Pemahaman
Mengenai Pengendalian Internal
Definisi Pengendalian Internal
Pengendalian Internal atau internal
control adalah suatu proses yang dilaksanakan oleh dewan direksi, manajemen,
dan personel lainnya dalam suatu entitas, yang dirancang untuk menyediakan
keyakinan yang memadai berkenaan dengan pencapaian tujuan dalam kategori
berikut :
-
Keandalan pelaporan keuangan
-
Kepatuhan
terhadap hukum dan peraturan yang berlaku
-
Efektivitas
dan efisiensi operasi
Pentingnya Pengendalian Internal
Menurut terbitan yang dikeluarkan AICPA
pada tahun 1947, pengendalian
internal sangat penting bagi suatu perusahaan karena faktor – faktor berikut
ini :
-
Lingkup
dan ukuran bisnis entitas telah menjadi sangat kompleks dan tersebar luas
sehingga manajemen harus bergantung pada sejumlah laporan dan analisis untuk
mengendalikan operasi secara efektif
-
Pengujian
dan penelaahan yang melekat dalam sistem pengendalian internal yang baik
menyediakan perlindungan terhadap kelemahan manusia dan mengurangi kemungkinan
terjadinya kekeliruan dan ketidakberesan
-
Tidak
praktis bagi auditor untuk melakukan audit atas kebanyakan perusahaan dengan
pembatasan biaya ekonomi tanpa menggantungkan pada sistem pengendalian internal
klien
Selanjutnya
pada bulan Oktober 1987 atau 40 tahun kemudian sejak terbitan AICPA tahun 1947,
National Commission on Fraundulent Financial Reporting ( Treadway Commission )
menekankan ulang pentingnya pengendalian internal dalam mengurangi kejadian
pelaporan yang curang. Laporan terakhir komisi ini berisi hal – hal berikut :
-
Penekanan
atas pentingnya mencegah pelaporan keuangan yang curang merupakan “suasana yang
ditetapkan oleh manajemen puncak” yang mempengaruhi lingkungan perusahaan di
mana pelaporan keuangan dibuat
-
Semua
perusahaan publik harus memelihara pengendalian internal yang akan menyediakan
keyakinan yang memadai bahwa pelaporan keuangan yang curang akan dicegah atau
dideteksi lebih awal
-
Organisasi
yang mensponsori commission harus bekerjasama dalam mengembangkan pedoman
tambahan mengenai sistem pengendalian internal
Sebagai
kelanjutan dari penerbitan laporan commission, pada tahun 1988 ASB ( Auditing Standards Board )
menerbitkan SAS 55, consideration of the internal control structure in a
financial statement audit ( AU 319 ).SAS secara signifikan memperluas baik arti
pengendalian internal maupun tanggung jawab auditor dalam memenuhi standar
pekerjaan lapangan.
Konsep Pengendalian Internal
Berdasarkan laporan COSO ( Committe of Sponsoring
Organization ) di Amerika Serikat, mengungkapkan bahwa terdapat empat konsep
fundamental dalam pengendalian internal. Konsep fundamental tersebut antara
lain :
-
Pengendalian
internal merupakan suatu proses. Hal
tersebut berarti pengendalian internal merupakan suatu alat untuk mencapai
suatu akhir, bukan akhir itu sendiri. Pengendalian internal terdiri dari
serangkaian tindakan yang meresap dan terintegrasi dengan, tidak ditambahkan ke
dalam, infrastruktur suatu entitas
-
Pengendalian
internal dilaksanakan oleh orang. Pengendalian internal bukan hanya suatu
manual kebijakan dan formulir – formulir, tetapi orang pada berbagai tingkatan
organisasi, termasuk dewan direksi, manajemen, dan personel lainnya
-
Pengendalian
internal dapat diharapkan untuk menyediakan hanya keyakinan yang memadai, bukan
keyakinan yang mutlak, kepada manajemen dan dewan direksi suatu entitas karena
keterbatasan yang melekat dalam semua sistem pengendalian internal dan perlunya
untuk mempertimbangkan biaya dan manfaat relatif dari pengadaan pengendalian
-
Pengendalian
internal diarahkan pada pencapaian tujuan dalam kategori yang saling tumpang
tindih dari pelaporan keuangan, kepatuhan, dan operasi.
Komponen Pengendalian Internal
Untuk
menyediakan suatu struktur dalam mempertimbangkan banyak kemungkinan
pengendalian yang berhubungan dengan tujuan entitas, muncul lah komponen –
komponen dalam pengendalian internal yang saling berhubungan satu sama lain,
yaitu :
-
Lingkungan
pengendalian ( control environment ) menetapkan suasana suatu organisasi, yang
mempengaruhi kesadaran akan pengendalian dari orang – orangnya.. Lingkungan
pengendalian merupakan pondasi dari semua komponen pengendalian internal
lainnya, yang menyediakan disiplin dan struktur
-
Penilaian
resiko ( risk assessment ) merupakan pengidentifikasian dan analisis entitas
mengenai resiko yang relevan terhadap pencapaian tujuan entitas, yang membentuk
suatu dasar mengenai bagaimana resiko harus dikelola
-
Aktivitas
pengendalian ( control activities ) merupakan kebijakan dan prosedur yang
membantu meyakinkan bahwa perintah manajemen telah dilaksanakan
-
Informasi
dan komunikasi ( information and communication ) merupakan pengidentifikasian,
penangkapan, dan pertukaran informasi dalam suatu bentuk dan kerangka waktu
yang membuat orang mampu melaksanakan tanggung jawabnya
-
Pemantauan
( monitoring ) merupakan suatu proses yang menilai kualitas kinerja
pengendalian internal pada suatu waktu.
Keterbatasan Pengendalian Internal Suatu
Entitas
Sebaik
apapun suatu pengendalian internal dirancang dan dioperasikan dalam suatu
perusahaan, tetap saja ada berbagai keterbatasan yang melekat ( inherent
limitations ) pada prakteknya di lapangan. Berikut di antaranya :
-
Kesalahan
dalam pertimbangan. Kadang – kadang, manajemen dan personel lainnya dapat
melakukan pertimbangan yang buruk dalam membuat keputusan bisnis atau dalam
melaksanakan tugas rutin karena informasi yang tidak mencukupi, keterbatasan
waktu, atau prosedur lainnya
-
Kemacetan.
Kemacetan dalam melaksanakan pengendalian dapat terjadi ketika personel salah
memahami instruksi atau membuta kekeliruan akibat kecerobohan, kebingungan,
atau kelelahan. Perubahan sementara atau permanen dalam personel atau dalam
sistem atau prosedur juga dapat berkontribusi pada teradinya kemacetan
-
Kolusi.
Individu yang bertindak bersama, seperti karyawan yang melaksanakan suatu
pengendalian penting bertindak bersama dengan karyawan lain, konsumen atau pemasok,
dapat melakukan sekaligus menutupi kecurangan sehingga tidak dapat dideteksi
oleh pengendalian internal
-
Penolakan
manajemen. Manajemen dapat mengesampingkan kebijakan atau prosedur tertulis
untuk tujuan tidak sah seperti keuntungan pribadi atau presentasi mengenai
kondisi keuangan suatu entitas yang dinaikkan ( misal, menaikkan laba yang
dilaporkan untuk menaikkan pembayaran bonus atau nilai pasar dari saham entitas
). Praktik penolakan termasuk membuat penyajian yang salah dengan sengaja
kepada auditor dan lainnya seperti menerbitkan dokumen palsu untuk mendukung
pencatatan transaksi penjualan fiktif
-
Biaya
versus manfaat. Biaya pengendalian internal suatu entitas seharusnya tidak
melebihi manfaat yang diharapkan untuk diperoleh. Karena pengukuran yang tepat
baik dari biaya dan manfaat biasanya tidak memungkinkan, manajemen harus
membuat baik estimasi kuantitatif maupun kualitatif dalam mengevaluasi hubungan
antara biaya dan manfaat.
