A.

TUJUAN PENGENDALIAN INTERNAL

Sistem pengendalian internal terdiri dari kebijakan dan prosedur yang dirancang manajemen
dengan keyakinan memadai agar entitas mencapai tujuan dan sasarannya. Kebijakan-kebijakan dan
prosedur-prosedur ini sering disebut pengandalian dan secara kolektif memebentuk pengendalian
internal entitas.
Standar Audit 315 mendefinisikan pengendalian internal yaitu
“Proses yang dirancang, diimplementasikan, dan dipelihara oleh pihak yang bertanggungjawab atas
kelola, manajemen dan personel lain untuk menyediakan keyakinan memadai tentang pencapaian
tujuab entitas yang berkaitan dengan keandalan pelaporan keuangan, efisiensi dan efektivitas operasi,
dan kepatuhan terhadap peraturan perundang-undangan”
Padaumum manajemen memiliki tiga tujuan dalam merancang suatu pengendalian internal
yang efektif, yaitu:
a) Keandalan Pelaporan Keuangan. Manajemen memiliki tanggungjawab hukum dan profesional
untuk memastikan bahwa informasi telah disajikan secara wajar sesuai dengan persyaratan
pelaporan yang ditetapkan oleh IAI dan IFRS. Tujuan pengendalian internal yang efektif
adalah untuk memenuhi tanggungjawab pelaporan keuangan ini.
b) Efektivitas dan efisiensi operasi entitas. Pengendalian dalam suatu entitas akan mendorong
efektivitas dan efisiensi penggunaan sumber-sumber secara optimal untuk mencapai tujuan
entitas. Tujuan utama pengendalian ini adalah untuk memberi informasi keuangan dan non-
keuangan yang akurat tentang operasi entitas untuk pengambilan keputusan.
c) Kesesuaian dengan undang-undang dan peraturan-peraturan. Entitas-entitas publik, non-
publik, dan organisasi nirlaba berkewajiban untuk menaati banyak undang-undang dan
peraturan-peraturan. Sebagian diantaranya hanya menyangkut akuntansi secara tak langsung,
namun ada juga yang langsung berkaitan dengan akuntansi, seperti undang-undan perpajakan.

B. TANGGUNGJAWAB MANAJEMEN DAN TANGGUNGJAWAB AUDITOR

ATAS PENGENDALIAN INTERNAL
Manajemen dan auditor memilki tanggungjawab yang berbeda atas pengendalian
internal. Manajemen bertanggungjawab untuk menetapkan dan memelihara pengendalian
internal entitas. Sedangkan auditor berkewajiban untuk memahami dan melakukan
pengujian pengendalian internal untuk peelaporan keuangan.
TANGGUNGJAWAB MANAJEMEN UNTUK MENETAPKAN PENGENDALIAN
INTERNAL
Manajemen bukan auditor, berkewajiban untuk menyusun laoran keuangan sesuai
dengan standar akuntansi yang ditetapkan oleh IAI dan IFRS. Ada dua konsep yang
melandasi rancangan dan penerapan pengendalian internal oleh manajemen, yaitu:
a. Keyakinan memadai. Entitas harus mengemangkan pengendalian internal yag
memberi keyakinan memadai (bukan keyakinan mutlak) bahwa laporan keuangan
disajikan secara wajar. Konsep ini tidak memberi jaminan bahwa kesalahan penyajian
 material akan bisa dicegah atau dideteksi secara tepat waktu oleh pengendalian
internal.
b. Keterbatasan inheren. Manajemen dapat merancang system yang ideal, naun
efektivitasnya tergantung pada kompetensi dan kejujuran orang-orang yang
menggunakannya.
TANGGUNGJAWAB AUDITOR UNTUK MEMAHAMI PENGENDALIAN
INTERNAL
SA 315.12 menyatakan tanggungjawab auditor yang berkaitan dengan
pengendalian internal entitas sebagai berikut : “Auditor harus memperoleh suatu
pemahaman atas pengendalian internal yang relevan dengan audit. Meskipun sebagian
besar pengendalian yang relevan dengan audit kemungkinan berhubungan dengan
pelaporan keuangan, namun tidak semua pengendalian yang berhubungan dengan
pelaporan keuangan relevan dengan audit. Ini merupakan hal yang berkaitan dengan
pertimbangan profesional auditor apakah suatu pengendalian, secara individual atau
bersama-sama dengan yang lain, merupakan hal yang relevan dengan audit.”
Suatu pemahaman atas pengedalian internal membantu auditor dalam
mengidentifikasi tipe-tipe kesalahan penyajian yang potensial dan factor-faktor yang
memengaruhi risiko kesalahan penyajian material serta dalam meraancang sifat, saat, dan
luas prosedur audit lebih lanjut.
Materi penerapan pengedalian internal yang harus dipahami oleh auditor meliputi
hal-hal sebagai berikut:
a. Sifat dan karakteristik umum pengendalian internal
Pengendalian internal dirancang, diemplementasikan, dan dipelihara untuk
merespon risiko bisnis yang teridentifikasi yang mengancam pencapaian tujuan
entitas yang berkaitan dengan:
 Keandalan pelaporan keuangan entitas
 Efektivitas dan efesiensi operas entitas
 Kepatuhan entitas terhadap peraturan perundang-undangan yang
b. Pengendalian yang relevan dengan audit
Faktor-faktor yang relevan Denman pertimbangan auditor tentang apakah
suatu pengendalian, baik secara individu maupun bersama-sama dengan pengendalian
lain, adalah relevant dengan audit dapat mencakup hal-hal sebagai berikut:
 Materialitas
  Signifikansi risiko yang terkait
 Ukuran entitas
 Sifat bisnis entitas, termasuk karateristik organisasi dan kepemilikannya
 Keberagaman dan kompleksitas operasi entitas
 Ketentuan hukumdan peraturan yang berlaku
 Kondisi dan komponen pengendalian internal yang berlaku
 Sifat dan kompleksitas sistem yang merupakan bagian pengendalian internal
entitas, termasuk organisasi jasa
 Apakah, bagaimana, suatu pengandalian tertentu, baik secara individu atau
Bergsma dengan pengendalian lain, mencegah, atau mendeteksi dan mengoreksi,
kesalahan penyajian material
Pengendalian terhadap kelengkapan dan keakuratan informasi yang dihasilkan
oleh entitas dapat menjadi relevan dengan audit jika auditor bermaksud untuk
menggunakan informasi tersebut dalam merancang dan melaksanakan prosedur
lanjutan. Pengendalian yang berkaitan dengan tujuan operas dan kepatuhan dapat jug
menjadi relevan dengan audit jika pengendalian tersebut berkaitan dengan data yang
dievaluasi atau yang digunakan oleh auditor dalam menerapkan prosedur audit.
c. Sifat dan luas pemahaman atas pengendalian relevan
Pengevaluasian atau rancangan suatu pengendalian melibatkan pertimbangan atas
apakah pengendalian tersebut baik secara individu maupun bersama dengan
pengendalian lain, dapat secara efektif mencegah, atau mendeteksi dan mengoreksi,
kesalahan penyajian material.
d. Komponen pengendalian internal
Komponen pengendalian internal adalah butir ke empat yang harus dipahami auditor.
Hal ini akan di jelaskan di sub bab selanjutnya

