Audit Internal

AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404 DAN RISIKO PENGENDALIAN

AUDIT ATAS PENGENDALIAN INTERNAL MENURUT SECTION 404 DAN RISIKO PENGENDALIAN
  • Tujuan Pengendalian Internal

Manajemen memiliki tiga tujuan umum dalam merancang sistem pengendalian internal yang efektif :

  1. Reliabilitas pelaporan keuangan.
  2. Efisiensi dan efektivitas operasi
  3. Ketaatan pada hukum dan peraturan
  4. Tanggung Jawab Manajemen dan Auditor Atas Pengendalian Internal
  • Tanggung Jawab Manajemen untuk Menetapkan Pengendalian Internal

Manajemen diharuskan dalam section 404 untuk melaporkan secara terbuka tentang keefektifan pelaksanaan pengendalian tersebut. Auditor juga diwajibkan oleh section 404 untuk menerbitkan laporan audit tentang penilaian manajemen atas pengendalian internalnya, termasuk pendapat auditor mengeenai keefektifan pelaksanaan pengendalian tersebut. Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian internal:

  1. Kepastian yang layak.

Perusahaan harus mengembangkan pengendalian internal yang akan memberikan kepastian yang layak, tetapi bukan absolut, bahwa laporan keuangan telah disajikan secara wajar.

  1. Keterbatasan inheren.

Pengendalian internal tidak akan pernah bisa efektif 100%, tanpa menghiraukan kecermatan yang diterapkan dalam perancangan dan implementasinya.

 

  • Tanggung Jawab Pelaporan oleh Manajemen Menurut Section 404

Section 404 mengharuskan manajemen perusahaan publik untuk mengeluarkan laporan pengendalian internal yang mencakup hal-hal sebagai berikut:

  • Suatu pernyataan bahwa manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan struktur pengendalian internal yang memadai serta prosedur pelaporan keuangan.
  • Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur pelaporan keuangan per akhir tahun fiskal perusahaan.

Penilaian manajemen mengenai pengendalian internal atas pelaporan keuangan terdiri dari dua komponen utama, yaitu :

  1. Rancangan pengendalian internal.

Manajemen harus mengevaluasi apakah pengendalian telah dirancang dan diberlakukan untuk mencegah dan mendeteksi salah saji yang material dalam laporan keuangan. Termasuk juga mengevaluasi bagaimana transaksi yang signifikan dimulai, diotorisasi, dicatat, diproses, dan dilaporkan untuk mengidentifikasi titik-titik arus transaksi dimana salah saji yang material akibat kekeliruan atau kecurangan bisa saja terjadi.

  1. Efektivitas pelaksanaan pengendalian.

Tujuan pengujian ini adalah untuk menentukan apakah pengendalian telah berjalan seperti yang dirancang, dan apakah orang yang melaksanakan memiliki kewenangan serta kualifikasi yang diperlukan untuk melaksanakan pengendalian secara efektif.

 

  • Tanggung Jawab Auditor untuk Memahami Pengendalian Internal

Pengetahuan tentang pengendalian internal klien dicantumkan terpisah dalam standar auditing yang berlaku umum, yaitu:

  1. Pengendalian atas reabilitas pelaporan keuangan.

Auditor berfokus pada pengendalian yang berhubungan dengan perhatian manajemen yang pertama dalam pengendalian internal: reliabilitas pelaporan keuangan.

  1. Pengendalian atas kelas-kelas transaksi.

Auditor menekankan pengendalian internal atas kelas-kelas transaksi, dan bukan saldo akun, karena keakuratan output sistem akuntansi (saldo akun) sangat tergantung pada keakuratan input dan pemrosesan (transaksi).

 

  • Tanggung Jawab Auditor untuk Menguji Pengendalian Internal

Section 404 mensyaratkan bahwa auditor menegaskan dan menerbitkan laporan mengenai penilaian manajemen terhadap pengendalian internal atas pelaporan keuangan, auditor harus memahami dan melakukan pengujian atas pengendalian untuk semua saldo akun, kelas transaksi, dan pengungkapan yang signifikan, serta asersi terkait dalam laporan keuangan.

 

  1. Komponen Pengendalian Internal COSO

Komponen pengendalian internal COSO meliputi antara lain:

  1. Lingkungan pengendalian
  2. Penilaian Risiko  
  3. Aktivitas pengendalian
  4. Informasi dan komunikasi
  5. Pemantauan

Lingkungan pengendalian berfungsi sebagai payung bagi keempat komponen lainnya. Tanpa lingkungan pengendalian yang efektif, keempat komponen lainnya mungkin tidak akan menghasilkan pengendalian internal yang efektif, tanpa menghiraukan kualitasnya.