Peran dan Tanggung Jawab
Beberapa pihak
yang bertanggung jawab dalam suatu organisasi :
·
Manajemen.
Merupakan tanggung jawab manajemen untuk menciptakan pengendalian intern yang
efektif.
·
Dewan
Direksi dan Komite Audit. Dewan direksi harus menentukan bahwa manajemen telah
memenuhi tanggung jawabnya untuk menciptakan dan memelihara pengendalian
intern. Komite audit (atau bila tidak ada, dewan direksi sendiri) harus waspada
dalam mengidentifikasi keberadaan penolakan manajemen atas pengendalian atau
pelaporan keuangan yang curang, dan segera mengambil tindakan yang diperlukan
untuk membatasi tindakan yang tidak sesuai oleh manajemen.
·
Auditor
Internal. Auditor internal harus memeriksa dan mengevaluasi kecukupan
pengendalian intern suatu entitas secara periodic dan membuat rekomendasi untuk
perbaikan, tapi mereka tidak memiliki tanggung jawab utama untuk menciptakan
dan memelihara pengendalian intern.
·
Personel
Entitas Lainnya. Peran dan tanggung jawab dari semua personel lain yang
menyediakan informasi kepada, atau menggunakan informasi yang disediakan oleh
system yang mencakup pengendalian intern, harus memahami bahwa mereka memiliki
tanggung jawab untuk mengkomunikasikan masalah apapun yang tidak sesuai dengan
pengendalian atau tindakan melawan hukum yang mereka temui kepada tingkat yang lebih
tinggi dalam organisasi.
·
Auditor
Independen. Seorang akuntan public dapat melakukan perikatan atestasi terpisah
untuk memeriksa dan melaporkan kepada pihak eksternal mengenai asersi manajemen
terpisah atas pengendalian intern entitas.
·
Pihak
Eksternal Lainnya.
Lingkungan Pengendalian
Sejumlah faktor
pembentuk lingkungan pengendalian adalah :
·
Integritas
dan nilai Etika
Untuk menekankan pentingnya
integritas dan nilai etika di antara semua personel organisasi, CEO dan anggota
manajemen puncak lainnya harus :
Ø
Menetapkan
suasana melalui contoh mendemonstrasikan integritas dan mempraktikkan standar
yang tinggi dari perilaku etis
Ø
Mengkomunikasikan
kepada semua karyawan, baik secara verbal melalui pernyataan kebijakan tertulis
dan kode etik perilaku, bahwa hal yang sama diharapkan dari mereka, bahwasetiap
karyawan memiliki tanggung jawab untuk melaporkan pelanggaran yang ia ketahui
atau yang mungkin akan terjadi kepada tingkat yang lebih tinggi dalam
organisasi, dan bahwa pelanggaran akan dikenakan denda.
Ø
Memberikan
bimbingan moral kepada karyawan yang memiliki latar belakang moral kurang baik
yang telah mengakibatkan mereka tidak mempedulikan mana yang baik dan yang
buruk.
Ø
Mengurangi
atau menghilangkan insentif dan godaan yang dapat mengarahkan individu untuk melakukan
tindakan yang tidak jujur, melawan hukum, atau tidak etis.
·
Komitmen
terhadap Kompetensi
Untuk mencapai tujuan entitas,
personel pada setiap tingkatan dalam organisasi harus memiliki pengetahuan dan
keahlian yang diperlukan untuk melaksanakan pekerjaan mereka secara efektif.
Komitmen terhadap kompetensi mencakup pertimbangan manajemen mengeneai
pengetahuan dan keahlian yang diperlukan, dan bauran dari intelegensi,
pelatihan, dan pengalaman yang diperlukan untuk mengembangkan kompetensi
tersebut.
·
Dewan
Direksi dan Komite Audit
Komposisi dewan direksi dan
komita audit dan cara mereka melaksanakan tanggung jawab atas kekuasaan dan
kekeliruan memiliki dampak yang besar terhadap lingkungan pengendalian.
Faktor-faktor yang mempengaruhi efektivitas dari dewan direksi dan komite audit
termasuk independensi mereka dari manajemen, yang berhubungan dengan proporsi
direksi dari luar perusahaan, pengalaman dan status dari anggota, sifat dan
luasnya keterlibatan mereka dalam aktivitas manajemen serta pengamatan mereka
terhadap aktivitas manajemen; kesesuaian tindak tanduk mereka; tingkat di mana
mereka memberikan dan mencari pertanyaan yang sulit dengan manajemen; serta
sifat dan luasnya interaksi mereka dengan auditor internal dan auditor
eksternal. Komite audit yang hanya terdiri dari direksi dari luar perusahaan
dapat berkontribusi secara signifikan terhadap pemenuhan tujuan pelaporan
keuangan suatu entitas dengan melaksanakan pemeriksaan terhadap kekeliruan
pelaporan keuangan dan dengan meningkatkan independensi auditor eksternal.
·
Filosofi
dan Gaya Operasi Manajemen
Ada 7 karakteristik yang dapat
membentuk filosofi dan gaya operasi manajemen, yaitu:
Ø
Pendekatan
untuk mengambil dan memonitor resiko bisnis.
Ø
Mengandalkan
pada pertemuan informal secara langsung dengan manajer kunci dibandingkan
dengan system formal dalam kebijakan tertulis, indicator kinerja, dan laporan
pengecualian.
Ø
Sikap
dan tindakan terhadap pelaporan keuangan.
Ø
Pemilihan
secara selektif atau agresif dari prinsip-prinsip akuntansi yang tersedia.
Ø
Kesadaran
dan konservatisme dalam mengembangkan estimasi akuntansi.
Ø
Kesadaran
dan pemahaman terhadap risiko yang dihubungkan dengan teknologi informasi.
Ø
Sikap
terhadap pemrosesan informasi dan fungsi akuntansi serta personel.
·
Struktur
Organisasi
Struktur organisasi berkontribusi
terhadap kemampuan suatu entitas untuk memenuhi tujuan dengan menyediakan
kerangka kerja menyeluruh atas perencanaan, pelaksanaan, pengendalian, dan
pemantauan aktivitas suatu entitas. Mengembangkan struktur organisasi suatu
entitas melibatkan penentuan bidang kunci dari wewenang dan tanggung jawab,
serta garis pelaporan yang tepat. Hal ini sebagian akan tergantung pada ukuran
entitas dan sifat aktivitasnya. Struktur organisasi entitas biasanya
digambarkan dalam suatu bagan organisasi yang harus secara akurat merefleksikan
garis wewenang dan hubungan pelaporan. Manajemen harus member perhatian tidak
hanya pada operasi entitas, tetapi juga pada struktur informasi dari teknologi
informasi dan system informasi akuntansi. Auditor perlu memahami hubungan ini
untuk menilai lingkungan pengendalian secara tepat dan bagaimana hubungan
tersebut dapat mempengaruhi efektivitas pengendalian tertentu.
·
Penetapan
Wewenang dan Tanggung Jawab
Penetapan wewenang dan tanggung
jawab merupakan perpanjangan dari pengembangan suatu struktur organisasi.
