AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404 DAN

RISIKO PENGENDALIAN

1. TUJUAN PENGENDALIAN INTERNAL

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang diracang untuk
memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai
tujuan dan sasarannya.

Tiga tujuan umum dalam merancang sistem pengendalian internal yang efektif:
a. Reliabilitas Pelaporan Keuangan. Manajemen bertanggung jawab untuk
menyiapkan laporan bagi peserta investor, kreditor dan pemakai lainnya.
Manajemen memikul baik tanggung jawab hukum maupun profesional untuk
memastikan bahwa informasi telah disajikan secara wajar sesuai dengan
persyaratan pelaporan kerangka kerja akuntansi seperti prinsip – prinsip akuntansi
yang berlaku umum (GAAP) dan IFRS.
b. Efisisensi dan Efektivitas Operasi. Pengendalian dalam perusahaan akan
mendorong pemakaian sumber daya secara efisiensi dan efektif untuk
mengoptimalkan sasaran-sasaran perusahaan. Tujuan penting dari pengendalian
ini adalah memperoleh informasi keuangan dan nonkeuangan yang akurat tentang
operasi perusahaan untuk keperluan pengambilan keputusan.
c. Ketaatan pada hukum dan peraturan. Section 404 mengharuskan semua
perusahaan publik mengeluarkan laporang tentang keefektifan pelaksanaan
pengendalian interna atas pelaporan keuangan.

2. TANGGUNG JAWAB MANAJEMEN DAN AUDITOR ATAS

PENGENDALIAN INTERNAL

Tanggung jawab atas pengendalian internal berbeda antara manajemen dan auditor.
Manajemen bertanggung jawab untuk menetapkan dan menyelanggarakan pengendian
internal entitas. Sebaliknya, tanggung jawab auditor mencakup memahami dan
menguji pengendalian internal atas pelaporan keuangan. Auditor perusahaan publik
berukuran besar diwajibkan oleh SEC untuk menerbitkan laporan audit tentang
keefektifan pelaksanaan pengendalian setiap satu tahun.
Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian
internal - kepastian yang layak dan keterbatasan inheren.

- Kepastian yang Layak

Perusahaan harus mengembangkan pengendalian internal yang akan memberikan
kepastian yang layak, tetapi bukan absolut, bahwa lapotan keuangan telah disajikan
secara wajar.
- Keterbatasan Inheren
Pengendalian internal tidak akan pernah bisa efektif 100% tanpa menghiraukan
kecermatan yang diterapkan dalam perancangan dan implementasinya.
Contoh, asumsikan bahwa prosedur perhitungan persediaan yang dikembangkan
dengan cermat mengharuskan dua karyawan menghitung Persediaan secara
independen.

Tanggung Jawab Pelaporan oleh Manajemen menururt section 404

Section 404 dari UU Sarbanes-Oxley mengharuskan manajemen semua perusahaan

publik untuk mengeluarkan laporan pengendalian internal yang mencakup hal - hal
berikut ini:
- suatu penyataan bahwa managemen bertanggung jawab untuk menetapkan dan
menyelenggarakan struktur pengendalian internal yang memadai serta prosedur
pelaporan keuangan.
- Suatu Penilaian atas efektivitas struktur pengendalian internal dan prosedur
pelaporan keuangan per akhir tahun fiskal perusahaan.

Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri

dari dua komponen utama:

a. Rancangan Pengendalian Internal

Manajemen harus mengevaluasi apakah pengendalian telah dirancang dan
diberlakukan untuk mencegah atau mendeteksi salah saji yang material
dalam laporan keuangan.
b. Efektivitas pelaksanaan pengendalian
 Manajemen juga harus menguji efektivitas pelaksanaan pengendalian.
Tujuan pengujian ini adalah untuk menentukan apakah pengendalian telah
berjalan seperti yang dirancang dan apakah orang yang melaksanakan
memiliki kewenangan serta kualifikasi yang diperlukan untuk
melaksanakan pengendalian itu secara efektif.

Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Standar auditing mengharuskan auditor memahami pengendalian internal yang

relevan dengan audit pada setiap penugasan audit. Auditor terutama memperhatikan
pengendalian atas reliabilitas pelaporan keuangan dan pengendalian atas kelas-kelas
transaksi.

