Tujuan internal control

Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang untuk
memberikan keyakinan memadai untuk manajemen bahwa perusahaan mencapai tujuan dan
sasaran. Kebijakan dan prosedur sering disebut kontrol. Manajemen biasanya memiliki 3
tujuan dalam perancangan sistem pengendalian internal yang efektif:
1. Keandalan laporan keuangan. Manajemen bertanggung jawab atas penyusunan
laporan bagi investor, kreditur, dan pengguna lain sehingga punya tanggung jawab
hukum dan profesional untuk memastikan bahwa informasi yang disajikan secara
wajar sesuai dengan persyaratan pelaporan seperti GAAP. Tujuan pengendalian
internal yang efektif atas laporan keuangan adalah untuk memenuhi tanggung jawab
atas laporan keuangan.
2. Efisiensi dan efektivitas operasi. Kontrol dalam perusahaan mendorong efisien dan
efektifnya untuk menggunakan sumber daya untuk mengoptimalkan tujuan
perusahaan. Tujuan penting dari kontrol ini adalah informasi keuangan dan non
keuangan yang akurat tentang operasi perusahaan untuk mengambil keputusan.
3. Kepatuhan terhadap hukum dan peraturan. Public, nonpublic, dan organisasi non
profit diwajibkan untuk mengikuti banyak hukum dan peraturan. Beberapa yang
berhubungan dengan akuntansi secara tidak langsung, seperti perlindungan
lingkungan dan hak-hak sipil hukum. Yang berhubungan erat dengan akuntansi,
seperti peraturan pajak penghasilan dan penipuan.
Fokus auditor baik dalam audit atas laporan keuangan dan audit pengendalian internal pada
kontrol atas keandalan pelaporan keuangan plus kontrol-kontrol atas operasi dan kepatuhan
terhadap hukum dan peraturan yang secara material dapat mempengaruhi laporan keuangan.

Tanggung jawab manajemen dan auditor untuk pengendalian internal

Tanggung jawab untuk kontrol internal berbeda antara manajemen dan auditor. Manajemen
bertanggung jawab untuk membangun dan memelihara pengendalian internal atas entitas.
Sebaliknya, tanggung jawab auditor mencakup pemahaman dan pengujian pengendalian
internal atas pelaporan keuangan.

Tanggung jawab manajemen untuk membentuk pengendalian internal

manajemen, bukan auditor, harus menetapkan dan memelihara pengendalian internal atas
entitas. Konsep ini konsisten dengan persyaratan bahwa manajemen bertanggung jawab atas
penyusunan laporan keuangan sesuai dengan SAK. Dua konsep yang mendasari desain
manajemen dan pelaksanaan pengendalian internal:
1. Jaminan yang wajar. Perusahaan harus mengembangkan kontrol internal dengan
memberikan keyakinan memadai, namun tidak mutlak, bahwa laporan keuangan
disajikan secara wajar. Pengendalian internal yang dikembangkan oleh manajemen
harus mempertimbangkan biaya dan manfaat dari kontrol tersebut. Keyakinan yang
memadai memungkinkan hanya material yang salah saji yang tidak akan dicegah atau
dideteksi secara tepat waktu oleh pengendalian internal.
2. Keterbatasan yang melekat. Pengendalian internal tidak pernah benar-benar efektif,
terlepas dari desain dan implementasi. Bahkan jika sistem personil dapat merancang
sistem yang ideal, efektivitasnya tergantung pada kompetensi dan keandalan orang
yang menggunakannya. Misalnya, sebuah prosedur yang dikembangkan dengan hati-
hati untuk menghitung persediaan membutuhkan 2 orang karyawan untuk menghitung
secara independen. Jika tidak karyawan memahami instruksi atau jika keduanya
ceroboh dalam melakukan penghitungan, jumlah persediaan mungkin salah. Bahkan
jika menghitung benar, manajemen mungkin membuat prosedur dan
menginstruksikan karyawan untuk meningkatkan jumlah dengan tujuan meningkatkan
laba yang dilaporkan. Sama halnya jika karyawan mungkin memutuskan untuk
melebih-lebihkan jumlahnya dengan sengaja untuk menutupi pencurian persediaan
oleh salah satu atau keduanya. Tindakan dari dua atau lebih karyawan yang
bersekongkol untuk mencuri aset atau salahnya pencatatan disebut kolusi.

Tanggung jawab laporan Manajemen pasal 404

Pasal 404 dari Undang-Undang Sarbanes-Oxley mengharuskan manajemen dari semua
perusahaan publik AS untuk mengeluarkan laporan pengendalian internal yang mencakup
sebagai berikut:
1. pernyataan bahwa manajemen bertanggung jawab untuk membangun dan memelihara
struktur pengendalian internal dan prosedur yang memadai untuk laporan keuangan.
2. penilaian terhadap efektivitas struktur pengendalian internal dan prosedur pelaporan
keuangan pada akhir tahun fiskal perusahaan.
Manajemen harus mengidentifikasi kerangka yang digunakan untuk mengevaluasi efektivitas
pengendalian internal. Kerangka pengendalian internal yang digunakan oleh perusahaan-
perusahaan AS yang adalah Commitee Organizations of the Treadway Commission (COSO)
Internal Control-Integrated Framework.
Penilaian manajemen terhadap pengendalian internal atas pelaporan keuangan terdiri dari dua
komponen utama:
1. Desain pengendalian intern. Manajemen harus mengevaluasi apakah kontrol yang
dirancang dan dimasukkan dapat mencegah atau mendeteksi salah sajinya material
dalam laporan keuangan. Fokus manajemen yaitu pada kontrol atas semua pernyataan
yang relevan untuk semua account yang signifikan dan pengungkapan dalam laporan
keuangan. Hal ini meliputi evaluasi bagaimana transaksi yang signifikan dimulai,
berwenang, dicatat, diproses, dan dilaporkan untuk mengidentifikasi titik dalam arus
transaksi dimana material salah disajikan karena kesalahan atau penipuan.
2. Efektivitas operasi pengendalian. Manajemen harus menguji efektivitas operasi
pengendalian. Tujuan pengujian adalah untuk menentukan apakah kontrol operasi
dirancang dengan baik dan apakah orang yang melakukan pengawasan tersebut
memiliki otoritas yang diperlukan dan kualifikasi untuk melakukan kontrol secara
efektif. Hasil uji manajemen yang harus didokumentasikan, membentuk dasar pada
pernyataan manajemen pada akhir tahun fiskal tentang efektivitas. Menejemen harus
mengungkapkan kelemahan material dalam pengendalian internal. Bahkan jika hanya
satu kelemahan yang material hadir, manajemen harus menyimpulkan bahwa
pengendalian internal perusahaan atas laporan keuangan tidak efektif.