C. KOMPONEN-KOMPONEN PENGENDALIAN INTERNAL

Untuk tujuan standar audit, pembagian pengendalian internal ke dalam lima
komponen dibawah ini menyediakan suatu kerangka yang bermanfaat bagi auditor untuk
mempertimbangkan bagaimana berbagai aspek pengendalian internal yang berbeda pada
entitas dapat memengaruhi audit (SA 315. A51):
(1) Lingkungan pengendalian;
(2) Proses penilaian resiko entitas;
 (3) Sistem infiormasi yang relevan dengan pelaporan keuangan, termasuk proses
bisnis yang terkait; dan komunikasi.
(4) aktivitas penilaian; dan
(5) Pemantauan terhadap pengendalian
Pembagian tersebut belum tentu mencerminkan bagaimana suatu entitas merancang,
mengimplementasikan, dan memelihara pengen-dalian internal, atau bagaimana entitas
mengklasifikasikan komponen tertentu. Auditor dapat menggunakan terminologi atau
kerangka yang berbeda untuk menjelaskan berbagi aspek pengendalian internal dan
pengaruhnya terhadap audit daripada yang digunakan dalam standar audit, selama seluruh
komponen yang dijelaskan dalam standar audit tercakup.
Lingkungan pengendalian berperan sebagai payung bagi empat komponen lainnya.
Tanpa suatu lingkungan pengendalian yang efektif, keempat komponen lain mustahil
dapat menghasilkan pengendalian internal yang efektif, bagaimanapun baiknya
komponen tersebut.

SA 315.A51 menyebutkan terdapat lima komponen pengendalian internal yang

bermanfaat bagi auditor untuk mempertimbangkan bagaimana berbagai aspek pegedalia
internal yang berbeda pada entitas daoat mempegaruhi audit. Kelima komponen ini dapat
dilihat pada gambar di atas. Untuk lebih rincinya, akan dijelaskan pada table di bawah ini:
PENGENDALIAN INTERNAL
Komponen Deskripsi Komponen Subkomponen
Lingkungan pengendalian Tindakan, kebijakan, dan Subkomponen lingkungan
prosedur yang mencermin- pengendalian :
kan perilaku manajemen  Integritas dan nilai
puncak, dewan komisaris, etika
dan pemilik entitas tentang  Komitmen terhadap
pengendalian iteral dan arti kompetensi
penting pengendalian  Partisipasi pihak yang
 internal bertanggungjawab atas
tata kelola (dewan
komisaris dan komite
audit)
 Falsafah dan gaya ope-
rasi manajemen
 Struktur organisasi
 Pemberian wewenang
dan tanggungjawab
 Kebijakan dan praktik
ttg sumber daya
manusia
Proses penilaian risiko Identifikasi dan analisis Proses penilaian risiko :
entitas oleh manajemen tentang  Mengidentifikasi
risiko yang relevan dengan faktor-faktor yang
penyusunan laporan ke- mempengaruhi risiko
uangan yan sesuai dengan  Menilai signifikansi
SAK-IAI risiko dan kemungkinn
terjadina
 Menentukan tindakan
yang diperlukan untuk
mengelola risiko

