Pengendalian Internal Audit

Disusun oleh :

Rizqi Nanda Alfy (13080694003)

Al Iswatul Rahmah (13080694021)

Sufiah (13080694027)

Maria Qivtia (13080694055)

Nesia Erika Dewi (13080694087)

JURUSAN AKUNTANSI

FAKULTAS EKONOMI

UNIVERSITAS NEGERI SURABAYA

6.1 Tujuan Pengendalian Internal

Pengendalian Internal merupakan jawaban manajemen untuk menangkal risiko yang

diketahui, atau dengan perkataan lain, untuk mencapai suatu tujuan pengendalian (control

objective). Ada hubungan langsung antara tujuan entitas dan pengendalian internal yang

diimplementasikan untuk mencapai tujuan entitas.

Tujuan pengendalian internal dibagi dalam empat kelompok, sebagai berikut :

1) Strategis, sasaran sasaran utama (high- level goals) yang mendukung misi entitas

2) Pelaporan keuangan (pengendalian internal atas pelaporan keuangan)

3) Operasi (pengendalian operasional)

4) Kepatuhan terhadap hukum dan ketentuan perundang-undangan.

Pengendalian internal yang relavan untuk suatu audit, khususnya ditujukan pada

pelaporan keuangan. Berhubungan dengan tujuan entitas dalam membuat laporan keuangan

untuk keperluan eksternal.

Pengendalian operasional, seperti penjadwalan produksi dan karyawan, pengendalian

mutu, dan kepatuhan terhadap ketentuan mengenai kesehatan karyawan dan keselamatan

kerja, biasanya tidak relavan untuk suatu audit kecuali:

1) Informasi digunakan untuk membuat prosedur anatikal.

2) Informasi diperlukan untuk pengungkapan dalam laporan keuangan.

Sebagai contoh, jika statistik produksi digunakan untuk membuat prosedur anatikal,

pengendalian yang memastikan keakuratan data itu akan relavan untuk audit. Sama dengan

ketidak patuhan terhadap hukum dan perundang- undangan yang berdampak langsung

terhadap laporan keuangan, jadi pengendalian untuk mendeteksi dan melaporkan ketidak

patuhan menjadi relevan.

6.2 Komponen Pengendalian Internal

Menurut COSO, pengendalian internal adalah bagian dari proses dalam organisasi dan

berada dalam proses manajemen dasar, yaitu perencanaan, pelaksanaan, dan pemantauan

menurut COSO, pengendalian internal memiliki 2 komponen, yaitu :

6.2.1 Control environment (Lingkungan Pengendalian)

Lingkungan pengendalian ini amat penting karena menjadi dasar keefektifan dari unsur -

unsur pengendalian intern yang lain. Yang termasuk dalam lingkungan pengendalian yaitu :

1) Integrity and ethical values (integritas dan nilai etika), integritas dan nilai etika yang

dimiliki perusahaan termasuk pimpinan dan karyawan perusahaan agar saling melakukan

pengendalian internal di dalam perusahaan.

2) Commitment to competence (komitmen terhadap kompetensi), komitmen perusahaan

terhadap kompetensi yang ada agar pengendalian internal berjalan dengan baik

3) Board of directors and audit committee (dewan komisaris dan komite audit) bagaimana

sikap dan kesadaran dewan komisaris dan komite audit agar tercapainya pengendalian

internal yang baik.

4) Management’s philosophy and operating style, filosofi manajemen dan gaya mengelola

operasi)

5) Organizational structure (struktur organisasi)

6) Human resource policies and procedures (kebijakan sumber daya manusia dan

prosedurnya)

6.2.2 Risk assessment

Tindakan manajemen untuk mengidentifikasi, menganalisis risiko - risiko yang relevan

dalam penyusunan laporan keuangan dan perusahaan secara umum. yang termasuk dalam

risk assessment :

1) Company-wide objectives (tujuan perusahaan secara keseluruhan)

2) Process-level objectives (tujuan di setiap tingkat proses)

3) Risk identification and analysis (identifikasi risiko dan analisisnya)