Tanggung jawab auditor untuk pemahaman pengendalian internal

Karena pentingnya pengetahuan tentang pengendalian internal klien, hal ini termasuk dalam
standar audit yang berlaku umum yang disajikan terpisah. Ingat bahwa standar kerja lapangan
GAAS yang kedua menyatakan "auditor harus memperoleh pemahaman memadai atas entitas
dan lingkungannya, termasuk kontrol internal, untuk menilai risiko salah saji material dalam
laporan keuangan apakah karena kesalahan atau penipuan dan untuk merancang sifat, waktu,
dan luasnya prosedur audit lebih lanjut." Auditor memperoleh pemahaman tentang
pengendalian internal untuk menilai risiko pengendalian dalam setiap audit. Auditor prihatin
tentang kontrol atas keandalan laporan keuangan dan kelas kontrol transaksi.

Kontrol atas keandalan pelaporan keuangan

Untuk memenuhi kedua standar lembar kerja, fokus utama auditor pada pengendalian yang
berhubungan dengan atas pengendalian internal manajemen: keandalan pelaporan keuangan.
Laporan keuangan tidak mungkin benar mencerminkan GAAP jika pengendalian internal atas
pelaporan keuangan tidak memadai. Tidak seperti klien, auditor kurang peduli dengan kontrol
yang mempengaruhi efisiensi dan efektivitas operasi perusahaan, karena kontrol tersebut
tidak dapat mempengaruhi penyajian laporan keuangan secara wajar. Bagaimanapun, auditor
tidak harus mengabaikan kontrol yang mempengaruhi informasi manajemen internal, seperti
anggaran dan laporan kinerja internal. Jenis informasi ini menjadi sumber penting yang
digunakan oleh manajemen untuk menjalankan bisnis dan dapat menjadi sumber penting atas
bukti untuk membantu auditor memutuskan apakah laporan keuangan disajikan secara wajar.
Jika kontrol atas laporan-laporan internal tidak memadai, nilai laporan tersebut buktinya
berkurang.
Auditor memiliki tanggung jawab yang signifikan untuk penemuan laporan keuangan bahan
yang terjadi kecurangan dan penyalahgunaan aset (penipuan) dan pengaruh langsung atas
tindakan ilegal. Oleh karena itu auditor harus memperhatikan pengendalian internal klien atas
pengamanan aset dan kepatuhan terhadap hukum dan peraturan jika mereka menyatakan
bahwa laporan keuangan sudah disajikan secara wajar. Pengendalian internal, jika benar
dirancang dan dilaksanakan, efektif dalam mencegah dan mendeteksi penipuan.

Kontrol atas kelas transaksi

Auditor menekankan pengendalian internal atas kelas transaksi daripada saldo akun karena
ketepatan output sistem akuntansi (saldo rekening) sangat bergantung pada keakuratan input
dan pengolahan (transaksi). Misalnya, jika produk yang dijual, unit dikirimkan, atau unit
harga jual salah dalam penagihan pelanggan untuk penjualan, baik penjualan dan piutang
akan salah saji. Di sisi lain, jika kontrol tersebut cukup untuk memastikan tagihan yang
benar, penerimaan kas, retur penjualan dan tunjangan, dan menulis-off, saldo akhir dalam
piutang account mungkin benar. Karena adanya penekanan pada kelas transaksi, auditor
harus memperhatikan tujuan audit terkait transaksi ketika menilai pengendalian internal atas
pelaporan keuangan.
Meskipun auditor menekankan kontrol terkait transaksi, auditor juga harus memperoleh
pemahaman tentang kontrol atas saldo akhir account dan presentasi dan tujuan
pengungkapan. Misalnya, tujuan audit terkait transaksi biasanya tidak berpengaruh pada dua
tujuan audit saldo terkait: nilai realisasi dan hak dan kewajiban. mereka juga tidak akan
memiliki efek pada presentasi empat dan tujuan pengungkapan. Auditor mungkin
mengevaluasi secara terpisah apakah manajemen telah menerapkan pengendalian internal
untuk masing-masing dua tujuan saldo rekening dan tujuan penyajian empat dan
pengungkapan.
Komponen COSO dalam pengendalian internal
COSO’s Internal Control-Integrated Framework merupakan kerangka pengendalian internal
yang paling banyak diterima di Amerika Serikat yang menjelaskan lima komponen
pengendalian internal dengan menerapkan manajemen desain dan untuk memberikan
keyakinan memadai bahwa tujuan pengendalian akan dipenuhi. Masing-masing komponen
berisi banyak kontrol, tetapi auditor berkonsentrasi pada yang dirancang untuk mencegah
atau mendeteksi salah saji material dalam laporan keuangan. Komponen pengendalian
internal COSO meliputi:

1. Pengendalian lingkungan hidup.

esensi dari suatu organisasi secara efektif terletak pada sikap manajemen. Jika
manajemen puncak berpendapat kontrol yang penting, pihak lain dalam organisasi
akan rasa itu dan menanggapi dengan seksama mengamati kontrol yang ditetapkan.
Jika anggota organisasi percaya bahwa kontrol yang bukan merupakan perhatian
penting bagi manajemen puncak, hampir pasti bahwa tujuan pengendalian manajemen
tidak akan efektif tercapai. Lingkungan pengendalian terdiri dari tindakan, kebijakan,
dan prosedur yang mencerminkan sikap keseluruhan manajemen puncak, direksi, dan
pemilik entitas tentang pengendalian internal dan pentingnya entitas. Untuk
memahami dan menilai lingkungan pengendalian, auditor harus mempertimbangkan
subkomponen kontrol yang paling penting.
a. Integritas dan nilai-nilai etika
Integritas dan nilai etika merupakan produk standar entitas etika dan perilaku,
serta bagaimana mereka dikomunikasikan dan diperkuat dalam praktek. Mereka
termasuk tindakan manajemen untuk menghilangkan atau mengurangi insentif dan
godaan yang mungkin meminta personil untuk terlibat dalam tindakan-tindakan
tidak jujur, ilegal, atau tidak etis. Mereka juga termasuk komunikasi nilai-nilai
entitas dan standar perilaku untuk personil melalui pernyataan kebijakan, kode
etik, dan dengan contoh.
b. komitmen untuk kompetensi
kompetensi adalah pengetahuan dan keterampilan yang diperlukan untuk
menyelesaikan tugas yang mendefinisikan pekerjaan individu. komitmen untuk
kompetensi mencakup pertimbangan manajemen terhadap tingkat kompetensi
untuk pekerjaan tertentu dan bagaimana level tersebut diterjemahkan ke dalam
keterampilan yang diperlukan dan pengetahuan.
 c.
2.