Kategori asersi manajemen

yang harus dipenuhi:

 Aersi-aasersi tentang
golongan transasksi dan
kejadian lainnya
 Asersi-aersi tentang
saldo akun
 Asersi-asersi tentang
penyajian dan pengung-
kapan
Informasi dan komunikasi Metoda yang digunakan  Mengidentifikasi dan
untuk menginisiasi, men- mencatat seluruh tran-
catat, mengolah dan mela- saksi yang valid
porkan transaksi perusa-  Mendeskripsikan tran-
haan dan untuk menjaga saksi
akuntabilitas atas asset-aset  Mengukur nilai tran-
yang bersangkutan saksi
 Menentukan periode
terjadinya transaksi
  Menyajikan transaksi
dan pengungkapan
terkait
Aktivitas pengendalian Kebijakan dan prosedur Jenis-jenis aktivitas pe-
yang ditetapkan manaje- ngendalian spesifik :
men untuk memenuhi tu-  Otorissasi penelaahan
juan pelaporan keuangan kinerja
 Pengolahan informasi
 Pengendalian fisik
 Pemisahan tugas
Pemantuan pengendalian Penilaian yang dilakukan
manajemen secara terus
menerus dan periodic ttg
kinerja pengedalian
internal untuk memastikan
apakah peengendalian
berjalan sebagai-mana
dikehendaki dan dimodi-
fikasi bila dibutuhkan

D. MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG

PENGENDALIAN INTERNAL
Gambar dibawah ini merupakan proses mendapatkan pemahaman pengendalian
internal dan penilaian risiko pengendalian.
MENDAPATKAN DAN MENDOKUMENTASIKAN PEMAHAMAN TENTANG
PENGENDALIAN INTERNAL
SA 315.13 menyebutkan bahwa “Pada waktu memperoleh peahama tetang
pengendalian yang relevan dengan audit, auditor harus mengevaluasi rancangan
pengendalian dan menentukan apakah pengendalian tersebut telah diimplementasikan,
dengan melaksanakan prosedur sebagai tambahan terhadap permintaan keterangan dari
personel entitas.”
Auditor biasanya menggunakan tiga jeis dokumen untuk mendapatkan dan
mendokumentasikan pemahamannya tentang rancangan pengendalian internal, yaitu :
1. Naratif, adalah deskripsi tertulis tentang pengendalian internal yang berlaku pada
entitas klien. Narasi yang baik menjelaskan empat hal berikut:
a) Sumber dari semua dokumen dan laporan dalam sistem.
b) Semua pengloahan data yang dilakukan.
c) Disposisi setiap dokumen dan catatan dalam system.
d) Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian.
2. Bagan alir (flow chart), adalah suatu diagram dari dokumen-dokumen klie da urutan
alirannya dalam organisasi. Dibandingkan dengan naratif, bagan alir memiliki dua
keunggulan, yaitu mudah dibaca dan mudah direvisi untuk dimutakhirkan.
3. Daftar pertanyaan pengendalian internal, menananyakan serangkaian pertanyaan
tentang pengendalian pada setiap bidang yang diaudit sebagai ara untuk
mengidentifikasi defisiensi pengendalian internal. Terdapat dua kelemahan daftar
pertanyaann, yaitu tidak dapat memberi gambaran keseluruhan siste dan tidak dapat
diterapkan pada bidang-bidag audit tertentu, terutama pada entitas kecil. Namun,
penggunaan daftar pertanyaan dan bagan alir secara bersama berguna untuk
mendapatkan pemahaan tentang rancangan pengendalian iternal klien dan untuk
mengidentifiki defesiensi pengendalian internal. Dimana baga alir memberikan
gambaran tentang system secara umum sedangkan daftar pertanyaan sebagai checklist
untuk mengingatkan auditor akan berbagai macam jenis pengendalian internal yang
harus ada.
(Hal. 380 Buku Auditing Edisi 2)
 PENILAIAN IMPLEMENTASI PENGENDALIAN INTERNAL
Dalam praktik, proses mendapatkan pemahaman rancangan dan penerapan
seringkali dilakka secara bersamaan. Prosedur penilaian risiko untuk memperoleh bukti
audit tentang rancangan dan implementasi pengendalian yang relevan dapat mencakup:
(SA 315.67)
1. Memutakhirkan dan mengevaluasi pengalaman masa lalu auditor dengan klien.
2. Meminta keterangan dari personel entitas.
3. Menginspeksi dokumen dan laporan.
4. Megamati penerapan pengendalian tertentu.
5. Menelusuri transaksi melalui system informasi yang relevan dengan pelaporan
keuangan.