4) Managing change (mengelola perubahan)

6.2.3 Control activities (Aktivitas Pengendalian)

Tindakan - tindakan yang diambil manajemen dalam rangka pengendalian intern, yang

termasuk control activities :

1) Policies and procedures (kebijakan dan prosedur)

2) Security application and network (keamanan dalam hal aplikasi dan jaringan)

3) Application change management (manajemen perubahan aplikasi)

4) Business continuity or backups (kelangsungan bisnis)

5) Outsourcing (memakai tenaga outsourcing)

6.2.4 Information and communication ( Informasi dan Komunikasi)

Tindakan untuk mencatat, memproses dan melaporkan transaksi yang sesuai untuk

menjaga akuntablitas. Yang termasuk komponen ini adalah sebagai berikut.

1) Quality of information (kualitas informasi)

2) Effectiveness of communication (efektivitas komunikasi)

6.2.5 Monitoring

Penilaian terhadap mutu pengendalian internal secara berkelanjutan maupun periodik

untuk memastikan pengendalian internal telah berjalan dan telah dilakukan penyesuian yang

diperlukan sesuai kondisi yang ada. Yang termasuk di dalam komponen ini, yakni :

1) On-going monitoring (pengawasan yang terus berlangsung)

2) Separate evaluations (evaluasi yang terpisah)

3) Reporting deficiencies (melaporkan kekurangan - kekurangan yang terjadi)

6.3 Control Environment dan Information System

6.3.1 Control Environment (Lingkungan Pengendalian)

Auditor wajib memahami lingkungan pengendalian. Sebagai bagian dari pemahaman ini,

ia wajib mengevaluasi apakah :

1) Manajemen dengan pengawasan TCWG, menciptakan dan mempertahankan budaya

jujur dan perilaku etis

2) Kekuatan dalam unsur-unsur lingkungan pengendalian secara kolektif memberikan

landasan yang kuat untuk komponen pengendalian internal lainnya, dan apakah

komponen pengendalian internal lainnya tidak diperlemah oleh kekurangan dalam

lingkungan pengendalian.

Pengendalian dalam lingkungan pengendalian bersifat pervasif. Pengendalian ini tidak

secara langsung mencegah, mendeteksi, dan mengoreksi salah saji yang material dalam

laporan keuangan. Pengendalian ini menjadi dasar bagi seluruh komponen pengendalian

internal lainnya.

Pengendalian dalam komponen lingkungan pengendalian yang bersifat pervasif ini

mempengaruhi penilaian auditor terhadap kegiatan pengendalian tertentu, misalnya dalam

transaksi penjualan. Jika manajemen berperilaku menyepelekan pengendalian internal pada

umumnya, ini akan mempengaruhi penerapan kegiatan pengendalian dalam transaksi

penjualan atau transaksi lainnya.

Evaluasi auditor atas rancangan lingkungan pengendalian akan meliputi unsur-unsur :

1) Komunikasi dan pelaksanaan nilai integritas dan nilai lainnya

2) Komitmen terhadap kompetensi

3) Keikutsertaan TCWG

4) Gaya kepemimpinan pada umumnya

5) Struktur organisasi

6) Pembagian tugas dan tanggung jawab

7) Kebijakan dan prosedur SDM

Pengendalian dalam komponen lingkungan pengendalian yang kuat dapat mengatasi

kelemahan dalam komponen lain. Namun kelemahan dalam lingkungan pengendalian dapat

melemahkan atau bahkan meniadakan rancangan yang baik dalam komponen pengendalian

lainnya. Sebagai contoh, jika budaya jujur dan perilaku etis tidak ada dalam entitas itu,

auditor harus sungguh-sungguh mempertimbangkan apakah prosedur auditnya masih dapat

mendeteksi salah saji yang material, ataukah ia harus mundur dari penugasan.

Di lingkungan pengendalian pada entitas kecil mungkin auditor tidak menemukan

dokumentasi yang mendukung pengendalian dalam komponen lingkungan pengendalian. Hal

itu karena dalam entitas kecil, aturan dikomunikasikan secara lisan dan mungkin dengan

contoh perilaku atasan atau sikap manjemen ketika menghadapi masalah tertentu. Jika tidak

ada dokumentasi pendukung tentang pengendalian dalam komponen lingkungan

pengendalian, auditor menulis memo untuk file.