Direksi dan komisaris atau partisipasi komite audit

Direksi dan komisaris sangat penting untuk tata kelola perusahaan yang efektif karena
memiliki tanggung jawab utama untuk memastikan bahwa manajemen menerapkan
pengendalian internal dan proses pelaporan keuangan. Dewan komisaris yang efektif tidak
tergantung pada manajemen, dan anggotanya tetap terlibat dalam memeriksa kegiatan-
kegiatan manajemen. Meskipun dewan delegasi mempunyai tanggung jawab atas
pengendalian internal untuk manajemen, secara teratur kontrol ini harus dinilai. Selain itu,
dewan yang aktif dan obyektif dapat mengurangi kemungkinan untuk mengesampingkan
kontrol manajemen.
Untuk membantu pengurus dalam pengawasan, diciptakan komite audit yang dibebankan
dengan tanggung jawab pengawasan untuk pelaporan keuangan. Komite Audit juga
bertanggung jawab untuk menjaga komunikasi supaya berjalan dengan baik antara auditor
eksternal dan internal. Hal ini memungkinkan auditor dan direksi untuk mendiskusikan hal-
hal yang mungkin berkaitan dengan hal-hal seperti integritas atau tindakan manajemen. 
Bebasnya Komite Audit dari manajemen dan pengetahuan tentang masalah pelaporan
keuangan adalah penentu penting dari kemampuannya secara efektif untuk mengevaluasi
pengendalian internal dan laporan keuangan yang disusun oleh manajemen. Para Bapepam-
LK dan Bursa Efek Indonesia (BEI) mengharuskan perusahaan yang terdaftar didalamnya
memiliki komite audit yang terdiri dari komisaris independen dan anggota independen yang
melek finansial. 
Banyak perusahaan swasta dan Badan Usaha Milik Negara (BUMN) membuat komite audit
yang efektif. Bagi perusahaan swasta lain, tata caranya mungkin disediakan oleh partner,
trustee, atau komite manajemen, seperti komite keuangan atau anggaran. Dalam beberapa
entitas kecil, pemerintahan hanya dapat terdiri dari pemilik entitas yang dikelola. Individu
bertanggung jawab untuk mengawasi arah strategis entitas dan akuntabilitas entitas, termasuk
laporan keuangan dan pengungkapan, yang disebut charged dengan pemerintahan sesuai
dengan standar audit.
Filosofi menejement dan style organisasi

Struktur organisasi
Struktur organisasi entitas mendefinisikan adanya tanggung jawab dan wewenang. Dengan
memahami struktur organisasi klien, auditor dapat mempelajari elemen manajemen dan
fungsional dari bisnis dan melihat bagaimana kontrol dilaksanakan.
Kebijakan sumber daya manusia dan prakteknya
Aspek yang paling penting dari pengendalian internal adalah personil. Jika karyawan
kompeten dan terpercaya, kontrol yang lain dapat dilakukan dan laporan keuangan yang
handal masih akan terjadi. Orang yang tidak jujur dapat mengurangi sistem yang berantakan
(bahkan jika ada banyak kontrol di tempat). Orang yang efisien mampu tampil pada tingkat
tinggi bahkan bila ada beberapa kontrol lainnya untuk mendukung mereka. Namun, bahkan
orang-orang kompeten dan dapat dipercaya dapat memiliki kelemahan. Misalnya mereka bisa
menjadi bosan atau tidak puas, masalah pribadi bisa mengganggu kinerja mereka atau tujuan
mereka dapat berubah. Karena pentingnya kompeten, personil dapat dipercaya dalam
memberikan kontrol yang efektif, metode-metode dengan mana orang yang disewa,
dievaluasi, terlatih, dipromosikan, dan kompensasi merupakan bagian penting dari
pengendalian internal.