Wewenang dan tanggung jawab mencakup penjelasan-penjelasan mengenai bagaimana
dan kepada siapa wewenang dan tanggung jawab untuk semua aktivitas entitas
dibebankan, dan harus memungkinkan setiap individu untuk mengetahui (1)
bagaimana tindakannya saling berhubungan dengan individu lainnya dalam
memberikan kontribusi terhadap pencapaian tujuan entitas, dan (2) setiap
individu akan betanggung jawab atas hal apa. Faktor ini juga mencakup kebijakan
berkenaan dengan praktik bisnis yang sesuai, pengetahuan dan pengalaman
personel kunci, dan sumberdaya yang tersedia untuk melaksanakan tugas.
Kebijakan dan Praktik
Sumberdaya Manusia
Kebijakan dan
prosedur sumberdaya manusia (human resources policies and procedures) yang
diterapkan akan menjamin bahwa personel entitas memiliki tingkat integritas,
nilai etika, dan kompetensi yang diharapkan. Praktik tersebut mencakup
perekrutan dan proses penyelesaian yang dikembangkan dengan baik; orientasi
personel baru terhadap budaya dan gaya operasi entitas, kebijakan pelatihan
yang mengkomunikasikan peran prospektif dan tanggung jawab; tindakan
pendisiplinan untuk pelanggaran terhadap perilaku yang diharapkan;
pengevaluasian, konseling, dan mempromosikan orang berdasarkan penilaian
kinerja periodik; serta program kompensasi yang memotivasi dan memberikan penghargaan
atas kinerja yang tinggi sambil menghindari disinsentif terhadap perilaku etis.
Hal ini
menyimpulkan penjabaran dari faktor-faktor lingkungan pengendalian, yang dapat
mempengaruhi efektivitas setiap empat komponen lainnya dari pengendalian
intern. Entitas yang memiliki lingkungan pengendalian yang buruk mengurangi
kesempatan bagi komponen pengendalian intern lainnya untuk beroperasi secara
efektif. Jika manajemen senior tidak memperkerjakan individu yang kompeten,
serta memandang rendah pentingnya etika dan kompetensi dalam kinerja pekerjaan
yang mendukung sistem akuntansi, karyawan mungkin tidak akan melaksanakan
prosedur pengendalian lain dengan kepedulian profesional yang mencukupi. Jika
dalam penetapan wewenang dan tanggung jawab manajemen puncak tidak meminta
manajer lain untuk bertanggung jawab atas penggunaan sumberdaya mereka, maka
terdapat sedikit dorongan untuk mengimplementasikan sisa dari komponen
pengendalian inter lainnya secara efektif.
PENILAIAN RESIKO
Penilaian
resiko (risk assessment) untuk tujuan pelaporan keuangan adalah identifikasi,
analisis, dan pengelolaan resiko suatu entitas yang relevan dengan penyusunan
laporan keuangan yang disajikan secara wajar sesuai dengan prinsip-prinsip
akuntansi yang berlaku umum (AU 319.28)
Penilaian
resiko oleh manajemen untuk tujuan pelaporan keuangan serupa dengan perhatian
auditor eksternal dengan resiko. Keduanya menekankan pada hubungan resiko
dengan asersi laporan keuangan tertentu serta aktivitas pencatatan, pemrosesan,
pengikhtisaran, dan pelaporan data keuangan yang berhubungan. Akan tetapi,
ketika tujuan manajemen adalah untuk menentukan bagaimana mengelola resiko yang
diidentifikasikan, tujuan auditor adalah untuk mengevaluasi kemungkinan bahwa
salah saji material terdapat dalam laporan keuangan. Pada suatu saat dimana
manajemen secara tepat mengidentifikasi resiko dan secara sukses memulai
aktivitas pengendalian berkenaan dengan resiko tersebu, penilaian kombinasi
auditor mengenai resiko bawaan dan resiko pengendalian untuk asersi yang
berhubungan akan lebih rendah. Akan tetapi, dalam beberapa kasus, manajemen
dapat memutuskan untuk menerima resiko tanpa memperdulikan pengendalian karena
pertimbangan biaya atau pertimbangan lainnya.
Penilaian
resiko oleh manajemen harus meliputi pertimbangan mengenai resiko yang
dihubungkan dengan teknologi informasi. Sebagai contoh, manajemen harus
merancang sistem informasi dan pengendalian yang mengurangi masalah-masalah
yang berhubungan dengan dampak teknologi informasi dalam mengurangi pemisahan
tugas tradisional. Jika manajemen merancang dan mengimplementasikan suatu
sistem pengendalian umum komputer yang baik, maka banyak resiko menyeluruh
tersebut yang akan dikurangi hingga tingkat yang dapat dikelola.
Penilaian
resiko oleh manajemen juga harus mencakup pertimbangan khusus atas resiko yang
dapat muncul dari perubahan kondisi seperti yang diuraikan dalam AU 319.29 :
·
Perubahan dalam lingkungan operasi
·
Personel baru
·
Sistem informasi yang baru atau
dimodifikasi
·
Pertumbuhan yang cepat
·
Teknologi baru
·
Lini, produk, atau aktivitas baru
·
Restrukturisasi perusahaan
·
Operasi di luar negeri
·
Pernyataan akuntansi
INFORMASI DAN KOMUNIKASI
Sistem
informasi dan komunikasi yang relevan dengan tujuan pelaporan keuangan, yang
memasukan sistem akuntansi, terdiri dari metode-metode dan catatan-catatan yang
diciptakan untuk mengidentifikasi, mengumpulkan, menganalisis, mengklarifikasi,
mencatat, dan melaporkan transaksi-transakisi entitas dan untuk memelihara
akuntabilitas dari aktiva-aktiva dan kewajiban-kewajiban yang berhubungan.
Komunikasi melibatkan penyediaan suatu pemahaman yang jelas mengenai tanggung
jawab dan peran individu dengan pengendalian intern atas pelaporan keuangan (AU
319.34)
Fokus utama
dari kebijakan dan prosedur pengendalian yang berhubungan dengan sistem
akuntansi adalah transakis yang ditangani dengan suatu cara yang dapat mencegah
terjadinya salah saji dalam asersi laporan keuangan manajemen. Oleh karena itu,
suatu sistem akuntansi yang efektif harus :
·
Mengidentifikasi dan mencatat hanya transaksi yang valid dari entitas
yang terjadi dalam periode berjalan (asersi keberadaan atau keterjadian).
·
Mengidentifikasi dan mencatat semua transaksi yang valid dari entitas
yang terjadi dalam periode berjalan (asersi kelengkapan).
·
Memastikan aktiva dan kewajiban yang
tercatat merupakan hasil dari transaksi yang memberikan entitas hak untuk, atau
kewajiban untuk item-item tersebut (asersi hak dan kewajiban).
·
Mengukur nilai transaksi dalam suatu
cara yang mengijinkan pencatatan nilai moneter transaksi secara tepat dalam
laporan keuangan (asersi penilaian atau alokasi).
·
Memperoleh rincian yang mencukupi dari
semua transaksi untuk memungkinkan penyajian secara tepat dalam laporan
keuangan, termasuk pengklasifikasian
yang tepat dan pengungkapan yang diperlukan (asersi penyajian dan
pengungkapan).