Hal-hal yang dilakukan auditor dalam menilai pengendalian dalam komponen

lingkungan pengendalian pada entitas kecil :

1) Menilai seberapa efektifnya governance atas operasi entitas

2) Menilai bagaimana sikap dan tindakan manajemen dalam pelaporan keuangan

3) Menilai apakah entitas mempunyai struktur organisasi yang relevan

4) Menilai apakah wewenang dan tanggung jawab inti telah dibagi dengan tepat

6.3.1.1 Risk Assessment (Penilaian Risiko)

Entitas menilai risiko dari sudut pandang ancaman terhadap pencapaian tujuan entitas,

diantaranya adalah menghasilkan laporan keuangan yang bebas dari salah saji yang material.

Di pihak lain, auditor menilai risiko sebagai bagian dari proses auditnya.

Jika proses penilaian risiko pada entitas yang bersangkutan (PPRE) tepat atau sesuai

dengan situasi yang dihadapi entitas itu, maka PPRE ini mendukung upaya auditor untuk

menilai seberapa besarnya risiko salah saji yang material dalam laporan keuangan yang

diauditnya.

PPRE pada umumnya berurusan dengan hal-hal sebagai berikut :

1) Perubahan dalam lingkungan operasi entitas

2) Pejabat atau karyawan senior yang baru bergabung dengan entitas

3) Sistem yang baru atau yang mengalami perubahan besar-besaran

4) Pertumbuhan yang cepat

5) Teknologi baru

6) Model bisnis, produk, atau kegiatan baru

7) Perluasan kegiatan di luar negeri

8) Terbitnya pernyataan akuntansi yang baru

Hal-hal yang menjadi perhatian auditor adalah :

1) Penentuan mengenai risiko yang relevan terhadap pelaporan keuangan

2) Penaksiran seberapa signifikan dampak risiko tersebut

3) Penilaian tentang seberapa besar potensi terjadinya risiko tersebut

4) Putusan mengenai bagaimana menangani risiko tersebut dalam konteks auditnya.

6.3.2 Information System (Sistem Informasi)

Sistem informasi adalah komponen ketiga dari pengendalian internal. Terjemahan

beberapa alinea dari ISA 315 disajikan dalam tabel 6-5

ISA 315 Kutipan dari ISA 315 Alinea yang BersangkutanAlinea 18 Auditor wajib memperoleh pemahaman mengenai sistem informasi (termasuk

proses bisnis terkait) yang relevan bagi pelapor keuangan, termasuk area berikut

a) Jenis transaksi dalam operasi entitas yang penting dalam laporan keuangan

b) Prosedur, dalam sistem TI (information technology) maupun non-TI (manual system) yang digunakan untuk mengolah transaksi sejak penyiapan, pencatatan, pengolahan, pembetulan, pemindahan ke buku besar dan pelaporan dalam laporan keuangan.

c) Catatan akuntansi, yang mendukung informasi dan akun tertentu dalam laporan keuangan yang digunakan untuk menyiapkan, mencatat, mengolah, dan melaporkan transaksi termasuk pembetulan informasi yang salah dan bagaimana informasi dipindahkan ke buku besar. Catatan ini dapat berbentuk catatan elektronis dan non-elektronis (manual).

d) Bagaimana sistem informasi merekam peristiwa dan keadaan (diluar transaksi) yang penting dalam laporan keuangan.

e) Proses pelaporan yang digunakan untuk menghasilkan laporan keuangan entitas, termasuk entitas akuntansi dan pengungkapan yang penting.

f) Pengendalian atas journal entries, termasuk non-standard journal entries yang dugunakan untuk mencatat transaksi yang tidak berulang (non-reccuring transactions), transaksi luar biasa (unusual transactions) atau penyesuaian dan koreksi (adjustments). (lihat juga alineaA81-A85)