Penilaian risiko
Penilaian risiko dalam pelaporan keuangan adalah mengidentifikasi dan menganalisis risiko
manajemen yang relevan dengan penyusunan laporan keuangan sesuai dengan SAK. Sebagai
contoh, jika sebuah perusahaan sering menjual produk dengan harga di bawah biaya
persediaan karena perubahan teknologi yang cepat, penting bagi perusahaan untuk melakukan
pengawasan untuk mengatasi risiko melebih-lebihkan persediaan. Demikian pula, kegagalan
untuk memenuhi tujuan sebelumnya, kualitas personel, dispersi geografis operasi perusahaan,
signifikansi dan kompleksitas proses bisnis inti, pengenalan teknologi informasi baru dan
masuknya kompetitor baru semua merupakan contoh faktor dapat menyebabkan peningkatan
risiko. Setelah manajemen mengidentifikasi risiko, diperkirakan pentingnya risiko itu,
menilai kemungkinan risiko yang terjadi, dan mengembangkan tindakan khusus yang perlu
diambil untuk mengurangi risiko ke tingkat yang dapat diterima. Tentu saja, tidak ada cara
biaya bermanfaat untuk menghilangkan resiko sama sekali. 
Aktifitas pengendalian
Aktifitas Pengendalian adalah kebijakan dan prosedur di samping yang termasuk dalam
empat komponen lainnya, yang membantu memastikan bahwa tindakan yang perlu diambil
untuk mengatasi risiko dalam pencapaian tujuan entitas. Ada banyak kegiatan pengawasan
yang berpotensi dalam entitas apapun, termasuk manual dan kontrol otomatis. Kegiatan
pengawasan umumnya jatuh ke dalam lima jenis berikut ini:
1. Pemisahan tugas yang memadai (dilakukan untuk mencegah penipuan dan kesalahan)
a. Pemisahan aset dari akuntansi. Untuk melindungi perusahaan terhadap
penggelapan, seseorang yang memiliki hak asuh sementara atau permanen atas
aktiva tidak seharusnya account untuk aset tersebut. Membiarkan satu orang untuk
melakukan fungsi dengan meningkatkan resiko bahwa orang membuang aset
untuk keuntungan pribadi dan menyesuaikan catatan untuk menutupi
pencurian. Misalnya jika kasir menerima uang tunai dan bertanggung jawab
untuk entri data untuk penerimaan kas dan penjualan, orang tersebut harus
menyimpan kas yang diterima dan menyesuaikan rekening nasabah dengan tidak
mencatat penjualan atau dengan merekam kredit fiktif ke account. 
b. Pemisahan otorisasi transaksi dari aset yang terkait. Hal ini diinginkan untuk
mencegah orang-orang yang mengotorisasi transaksi dari memiliki kontrol atas
aset yang bersangkutan, untuk mengurangi kemungkinan penggelapan. Misalnya,
orang yang sama seharusnya tidak berwenang pembayaran dari faktur vendor dan
juga menandatangani cek dalam pembayaran tagihan.
c. Pemisahan tanggung jawab operasional dari pencatatan tanggung jawab. Untuk
memastikan informasi yang tidak bias, pencatatan biasanya disertakan dalam
departemen terpisah di bawah controller. Misalnya, jika sebuah departemen atau
divisi mempersiapkan catatan sendiri dan laporan, mungkin mengubah hasil untuk
meningkatkan kinerjanya dilaporkan. 
d. Terpisahnya tugas IT dari departemen pengguna.  Pada tingkat kompleksitas
sistem IT meningkat, adanya pemisahan otorisasi, pencatatan,bahkan custody
sering kabur. Misalnya, agen penjualan dapat memasukkan pesanan pelanggan
secara online. Komputer berwenang atas penjualan berdasarkan perbandingannya
batas nasabah kredit ke file master dan pasca semua penjualan disetujui dalam
jurnal siklus penjualan. Oleh karena itu, komputer memainkan peran penting
dalam otorisasi dan pencatatan transaksi penjualan. Untuk mengimbangi potensi
atas tugas tumpang tindih, penting bagi perusahaan untuk memisahkan fungsi
utama TI terkait dari fungsi departemen pengguna kunci. Dalam contoh ini,
tanggung jawab untuk merancang dan mengendalikan program perangkat lunak
akuntansi yang berisi otorisasi penjualan dan posting kontrol harus berada di
bawah otoritas TI, sedangkan kemampuan untuk memperbarui informasi di file
master batas kredit pelanggan harus berada dalam perusahaan.
Menilai Risiko Pengendalian
Auditor memperoleh pemahaman tentang desain & pelaksanaan pengendalian internal untuk
membuat penilaian awal risiko pengendalian sebagai bagian dari penilaian secara keseluruhan
auditor risiko salah saji material. Auditor menggunakan penilaian awal terhadap risiko
pengendalian untuk merencanakan audit untuk setiap kelas materi transaksi. Namun, dalam
beberapa kasus auditor dapat belajar bahwa kekurangan kontrol yang signifikan misalnya
bahwa laporan keuangan klien mungkin tidak auditable. Jadi, sebelum membuat penilaian
awal risiko pengendalian untuk setiap kelas transaksi material, auditor terlebih dahulu harus
memutuskan apakah entitas yang auditable.

Menilai Apakah Laporan Keuangan Apakah auditable

Dua faktor utama menentukan kemampuan untuk diaudit: integritas manajemen dan
kecukupan catatan akuntansi. Pentingnya integritas manajemen telah dibahas dalam Chp 6 di
bawah penerimaan klien dan keberlangsungan. Jika manajemen tidak memiliki integritas,
auditor paling tidak akan menerima pertunangan.
Catatan akuntansi merupakan sumber penting bukti audit untuk tujuan audit kebanyakan. Jika
catatan akuntansi kekurangan, bukti audit yang diperlukan n0ot mungkin tersedia. Sebagai
contoh, jika klien tidak terus duplikat faktur penjualan dan faktur vendor, biasanya tidak
praktis untuk melakukan audit.
Dalam lingkungan TI yang kompleks, banyak informasi transaksi hanya tersedia di fofrm
elektronik tanpa menghasilkan jejak audit terlihat dari dokumen dan catatan. Dalam hal itu,
perusahaan biasanya masih auditable: Namun, auditor harus menilai apakah mereka memiliki
keterampilan yang diperlukan untuk mengumpulkan bukti-bukti yang dalam bentuk
elektronik & dapat menetapkan personnel dengan pelatihan yang cukup IT & pengalaman.

Tentukan Pengendalian Risiko Dinilai Didukung oleh Memahami Memperoleh, asumsi

Kontrol Menjadi Diikuti
Setelah memperoleh pemahaman tentang pengendalian internal, auditor membuat penilaian
awal risiko pengendalian sebagai bagian dari penilaian secara keseluruhan auditor dari risiko
salah saji material. Penilaian ini adalah ukuran dari ekspektasi auditor bahwa pengendalian
internal yang akan mencegah salah saji material dari terjadi atau mendeteksi & memperbaiki
mereka jika mereka telah terjadi.
Auditor membuat penilaian awal untuk setiap tujuan audit terkait transaksi untuk setiap jenis
utama transaksi dalam setiap siklus transaksi. Sebagai contoh, dalam siklus penjualan &
penagihan, jenis transaksi biasanya melibatkan penjualan, retur penjualan & penerimaan
tunjangan kas, dan ketentuan untuk & write-off dari tidak tertagihnya piutang usaha. Auditor
juga membuat penilaian awal untuk pengendalian yang mempengaruhi tujuan audit untuk
akun neraca & presentasi & pengungkapan dalam setiap siklus.