E. PENILAIAN RISIKO PENGENDALIAN

Auditor mendapatkan pemahaman tentang rancangan dan penerapan pengendalian
internal agar dapat melakukan penilaian awal risiko pengendalian sebagai bagian dari
penilaian menyeluruh risiko kesalahan penyajian material. Oleh karena itu, sebelum
melakukan penilaian awal risiko pengendalian untuk setiap golongan transaksi yang
material, auditor pertama-tama harus memutuskan apakah entitas bisa diaudit atau tidak.
MENETAPKAN APAKAH LAPORAN KEUANGAN BISA DIAUDIT ATAU
TIDAK
Ada dua faktor yang mempengaruhi apakah laporan keuangan bisa diaudit atau
tidak, yaitu: integritas manajemen dan kecukupan catatan akuntansi. Apabila integritas
manajemen diragukan, kebanyakan auditor akan menolak untuk melakukan audit pada
entitas dengan manajemen seperti itu. Catatan akuntansi adalah sumber utama bukti audit
untuk sebagian besar tujuan audit. Apabila catatan akuntansi tidak memadai, bukti audit
yang diperlukan biasanya tidak akan tersedia.
MENETAPKAN RISIKO PENGENDALIAN DENGAN DIDUKUNG OLEH
PEMAHAMAN YANG DIPEROLEH
Setelah menapat pemahamn tentang pengendalian internal, auditor melakukan
penilaian awal risiko pengendalian sebagai bagian dari penilaian menyeluruh risiko
kesalahan penyajian material. Penilaian ini merupakan ukuran tentang ekspektasi auditor
bahwa pengendalian internal akan dapat mencegah terjadinya kesalahan penyajian material
atau mendeteksi dan membetulkannya jika hal itu terjadi. Kebanyakan auditor mengawali
kegiatan ini dengan menetapkan pengendalian level-entitas. Setelah auditor menentukan
bahwa pengendalian level-entitas telah dirancang dan dilajalankan, selanjutnya auditor
membuat penilaian awal untuk setiap tujuan audit transaksi bagi setiap transaksi utama
dalam setiap siklus transaksi.
MENGGUNAKAN MATRIX RISIKO PENGENDALIAN UNTUK MENETAPKAN
RISIKO PENGENDALIAN
Dalam praktiknya auditor menggunakan format matrix risiko pengendalian yang
sama untuk menetapkan risiko pengendalian bagi tujuan audit saldo dan penyajian serta
pengungkapan dibawah ini akan diuraikan pembuatan matrix tersebut :
a. Mengidentifikasi Tujuan Audit
Langkah pertama dalam penilaian risiko pengendalian adalah mengidentifikasi
tujuan audit untuk setiap golongan transaksi, saldo akun, dan penyajian serta
pengungkapan yang akan ditetapkan risiko pengendaliannya.
b. Mengidentifikasi Pengendalian yang Ada
Langkah kedua auditor menggunakan informasi yang telah dibahas pada
bagian awal bab ini yaitu pada tahap mendapatkan dan mendokumentasikan
pengendalian internal untuk mengidentifikasi pengendalian-pengendalian yang
mempunyai kontribusi untuk mencapai tujuan audit transaksi. Salah satu cara yang
dilakukan auditor untuk melakukan hal ini adalah mengidentifikasi pengendalian yang
memenuhi tujuan audit. Auditor harus mengidentifikasi dan hanya memasukkan
pengendalian-pengendalian yang diperkirakan memiliki pengaruh paling besar dalam
memenuhi tujuan audit transaksi. Hal ini disebut sebagai pengendalian kunci. Alasan
mengapa hanya memasukkan pengendalian kunci adalah pengendalian-pengendalian
tersebut telah memadai untuk mencapai tujuan audi transaksi dan demi efisiensi audit,
sebagaimana disebukan dalam SA 315.20 : “suatu audit tidak membutuhkan suatu
pemahaman tentang seluruh aktivitas pengendalian yang terkait dengan setiap
golongan transaksi signifikan, saldo akun, dan pengungkapan dalam laporan
keuangan, atau setiap arsesi yang relevan dengannya”.
c. Mengaitkan Pengendalian dengan Tujuan Audit yang bersangkutan
Setiap pengendalian memenuhi satu atau beberapa tujuan audit tertentu.
Matrix digunakan untuk menunjukkan bagaimana pngendalian berkontribusi untuk
mencapai satu atau lebih tujuan audit transaksi. Matrix risiko pengendalian serupa
bisa dibuat untuk tujuan audit saldo dan tujuan audit penyajian dan pengungkapan.
d. Mengidentifikasi dan Mengevaluasi Defisiensi Pengendalian, Defisiensi
Signifikan dan Defisiensi Material
Sebagaimana telah disebutkan di atas, auditor harus mengidentifikasi dan
menilai risiko kesalahan penyajian material pada (a) Tingkat laporan keuangan dan
(b) Tingkat arsesi untuk golongan transaksi, saldo akun, dan pengungkapan, untuk
menyediakan suatu basis bagi perancangan dan pelaksanaan prosedur audit lanjutan
(SA 315.25). Untuk tujuan ini SA 315.26 mengharuskan auditor untuk :
(a) Mengidentifikasi risiko sepanjang proses pemerolehan pemahaman tentang
entitas dan lingkungannya.
(b) Menilai dan mengidentifikasi risiko.
(c) Menghubungkan risiko yang diidentifikasi dengan apa yang bisa menjadi salah
(what can go wrong) pada tingkat arsesi.
(d) Mempertimbangkan kemungkinan kesalahan penyajian.
Dengan kata lain auditor harus mengevaluasi apakah pengendalian kunci tidak
terdapat dalam rancangan pengendalian internal untuk pelaporan keuangan sebagai
bagian dari penilaian risiko pengendalian dan kemungkinan terjadinya kesalahan
penyajian dalam laporan keuangan.
1 Defisiensi pengendalian terjadi apabila rancangan atau pengoperasian
pengendalian tidak memungkinkan personel entitas untuk mencegah atau
mendeteksi kesalahan penyajian secara tepat waktu dalam kondisi normal
pelaksanaan fungsi-fungsi. Defisiensi rancangan terjadi apabila suatu
pengendalian yang diperlukan tidak ada atau tidak dirancang dengan tepat.
Defisiensi pengoperasian terjadi apabila suatu pengendalian yang telah dirancang
dengan baik tidak dioperasikan sebagaimana dirancang atau apabila orang yang
melaksanakan pengendalian tidak cukup qualified.
2 Defisiensi signifikan terjadi apabila terdapat defisiensi pada satu atau lebih
pengendalian yang kelemahannya tidak begitu besar bila dibandingkan dengan
kelemahan material.
3 Kelemahan material terjadi apabila terdapat terdapat suatu defisiensi signifikan
atau sejumlah defisiensi signifikan, yang mengakibatkan terbukanya kemungkinan
bahwa pengendalian internal tidak akan dapat mencegah atau mendeteksi
kesalahan penyajian material dalam pelaporan keuangan secara tepat waktu.
 Di bawah ini menggambarkan kemungkinan kesalahan penyajian yang diakibatkan
oleh defisiensi signifikan, sedangkan garis vertikal menggambarkan signifikannya :
SIGNIFIKANSI
Material