Dapat dicatat
bahwa konsisten dengan pengenalan terhadap lima kategori dari asersi laporan
keuangan, dua persyaratan pertama di atas meliputi penentuan periode waktu
dimana transaksi terjadi untuk memungkinkan mereka mencatat pada periode
akuntansi yang tepat. Oleh karena itu, pengendalian yang berhubungan dengan
penetapan pisah batas (cutoff) yang dapat dimasukkan sebagai bagian dari asersi
keberadaan atau keterjadian dan asersi kelengkapan konsisten dengan AU 326.
Beberapa auditor mengubungkan pengendalian yang berhubungan dengan transaksi
pencatatan dalam periode akuntansi yang tepat dengan tujuan terpisah yang
diidentifikasikan sebagai tujuan cutoff.
Sistem
akuntansi entitas harus menyediakan suatu jejak audit (audit trail) atau jejak
transaksi (transaction trail) yang lengkap untuk setiap transaksi. Jejak
transaksi merupakan suatu rantai dari bukti yang disediakan oleh pengkodean,
referensi silang, dan pendokumentasian yang menghubungkan saldo akun dan hasil
ikhtisar lain dengan data transaksi orisinal. Jejak transaksi penting baik bagi
manajemen maupun auditor. Sebagai contoh, manajemen menggunakan jejak tersebut
untuk menjawab pertanyaan pelanggan atau pemasok berkenaan dengan saldo akun.
Penting bagi manajemen untuk memastikan suatu jejak transaksi yang jelas dalam
sistem teknologi informasi dimana bukti dokumentasi hanya dapat ditahan untuk
suatu periode waktu yang singkat. Sebagai contoh, dalam sistem komputer yang
menggunakan pemrosesan on-line
biasanya diciptakan suatu nomor transaksi unik yang dapat digunakan untuk
menciptakan jejak transaksi semacam itu. Auditor menggunakan jejak tersebut
dalam melakukan tracing dan vouching transaksi.
Dokumen dan
catatan mewakili suatu aspek dari sistem informasi dan komunikasi yang
menyediakan bukti audit yang penting. Dokumen menyediakan bukti atas
keterjadian transaksi dan harga, sifat, dan syarat dari transaksi. Faktur,
kontrak, cek, dan tiket waktu merupakan contoh dokumen yang umum. Ketika
ditandatangani dan diberi tanda, dokumen juga menyediakan suatu dasar untuk
menetapkan tanggung jawab untuk pelaksanaan dan pencatatan transaksi. Catatan
termasuk catatan penghasilan karyawan, yang menunjukkan data gaji kumulatif
untuk setiap karyawan, dan catatan persediaan perpetual. Jenis catatan lain
adalah ikhtisar harian dari dokumen yang diterbitkan seperti faktur penjualan
dan cek. Ikhtisar tersebut kemudian secara independen dibandingkan dengan
jumlah jurnal harian yang sesuai untuk menentukan apakah semua transaksi sudah
dicatat. Dalam sistem akuntansi modern, catatan biasanya terdapat dalam bentuk
elektronik dan entitas dapat membuat salinan tercetak dari setiap penggunaan.
Komunikasi
termasuk memastikan bahwa personel yang terlibat dalam sistem pelaporan
keuangan memahami bagaimana aktivitas mereka berhubungan dengan pekerjaan orang
lain baik di dalam maupun di luar organisasi.
AKTIVITAS PENGENDALIAN
Aktivitas
pengendalian yang relevan dengan audit laporan keuangan dapat dikategorikan
dalam berbagai cara. Salah satu cara sebagai berikut :
§ Pemisahan
tugas
§ Pengendalian
pemrosesan informasi
§ Pengendalian
umum
§ Pengendalian
aplikasi
§ Pengendalian
fisik
§ Review
kinerja
Pemisahan Tugas
Pemisahan
tugas melibatkan pemastian bahwa individu tidak melaksanakan tugas yang tidak
seimbang. Tugas dianggap tidak seimbang dari sudut pandang pengendalian ketika
memungkinkan individu untuk melakukan suatu kekeliruan atau kecurangan dan
kemudian berada pada posisi untuk menutupinya dalam pelaksanaan tugas
normalnya. Sebagai contoh, individu yang memroses pengiriman kas dari pelanggan
(memiliki akses pada penjagaan aktiva) seharusnya tidak memiliki juga otoritas
untuk menyetujui dan mencatat kredit dalam akun pelanggan untuk retur penjualan
dan penyisihan atas penghapusan (melaksanakan transaki). Dalam kasus semacam
ini, individu dapat mencuri pengiriman kas dan menutupi pencurian tersebut
dengan mencatat suatu retur penjualan atau penyisihan atau penghapusan piutang
tak tertagih.
Pemisahan
tugas yang baik juga melibatkan pembandingan akuntabilitas yang tercatat dengan
aktiva di tangan. Sebagai contoh, pengendalian intern yang baik melibatkan
rekonsiliasi bank independen yang membandingkan saldo bank dengan saldo buku
perusahaan untuk setiap akun bank. Catatan persediaan perpetual juga harus
dibandingkan secara periodik dengan persediaan yang ada di tangan.
Alasan
tersebut mendukung pemisahan tugas dalam dua jenis situasi berikut :
1.
Tanggung
jawab untuk melaksanakan transaksi, mencatat transaksi dan memelihara penjagaan aktiva yang dihasilkan dari
transaksi harus dibebankan kepada individu atau departemen yang berbeda.
Sebagi contoh, personel departemen pembelian harus mengeluarkan pesanan
pembelian, personel departemen akuntansi harus memelihara akuntabilitas
tercatat, dan personel ruang penyimpanan harus melaksanakan penjagaan barang.
Sebelum mencatat pembelian, personel akuntansi harusnya memastikan bahwa
pembelian telah diotorisasi dan barang yang dipesan telah diterima. Jurnal
akuntansi pada dasarnya menyediakan suatu dasar akuntabilitas untuk barang yang
ada dalam ruang penyimpanan. Lebih lanjut, individu yang bertanggung jawab
untuk melakukan pencatatan transaksi (seperti penerimaan kas), seharusnya tidak
memiliki tanggung jawab untuk memelihara akuntabilitas tercatat (rekonsiliasi
bank).
2.
Harus
terdapat pemisahan tugas yang tepat di dalam departemen tenknologi informasi
dan antara departemen teknologi informasi dengan departemen pemakai informasi. Beberapa
fungsi dalam teknologi informasi---pengembangan sistem, operasi, pengendalian
data, dan administrasi keamanan---seharusnya dipisahkan. Selain itu, teknologi
informasi seharusnya tidak memperbaiki data yang dikirimkan oleh departemen
pemakai informasi, dan secara organisasi harus independen dari departemen
pemakai informasi. Pemisahan tugas dalam teknologi informasi sangat penting
karena mempertimbangkan aspek penting dari pengendalian umum.
Ketika tugas
dipisahkan dengan suatu cara hingga pekerjaan dari satu individu secara
otomatis menyediakan pengecekan silang dari pekerjaan individu lain, manfaat
tambahan dari pengujian independen selalu melibatkan pemisahan tugas, tetapi
pemisahan tugas tidak selalu melibatkan suatu pengujian independen.
§ Gambar Pemisahan Tugas Profesional
Pelaksanaan transaksi
Memelihara
|
Memelihara
|
|
Akuntabilitas
Tercatat
|
Penjagaan Aktiva
|
|
Perbandingan
Periodik dari
|
||
Akuntabilitas yang
Tercatat
|
||
Dengan Aktiva
|
Berikut
adalah contoh bagaimana pemisahan tugas mempengaruhi resiko pengendalian untuk
tiga asersi :
Ø Memisahkan
penjagaan aktiva dari pemeliharaan akuntansi atas aktiva akan mengurangi resiko
pencurian karena seseorang tidak akan memiliki kesempatan untuk menutupi
pencurian dengan menghilangkan catatan mengenai aktiva (asersi keberadaan atau
keterjadian).
