MEMAHAMI PENGENDALIAN INTERNAL

Tinjauan Umum
Pengendalian internal adalah proses, kebijakan, dan prosedur yang dirancang oleh manajemen
untuk memastikan pelaporan keuangan yang andal dan pembuatan laporan keuangan yang sesuai
dengan kerangka akuntansi yang berlaku. Pengendalian internal membahas hal-hal seperti sikap,
manajemen terhadap pengandalian, kompetensi pegawai inti/kunci, penilaian risiko, akuntansi,
dan sistem informasu keuangan lainnyayang digunakan, serta kegiatan pengendalian yang
tradisional.
Auditor harus memperoleh pemahaman mengenai pengendalian internal dalam semua penugasan
audit. Ini berlaku untuk semua ukuran entitas, sekalipun auditor sudah memutuskan untuk
menggunakan sepenuhnya pendekatan substantif dalam menanggapi risiko salah saji yang
material.

Risiko Dan Pengendalian

Risiko bawaan (inherent risk) yang merupakan risiko bisnis (bussiness risk) meupun risiko
kecurangan (fraud risk) diidentifikasi dalam tahap identifikasi dan penilaian risiko. Manajemen
menanggulangi risiko ini dengan merancang dan mengimplementasikan pengendalian internal
yang akan menurunkan risiko ini ke tingkat rendah yang dapat diterima (acceptably low level).
Risiko yang tersisa sesudah pengendalian intern dirancang dan diimplementasikan, disebut
residual risk atau risiko sisa. Risiko sisa ini tidak lain dari risiko salah saji material.

Pengendalian Internal Pervasif Dan Spesifik

Pengendalian internal secara luas dapat dikategorikan ke dalam pengendalian pervasif (pervasive
controls) atau pengendalian intrenal di tingkat entitas (entity-level controls) dan pengendalian
spesifik (spesific controls) atau pengendalian transaksional (transactional controls).

Lima Komponen Pengendalian Internal

Berbagai jenis pengendalian internal dalam suatu entitas dibagi dalam lima komponen inti
sebagai berikut:
Financial reporting objectivetujuan pelaporan keuangan
Contol environmentlingkungan oengendalian
 Risk assessmentpenilaian risiko
Information systemsistem informasi
Control activitiespengendalian aktivitas
Monitoringpemantauan
Setiap komponen pengendalian internal mendapat perhatian auditor sebagai:
Bagian dari pemahamannya terhadap pengendalian intern atas pelaporan keuangan
Informasi untuk mempertimbangkan bagaimana berbagai aspek pengendalian internal itu bisa
memengaruhi audit

Pengendalian Intrenal Entitas Kecil

Entitas kecil mempunyai pegawai yang (relatif) sedikit. Pengendalian pada entitas semacam itu
berasal dari lingkungan pengendalian (control environment); komitmen manajemen atas nilai-
nilai etika, kompetensi, sikap/cara pikir mengenai pengendalian, dan sikap dan tindakan sehari-
hari. Pengendalian intern pada entitas kecil tidak berpusat pada pengendalian spesifik atas
transaksi.

Tidak Adanya Pengendalian Internal

Jika tidak ada banyak kegiatan pengendalian (control activities) yang bisa diidentifikasi, auditor
mempertimbangkan apakah:
Mungkin menangani asersi-asersi relevan dengan melaksanakan proseur audit selanjutnya yang
terutama merupakan prosedur substantif; atau
Ketiadaan kegiatan pengendalian atau komponen pengendalian lainnya (sangat jarang terjadi)
tidak memungkinkan auditor memperoleh bukti audit yang cukup dan tepat.
Hal-hal lain menimbulkan tanda tanya mengenai apakah audit seharusnya dijalankan, seperti
berikut:
Keraguan mengenai integritas manajemen, perilaku non-etis, atau sikap yang mengabaikan
pengendalian internal
Kekhawatiran mengenai kondisi dan keandalan catatan ektitas yang membuat auditor tidak
mungkin memperoleh bukti audit yang cukup dan tepat untuk memberikan pendapat wajar tanpa
pengecualian.
 Jika keraguan dan kekhawatiran di atas terjadi, auditor perlu mempertimbangkan dan
memodifikasi laporan auditornya atau mengundurkan diri dari penugasan sama sekali.

Pengendalian Memberantas Kecurangan

Management override atau peniadaan pengendalian oleh manajemen, dalam entitas kecil, dapat
dimitigasi atau ditekan dengan menetapkan (beberapa) kebijakan dan prosedur inti dan
mendokumentasikannya.