Penggunaan kontrol Risiko Matrix untuk Menilai Pengendalian Risiko

Banyak auditor menggunakan matriks pengendalian risiko untuk membantu dalam proses
penilaian risiko pengendalian. Tujuannya adalah untuk providea cara yang mudah untuk
mengatur menilai risiko pengendalian untuk setiap tujuan audit.
Gambar 8-4 bahwa penggunaan risiko matrix kontrol untuk tujuan audit transaksi penjualan
PT Perkakas Prima sementara figure8-4only menggambarkan risiko contol format matriks
untuk menilai risiko pengendalian untuk keseimbangan - terkait & presentasi & disclosure
related tujuan audit. Kita sekarang membahas penyusunan matriks.

Mengidentifikasi Audit Tujuan. Langkah pertama dalam penilaian tersebut adalah untuk
mengidentifikasi tujuan audit untuk kelas transaksi, saldo rekening, & penyajian &
pengungkapan yang penilaian berlaku. Sebagai contoh, hal ini dilakukan untuk kelas
transaksi dengan menerapkan transaksi yang spesifik - tujuan audit terkait yang
diperkenalkan sebelumnya, yang dinyatakan dalam bentuk umum, untuk setiap jenis utama
transaksi untuk entitas.. Sebagai contoh, auditor membuat penilaian terhadap tujuan kejadian
untuk penjualan & penilaian yang terpisah dari tujuan kelengkapan.
Transaksi tujuan audit terkait ditampilkan untuk transaksi penjualan untuk PT Perkakas
Prima di bagian atas angka 8-4.

Identifikasi Kontrol yang ada. Selanjutnya, auditor menggunakan informasi yang dibahas
dalam bagian sebelumnya untuk memperoleh & mendokumentasikan pemahaman
pengendalian internal untuk mengidentifikasi kontrol yang berkontribusi untuk mencapai
tujuan audit transaksi-terkait. Salah satu cara untuk auditor untuk melakukan ini adalah untuk
mengidentifikasi kontrol untuk memenuhi setiap tujuan. Misalnya auditor dapat
menggunakan pengetahuan sistem klien untuk mengidentifikasi kontrol yang mungkin untuk
mencegah kesalahan atau penipuan dalam tujuan audit terkait terjadinya transaksi. Hal yang
sama dapat dilakukan untuk semua tujuan lainnya. Hal ini juga berguna bagi auditor untuk
menggunakan kegiatan pengendalian lima (pemisahan tugas, otorisasi yang tepat, dokumen
dan catatan yang memadai, penguasaan fisik atas aktiva dan catatan, & pemeriksaan
independen atas kinerja) sebagai pengingat kontrol.
Sebagai contoh: Apakah ada pemisahan tugas yang memadai dan ho itu tercapai? Apakah
master key file benar dibatasi dari akses tidak sah?
Auditor harus mengidentifikasi dan mencakup hanya mengendalikan diharapkan memiliki
efek gretest pada pertemuan transaksi. Hal ini juga sering disebut kontrol kunci. Alasan untuk
termasuk kontrol tombol hanya adalah bahwa mereka akan cukup untuk mencapai transaksi -
tujuan audit terkait & juga memberikan efisiensi audit. Contoh kontrol utama bagi PT
Perkakas Prima yang ditunjukkan pada Gambar 8-4.

Associate Kontrol dengan Tujuan Istimewa Audit.

Setiap kontrol memenuhi satu atau lebih tujuan audit yang terkait. Hal ini dapat dilihat pada
Gambar 8-4 untuk tujuan audit transaksi-terkait. Tubuh matriks digunakan untuk
menunjukkan bagaimana kontrol masing-masing memberikan kontribusi dalam pemenuhan
satu atau lebih tujuan audit yang terkait. Dalam ilustrasi ini, C yang telah dimasukkan di
setiap sel di mana kontrol sebagian atau puas tujuan. Sebuah matriks pengendalian risiko
yang sama akan selesai untuk keseimbangan yang berhubungan & penyajian &
pengungkapan audit terkait. Misalnya, surat pernyataan kepada pelanggan memenuhi tiga
tujuan dalam audit PT Perkakas Prima, yang ditunjukkan oleh masing-masing penempatan
pada baris C pada Gambar 8-4 GAMBARAN YANG KONTROL.

Identifikasi & Evaluasi Kekurangan Control, Deficiences signifikan, & Kelemahan Material.

Auditor harus mengevaluasi apakah tombol kontrol yang absen dalam desain pengendalian
internal atas pelaporan keuangan sebagai bagian dari evaluasi pengendalian risiko dan
kemungkinan salah saji laporan keuangan. Audit standarts mendefinisikan tiga tingkat dari
tidak adanya kontrol internal:
1. Kontrol kekurangan. Kekurangan kontrol ada jika desain atau operasi pengendalian
tidak mengizinkan personil perusahaan untuk mencegah atau mendeteksi salah saji
tepat waktu secara tepat waktu. Kekurangan desain ada jika diperlukan kontrol yang
hilang atau tidak benar dirancang. Kekurangan operasi ada jika kontrol yang
dirancang dengan baik tidak bekerja seperti yang dirancang atau jika orang yang
melakukan kontrol tidak cukup berkualitas atau berwenang.
 2. Penting kekurangan. Kekurangan yang signifikan ada apabila satu atau lebih
kekurangan kontrol ada hasil bahwa dalam lebih dari remote yang kemungkinan salah
saji yang lebih daripada ngawur tidak akan dicegah atau dideteksi. Jadi, untuk
menjadi kekurangan yang signifikan, kemungkinan salah saji adalah di luar remote &
& besarnya adalah subyektif dalam kedua konsep & praktek. Audit standarts
mendefinisikannya sebagai "kesempatan sedikit kejadian". Saji adalah ngawur jika
wajar orang akan menyimpulkan bahwa salah saji jelas akan material terhadap
laporan keuangan. Jika auditor menyimpulkan topi satu atau kekurangan kontrol yang
lebih besar untuk tujuan tertentu tidak melebihi lebih dari tingkat terpencil atau yang
tidak penting, mereka dapat diabaikan.
3. Kelemahan material. Sebuah kelemahan yang material jika ada kekurangan yang
signifikan, dengan sendirinya, atau dalam kombinasi dengan kekurangan penting
lainnya, mengakibatkan kemungkinan lebih dari jauh bahwa pengendalian internal
yang tidak akan mencegah atau mendeteksi salah saji material laporan keuangan.