- Pengendalian Atas Reliabilitas Pelaporan Keuangan

Auditor terutama berfokus pada pengendalian yang berhubungan dengan perhatian
manajemen yang pertama dalam pengendalian internal: reliabilitas pelaporan
keuangan. Laporan keuangan mungkin tidak sesuai dengan GAAP atau IFRS jika
pengendalian internal atas pelaporan keuangan tidak memadai.
- Pengendalian atas Kelas-Kelas Transaksi
Auditor melaksanakan pengendalian internal atas kelas-kelas transaksi, dan bukan
saldo akun, karena keakuratan output sistem akuntansi (saldo akun) sangat
tergantung pada keakuratan input dan pemrosesan (transaksi).

3. KOMPONEN PENGENDALIAN INTERNAL COSO

Internal Control – Integrated Framework yang dikeluarkan COSO yaitu kerangka

kerja pengendalian internal yang paling luas diterima di Amerika Serikat,
menguraikan lima komponen pengendalian internal yang dirancang dan
diimplementasikan oleh manajemen untuk memberikan kepastian yang layak bahwa
tujuan pengendaliannya akan tercapai.
Komponen pengendalian internal COSO meliputi:
a. Lingkungan Pengendalian
b. Penilaian Risiko
c. Aktivitas Pengendalian
d. Informasi dan Komunikasi
e. Pemantauan
a. Lingkungan Pengendalian (Control Enviroment)

Terdiri atas tindakan, kebijakan dan prosedur yang mencerminkan sikap manajemen
puncak , para direktur, dan pemilik entitas secara keseluruhan mengenai pengendalian
internal serta arti pentingnya bagi entitas itu. Sub-komponen pengendalian adalah:

- Integritas dan Nilai-Nilai Etis

Adalah produk dari standar etika dan perilaku entitas, serta bagaimana standar itu
dikomunikasikan dan diberlakukan dalam praktik. Meliputi tindakan manajemen
untuk menghilang atau mengurangi dorongan dan godaan yang mungkin membuat
karyawan melakukan tindakan tidak jujur, ilegal atau tidak etis.
- Komitmen pada Kompetensi
Kompetensi adalah pengetahuan dan keterampilan yang diperlukan untuk
menyelesaikan tugas mendefinisikan pekerjaan seseorang. Komitmen pada
kompetensi meliputi pertimbangan manajemen tentang tingkat kompetensi bagi
pekerjaan tertentu dan bagaimana tingakatan tersebut diterjemahkan menjadi
keterampilan dan pengetahuan yang diperlukan.
- Partisipasi Dewan Komisaris atau Komite Audit
Dewan komisaris berperan penting dalam tata kelola korporasi yang efektif karena
memikul tanggung jawab akhir untuk memastikan bahwa manajemen telah
mengimplementasikan pengendalian internal dan proses pelaporan keuangan yang
layak.