KEMUNGKINAN
TERJADI Kelemahan material

Kemungkinan kecil Kemungkinan besar

Tidak Material

MENGIDENTIFIKASI DEFISIENSI, DEFISIENSI SIGNIFIKAN, DAN

KELEMAHAM MATERIAL
Untuk melakukan hal tersebut bisa melalui pendekatan lima tahap berikut ini :
1 Mengidentifikasi pengendalian yang ada. Karena defisiensi dan kelemahan material
adalah ketiadaan pengendalian yang memadai, auditor pertama-tama harus mengetahui
pengendalian mana yang ada.
2 Mengidentifikasi pengendalian kunci yang tidak ada. Daftar pertanyaan pengendalian
internal, bagian alir, dan naratif berguna untuk mengidentifikasi pengendalian mana
yang tidak ada dan oleh karenanya kemungkinan kesalahan penyajian menjadi
meningkat.
3 Mempertimbangkan kemungkinan adanya pengendalian pengganti. Suatu pengganti
adalah sesuatu yang terdapat dalam sistem yang dapat menggantikan ketiadaan suatu
pengendalian kunci.
4 Menentukan apakah terdapat defisiensi signifikan atau kelemahan material.
Kemungkinan terjadinya kesalahan penyajian dan tingkat materialitasnya digunakan
untuk mengevaluasi apakah terdapat defisiensi signifikan atau kelemahan material.
5 Menentukan kesalahan penyajian potensial yang bisa terjadi. Tahap ini dimaksudkan
untuk mengidentifikasi kesalahan penyajian spesifik sebagai akibat defisiensi
signifikan atau kelemahan material.
Mengaitkan Defisiensi Signifikan dan Kelemahan Material dengan Tujuan Audit
yang Bersangkutan
Seperti halnya untuk pengendalian, setiap defisiensi signifikan atau kelemahan
material dapat diterapkan pada satu atau lebih tujuan audit. Pada gambar Matrix Risiko
Pengendalian – Penjualan di atas dimisalkan terdapat dua defisiensi signifikan dan masing
– masing hanya dapat diterapkan pada satu tujuan audit transaksi. Defisiensi signifikan
diberi tanda dengan huruf D pada kolom tujuan yang sesuai.
Menetapkan Risiko Pengendalian untuk Setiap Tujuan Audit yang Bersangkutan
Setelah defisiensi pengendalian, defisiensi signifikan dan kelemahan material
diidentifikasi dan dikaitkan dengan tujuan audit transaksi, auditor dapat menetapkan risiko
pengendalian untuk tujuan audit transaksi. Hal ini merupakan keputusan yang kritikal
dalam proses penilaian pengendalian internal. Auditor menggunakan semua informasi
yang telah kita bahas di atas untuk membuat keputusan tentang risiko pengendalian secara
subyektif untuk setiap tujuan. Dalam hal ini, sekali lagi matrix risiko pengendalian
merupakan alat yang berguna untuk membuat penilaian. Sebelum membuat penilaian akhir
pada akhir audit, auditor akan melakukan pengujian pengendalian dan melakukan
pengujian substantif. Prosedur-prosedur ini bisa mendukung penilaian awal atau bisa juga
menyebabkan auditor harus melakukan perubahan.
PENGOMUNIKASIAN KEPADA PIHAK YANG BERSANGKUTAN DENGAN
TATA KELOLA DAN KEPADA MANAJEMEN
Auditor harus menentukan apakah berdasarkan pekerjaan audit yang telah
dilakukan, auditor telah mengidentifikasi satu atau lebih defisiensi dalam pengendalian
internal.
Komunikasi Kepada Pihak yang Bersangkutan dengan Tata Kelola
SA 265.9 menetapkan sebagai berikut: “Auditor harus mengomunikasikan secara
tertulis tentang defisiensi signifikan dalam pengendalian internal yang diidentifikasi
selama audit kepada pihak yang bertanggungjawab atas tata kelola secara tepat waktu”.
Auditor harus mengomunikasikan defisiensi signifikan dalam pengendalian