Untuk menentukan apakah kekurangan kendali yang signifikan internal atau kekurangan
adalah kelemahan yang material, mereka harus dievaluasi bersama dua dimensi:
kemungkinan & signifikansi. Garis horizontal di figure8-5 menggambarkan kemungkinan
salah saji yang dihasilkan dari kekurangan yang signifikan, sedangkan garis vertikal
menggambarkan maknanya. Jika ada lebih dari satu kesempatan remote (kemungkinan)
bahwa salah saji material (signifikansi) (bisa hasil dari defisiensi signifikan atau kekurangan,
maka itu dianggap sebagai kelemahan yang material.

Mengidentifikasi Kekurangan, Defisiensi Signifikan, Dan Kelemahan Bahan

Sebuah langkah pendekatan lima dapat digunakan untuk mengidentifikasi Kekurangan,
kekurangan yang signifikan, dan kelemahan bahan:
1. mengidentifikasi kontrol yang ada. Karena kekurangan dan kelemahan material
adalah tidak adanya kontrol yang memadai, auditor harus terlebih dahulu tahu yang
mengontrol ada. Metode untuk mengidentifikasi kontrol telah dibahas.
2. Identifikasi tidak adanya kontrol kunci. Kuesioner pengendalian intern, diagram alur,
& walkthrough adalah alat yang berguna untuk mengidentifikasi di mana kontrol yang
kurang & kemungkinan salah saji karena itu meningkat. Hal ini alaso usefil untuk
menguji risiko pengendalian matriks, seperti yang dalam gambar 8-4, untuk mencari
 tujuan di mana tidak ada atau hanya sedikit kontrol untuk mencegah atau mendeteksi
salah saji.
3. Pertimbangkan kemungkinan kompensasi kontrol. Suatu pengendalian kompensasi
adalah salah satu tempat lain dalam sistem yang offset tidak adanya tombol kontrol.
Sebuah contoh umum dalam usaha kecil adalah keterlibatan aktif dari pemilik. Ketika
kontrol kompensasi sating ada, tidak ada kekurangan lagi signifikan atau kelemahan
yang material.
4. Putuskan apakah ada kekurangan yang signifikan atau kelemahan yang material.
Kemungkinan salah saji dan materialitas mereka digunakan untuk mengevaluasi
apakah ada kekurangan yang signifikan atau kelemahan material.
5. Tentukan salah saji potensial yang dapat terjadi. Langkah ini dimaksudkan untuk
mengidentifikasi salah saji khusus yang mungkin mengakibatkan karena kekurangan
signifikan atau kelemahan yang material. Pentingnya kekurangan signifikan atau
kelemahan yang material secara langsung berkaitan dengan kemungkinan dan
materialitas dari salah saji potensial.

Menilai Pengendalian Risiko untuk Setiap Tujuan Audit Terkait.

Setelah kontrol, kekurangan yang signifikan, dan kelemahan material diidentifikasi
dan berhubungan dengan tujuan audit transaksi yang terkait, auditor dapat menilai risiko
pengendalian untuk tujuan audit transaksi-terkait. Ini adalah keputusan penting dalam
evaluasi pengendalian intern. Auditor menggunakan semua informasi yang dibahas
sebelumnya untuk membuat penilaian risiko kontrol subjektif untuk tujuan masing-masing.
Ada berbagai cara untuk mengungkapkan penilaian ini. Beberapa auditor menggunakan
ekspresi subyektif seperti tinggi, sedang, atau rendah. Lainnya menggunakan probabilitas
numerik seperti 1.0, 0.6 atau 0.2.
Risiko pengendalian matriks adalah alat yang berguna untuk membuat penilaian.
Mengacu pada angka 8-4, auditor menilai risiko kontrol untuk setiap tujuan untuk penjualan
PT Perkakas Prima dengan meninjau setiap kolom untuk kontrol yang bersangkutan dan
kekurangan yang signifikan dan bertanya, "apa kemungkinan bahwa salah saji material tidak
akan dicegah atau dideteksi, atau diperbaiki jika terjadi, oleh kontrol ini, dan apa efek dari
kekurangan atau kelemahan? "Jika kemungkinan rendah, maka pengendalian risiko rendah,
dan sebagainya. Gambar 8-4 untuk PT Perkakas Prima menunjukkan bahwa semua tujuan
yang dinilai rendah kecuali kejadian dan waktu, yang menengah.
 Penilaian ini bukan yang terakhir. Sebelum membuat penilaian akhir pada akhir audit
terpadu, auditor akan menguji kontrol dan melakukan pengujian substantif rincian. Prosedur-
prosedur ini bisa mendukung penilaian awal terhadap penyebab auditor untuk membuat
perubahan. Dalam beberapa kasus, manajemen dapat memperbaiki kekurangan dan
kelemahan yang material sebelum auditor melakukan pengujian signifikan, yang dapat
mengizinkan penurunan risiko kontrol.
Setelah penilaian awal risiko pengendalian dibuat untuk penjualan dan penerimaan
kas, auditor dapat menyelesaikan tiga baris pengendalian risiko dari bukti-lembar kerja
perencanaan yang diperkenalkan dalam bab 7 pada halaman 219. Jika tes hasil kontrol tidak
mendukung penilaian awal risiko pengendalian, auditor harus memodifikasi worksheet nanti.
Atau, auditor bisa menunggu sampai pengujian pengendalian yang dilakukan untuk
menyelesaikan tiga baris pengendalian risiko worksheet. Sebuah lembar bukti-perencanaan
untuk PT Perkakas Prima dengan tiga baris untuk pengendalian risiko selesai diilustrasikan
pada Gambar 13-6 pada 459 halaman

Komunikasi Untuk Mereka Dibebankan Dengan Surat Kelola dan Manajemen

Sebagai bagian dari pemahaman pengendalian internal dan menilai resiko
pengendalian, auditor diwajibkan untuk berkomunikasi hal-hal tertentu untuk mereka yang
dituduh dengan pemerintahan. Informasi dan rekomendasi ini serta lainnya tentang kontrol
juga sering dikomunikasikan kepada manajemen.