Pihak – pihak yang bertanggung jawab mengawasi arah strategis entitas dan
akuntabilitas entitas, termasuk pelaporan keuangan dan pengungkapan disebut
sebagai pihak –pihak yang memikul tanggung jawab tata kelola oleh standar
auditing.
- Filosofi dan Gaya Operasi Manajemen
Manajemen, melalui aktivitasnya memberikan isyarat yang jelas kepada para
karyawan tentang pentingnya pengendalian internal.
- Struktur Organisasi
Struktur organisasi entitas menentukan garis-garis tanggung jawab dan
kewenangan yang ada.
- Kebijakan dan Praktik Sumber Daya Manusia
 Aspek paling penting dari pengendalian internal adalah personil. Jika para
karyawan kompeten dan bisa dipercaya, pengendalian lainnya dapat diabaikan,
dan laporan keuangan yang andal masih akan dihasilkan.
b. Penilaian Risiko
Penilaian risiko (risk assessment) atas pelaporan keuangan adalah tindakan yang
dilakukan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang
relevan dengan penyusunan laporan keuangan yang sesuai dengan GAAP.
c. Aktivitas Pengendalian
Aktivitas pengendalian (control activities) adalah kebijakan dan prosedur, selain
yang sudah termasuk dalam empat komponen lainnya, yang membantu
memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani
risiko guna mencapai tujuan entitas.
Aktivitas pengendalian umumnya dibagi menjadi 5:
1. Pemisahan Tugas yang Memadai
Ada empat pedoman umum menyangkut pemisahan tugas yang memadai
untuk mencegah baik kecurangan maupun kekeliruan yang terutama penting
bagi auditor.
- Pemisahan Penyimpanan Aset dari Akuntansi untuk melindungi
perusahaan dari penyelewengan, seseorang yang ditugaskan menyimpan aktiva
secara permanen ataupun temporer tidak boleh mencatat aset itu.
- Pemisahan otorisasi transaksi dan penyimpanan aset terkait
sebaiknya orang yang mengotorisasi transaksi tidak boleh memegang kendali atas
aset terkait untuk mengurangi kemungkinan terjadinya penyelewengan.
- Pemisahan tugas TI dari departemen pemakai apabila tingkat
kompleksititas sistem TI meningkat, pemisahan otorisasi, pencatatanm dan
penyimpanan sering kali menjadi tidak jelas.
2. Otorisasi yang tepat atas transaksi dan aktivitas ada dua macam otorisasi
yaitu otorisasi umum dan otorisasi khusus.
Otorisasi Umum manajamen menetapkan kebijakan, dan para bawahan
diinstrksikan untuk mengimplementasikan otorisasi umum tersebut dengan
menyetujui semua transaksi dalam batas yang ditetapkan oleh kebijakan itu.
Otorisasi Khusus (specific authorization) berlaku untuk individual. Untuk
transaksi tertentu, manajemen memilih mengotorisasi setiap transaksi.
3. Dokumen dan Catatan yang Memadai
 Dokumen dan Catatan adalah objek fisik di mana transaksi akan dicantumkan
serta diikhtisarkan. Dokumen dan catatan meliputi berbagai item seperti faktur
penjualan, pesanan pembelian, catatan pembantu, jurnal penjualan dan kartu
absensi karyawan.
Prinsip-prinsip tertentu akan mengatur perancangan dan penggunaan dokumen
serta catatan yang baik. Dokumen dan catatan harus:
- Dirapnomori secara berurutan untuk memudahkan pengendalian atas
dokumen yang hilang dan sebagai alat bantu untuk mencari dokumen
itu ketika diperlukan di kemudian hari.
- Disiapkan pada waktu transaksi berlangsung, atau sesegera mungkin,
untuk meminimalkan kesalahan penetapan waktu.
- Dirancang untuk berbagai penggunaan jika mungkin, guna
meminimalkan jumlah formulir yang berbeda.
- Dibuat sedemikian rupa hingga memudahkan penyiapan yang benar.
Hal ini dapat dilakukan dengan mengecek sevata internal formulir atau
catatatn ini.
4. Pengendalian Fisik atas Aset dan Catatan. Untuk menyelenggarakan
pengendalian internal yang memadai, aset dan catatan harus dilindungi. Jika
dibiarkan tidak terlindungi aset itu bisa dicuri.
5. Pemeriksaan Independen atas Kinerja kategori terakhir dari aktivitas
pengendalian adalah review yang cermat dan berkelanjutan atas keempat hal
lainnya, yang sering kali disebut pemeriksaan independen (independent
checks) atau verifikasi internal.

d. Informasi dan Komunikasi

Akuntansi entitas adalah untuk memulai, mencatat, memroses dan melaporkan
transaksi yang dilakukan entitas itu serta mempertahankan akuntabilitas aset
terkait. Sistem informasi dan komunikasi akuntansi mempunyai beberapa
subkomponen, yang biasanya terdiri atas kelas-kelas transaksi seperti penjualan,
retur penjualan, penerimaan kas, akuisisi dan sebagainya.
e. Pemantauan
Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal
secara berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa
 pengendalian itu telah beroperasi seperti yang diharapkan dan telah dimodifikasi
sesuai dengan perubahan kondisi.

4. MEMPEROLEH DAN MENDOKUMENTASIKAN PEMAHAMAN

TENTANG PENGENDALIAN INTERNAL
Manajemen harus mendokumentasikan rancanngan pengendalian, termasuk kelima
komponen pengendalian dan juga hasil pengujian serta evaluasinya. Jenis – jenis
informasi yang dikumpulkan manajemen untuk menilai dan mendokumentasikan
keefektifan pengendalian internal dapat mengambil banyak bentuk, termasuk manual
kebijakan, bagan arus, naratif, dokumen, kuesioner, serta bentuk lainnya dalam format
kertas ataupun elektronik.
Proses untuk memahami pengendalian internal dan menilai risiko pengendalian:
Tahap 1 : Memperoleh dan mendokumentasikan pemahaman tentang pengendalian
internal: rancangan dan operasi
Tahap 2 : Menilai resiko pengendalian
Tahap 3 : Merancang, melaksanakan dan mengevaluasi pengujian pengendalian
Tahap 4 : Memutuskan risiko deteksi yang direncanakan dan pengujian substansif

- Memperoleh dan Mendokumentasikan pemahaman tentang pengendalian

internal
Sebagai bagian dari prosedur penilaian risiko, auditor menggunakan prosedur
untuk memperoleh pemahaman, yang meliputi pengumpulan bukti tentang
rancangan pengendalian internal dan apakah pengendalian itu sudah
diimplementasikan, lalu menggunakan informsi itu sebagai dasar audit terpadu.
Naratif naratif adalah urain tertulis tentang pengendalian internal klien. Suatu
naratif yang baik mengenai sistem akuntansi dan pengendalian yang terkait
menggunakan empat hal:
1. asal – usul setiap dokumen dan catatan dalam sistem
2. semua pemrosesan yang berlangsung
3. disposisi setiap dokumen dan catatan dalam sistem
4. petunjuk tentang pengendalian yang relevan dengan penilaian risiko
pengendalian.
 Bagan Arus suatu bagan arus (flow chart) pengendalian internal adalah diagram
yang menunjukkan dokumen klien dan aliran urutannya dalam organisasi.