internal secara tertulis harus menyatakan tentang (SA 265.11)
(a) Deskripsi serta penjelasan dampak potensial atas defisiensi tersebut: dan
(b) Informasi yang cukup untuk memungkinkan pihak yang bertanggungjawab atas tata
kelola dan manajemen dalam memahami konteks komunikasi tersebut. Auditor harus
menjelaskan bahwa :
 (i) Tujuan audit adalah untuk auditor dapat menyatakan opini atas laporan
keuangan;
(ii) Audit mencakup pertimbangan atas pengendalian internal yang relevan
terhadap penyusunan laporan keuangan dan merancang prosedur audit yang
tepat sesuai dengan kondisi, namun tidak bertujuan untuk menyatakan opini
atas efektivitas pengendalian internal; dan
(iii) Hal – hal yang dilaporkan terbatas pada defisiensi yang diidentifikasi oleh
auditor selama audit dan auditor telah menyimpulkan bahwa hal-hal tersebut
cukup penting untuk dilaporkan kepada pihak yang bertanggungjawab atas
tata kelola.
Komunikasi kepada Manajemen
Auditor juga harus mengomunikasikan kepada manajemen pada tingkat
tanggungjawab yang tepat secara tepat waktu (SA 265.10) :
(a) Secara tertulis, defisiensi signifikan dalam pengendalian internal yang oleh auditor
telah dikomunikasikan kepada pihak yang bertanggungjawab atas tata kelola, kecuali
jika hal itu tidak tepat untuk dikomunikasikan secara langsung kepada manajemen
dalam kondisi tersebut, dan
(b) Defisiensi lain dalam pengendalian internal yang diidentifikasi selama audit yang
belum dikomunikasikan oleh pihak lain kepada manajemen dan yang menurut
pertimbangan professional auditor adalah cukup penting untuk mendapatkan perhatian
manajemen.
Faktor-faktor yang dipertimbangkan oleh auditor dalam menentukan tingkat
kerincian komunikasi mencakup :
 Sifat entitas
 Ukuran dan kompleksitas entitas
 Sifat defisiensi signifikan yang diidentifikasi oleh auditor
 Komposisi tata kelola entitas
 Ketentuan peraturan perundang-undangan tetang komunikasi

PENGUJIAN PENGENDALIAN
Di atas telah diterangkan bagaimana auditor mengaitkan antara pengendalian, defisiensi
signifikan, dan kelemahan material dengan tujuan audit untuk menetapkan risiko
pengendalian bagi setiap tujuan.
Dengan telah diperolehnya pemahaman tentang pengendalian internal penilaian risiko,
auditor telah dapat membuat penilaian awal risiko pengendalian. direspon oleh auditor
lebih baik pada tingkat laporan keuangan maupun pada tingkat asersi. Sehubungan deng
menetapkan sebagai berikut:
“ Auditor harus merancang dan mengimplementasikan prosedur audit lebih lanjut
yang sifat, saat, dan luasnya didasarkan pada dan merupakan respons terhadap
kesalahan penyajian material yang telah dinilai pada tingkat asersi ”

Salah satu prosedur dalam prosedur audit lebih lanjut adalah melakukan pengujian
pengendalian (Lihat SA 330.8). Hal ini akan dibahas se bagaimana telah dikemukakan
pada awal bab ini, pengujian pengendalian akan dibahas juga pada bab ini, agar diperoleh
gambaran menyeluruh tentang peran pengendalian internal dalam proses audit. Sekarang
marilah kita bahas bagaimana auditor menguji pengendalian tersebut yang akan
digunakan untuk mendukung suatu penilaian risiko pengendalian. Sebagai contoh, setiap
pengendalian kunci pada Gambar 8-4 yang diharapkan auditor akan dapat diandalkan
untuk mendukung risiko pengendalian medium atau rendah harus didukung oleh
pengujian pengendalian yang memadai.