Komunikasi Untuk Mereka Dibebankan Dengan Pemerintahan

Auditor harus mengkomunikasikan kekurangan yang signifikan dan kelemahan
material secara tertulis kepada mereka yang dituduh dengan pemerintahan segera setelah
auditor menjadi sadar akan keberadaan mereka. Komunikasi biasanya ditujukan kepada
komite audit dan manajemen. komunikasi yang tepat waktu dapat memberikan manajemen
kesempatan untuk mengatasi kekurangan kontrol sebelum laporan manajemen atas
pengendalian internal harus dikeluarkan. Dalam beberapa kasus, kekurangan bisa diperbaiki
cukup awal sehingga manajemen dan auditor dapat menyimpulkan bahwa kontrol sudah
beroperasi secara efektif pada tanggal neraca. Tanpa memperhatikan apapun, komunikasi ini
harus dilakukan selambat-lambatnya 60 hari setelah rilis laporan audit.
 Manajemen Surat
Selain masalah ini, auditor sering mengidentifikasi kurang signifikan terkait masalah
pengendalian internal, serta peluang bagi klien untuk melakukan perbaikan operasional. Ini
juga harus dikomunikasikan kepada klien. Bentuk komunikasi ini sering surat terpisah untuk
tujuan itu, yang disebut surat manajemen. Meskipun surat manajemen tidak diharuskan oleh
standar auditing, auditor umumnya mempersiapkan itu sebagai layanan nilai tambah audit.
Sebagai contoh, setiap kontrol kunci dalam gambar 8-4 bahwa auditor bermaksud untuk
mengandalkan untuk mendukung pengendalian risiko sedang atau rendah harus didukung
dengan tes yang memadai kontrol internal. Kami akan berurusan dengan pengujian
pengendalian untuk kedua audit pengendalian internal untuk pelaporan keuangan dan audit
laporan keuangan.

Tujuan Pengujian Pengendalian

Pengendalian risiko Menilai mengharuskan auditor untuk mempertimbangkan baik
desain dan operasi pengendalian untuk mengevaluasi apakah mereka mungkin akan efektif
dalam memenuhi tujuan audit terkait. Selama tahap pemahaman, auditor akan sudah
mengumpulkan beberapa bukti untuk mendukung kedua rancangan kontrol dan
pelaksanaannya dengan menggunakan prosedur untuk memperoleh pemahaman (lihat
halaman 254-257). Dalam kebanyakan kasus, auditor tidak akan mengumpulkan bukti yang
cukup untuk mengurangi risiko pengendalian dinilai ke tingkat yang cukup rendah. Auditor
itu harus memperoleh bukti tambahan tentang efektivitas operasi pengendalian seluruh, atau
setidaknya sebagian besar, dari periode yang diaudit. Prosedur untuk menguji efektivitas
pengendalian dalam mendukung pengendalian risiko dinilai mengurangi disebut pengujian
pengendalian.
Jika hasil pengujian pengendalian mendukung desain dan operasi pengendalian seperti yang
diharapkan, auditor menggunakan pengendalian risiko dinilai sama dengan penilaian awal.
Namun, jika pengujian kontrol menunjukkan bahwa kontrol tidak beroperasi secara efektif,
pengendalian risiko dinilai harus dipertimbangkan kembali. Sebagai contoh, tes dapat
menunjukkan bahwa penerapan kontrol kemudian dihentikan pertengahan tahun atau bahwa
orang tersebut menerapkan itu membuat salah saji sering. Dalam situasi seperti itu, auditor
menggunakan pengendalian risiko yang lebih tinggi dinilai, kecuali kompensasi kontrol untuk
tujuan audit yang sama berkaitan diidentifikasi dan ditemukan untuk menjadi efektif. Tentu
saja, auditor juga harus mempertimbangkan dampak dari kontrol yang tidak berjalan efektif
pada laporan auditor mengenai pengendalian internal.
 Prosedur Pengujian Kontrol
Auditor kemungkinan akan menggunakan empat jenis prosedur untuk mendukung
efektivitas operasi pengendalian internal. Manajemen pengujian pengendalian internal
kemungkinan akan mencakup empat jenis prosedur yang sama.
Empat jenis prosedur adalah sebagai berikut:
1. Membuat permintaan keterangan kepada pejabat klien yang sesuai.
Meskipun penyelidikan bukanlah sumber yang sangat terpercaya bukti tentang
operasi yang efektif dari kontrol, masih sesuai. Misalnya, untuk menentukan
bahwa personel yang tidak sah tidak diberi akses ke file komputer, pendengaran
bisa membuat pertanyaan dari orang yang mengontrol tugas keamanan password
akses online.
2. Periksa dokumen, catatan, dan laporan. Banyak kontrol meninggalkan jejak yang
jelas bukti dokumenter yang dapat digunakan untuk menguji kontrol. Anggaplah,
misalnya, bahwa ketika pesanan pelanggan diterima, digunakan untuk membuat
pesanan pelanggan penjualan, yang disetujui untuk kredit. (Lihat kunci control
pertama dan kedua dalam figure8-4) Kemudian pesanan pelanggan melekat pada
pesanan penjualan sebagai otorisasi untuk diproses lebih lanjut. Auditor dapat
menguji mengontrol dengan memeriksa dokumen-dokumen untuk memastikan
bahwa mereka lengkap dan benar cocok dan bahwa diperlukan tanda tangan atau
inisial yang hadir.
3. Amati kontrol-kegiatan terkait. Beberapa kontrol tidak meninggalkan jejak bukti,
yang berarti bahwa tidak mungkin untuk memeriksa bukti bahwa kontrol
dieksekusi di kemudian hari. Misalnya, pemisahan tugas bergantung pada orang-
orang tertentu melaksanakan tugas-tugas tertentu, dan tidak biasanya ada
dokumentasi kinerja terpisah. (Lihat tombol kontrol ketiga pada Gambar 8-4.)
Untuk kontrol yang tidak meninggalkan bukti dokumenter, auditor umumnya
mengamati mereka sedang diterapkan pada berbagai titik sepanjang tahun.
4. Reperform prosedur klien. Ada juga yang berhubungan dengan kegiatan
pengendalian yang ada dokumen terkait dan catatan, tetapi isinya tidak mencukupi
untuk tujuan auditor menilai apakah kontrol berjalan dengan efektif. Misalnya,
menganggap bahwa harga pada faktur penjualan secara otomatis diperoleh dari
file daftar harga master, tetapi tidak ada indikasi bahwa kontrol otomatis adalah
didokumentasikan pada faktur penjualan. (Lihat tombol kontrol ketujuh dalam
Gambar 8-5.) Dalam kasus ini, adalah umum bagi auditor untuk reperform
 aktivitas kontrol untuk melihat apakah hasil yang tepat diperoleh. Untuk contoh
ini, auditor dapat reperform prosedur dengan menelusuri harga penjualan ke daftar
harga resmi yang berlaku pada tanggal transaksi Jika tidak ditemukan salah saji,
auditor dapat menyimpulkan bahwa prosedur beroperasi sebagaimana dimaksud.