Pengendalian Internal Yang Relevan Untuk Audit

Tidak semua pengendalian relevan bagi audit itu.auditor hanya perlu memperhatikan
pemahaman dan evaluasi atas pengendalian yang memitigasi risiko salah saji yang material
dalam laporan keuangan (karena kecurangan atau kesalahan). Ini berarti, pengendalian tertentu
dapat dikeluarkan dari lingkup audit, seperti pengendalian yang:
Tidak berurusan dengan pelaporan keuangan
Sekalipun tidak ada, kemungkina terjadinya salah saji material dalam laporan keuangan sangat
kecil.
 MENGEVALUASI PENGENDALIAN INTERNAL
Tinjauan Umum
Auditor wajib mengevaluasi rancangan dan implementasi pengendalian, apakah ia akhirnya akan
melaksanakan atau tidak melaksanakan uji pengendalian (tests of controls) untuk mengumpulkan
bukti. Evaluasi ini merupakan suatu proses yang terdiri atas empat langkah yang diringkaskan
sebagai berikut:
Langkah 1Risiko apa yang harus dimitigasi ?
Langkah 2Apakah Pengendalian yang dirancang manajemen, memitigasi risiko itu ?
Langkah 3Apakah pengendalian yang memitigasi risiko itu, berfungsi ?
Langkah 4Apakah operasi pengendalian yang relevan, sudah didokumentasikan ?

Langkah 1Risiko Apa Yang Harus Dimitigasi ?

Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor risiko yang signifikan
dan faktor risiko lain yang ada. Daftar faktor risiko berdasarkan proses bisnis tidak wajib dibuat.
Namun jika sudah dibuat, daftar ini bermanfaat untuk mengeliminasi setiap faktor risiko yang
sedikit kemungkinannya mengakibatkan salah saji yang material, sekalipun tidak dimitigasi sama
sekali.
Dalam membuat daftar faktor risiko:
Gunakan istilah faktor risiko yang sesuai untuk entitas yang bersangkutan
Pastikan semua asersi yang relevan telah diperhatikan; dan
Perhatikan, apakah ada risiko tambahan yang berakibat salah saji yang material, jika tidak
dimitigasi.

Langkah 2Apakah Pengendalian Memitigasi Risiko ?

Dalam mengevaluasi apakah suatu pengendalian sudah dirancang oleh manajemen, auditor
menilai apakah pengendalian yang diidentifikasi benar-benar akan menangkal atau memitigasi
faktor risiko. Ini berarti, manajemen harus memperhatikan apakah pengendalian itu efektis
untuk:
Mencegah (preventing) terjadinya salah saji material; atau
Menemukan atau mengungkapkan (detecting) dan mengoreksi (correcting) salah saji material,
setelah salah saji itu terjadi.
 Ada dua cara yang lazimnya digunakan untuk menyandingkan pengendalian internal dengan
faktor risiko atau tujuan pengendaliannya yang dirancang untuk menangkal risiko. Kedua
pendekatan ini adalah one-risk-to-many controls (satu risiko dengan banyak pengendalian) dan
many-risk-to-many controls (banyak risiko dengan banyak pengendalian).

One-Risk-To-Many Controls
Pendekatan satu risiko, banyak pengendalian ini sering digunakan untuk memetakan semua
jenis pengendalian, termasuk pengendalian transaksional. Namun, satu pengendalian
transaksional seringkali dapat menangani lebih dari satu risiko; karenanya, satu pengendalian
ditampilkan berulang-ulang dalam pendekatan ini.

Many-Risk-To-Many Controls
Untuk risiko spesifik dan risiko transaksional, pendekatan yang paling umum dalam
mengevaluasi rancangan pengendalian, ialah dengan menggunakanapa yang dikenal sebagai
control design matrix atau matriks rancangan pengendalian. Matriks ini memungkinkan
auditor secara sekilas dengan cepat dapat melihat:
Hubungan banyak-dengan-banyak (many to many relationship) antara risiko dan
pengendalian
Di mana kuatnya pengendalian internal
Di mana lemahnya pengendalian internal; dan
Pengendalian utama yang menanggapi banyak risiko/asersi dan dapat diuji efektif/tidaknya
pengendalian tersebut.

Bagaimana Mengidentifikasi PI Yang Relevan

Bagaimana auditor mengidentifikasi pengendalian internal yang relevan? Umumnya melalui
diskusi atau wawancara dengan mereka yang bertanggung jawab untuk mengelola suatu risiko.
Dalam entitas yang lebih kecil, orang ini adalah pemilik merangkap pengelola (owner-manager)
atau seorang manajer senoir (senior manager).

Menyimpulkan Rancangan Pengendalian

 Langkah terakhir dalam menilai rancangan pengendalian ialah menarik kesimpulan mengenai
apakah pengendalian yang diidentifikasi memang benar-benar memitigasi faktor risiko tertentu.
Ini memerluka kearifan profesional.

Langkah 3Apakah Pengendalian Itu Berfungsi ?