Ø Pemisahan
tugas untuk pemrosesan transaksi pengeluaran kas dan rekonsiliasi akun bank
akan mengurangi resiko pembayaran dengan cek yang tidak tercatat karena tidak
akan terdeteksi dalam proses rekonsiliasi (asersi kelengkapan).
Ø Pemisahan
tanggung jawab untuk menyetujui kredit dari pengajuan pesanan penjualan akan
mengurangi resiko tidak tertagihnya piutang yang dapat diakubatkan dari
penjualan yang dilakukan dengan mengambil resiko kredit yang buruk untuk
mencapai target penjualan atau meningkatkan komisi (asersi penilaian atau
alokasi).
Fungsi Teknologi Informasi yang Memerlukan
Pemisahan
Gambar 1
Pengendalian Pemrosesan Informasi
Pengendalian pemrosesan informasi (information processing controls) mengacu
pada resiko yang berhubungan dengan otorisasi, kelengkapan, dan akurasi
transaksi. Pengendalian ini relevan dengan audit laporan keuangan.
Pengendalian Umum
Tujuan dari
pengendalian umum (general controls) adalah
untuk mengendalikan pengembangan program, perubahan program, operasi komputer,
dan untuk mengamankan akses terhadap data dan program. Berikut adalah lima jenis pengendalian umum yang diakui
secara luas:
a.
Pengendalian
organisasi dan operasi
b.
Pengendalian
pengembangan sistem dan dokumentasi
c.
Pengendalian
perangkat keras dan sistem perangkat lunak
d.
Pengendalian
akses
e.
Pengendalian
data dan prosedur
Pengendalian
umum komputer berkenaan dengan lingkungan teknologi informasi dan semua
aktivitas teknologi informasi sebagai kebalikan dari aplikasi teknologi
informasi tunggal. Oleh karena itu, dampak dari pengendalian tersebut meresap
secara mendalam. Jika auditor dapat memperoleh bukti bahwa pengendalian umum
berfungsi secara efektif. Sebaliknya, kekurangan dalam pengendalian umum
mungkin mempengaruhi banyak aplikasi dan dapat mencegah auditor dari penilaian
resiko pengendalian di bawah maksimum untuk banyak aplikasi dan siklus
transaksi.
Pengendalian Organisasi dan Operasi
Pengendalian
Organisasi dan Operasi (organization and operation controls) berhubungan dengan faktor pengendalian
fikosofi dan gaya perasi manajemen dan
struktur organisasi. Selain itu,
pengendalian umum tersebut berkaitan dengan pemisahan tugas dalam departemen
teknologi informasi dan antara departemen teknologi informasi dan departemen
pemakai informasi. Kelemahan dalam pengendalian ini biasanya mempengaruhi semua
aplikasi teknologi informasi.
Struktur
organisasi yang ditunjukkan dalam gambar 1 mengilustrasikan suatu pengaturan yang menyediakan garis wewenang
dan tanggung jawab dalam departemen teknologi informasi. Tanggung jawab utama
untuk setiap posisi adalah
sebagai berikut:
POSISI
|
TANGGUNG JAWAB UTAMA
|
Manajer Teknologi Informasi
|
Melaksanakan semua pengendalian, mengembangkan rencana
jangka pendek dan rencana jangka panjang dan menyetujui sistem
|
Pengembangan Sistem
Analisis Sistem
Programmer
|
Mengevaluasi sistem yang ada, merancang sistem baru, menjelaskan garis
besar sistem, dan membuat spesifikasi untuk programmer
Membuat logika bagan alur untuk program komputer, mengembangkan dan
mendokumentasikan program, serta mencari kesalahan dalam program dan
memperbaikinya
|
Operasi Teknologi Informasi
Operator Komputer
|
Mengoperasikan perangkat keras komputer dan
melaksanakan program menurut instruksi operasi
|
Pustakawan
Administrator Jaringan
|
Memelihara penjagaan dokumentasi sistem, program, dan file data
Merencanakan dan memelihara hubungan jaringan dan file data
|
Pengendalian Data
Kelompok Pengendali Data
Administrator Database
|
Bertindak sebagai penghubung antara departemen pemakai
informasi dan memonitor input, pemrosesan dan output
Merancang isi dan pengorganisasian dari database serta mengendalikan akses
terhadap database dan penggunaannya
|
Keamanan Informasi
Administrator Keamanan
|
Mengelola keamanan sistem teknologi informasi termasuk pengamanan
perangkat keras dan perangkat lunak, memonitor akses terhadap program data,
serta menindaklanjuti pelanggaran keamanan
|
Dalam
organisasi yang kecil, posisi analis sistem dan programmer dapat dikombinasikan. Akan tetapi, pengkombinasian dari
kedua tugas tersebut dengan tugas dalam operasi teknologi informasi
mengakibatkan tugas yang tidak seimbang. Ketika ketiga tugas tersebut
dilaksanakan oleh satu individu, orang tersebut berada dalam posisi yang dapat
melakukan sekaligus menutupi kekeliruan. Sejumlah kecurangan komputer telah
dihasikan ketika tugas-tugas tersebut dikombinasikan.
Depertemen teknologi informasi harus
diorganisasikan secara independen dari departemen pemakai informasi. Oleh
karena itu, manajer teknologi informasi seharusnya melaporkan kepada seorang
eksekutif seperti chief financial
officer, yang tidak secara teratur terlibat dalam otorisasi transaksi untuk
pemrosesan komputer. Selain itu, personel teknolgi informasi seharusnya tidak
memperbaiki kekeliruan kecuali kekeliruan tersebut berasal dari dalam teknologi
informasi.
Pengendalian Pengembangan Sistem dan
Dokumentasi
Pengendalian
pengembangan sistem dan dokumentasi (system
development and documentation controls) merupakan suatu bagian integral
dari komponen pengendalian intern informasi dan komunikasi. Pengendalian
pengembangan sistem berhubungan dengan (1) review,
pengujian dan persetujuan dan sistem baru (2) pengendalian atas perubahan
program, dan (3) prosedur dokumentasi. Prosedur berikut berguna dalam
menyediakan pengendalian yang dibutuhkan:
Perancangan sistem harus
memasukkan perwakilan dari departemen pemakai dan, jika sesuai departemen
akuntansi dan auditor internal
Setiap sistem harus memiliki
spesifikasi tertulis yang ditelaah dan disetujui oleh manajemen dan departemen
pemakai informasi
Pengujian sistem seharusnya
merupakan usaha kerjasama antara pemakai dan personel tenaga teknologi
informasi
Manajer teknologi informasi,
administrator database, personel
pemakai informasi dan tingkat manajemen yang sesuai harus memberikan
persetujuan akhir terhadap suatu sistem baru sebelum ditempatkan dalam operasi
normal
Perubahan program harus disetujui
sebelum pengimplementasian untuk menentukan apakah perubahan tersebut telah
diotorisasi, diuji, dan didokumentasikan.