Kuesioner pengendalian internal kuesioner pengendalian internal

mengajukan serangkaian pertanyaan tentang pengendalian dalam setiap area audit
sebagai sarana untuk mengidentifikasi definisi pengendalian internal.

- Mengevaluasi pengimplementasian pengendalian internal

Auditor juga harus mengevaluasi apakah pengendalian yang dirancang itu telah
diimplementasikan.
Metode-metode yang umum digunakan:
1. Memutakhirkan dan Mengevaluasikan Pengalaman Auditor sebelumnya
dengan entitas kebanyakan audit atas suatu perusahaan dilakukan setahun
sekali oleh kantor akuntan publik yang sama.
2. Melakukan tanya-jawab dengan personil klien auditor harus meminta
manjemen, penyelia dan staf untuk menjelaskan tugas-tugasnya.
3. Menelaah dokumen dan catatan kelima komponen pengendalian internal
melibatkan penciptaan banyak dokumen dan catatan
4. Mengamati aktivitas dan operasi apabila auditor mengamati personil klien
dalam melaksanakan aktivitas akuntansi dan pengendalian yang normal,
termasuk penyiapan dokumen dan catatan , hal ini akan semakin
meningkatkan pemahaman dan pengetahuan auditor bahwa pengendalian telah
diimplementasikan.
5. Melakukan penelusuran sistem akuntansi dalam penelusuran
(walkthrough), auditor memilih satu atau beberapa dokumen dari suatu jenis
transaksi dan menelusurnya dari awal selama seluruh proses akuntansi.

5. MENILAI RESIKO PENGENDALIAN

Audit harus memahami perancangan dan pengimplementasian pengendalian internal untuk

melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian penilaiaan resiko
salah saji yang material secara keseluruhan.
Menilai apakah laporan keuangan bisa diaudit

Ada dua factor utama yg menentukan auditabilitas:

1. Integritas : jika manajemen tidak memiliki integritas ,sebagian besar auditor tidak
akan menerima penguasaan audit.
2. Catatan akuntansi : sumber bukti audit yang penting bagi sebagian besar tujuan
audit.

Menetapkan penilaian risiko pengendalian yang di dukung oleh pemahaman yang

diperoleh

Auditor dapat membuat penilaian pendahuluan atas resiko pengendalian sebagai baguan dari
penilaian resiko salah saji yang material secara keseluuhan. Penilaian ini meupakan ukuran
ekspektasi auditor bahwa pengendalian internal akan mencegah salah saji yang material atau
mendeteksi dan mengoreksinya jika salah saji itu sudah terjadi.

Penggunaan matriks resiko pengendalian untuk menilai resiko pengendaliaan

Banyak auditor menggunakan matriks resiko pengendalian untuk membantu proses penilaian
risisko pengendalian. Tujuannya adalah menyediakan cara yng mudah untuk mengatur
penilaian resiko pengendalian bagi setiap tujuan audit.