Alinea 19 Auditor wajib memperoleh pemahaman mengenai bagaimana entitas mengkomunikasikan peran dan tanggung jawab pelaporan keuangan dan hal-hal penting lainnya berkenaan dengan pelaporan keuangan. (lihat juga alinea A86-A87)

a) Komunikasi antara manajemen dan TCWGb) Komunikasi eksternal, misalnya dengan regulator

Sumber : Tuanakotta (2013:137-138)

Manajemen dan TCWG memerlukan informasi yang andal untuk :

1) Mengelola entitas, seperti perencanaan (planning), penganggaran (budgeting),

pemantauan kinerja (monitoring performance), pengalokasian sumber daya (allocating

resources), penetapan harga (pricing), dan pembuatan laporan keuangan

2) Mencapai tujuan entitas

3) Mengidentifikasi, menilai, dan menanggapi faktor risiko

Ini semua memerlukan informasi yang tepat. Informasi seperti itu harus

diidentifikasikan, direkam, dikomunikasikan, dan disebarkan secara tepat waktu kepada

karyawan disegala tingkat yang memerlukannya untuk membuat keputusan.

Suatu sistem informasi meliputi infrastruktur (komponen fisik dan perangkat keras),

perangkat lunak, manusia, prosedur, dan data. Banyak sistem informasi memanfaatkan IT

(information technology). Sistem informasi mengidentifikasi, merekam, dan menyebarkan

informasi untuk mendukung tercapainnya tujuan pelaporan keuangan dan tujuan

pengendalian internal.

Suatu sistem informasi yang relevan untuk tujuan pelaporan keuangan, meliputi proses

bisnis dan sistem akuntansi dari entitas yang bersangkutan. Lihat tabel 6-6

Proses bisnis (penjualan, pembelian, dan lain-lain)

Proses bisnis merupakan perangkat terstruktur dari kegiatan-kegiatan yang menghasilkan output tertentu. Hasil proses bisnis ini ialah transaksi yang dicatat, diolah, dan dilaporkan oleh sistem informasi.

Sistem Akuntansi Ini meliputi perangkat lunak akuntansi (accounting software), lembar berkolom elektronis (electronik spreadsheets), dan kebijakan serta prosedur untuk pembuatan laporan keuangan berkala dan laporan keuangan akhir tahun, beserta pengungkapannya (disclosures)

Sumber : Tuanakotta (2013:138)

Pada entitas besar, sistem informasi sangat kompleks, otomatisasi secara penuh (fully

automated) dan terintegrasi. Entitas kecil mungkin masih sepenuhnya menggunkan sistem

manual, atau jika mereka menggunakan pengolahan elektronis, perangkat lunak yang

digunakan masih bersifat “berdiri sendiri” (stand alone information technology applications).

Dalam upaya memahami sistem informasi, auditor perlu juga memperhatikan hal-hal

yang tercantum dalam tabel 6-6

Identifikasi Tentukan/pahami rincian mengenai hal-hal berikut

Sumber informasi yang digunakan 1. Jenis transaksi apa saja yang penting dalam laporan keuangan?

2. Bagaimana transaksi dimulai dalam proses bisnis entitas itu?

3. Apa saja catatan akuntansi yang ada (elektronis atau manual)?

4. Bagaimana sistem merekam peristiwa (events) dan kondisi (selain jenis transaksi yang disebut diatas) yang penting dalam laporan keuangan?

Bagaimana informasi direkam dan diolah Apa saja proses pelaporan keuangan yang digunakan untuk :

1. Menyiapkan, mencatat, mengolah, dan melaporkan transaksi standar dan nonstandar (seperti related-party transactions atau transaksi hubungan istimewa)

2. Membuat laporan keuangan, termasuk estimasi akuntansi dan disclosures yang penting?

Prosedur apa saja yang menanggapi atau menjawab ancaman yang :

1. Risiko salah saji yang material karena pengendalian yang diabaikan (inappropriate override of controls), termasuk pengguna journal entries (standar dan non-standar)?