PERANCANGAN DAN PELAKSANAAN PENGUJIAN PENGENDALIAN

Penilaian risiko pengendalian harus dilakukan audThiltor engan memper-timbangkan baik
rancangan maupun pelaksanaan (pengoperasian) pengendalian untuk menilai apakah
pengendalian tersebut bisa efektif di dalam memenuhi tujuan audit tertentu. Selama dalam
tahap pemahaman, auditor telah mengumpulkan bukti untuk mendukung baik rancangan
maupun penerapannya dengan menggunakan prosedur-prosedur untuk mendapatkan
pemahaman (Iihat kembali halaman 378-383). Dalam banyak hal auditor tidak akan
mendapatkan bukti yang cukup untuk menurunkan penilaian risikopengendalian ke
tingkat yang cukup rendah. Oleh karena itu auditor harus mencari bukti tambahan
mengenai efektifitas pengendalian sepanjang periode audit melalui pengujian
pengendalian yaitu:
 “suatu prosedur audit yang dirancang untuk mengevaluasi efektifitas operasi
pengendalian dalam mencegah, atau mendeteksi dan mengoreksi, kesalahan
penyajian material pada tingkat asersi”

Auditor harus merancang dan melaksanakan pengujian pengendalian untuk memperoleh

bukti audit yang cukup dan tepat terhadap efektivitas operasi pengendalian yang relevan jika:
(a) Penilaian auditor terhadap risiko kesalahan penyajian material pada tingkat asersi
mencakup suatu harapan bahwa pengen-dalian beroperasi secara efektif (contoh, auditor
bermaksud untuk mengandalkan efektivitas operasi pengendalian dalam permntuan sifat,
saat, dan luas prosedur substantif); atau
(b) Prosedur substantif tidak dapat memberikan bukti audit yang cukup dan tepat pada tingkat
asersi.
Pengujian atas pengendalian dilaksanakan hanya untuk pengendalian yang auditor
yakini tepat dirancang untuk mencegah, atau mendeteksi, dan mengoreksi kesalahan
penyajian material atas suatu asersi. Jika terdapat pengendalian yang sangat berbeda yang
digunakan pada waktu yang berbeda selama periode audit, maka setiap pengendalian tersebut
dianggap sebagai hal yang terpisah.
Pengujian atas efektivitas operasi pengendalian berbeda dengan pemerolehan
pemahaman tentang dan pengevaluasian terhadap rancangan dan implementasi pengendalian.
Namun, jenis prosedur audit yang sama dapat digunakan. Oleh karena itu, auditor dapat
memutuskan akankah efisien untuk menguji efektivitas operasi pengendalian pada waktu
yang sama dengan pengevaluasian terhadap rancangan pengendalian tersebut dan penentuan
bahwa rancangan tersebut telah diimplementasikan.
Walaupun beberapa prosedur penilaian risiko mungkin tidak dirancang secara spesifik
sebagai pengujian pengendalian, namun hal tersebut dapat memberikan bukti audit tentang
efektivitas operasi pengendalian tersebut, dan sebagai akibatnya, berfungsi sebagai pengujian
pengendalian. Sebagai contoh, prosedur pentlalan risiko oleh auditor mencakup:
 Permintaan keterangan tentang penggunaan anggaran oleh menajemen.
 Mengamati pembandingan anggaran beban bulanan dengan realisasinya yang
dilakukan manajeman
 Memeriksa laporan yang berkaitan dengan investigasi atas jumlah penyimpangan
antara anggaran dengan realisasinya
 Prosedur audit ini memberikan pengetahuan tentang rancangan dan apakah kebijakan
tersebut telah diimplementasikan, tetapi dapat juga memberikan bukti audit tentang efektifitas
pengoprasian kebijakan anggaran dalam mencegah atau mendeteksi kesalahan penyajian
material atas klasifikasi dalam penggolongan beban.
Auditor dapat merancang pengujian pengendalian untuk dilaksanakan secara
bersamaan dengan pengujian rinci atas transaksi yang sama. Walaupun tujuan pengujian
pengendalian berbeda dengan ujuan pengujian rinci, tujuan keduanya dapat dicapai secara
bersamaan tdengan melakukan pengujian pengendalian dan pengujian rinci untuk transaksi
yang sama, yang dikenal sebagai pengujian bertujuan ganda. Misalnya, auditor dapat
merancang dan mengevaluasi hasil dari suatu pengujian untuk memeriksa suatu faktur untuk
menentukan apakah faktur tersebut telah disetujui dan untuk memberikan bukti audit
substantif suatu transaksi. Pengujian bertujuan ganda dirancang dan dievaluasi dengan
mempertimbangkan setiap pengujian secara terpisah.