Penyusunan Matriks dalam Menilai Resiko Pengendalian

1. Mengidentifikasi Tujuan Audit

Langkah pertama dalam menilai adalah mengidentifikasi tujuan audit untuk kelas
transaksi, saldo akun , serta penyajian dan pengungkapan yang akan dilakukan. Hal ini
dilakukan untuk kelas kelas transaksi denga menerapkan tujuan audit khusus yang
berhubungan dengan dengan transaksi yang dinyatakan dalam bentuk umum , bagi seiap
jenis transaksi utama entitas bersangkutan.
2. Mengidentifikasikan Pengendalian Yang Ada
Auditor menggunkan informasi yang telah di bahas pada bagian terdahulu mengenai
perolehan dan pendokumentasian pemaaman atas pengendalian internal untuk
mengidentifikasi pengendalian yang berperan dalam mencapai tujuan audit yang yang
berubungan dengan transaksi.
3. Menghubungkan Pengendalian dengan Tujuan Audit yang Terkait
Setiap pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait.
4. Mengidentifikasikan , dan Mengevaluasi Definisiensi Pengendalian, Defisiensi yang
Signifikan , dan Kelemahan yang Material
Auditor harus mengevaluasi apakah pengendalian kunci tidak diterapkan dalam
perancangan pengendalian internal atas laporan keuangan sebagai bagian dari
mengevaluasi resiko pengendalian dan kemungkinan sala saji laporn keuangan. Standart
auditing mendefinisikan 3 tingkat tidak di terapkan nya pengendalian internal:
1. Defisiensi yang Pengendalian
Terjadi jika perancangan atau pelaksanaan pengendalian tidak memungkinkan
karyawan perusaaan menegah atau mendeteksi salah saji secara tepat waktu.
2. Defisiensi yang Signifikan
Terjadi jika ada satu atau lebih defisiensi pengendalian yang lebih jau lebih kecil
ketimbang kelemahan yang material. Tetapi cukup penting untuk diperhatikan oleh
piak yang bertanggung Jwab mengawasi pelaporan keuanagan perusahaan.
3. Kelemahan yang material
Terjadi jika defisiensi yang signifikan, secara sendiri atau bersama sama dengan
defisiensi yang signifikan lainnya mengakibatkan kemungkinannya lebih dari kecil
bahwa pengendalian internal tidak akan mencegah atau mendeteksi salah zaji yang
material dalam laporan keuangan secara tepat waktu.

Mengidentifikasi Defisiensi, Defisiensi yang Signifikan, dan Kelemahan yang Material

Pendekatan 5 langkah yang dapat digunakan untuk mengidentifikasi defisensi

1. Mengidentifikasi Pengendalian yang Ada

Karena defisiensi dan kelemahan yang material adalah tidak diterapkannya
pengendalian yang memadai .
2. Mengidentifikasi tidak Diterapkannya Pengendalian Kunci
Kusioner pengendalian internal, bagan arus, dan penelusuran adalah sarana yang
berguna untuk mengidentifikasi dimana saja pengendalian itu tidaak adaa sehinggan
kemungkinan nterjadinya salah saji meningkat.
3. Mempertimbangkan Kemungkinan Pengendalian Pengembangan
Adalah pengendalian yg diterapkan disuatu tempat dalam system yang mengoffset
tidak diterapkannya pengendalian kunci.
4. Memutiskan Apakah Ada Defisiensi yang Signifikan atau Kelemahan yang Material
 Kemungkinan salah saji serta materialisasinya digunakan untuk mengevaluasi apakah
ada defisiensi yang signifikan atau kelemahan yang material.
5. Menentukan Salah Saji yang Potensial yang bisa Dihasilkan
Dimaksdukan untuk mengidentifikasi salah saji spesifik yang mungkin di akibatkan
oleh defisiensi yang signifikan atau kelemahan yang material.

6. PENGUJIAN PENGENDALIAN

Dalam sebagian besar ksus, auditor belum mengumpulkan bukti yang cukup untuk
mengurangi penilaian resiko pengendalian ketingkat yang cukup rendah. Karena itu
auditor harus mendapatkan bukti tambahan tentamg efektivitas pelaksanaan
pengendalian selama seluruh atau paling tidak sebagian besar periode yang diaudit.
Prosedur untuk menguji efektivitas pengendalaian dalam mendukung penilaian resiko
pengendalian yang lebih rendah disebut pengujian pengendalian.

Prosedur untuk Pengujian Pengendalian

4 jenis prosedur untuk mendukung kefektifan pelaksanaan pengendalian sebagai berikut:

1. Mengajukan Pertanyaan Kepada Personil Klien yang Tepat

Walaupun pengajuan pertanyaan bukan merupakan sumber bukti yang sangat handal
tentang pelaksanaan pengendalian yang efektif, tetapi prosedur ini masih sesuai.
2. Memeriksa Dokumen, Loporan, dan Catatan
Banyak pengendalian yang meninggalkan jejak yang jelas berupa bukti documenter
yang dapat digunakan untuk menguji pengendalian.
3. Mengamati Aktivitas yang terkai Dengan Pengendalin
Beberapa pengendalian tidak meninggalkan jejak bukti , yang berarti dikemudian hari
tidsk mungkin memeriksa bukti bahwa pengendalian itu telah di laksanakan.
4. Melaksanakan Kembali Prosedur Klien
Aktivitas yang terkait dengan pengendalian yang memiliki dokumen dan catatan
tetapi isinya tidak mencukupi untuk mengakomodasi tujuan auditor menilai apakah
pengendalian telah berjalan secara efektif.