2. Override (pengabaian) atau suspension (penghentian) pengendalian otomatis (automated controls)?

3. Menentukan adanya penyimpangan (exceptions) dan melaporkan tindakan untuk mengatasinya?

Bagaimana informasi yang dihasilkan, kemudian digunakan

1. Bagaimana entitas mengkomunikasikan peran, tanggung jawab, dan hal-hal penting lainnya mengenai pelaporan keuangan?

2. Laporan apa saja yang secara teratur dihasilakn oleh sistem informasi, dan bagaimana informasi itu digunakan untuk mengelolah entitas?

3. Informasi apa yang diberikan manajemen kepada TCWG dan pihak eksternal seperti regulator?

Sumber : Tuanakotta (2013:140)

Komunikasi adalah unsur kunci dalam suksesnya sistem informasi. Komunikasi yang

efektif secara internal, mambantu karyawan memahami tujuan pengendalian internal, proses

bisnis, dan peran serta tanggung jawab masing-masing pegawai. Ia juga membantu mereka

memahami hubungan antara kegiatan mereka dengan kegiatan orang lain, dan cara-cara

melaporkan penyimpangan kepada atasan yang tetap kepada entitas.

Cara berkomunikasi bisa informal (lisan) atau formal (didokumentasikan dalam

kebijakan dan buku pedoman pelaporan keuangan). Komuikasi iternal antara manajemen

puncak dan karyawan biasanya lebih mudah dan kurang formal dalam entitas kecil, karena

jengang karir yang lebih sedikit dan kehadiran senior management yang lebih sering.

Komunikasi eksternal memastikan tercapainya tujuan yang efektif kepada pihak ketiga

yang relevan seperti pemangku kepentingan (key stakeholders), lembaga keuangan, regulator,

dan lembaga negara lainnya.

6.3.2.1 Terbatasnya dokumentasi sistem IT

Entitas kecil mungkin mempunyai dokumentasi yang kurang canggih. Ia mungkin juga

tidak mendokumentasikan sistem informasi dan komunikasi (information and communication

systems) dengan lebih saksama. Jika ini terjadi, pemahaman yang wajib diperoleh auditor

sangat tergantung pada inquiry (melalui tanya jawab dengan karyawan) dan melalui

pengamatan (observation) dan bukannya melalui penelaahan dokumen (review of

documentation).

6.4 Control Activities

Control activities adalah kebijakan dan prosedur yang memastikan bahwa petunjuk dan

arahan manajemen dilaksanakan untuk mengatasi atau menanggapi risiko-risiko yang jika

tidak ditanggulangi (mitigated), akan mengancam tercapainya tujuan entitas.

Kegiatan pengendalian dirancang untuk :

1) Memastikan terjadinya kepatuhan terhadap kebijakan dan prosedur yang ditetapkan

manajemen.

2) Menanggulangi risiko yang bisa terjadi dalam kegiatan sehari-hari seperti pengolahan

transaksi (penjualan, pembelian, pembayaran, dan transaksi lainnya), dan pengamanan

aset.

Klasifikasi pengendalian dapat digolongkan sebagai preventive atau mencegah, detective

atau menemukan, dan corrective atau mengoreksi.

Tabel 1. Klasifikasi Pengendalian

Klasifikasi Pengendalian Penjelasan

Preventive Controls Mencegah kesalahan dan hal-hal yang tidak lazim

Detective Controls Menemukan kesalahan dan hal-hal yang tidak lazim untuk kemudian dikoreksi.

Compensating Controls Merupakan Corrective Controls, memberikan jaminan ketika ada kendala sumber daya yang membuat pengendalian langsung tidak dapat dilakukan.

Steering Controls Merupakan Corrective Controls, mengarahkan tindakan koreksi untuk mencapai hasil yang diinginkan.

Sumber : Tuanakota(2013:142).

Terdapat kemungkinan ada banyak aktivitas pengendalian pada setiap entitas, termasuk

pengendalian secara manual dan secara otomatis.