PROSEDUR-PROSEDUR PENGUJIAN PENGENDALIAN

Pengevaluasian atas rancangan suatu pengendalian melibatkan pertimbangan atas
apakah pengendalian tersebut, baik secara individu maupun bersama dengan pengendalian
lain, dapat secara efektif mencegah, atau mendeteksi dan mengoreksi, kesalahan penyajian
material. Impelementasi suatu pengendalian berarti bahwa pengendalian tersebut ada dan
digunakan oleh entitas. Penilaian terhadap pengimplementasian suatu pengendalian yang
tidak efektif kurang bermakna, dan oleh karena itu, pertimbangan atas rancangan suatu
pengendalian haru dilakukan terlebih dahulu. Suatu pengendalian yang dirancang secara tidak
tepat dapat mengakibatkan suatu defisiensi signifikan dalam pengendalian internal.
Prosedur penilaian risiko untuk memperoleh bukti audit ten plementasi pengendalian
yang relevan dapat mencakup:
1 Meminta keterangan dari personel entitas yang sesuai. Meskipun pengajuan pertanyaan
bukanlah sumber bukti yang memiliki tingkat kepercayaan yang tinggi tentang efektivitas
pengendalian internal, namun prosedur ini masih bisa digunakan. Sebagai contoh, untuk
memastikan bahwa personel yang tidak berwenang bisa melakukan akses ke file komputer,
auditor bisa mengajukan pertanyaan kepada petugas yang berkewajiban mengawasi computer
library dan kepada petugas yang berkewajiban menjaga keamanan akses ke komputer melalui
penggunaan password.
2. Mengirispeksi dokumen, dan laporan. anyak pengendalian meninggalkan jejak bukti
dokumen ng jelas yang dapat digunakan untuk menguji pengendalian. Sebagai contoh,
apabila pesanan dari pembeli telah diterima, dokumen pesanan tersebut digunakan sebagai
dasar untuk membuat perintah penjualan apabila telah mendapat persetujuan kredit. (Lihat
kembali pengendalian kunci pertama dan kedua dalam Gambar 8-3 di halaman 380).
Selanjutnya pesanan dari pembeli akan dilampir-kan pada perintah penjualan untuk diproses
lebih lanjut. Auditor akan dapat menguji pengendalian dengan memeriksa dokumen-dokumen
untuk mendapatkan keyakinan bahwa dokumen-dokumen tersebut lengkap dan cocok satu
sama lain (match), dan tanda tangan atau paraf yang diperlukan sudah tercantum.
3. Mengamati penerapan pengendalian tertentu. Sejumlah pengendalian tertentu tidak
meninggalkan jejak bukti, yang berarti tidak mungkin dilakukan pemeriksaan bukti bahwa
pengendalian telah dilaksanakan. Sebagai contoh, pemisahan tugas yang harus terwujud
dengan adanya orang tertentu yang melaksanakan tugas tertentu, biasanya tidak disertai
dokumen yang terpisah. (Lihat pengendalian kunci k ketiga bukti ga meninggalkan dalam
Gambar 8-3). Untuk pengendalian yang id dokumen, auditor biasanya melakukan
pengamatan langsung (observasi) penerapan pengendalia pada berbagai titik selama periode
audit.
4. Melakukan pelaksanaan ulang prosedur klien. Ada pula aktivitas pengendalian yang
disertai dengan dokumen dan catatan, tetapkani isinya tidak memadai untuk tujuan auditor
dalam menetap apakah pengendalian telah berjalan secara efektif.

PENILAIAN TERHADAP EFEKTIVITAS OPERASI PENGENDALIAN

Kesalahan penyajian material yang diidentifikasi oleh prosedur audit merupakan indikator
yang kuat akan adanya defisiensi signifikan dalam pengendalian internal. Jika telah terdeteksi
penyimpanan atas penegndalian yang auditor ingin andalkan, auditor harus harus meminta
keterangan secara khusus untuk memahami hal tersebut dan dampak potensialnya serta harus
mementukan apakah :
a) Pengujian pengendalian yang telah dilakukan memberikan suatu dasar yang tepat bagi
auditor untuk mengandalkan pada pengendalian tersebut
b) Tambahan pengujian pengendalian diperlukan atau
c) Risiko potensial kesalahan penyajian perlu direspons dengan menggunakan prosedur
substantif.
MEMUTUSKAN RENCANA RISIKO DETEKSI DAN MERANCANG PENGUJIAN
SUBSTANTIF
 Dalam uraian di atas kita memusatkan perhatian pada bagaimana auditor menetapkan
risiko pengendalian untuk setiap tujuan audit dan mendukung penilaian risiko pengendalian
dengan pengujian pengendalian. Auditor menggunakan penilaian risiko pengendalian dan
hasil pengujian pengendalian untuk menetapkan rencana risiko deteksi dan pengujian
substantif yang bersangkutan untuk audit laporan keuangan. Auditor melakukan hal ini
dengan mengaitkan penilaian risiko pengendalian dengan tujuan audit saldo untuk akun-akun
yang dipengaruhi oleh jenis-jenis transaksi utama dan dengan keempat tujuan penyajian dan
pengungkapan. Tingkat risiko deteksi yang tepat untuk setiap tujuan audit saldo, selanjutnya
ditentukan dengan menggunakan model risiko audit. Hubungan antara tujuan audit transaksi
dengan tujuan audit saldo dan pemilihan serta rancangan prosedur audit untuk pengujian

`DAFTAR REFERENSI
Jusup, Al. Haryono.2011.Auditing Edisi II. Yogyakarta: Bagian  Penerbitan STIE YKPN.
Mulyadi. 2013. Auditing Edisi 6 Buku 1. Jakarta: Salemba Empat.