaksanakan. 

Bagan Arus
Bagan arus (flowcharts) adalah suatu diagram sistematik dengan menggunakan simbol-simbol terstandarisasi, garis arus yang saling berhubungan, dan keterangan yang menggambarkan langkah-langkah yang terlibat dalam memproses informasi melalui sistem informasi.

Memorandum Naratif
Memorandum naratif terdiri dari komentar-komentar tertulis berkenaan dengan pertimbangan auditor atas pengendalian intern. Memorandum dapat digunakan untuk melengkapi bagan arus atau bentuk pendokumentasian lain dengan meringkas keseluruhan pemahaman auditor mengenai pengendalian intern, komponen individu dari pengendalian intern, atau kebijakan.

4 komentar:

  1. Terima kasih atas informasinya, saya semakin paham mengenai Definisi Pengendalian Internal

    BalasHapus
  2. Komentar ini telah dihapus oleh pengarang.

    BalasHapus
  3. Sebelumnya terima kasih atas penjelasannya, yang masih menjadi pertanyaan apa beda dari pengendalian manajemen dengan pengendalian internal apakah kedua hal tersebut sama ?

    BalasHapus