Pengendalian
dokumentasi yang berkenaan dengan dokumen dan catatan dipelihara oleh sebuah
perusahaan untuk menguraikan aktivitas pemrosesan komputer. Pendokumentasian
yang mencukupi adalah penting, baik bagi manajemen maupun bagi auditor. Bagi
manajemen, dokumentasi membuat manajemen dapat (1) me-review sistem, (2) melatih personel baru, dan (3) memelihara dan
merevisi sistem dan program yang ada. Bagi auditor, dokumentasi menyediakan
sumber informasi utama mengenai arus transaksi melalui sistem dan pengendalian
akuntansi yang berhubungan. Dokumentasi mencakup:
Uraian dan bagan alur dari sistem
dan program
Instruksi pengoperasian bagi
operator komputer
Prosedur pengendalian yang akan
diikuti oleh operator dan pemakai
Uraian dan contoh dari masukan
dan keluaran yang diperlukan
Dalam sistem
manajemen database, pengendalian
dokumentasi yang penting adalah kamus data/directory
(data dictionary/directory). Directory merupakan perangkat lunak yang
menyimpan jejak definisi dan lokasi elemen data dalam database.
Pengendalian Perangkat Keras dan Perangkat
Lunak Sistem
Pengendalian
perangkat keras dan perangkat lunak sistem (hardware
and systen software controls) merupakan faktor penting yang berkontribusi
pada tingkat keandalan yang tinggi dari teknologi informasi saat ini.
Pengendalian perangkat keras dan perangkat lunak dirancang untuk mendeteksi
kerusakan peralatan. Kategori pengendalian ini mencakup hal-hal berikut:
Pembacaan
dua kali (dual read). Data
masukan dibaca dua kali dan kedua bacaan diperbandingkan
Pengujian
keseimbangan (parity check).
Data diproses oleh komputer dalam deretan titik (digit 0 atau 1). Disamping
titik yang diperlukan untuk mewakili karakter numerik dan alphabet, suatu titik
keseimbangan ditambahkan ketika diperlukan, untuk membuat jumlah dari semua 1
titik genap atau ganjil. Ketika data dimasukkan dan dikirimkan dalam komputer,
pengujian keseimbangan diaplikasikan oleh komputer untuk memastikan bahwa titik
tidak hilang selama proses
Pengujian
gema (echo check).
Echo check melibatkan pengiriman
kembali data yang diterima oleh suatu alat keluaran kepada unit sumber untuk
diperbandingkan dengan data asli.
Baca
setelah tulis (read after write). Komputer
membaca kembali data setelah dicatat, baik dalam penyimpanan maupun dalam alat
keluaran dan memeriksa data dengan membandingkannya dengan sumber asli.
Untuk mencapai
manfaat yang maksimum dari pengendalian ini, (1) harus terdapat suatu program
pemeliharaan pencegahan untuk semua perangkat keras dan (2) pengendalian
terhadap perubahan dalam perangkat lunak sistem harus paralel dengan
pengembangan sistem dan pengendalian dokumentasi yang diuraikan di atas.
Pengendalian Akses
Pengendalian akses (access control) harus mencegah
penggunaan yang tidak terotorisasi dari peralatan teknologi informasi file data dan pemrogaman komputer.
Pengendalian khusus meliputi penjagaan secara fisik perangkat lunak, dan
prosedur.
Akses ke perangkat keras komputer
harus dibatasi pada individu yang diotorisasi seperti operator komputer.
Penjagaan fisik termasuk penempatan peralatan di lokasi yang terpisah dari
departemen pemakai informasi. Petugas keamanan, pintu dalam keadaan terkunci,
atau kunci khusus harus dapat membatasi akses terhadap lokasi komputer.
Akses terhadap
file data dan program harus dirancang
untuk mencegah penggunaan yang tidak diotorisasi baik untuk program maupun
data. Pengendalian fisik dalam bentuk suatu perpustakaan dan seorang
pustakawan. Akses terhadap dokumentasi program dan file data harus dibatasi pada individu yang memiliki otorisasi
untuk memroses, memelihara atau memodifikasi sistem tertentu.
Pengendalian akses lainnya adalah
(1) prosedur pemanggilan kembali komputer ketika telepon digunakan untuk
menghubungi komputer, dan (2) kata sandi yang diperiksa oleh komputer sebelum
seseorang dapat memasuki suatu transaksi.
Pengendalian Data dan Prosedur
Pengendalian data dan prosedur (data and procedural controls) menyediakan
suatu kerangka kerja untuk mengendalikan operasi komputer sehari-hari,
meminimalkan kemungkinan kekeliruan pemrosesan, dan memastikan kelanjutan
operasi dari kejadian kehancuran fisik atau kegagalan komputer.
Dua tujuan pertama dicapai melalui fungsi pengendalian yang dilaksanakan
oleh individu atau departemen yang secara organisasi independen dan
pengoperasian komputer. Kelompok pengendali data dalam teknologi iniformasi biasanya
memikul tanggung jawab ini. Fungsi pengendalian tersebut meliputi:
- Penerimaan dan pemilihan semua data yang akan diproses
- Akuntansi untuk semua data masukan
- Penindaklanjutan dari pemroses
kekeliruan
- Pemeriksaan distribusi output
dengan tepat
Kemampuan untuk memelihara
kelanjutan pengoperasian komputer melibatkan (1) penggunaan penyimpanan off-premiere untuk file-file, program-program dan dokumentasi-dokumentasi yang
penting; (2) perlindungan fisik terhadap bahaya lingkungan; (3) penahanan
catatan formal dan rencana pemulihan data; serta (4) pengaturan penggunaan backup pada lokasi lain.
Kemampuan untuk
menyusun kembali file data sama
pentingnya. Ketika pemrosesan berurutan digunakan, suatu metode umum untuk
menyusun kembali catatan adalah konsep kakek-ayah-anak
(grandfather-father-son concept) yang
diilustrasikan dalam bagian atas gambar 9-3. Menurut konsep ini, file utama
yang diperbarui merupakan anak. File utama yang digunakan dalam operasi yang
terus diperbarui, yang menghasilkan anak adalah ayah, dan file utama sebelumnya
adalah kakek. Untuk memperbarui file utama tersebut, catatan dari transaksi
periode berjalan dan periode lalu harus ditahan. Dalam kejadian file utama
komputer hancur, sistem kemudian memiliki kemampuan untuk menggantikan file tersebut.
Idealnya, tiga generasi dari file utama dan file transaksi harus disimpan dalam
lokasi yang terpisah untuk meminimalkan resiko hilangnya file secara sekaligus.
Memahami Komponen Pengendalian Internal
Memahami
Lingkungan Pengendalian
AU 319.26
menyatakan bahwa auditor harus memperoleh pengetahuan mengenai lingkungan
pengendalian yang mencukupi untuk memahami sikap dan tindakan manajemen serta
dewan direksi berkenaan dengan lingkungan pengendalian , dengan
mempertimbangkan baik substansi pengendalian maupun dampak kolektif mereka pada
pengendalian lain. Auditor harus memahami substansi, tidak hanya bentuk, dari
kebijakan dan prosedur manajemen untuk komponen ini. Sebagai contoh, penetapan
suatu kode etik perilaku tertulis formal oleh manajemen untuk personel entitas
akan tidak berarti jika manajemen sendiri melanggar kode etik atau tindakan
tersebut dengan suatu cara yang mendorong pelanggaran oleh orang lain.
Tingkat
pemahaman yang diperlukan dari beberapa faktor lingkungan pengendalian, seperti
filosofi dan gaya operasi manajemen, struktur organisasi, serta dewan direksi
dan komite audit, akan sama untuk setiap strategi audit. Akan tetapi, untuk
beberapa faktor, mungkin akan diperlukan pengetahuan tambahan untuk pendekatan
tingkat resiko pengendalian yang dinilai lebih rendah. Oleh karena itu, selain
pemahaman mendasar mengenai kebijakan dan praktik sumber daya manusia yang akan
diperoleh menurut pendekatan substantif utama, auditor juga dapat menginginkan
pengetahuan spesifik mengenai perekrutan, pengalaman, dan pelatihan personel
komputer dan lainnya yang memiliki tanggung jawab pengendalian yang penting,
seperti kasir, penjaga gudang, dan penyelia gaji.