Tingkat Prosedur
Sejauh mana pengujian pengendalian diterapkan tergantung pada risiko pengendalian
pendahuluan dinilai. Jika auditor menginginkan risiko kontrol rendah dinilai, tes lebih luas
pengendalian diterapkan, baik dari segi jumlah kontrol diuji dan sejauh mana tes untuk
kontrol masing-masing. Sebagai contoh, jika auditor ingin menggunakan pengendalian risiko
dinilai rendah, ukuran sampel yang lebih besar untuk dokumentasi, observasi, dan prosedur
kinerja harus diterapkan.

Pengujian Kontrol Terkait dengan risiko signifikan

Risiko signifikan adalah risiko bahwa auditor berkeyakinan memerlukan
pertimbangan audit khusus. Ketika prosedur risiko auditor penilaian mengidentifikasi risiko
yang signifikan, auditor diharuskan untuk menguji efektivitas operasi pengendalian yang
mengurangi risiko dalam audit tahun berjalan, jika auditor berencana untuk bergantung pada
kontrol-kontrol untuk mendukung penilaian pengendalian risiko di bawah 100%. Semakin
besar risiko, bukti audit lebih auditor harus mendapatkan yang mengendalikan beroperasi
secara efektif.

Pengujian Kurang dari Seluruh Periode Audit

melaporkan bahwa manajemen pada kesepakatan pengendalian internal dengan efektivitas
pengendalian internal pada akhir tahun fiskal. Waktu tes auditor kontrol akan bergantung
pada sifat dari kontrol dan ketika perusahaan menggunakan mereka. Untuk kontrol yang
diterapkan sepanjang periode akuntansi, biasanya praktis untuk menguji mereka pada tanggal
interim. Auditor kemudian akan menentukan nanti jika perubahan dalam kontrol terjadi pada
periode tidak diuji dan memutuskan implikasi perubahan apapun. Kontrol berurusan dengan
penyusunan laporan keuangan hanya terjadi setiap triwulan atau pada akhir tahun dan karena
itu harus juga diuji pada triwulan dan akhir tahun.
Hubungan Antara Pengujian Kontrol dan Prosedur untuk Mendapatkan sebuah
Pemahaman
Ada yang signifikan tumpang tindih antara pengujian pengendalian dan prosedur
untuk memperoleh pemahaman. Keduanya termasuk penyelidikan, dokumentasi, dan
observasi. Ada dua perbedaan utama dalam penerapan prosedur umum.
1. Dalam memperoleh pemahaman tentang pengendalian internal, prosedur untuk
memperoleh pemahaman diterapkan ke semua kontrol diidentifikasi selama fase
itu. Pengujian pengendalian, di sisi lain, diterapkan hanya jika risiko pengendalian
dinilai belum puas dengan prosedur untuk memperoleh pemahaman.
2. Prosedur untuk memperoleh pemahaman dilakukan hanya pada satu atau beberapa
transaksi atau, dalam kasus observasi, pada satu titik waktu. Pengujian
pengendalian dilakukan pada sampel yang lebih besar dari transaksi (mungkin 20
sampai 100), dan sering, observasi dibuat di lebih dari satu titik waktu.
Untuk kontrol kunci, pengujian pengendalian selain reperformance pada dasarnya
merupakan perpanjangan dari prosedur untuk memperoleh pemahaman. Oleh karena itu,
dengan asumsi bahwa auditor rencana untuk mendapatkan pengendalian risiko dinilai rendah
dari awal audit mengintegrasikan, mereka mungkin akan menggabungkan kedua jenis
prosedur dan melakukan hal tersebut secara bersamaan. Tabel 8-3 menggambarkan konsep
ini lebih terinci. Salah satu pilihan adalah dengan melaksanakan prosedur audit secara
terpisah, seperti yang ditunjukkan dalam tabel 8-3, di mana prosedur minimum untuk
memperoleh pemahaman tentang desain dan operasi dilakukan, diikuti dengan tes tambahan
kontrol. alternatif adalah untuk menggabungkan kedua kolom dan melakukannya secara
bersamaan. Jumlah yang sama bukti dikumpulkan dalam pendekatan kedua, tetapi lebih
efisien.
Penentuan ukuran sampel yang sesuai untuk pengujian pengendalian audit merupakan
keputusan penting. topik yang dibahas dalam bab 13

MEMUTUSKAN RISIKO DETEKSI RENCANA DAN DESAIN TES SUBSTANTIF

Kita telah berfokus pada bagaimana auditor menilai risiko pengendalian untuk setiap
tujuan audit yang terkait dan mendukung pengendalian penilaian risiko dengan pengujian
pengendalian. Penyelesaian kegiatan ini adalah cukup untuk audit pengendalian internal atas
pelaporan keuangan, meskipun laporan tersebut tidak akan selesai sampai auditor
menyelesaikan audit laporan keuangan.
 Auditor menggunakan penilaian pengendalian risiko dan hasil pengujian pengendalian
untuk menentukan risiko deteksi yang direncanakan dan pengujian substantif yang terkait
untuk audit laporan keuangan. Auditor melakukan hal ini dengan menghubungkan penilaian
pengendalian risiko untuk tujuan audit terkait saldo untuk account dipengaruhi oleh jenis
transaksi utama dan dengan penyajian pengungkapan empat dan tujuan audit. Tingkat risiko
deteksi yang tepat untuk setiap tujuan audit saldo-terkait kemudian memutuskan
menggunakan model risiko audit. Hubungan tujuan audit transaksi-terkait dan pemilihan dan
desain prosedur audit untuk pengujian substantif saldo laporan keuangan dibahas dan
diilustrasikan dalam bab 11.