Tabel 2. Contoh Pengendalian

Pengendalian Penjelasan Contoh

Pemisahan tugas 1. Untuk mencegah terjadinya

penggelapan aset perusahaan,

orang yang menyimpan aset secara

temporer atau permanen tidak

boleh bertanggung jawab terhadap

pencatatan aset tersebut.

2. Pemisahan tugas otorisasi transaksi

dan pemisahan aset.

3. Pengendalian ini mengurangi

peluang bagi seseorang melakukan

kesalahan atau kecurangan dan

menyembunyikan perbuatannya.

1. Karyawan yang mengolah

piutang tidak menangani

transaksi penerimaan.

2. Orang yang sama tidak boleh

mengesahkan pembayaran faktur

pemasok dan juga

menandatangani cek untuk

membayar tagihan tersebut.

Otorisasi Setiap transaksi harus diotorisasi

dengan tepat jika pengendalian ingin

Manajemen menetapkan kebijakan

untuk melakukan otorisasi atas

memuaskan. Jika setiap orang dalam

sebuah entitas dapat memperoleh

ataupun mengeluarkan aset semau

mereka, maka akan terjadi kerusuhan

besar.

Pengendalian ini menegaskan siapa

yang berwenang menyetujui transaksi

atau peristiwa.

pemesanan persediaan ketika

persediaan yang ada di gudang hanya

untuk kurang dari 3 bulan. Ketika

sebuah departemen memesan

persediaan, petugas yang bertanggung

jawab untuk melakukan pembukuan

persediaan menyetujui pesanan

tersebut untuk mengindikasikan

bahwa kebijakan otorisasi telah

terpenuhi.

Rekonsiliasi Meliputi penyusunan dan reviu atas

rekonsiliasi secara tepat waktu, dan

tindakan perbaikannya.

Rekonsiliasi saldo bank, transaksi

penjualan, rekening antarkantor, dan

lain-lain.

Aplikasi IT Pengendalian ini diprogram dalam

aplikasi yang bersangkutan, misalnya

aplikasi penjualan atau pembelian.

Memeriksa akurasi (ada berapa file

penjualan,perkalian dan penjumlahan

dalam invoice), urutan pengeluaran

cek, exception report(laporan jika ada

penyimpangan)

Review angka-

angka realisasi

Pengendalian berupa reviu atas realisasi

(dibandingkan budget, forecast),

membandingkan data produksi dan data

keuangan, membandingkan data entitas

dengan data industri. Perbedaan yang

ditemukan, selanjutnya diselidiki.

Membandingkan angka budget

dengan angka realisasi, dan lain-lain.

Pengendalian

fisik

Pengendalian ini berhubungan dengan

pengaman fisik atas aset dan

pembatasan akses (ke suatu ruang, file,

data, program komputer, dan

seterusnya).

1. Penggunaan ruang penyimpanan

untuk persediaan untuk menjaga

terjadinya pencurian.

2. Penggunaan lemari besi untuk

menyimpan uang, membatasi

siapa yang boleh mempunyai

akses apa dengan menggunakan

sandi, cocokkan uang atau barang

dengan catatan kas/persediaan.

Sumber : Tuanakota (2013:142-143); Arens (2008:326-330).

6.4.1. Entitas Kecil

Kegiatan pengendalian dirancang untuk langsung dan sesegera mungkin mencegah

terjadinya salah saji yang material, dan jika salah saji itu terjadi, kegiatan pengendalian

dengan cepat menemukan dan memperbaikinya. Dalam entitas yang lebih kecil, konsep yang

mendasari kegiatan pengendalian serupa dengan pada entitas besar, namun relevansinya bagi

auditor bisa berbeda.

1) Banyak pengendalian berjalan secara informal dan mungkin tidak didokumentasikan

dengan baik, bahkan mungkin tidak didokumentasikan sama sekali. Contoh, pemberian

kredit kepada pelanggan lebih didasarkan pada judgement manajer entitas dan

pengetahuannya tentang si pelanggan, dan bukan berdasarkan ketentuan mengenai

pembatasan kredit.

2) Kegiatan pengendalian, jika memang ada, berhubungan dengan siklus transaksi utama,

seperti pembelian dan penjualan.