Sekedar bertanya kepada manajemen tidak cukup untuk mengevaluasi rancangan prosedur
pengendalian internal atau apakah prosedur pengendalian internal itu sudah diimplementasikan..
Auditor perlu mengamati pengendalian yang sedang berjalan, observe internal control in action!
Alasannya adalah:
Proses dapat berubah dengan perubahan waktu.
Pegawai entitas mungkin menjelaskan bagaimana suatu sistem seharusnya berfungsi, dan bukan
bagaimana sistem itu dalam kenyataannya berfungsi; dan
Beberapa aspek dalam suatu sistem secara tidak sengaja terabaikan dalam upaya memahami
pengendalian intern.
Prosedur penilaian risiko (risk assessment procedures) yang diwajibkan untuk memeperoleh
bukti audit mengenai diimplementasikannya pengendalian meliputi:
Bertanya (inquiry) kepada pegawai entitas
Mengamati (observing) atau mengulangi (re-performing) aplikasi dari pengendalian tertentu
Menginspeksi dokumen dan laporan; dan
Menelusuri satu atau beberapa transaksi melalui sistem informasi yang relevan untuk pelaporan
keuangan.

Langkah 4Apakah Pengendalian Sudah Didokumentasikan ?

Tujuan dari langkah ini adalah untuk memberikan informasi tentang beroperasinya pengendalian
yang relevan, yang diidentifikasi dalam langkah 2. Berapa luas/banyaknya dokumentasi
ditentukan oleh kearifan profesional.
Dokumentasi yang baik akan membantu auditor:
Memahami sifat, operasi, dan konteks dari pengendalian yang diidentifikasi; dan
Menentukan apakah pengendalian itu andal dan berfungsi efektif.
Bentuk dokumentasi yang paling umu dibuat oleh manajemen atau auditor adalah:
Penjelasan naratif (narrative description) atau memo (memoranda);
 Bagan arus (flow charts);
Kombinasi antara flow charts dan narrative description; dan
Kuesioner (questionnaires) dan daftar uji (checklists)

Pemutakhiran Dokumentasi Di Tahun Mendatang

Auditor dapat menggunakan dokumentasi yang dibuat atau didapat dalam audit periode yang
lalau, ketika merencanakan audit tahun berikutnya. Pemutakhiran ini meluputi:
Buat salinan (copy) dari kertas kerja tahun yang lalu. Sebagai tolak ukur pemutakhiran di tahun
berjalan
Mutakhirkan daftar risiko yang dimitigasi oleh pengendalian
Identifikasikan perubahan dalam pengendalian internal pada tingkat entitas dan tingkat
transaksional
Jika ditemukan ada perubahan (risiko atau pengendalian), tentukan apakah pengendalian
internal yang baru sudah dirancang dna diimplementasikan.
Mutakhirkan keterkaitan antara pengendalian internal dengan faktor risiko yang tepat
Mutakhirkan kesimpulan pada risiko pengendalian

Representasi Tertulis Tentang Pengendalian Internal

Representasi tertulis tentang pengendalian internal harus diminta dari manajemen yang mengakui
brtanggung jawab untuk mengadakan dan memelihara pengendalian intern yang menurutnya
diperlukan untuk membuat laporan keuangan yang bebas dari ssalah saji yang material, yang
disebabkan oleh kesalahan atau kecurangan
 KESIMPULAN
Pengendalian internal adalah proses, kebijakan, dan prosedur yang dirancang oleh manajemen
untuk memastikan pelaporan keuangan yang andal dan pembuatan laporan keuangan yang sesuai
dengan kerangka akuntansi yang berlaku.
Pengendalian internal secara luas dapat dikategorikan ke dalam pengendalian pervasif (pervasive
controls) atau pengendalian intrenal di tingkat entitas (entity-level controls) dan pengendalian
spesifik (spesific controls) atau pengendalian transaksional (transactional controls).
Berbagai jenis pengendalian internal dalam suatu entitas dibagi dalam lima komponen inti
sebagai berikut:
Financial reporting objectivetujuan pelaporan keuangan
Contol environmentlingkungan oengendalian
Risk assessmentpenilaian risiko
Information systemsistem informasi
Control activitiespengendalian aktivitas
Monitoringpemantauan
Auditor wajib mengevaluasi rancangan dan implementasi pengendalian, apakah ia akhirnya akan
melaksanakan atau tidak melaksanakan uji pengendalian (tests of controls) untuk mengumpulkan
bukti. Evaluasi ini merupakan suatu proses yang terdiri atas empat langkah yang diringkaskan
sebagai berikut:
Langkah 1Risiko apa yang harus dimitigasi ?
Langkah 2Apakah Pengendalian yang dirancang manajemen, memitigasi risiko itu?
Langkah 3Apakah pengendalian yang memitigasi risiko itu, berfungsi ?
Langkah 4Apakah operasi pengendalian yang relevan, sudah didokumentasikan ?