Memahami
Penilaian Risiko
AU 319.30 menyatakan
bahwa auditor harus menentukan bagaimana manajemen mengidentifikasi risiko yang
relevan terhadap penyajian laporan keuangan yang wajar, kepedulian mengenai
bagaimana ia menilai signifikansi dari risiko tersebut dan bagaimana ia
memutuskan aktivitas pengendalian atau tindakan lain berkenaan dengan resiko
tersebut. Secara khusus, auditor harus waspada terhadap pemahaman manajemen mengenai risiko teknologi informasi
dan respon terhadap risiko tersebut. Hal yang juga penting adalah pemahaman
mengenai bagaimana manajemen mengidentifikasi dan bereaksi terhadap perusahaan
baik dalam situasi eksternal maupun internal yang dapat mempengaruhi risiko
yang berhubungan dengan pelaporan keuangan. Pemahaman yang lebih luas mengenai
komponen ini biasanya diperlukan apabila menggunakan strategi tingkat risiko
pengendalian yang dinilai lebih rendah daripada apabila menggunakan strategi
audit substantif utama.
Memahami
Informasi dan Komunikasi
Suatu sistem
informasi entitas secara signifikan mempengaruhi risiko salah saji material
dalam laporan keuangan. Secara khusus, sistem akuntansi yang dirancang dengan
baik dan secara efektif beroperasi harus menyediakan data akuntansi yang dapat
diandalkan, sementara sistem yang dirancang dengan buruk akan memberikan hasil sebaliknya.
AU 319.36
mengindikasikan bahwa auditor harus memperoleh pengetahuan yang mencukupi
mengenai sistem informasi yang relevan dengan pelaporan keuangan untuk memahami
:
·
Golongan transaksi dalam operasi entitas
yang signifikan terhadap laporan keuangan.
·
Bagaimana transaksi-transaksi tersebut
dimulai.
·
Catatan akuntansi, dokumen pendukung,
dan akun-akun spesifik dalam laporan keuangan yang terlibat dalam pemrosesan
dan pelaporan transaksi.
·
Pemrosesan akuntansi yang terlibat dalam
pengerjaan transaksi hingga pemasukannya dalam laporan keuangan, termasuk cara
elektronik yang digunakan untuk mengirimkan, memroses, memelihara, dan
mengakses informasi.
·
Proses pelaporan keuangan yang digunakan
untuk menyusun laporan keuangan entitas, termasuk estimasi dan pengungkapan
akuntansi yang signifikan.
Golongan
transaksi yang secara umum memiliki dampak signifikan terhadap laporan keuangan
meliputi penjualan dan penerimaan kas, pembelian dan pengeluaran kas,
persediaan, serta penggajian. Seringkali terdapat volume yang tinggi dari
transaksi-transaksi tersebut yang memerlukan pemrosesan akuntansi secara luas
dan melibatkan risiko salah saji yang lebih tinggi, yang memerlukan suatu
pemahaman yang lebih mendalam oleh auditor. Sebaliknya, dalam suatu periode
tertentu untuk entitas tertentu, transaksi investasi dan pembiayaan dapat
minimal, sehingga memerlukan pemahaman yang lebih sedikit. Auditor juga harus
memperoleh suatu pemahaman mengenai bagaimana entitas mengkomunikasikan peran
dan tanggung jawab serta masalah signifikan lainnya yang berhubungan dengan
pelaporan keuangan.
Risiko salah
saji dikaitkan dengan perubahan isi atau bentuk dari informasi. Terdapat empat
fungsi ekonomi penting yang dihubungkan dengan transaksi dalam rangka memahami
di mana informasi baru dapat ditambahkan atau bentuk informasi dapat diubah
· Pelaksanaan
transaksi
· Pengiriman
atau penerimaan barang dan jasa
· Pencatatan
transaksi
· Penerimaan
kas atau pengeluaran kas
Dalam memahami sistem akuntansi
adalah penting untuk memahami bagaimana sistem akuntansi menangani
kejadian-kejadian ekonomi tersebut.
Secara umum, tingkat pemahaman yang
lebih tinggi mengenai komponen informasi dan komunikasi diperlukan untuk bagian
sistem informasi yang lebih canggih dan lebih kompleks yang mempengaruhi asersi
dimana auditor memilih untuk menggunakan pendekatan tingkat risiko pengendalian
yang dinilai lebih rendah.
Memahami Aktivitas Pengendalian
AU 319.33 menunjukkan bahwa auditor
harus memperoleh suatu pemahaman tentang aktivitas pengendalian yang relevan
dengan perencanaan audit. Dalam memperoleh suatu pemahaman mengenai lingkungan
pengendalian, penilaian risiko, informasi dan komunikasi, serta komponen
pemantauan dari pengendalian intern, auditor secara tidak langsung akan
memperoleh pengetahuan mengenai beberapa aktivitas pengendalian. Tingkat
pemahaman ini mungkin mencukupi untuk tujuan perencanaan audit untuk asersi
dimana auditor memutuskan memilih satu dari pendekatan substantif utama. Karena
pada kasus tersebut auditor menilai risiko pengendalian pada tingkat yang
tinggi atau maksimum, dan merencanakan pengujian substantif dalam bentuk
prosedur analisis atau pengujian rincian, maka hal tersebut biasanya tidak
efisien atau tidak perlu untuk memperoleh suatu pemahaman mengenai aktivitas
pengendalian tambahan yang berkenaan dengan asersi laporan keuangan yang
berhubungan. Ketika auditor merencanakan pendekatan substantif utama, tambahan
pengetahuan mengenai prosedur pengendalian mungkin tidak diperlukan untuk
mengidentifikasi faktor-faktor yang mempengaruhi risiko salah saji, menilai
risiko salah saji, dan merancang pengujian substantif.
Akan tetapi, untuk asersi dimana
auditor berharap menggunakan pendekatan tingkat resiko pengendalian yang
dinilai lebih rendah, ia akan lebih mungkin untuk menginginkan memperoleh suatu
pemahaman mengenai aktivitas pengendalian tambahan yang relevan dengan asersi
tertentu. Sebagai contoh, auditor mungkin perlu memahami pengendalian umum,
pengendalian aplikasi, dan bagaimana mereka melaporkan pengecualian, dalam
rangka merancang pengujian pengendalian guna mendukung penilaian risiko
pengendalian yang rendah.
Memahami Pemantauan
Menurut AU 319.39 adalah penting
untuk memahami jenis aktivitas yang digunakan oleh entitas, manajemen puncak,
manajemen akuntansi, dan auditor internal untuk memantau efektifitas
pengendalian intern dalam memenuhi tujuan pelaporan keuangan. Pengetahuan
mengenai bagaimana tindakan perbaikan dimulai juga harus diperoleh berdasarkan
informasi yang sedikit dari aktivitas pemantauan.
Informasi yang diperoleh dari
prosedur pemantauan yang dilaksanakan oleh auditor internal dapat berguna
secara khusus bagi auditor eksternal. Sebagai contoh, auditor eksternal mungkin
akan memperoleh suatu pemahaman mengenai rancangan sistem penjualan dan piutang
usaha yang terkomputerisasi dengan mereview bagan arus auditor internal
mengenai sistem tersebut. Demikian juga, suatu review terhadap laporan auditor
internal dapat mengungkap pengendalian spesifik yang telah ditempatkan dalam
operasi.
Auditor eksternal tidak diwajibkan
untuk menguji pekerjaan auditor internal yang berkenaan dengan perolehan suatu
pemahaman, tetapi ia dapat memilih untuk melakukan hal tersebut. Akan tetapi,
perolehan pemahaman harus mencakup pengajuan pertanyaan kepada manajemen dan
personel auditor internal yang sesuai berkenaan dengan hal-hal seperti (1)
keberadaan staf internal audit dalam suatu entitas, (2) aktivitasnya, (3)
kesesuaiannya dengan standar-standar profesional internal auditing, dan (4) sifat,
waktu, serta luas pekerjaannya.
Prosedur Untuk Memperoleh Suatu Pemahaman
Dalam memperoleh suatu pemahaman
mengenai pengendalian yang relevan dengan perencanaan audit, auditor harus
melaksanakan prosedur untuk menyediakan pengetahuan yang cukup mengenai
rancangan pengendalian yang relevan berkenaan dengan kelima komponen
pengendalian intern dan apakah hal itu telah ditempatkan dalam operasi. AU
319.41 menyarankan agar prosedur untuk memperoleh suatu pemahaman (procedures
to obtain an understanding) terdiri dari :
·
Review pengalaman masa lalu dengan klien
·
Mengajukan pertanyaan kepada manajemen,
pengawas, dan staf personel yang tepat
·
Memeriksa dokumen dan catatan
· Mengamati
aktivitas dan operasi entitas
Sifat
dan luas prosedur yang dilaksanakan secara umum bervariasi dari entitas ke
entitas dan dipengaruhi oleh ukuran dan kompleksitas entitas, pengalaman masa
lalu auditor dengan entitas, sifat pengendalian tertentu, serta sifat dari
pendokumentasian pengendalian tertentu.
Jika
auditor memiliki pengalaman masa lalu dengan klien, maka kertas kerja tahun
lalu harus berisi sejumlah besar informasi yang relevan dengan audit tahun
berjalan. Kertas kerja juga harus berisi informasi mengenai jenis salah saji
yang ditemukan sebelum audit dan penyebabnya. Sebagai contoh, kertas kerja
harus menunjukkan apakah salah saji masa lalu yang dihasilkan dari (1)
kurangnya pengendalian yang mencukupi, (2) pelaksanaan yang salah secara
sengaja dari pengendalian yang ada, (3) ketidakpatuhan yang tidak disengaja
dari pengendalian yang ada oleh personel yang tidak berpengalaman, atau (4)
perbedaan dalam memberikan pertimbangan profesional mengenai estimasi
akuntansi. Auditor dapat menindaklanjuti informasi tersebut untuk menentukan
apakah tindakan perbaikan telah diambil.
Dokumen
dan catatan dari entitas yang relevan harus diperiksa. Contohnya termasuk bagan
organisasi, pedoman kebijakan, bagan akun, buku besar akuntansi, jurnal,
dokumen sumber, bagan arus transaksi, dan laporan yang digunakan oleh manajemen
dalam me-review kinerja seperti laporan komparatif yang menunjukkan data
anggaran dan data aktual serta variansnya. Pemeriksaan ini secara langsung akan
mengarah pada penambahan pertanyaan mengenai pengendalian spesifik dan
perubahan kondisi. Pengamatan kinerja dari beberapa pengendalian akan
diperlukan untuk menentukan apakah pengendalian tersebut telah ditempatkan
dalam operasi.
Untuk
memperkuat pemahaman mengenai beberapa aspek sistem akuntansi serta beberapa
aktivitas pengendalian tertentu, beberapa auditor melaksanakan review transaksi
walkthrough (transaction walkthrough review). Untuk melaksanakan review
tersebut, satu atau beberapa transaksi dalam setiap golongan transaksi utama
ditelusuri melalui jejak transaksi, dan kebijakan serta prosedur pengendalian
yang berhubungan diidentifikasi dan diamati.
Mendokumentasikan Pemahaman
Mendokuntasikan
pemahaman (documenting the understanding) tentang pengendalian intern
diperlukan dalam sebuah audit. AU 319.44 menyatakan bahwa bentuk dan luas
pendokumentasian dipengaruhi oleh ukuran dan kompleksitas entitas, dan sifat
dari pengendalian intern entitas. Pendokumentasian dalam kertas kerja dapat
berupa kuesioner yang lengkap, bagan arus, tabel keputusan (dalam sistem
akuntansi terkomputerisasi), dan memorandum naratif. Dalam audit terhadap
entitas besar yang melibatkan kombinasi strategi audit, keempat jenis
pendokumentasian dapat digunakan untuk berbagai bagian dari pemahaman. Dalam
audit terhadap entitas kecil, dimana pendekatan substantif utama mendominasi,
suatu memorandum tunggal mungkin sudah cukup untuk mendokumentasikan pemahaman
mengenai semua komponen.
Auditor
dapat mendokumentasikan pemahaman bersamaaan dengan ketika mereka memperoleh
pemahaman itu. Sebagai contoh, auditor seringkali mencatat jawaban klien atas
pertanyaan dalam kuesioner yang telah dicetak sebelumnya yang menjadi bagian
dari kertas kerja. Dalam perikatan berulang, auditor mungkin hanya perlu
memperbarui kuesioner, bagan arus, atau memorandum naratif yang telah ada dari
kertas kerja tahun lalu. Dokumentasi yang diperlukan hanya berkenaan dengan
bagian pengendalian intern yang relevan dengan audit. Pembahasan berikut
menjelaskan empat bentuk pendokumentasian yang secara umum digunakan oleh
auditor.
Kuesioner
Kuesioner
terdiri dari serangkaian pertanyaan mengenai pengendalian intern yang perlu
dipertimbangkan auditor untuk mencegah salah saji yang material dalam laporan
keuangan. Pertanyaan biasanya dibuat dalam bentuk jawaban Ya atau Tidak atau
N/A (not applicable), dengan jawaban Ya mengindikasikan suatu kondisi yang
menguntungkan. Ruang kosong juga disediakan untuk menyediakan komentar seperti
siapa yang melaksanakan prosedur pengendalian dan seberapa sering prosedur
pengendalian dilaksanakan.
Bagan Arus
Bagan arus (flowcharts) adalah suatu diagram sistematik dengan menggunakan
simbol-simbol terstandarisasi, garis arus yang saling berhubungan, dan
keterangan yang menggambarkan langkah-langkah yang terlibat dalam memproses
informasi melalui sistem informasi.
Memorandum Naratif
Memorandum naratif terdiri dari komentar-komentar tertulis berkenaan dengan
pertimbangan auditor atas pengendalian intern. Memorandum dapat digunakan untuk
melengkapi bagan arus atau bentuk pendokumentasian lain dengan meringkas
keseluruhan pemahaman auditor mengenai pengendalian intern, komponen individu
dari pengendalian intern, atau kebijakan.
nice info
BalasHapusTerima kasih atas informasinya, saya semakin paham mengenai Definisi Pengendalian Internal
BalasHapusKomentar ini telah dihapus oleh pengarang.
BalasHapusSebelumnya terima kasih atas penjelasannya, yang masih menjadi pertanyaan apa beda dari pengendalian manajemen dengan pengendalian internal apakah kedua hal tersebut sama ?
BalasHapus