 

  1. Memperoleh dan Mendokumentasikan Pemahaman Tentang Pengendalian Internal

Tingkat pemahaman atas pengendalian internal serta luas pengujian yang dibutuhkan untuk audit atas pengendalian internal melampaui apa yang disyaratkan untuk audit atas laporan keuangan saja. Biasanya auditor menggunakan tiga jenis dokumen untuk memperoleh dan mendokumentasikan pemahamannya atas perancangan pengendalian internal adalah naratif, bagan arus, dan kuesioner pengendalian internal.

Naratif adalah uraian tertulis tentang pengendalian internal klien. Suatu naratif yang baik mengenai sistem akuntansi dan pengendalian yang terkait menguraikan empat hal :

  • Asal – usul setiap dokumen dan catatan dalam akuntansi
  • Semua pemrosesan yang berlangsung
  • Disposisi setiap dokumen dan catatan dalam sistem
  • Petunjuk tentang pengendalian yang relevan dengan penilaian risiko pengendalian

Flowchart adalah suatu bagan arus pengendalian internal adalah diagram yang menunjukkan dokumen klien dan aliran urutannya dalam organisasi. Suatu bagan arus yang memadai mencangkup empat karakteristik yang sama yang diidentifikasi untuk naratif.

 

Kuesioner pengendalian internal mengajukan serangkaian pertanyaan tentang pengendalian dalam setiap area audit sebagai sarana untuk mengidentifikasi defisiensi pengendalian internal. Dua kelemahan kuesioner adalah tidak mampu memberikan gambaran yang menyeluruh tentang sistem klien dan tidak dapat diterapkan pada beberapa audit, terutama skala kecil.

 

  1. Menilai Resiko Pengendalian

Auditor harus memahami perancangan dan pengimplementasian pengendalian internal untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian risiko salah saji yang material secara keseluruhan.

Tujuannya adalah menyediakan cara yang mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit. Penyusunan matriks meliputi :

  • Mengidentifikasi tujuan audit.Langkah pertama dalam penilaian adalah mengidentifikasi tujuan audit untuk kelas transaksi, saldo akun, serta penyajian dan pengungkapan yang akan dinilai.
  • Mengidentifikasi pengendalian yang ada.Selanjutnya, auditor menggunakan informasi yang telah dibahas pada bagian terdahulu, mengenai perolehan dan pendokumentasian pemahaman atas pengendalian internal untuk mengidentifikasi pengendalian yang berperan dalam mencapai tujuan audit yang berhubungan dengan transaksi.
  • Menghubungkan pengendalian dengan tujuan audit yang terkait.Setiap pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait.

Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan dan kelemahan yang material. Auditor harus mengevaluasi apakah pengendalian kunci tidak diterapkan dalam perancangan pengendalian internal atas pelaporan keuangan sebagai bagian dari mengevaluasi risiko pengendalian dan kemungkinan salah saji laporan keuangan.

Pendekatan lima-langkah dapat digunakan untuk mengidentifikasi defisiensi, defisiensi yang signifikan, dan kelemahan yang material :

  • Mengidentifikasi pengendalian yang ada
  • Mengidentifikasi tidak diterapkannya pengendalian kunci
  • Mempertimbangkan kemungkinan pengendalian pengimbang
  • Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material
  • Menentukan salah saji yang potensial yang bisa dihasilkan

 

Mengubungkan Definisi yang Signifikan dan Kelemahan yang Material dengan Tujuan Audit Terkait

Sama seperti pengendalian, setiap defini yang signifikan atau kelemahan yang material dapat diterapkan pada satu atau lebih tujuan audit yang terkait

Menilai Risiko Pengendalian untuk Setiap Tujuan Audit yang Terkait

Setelah pengendalian, definisi yang signifkan dan kelemaham material diidentifikasi serta dihubungkan dengan tujuan audit yang berkaitan dengan transaksi, auditor dapat menilai risiko pengendalian untuk tujuan audit yang berkaitan dengan transaksi. Inilah keputusan yang penting dalam evaluasi pengendalian internal. Auditor menggunakan semua informasi yang dibahas sebelumnya untuk menilai risiko pengendalian yang subjektif bagi setiap tujuan.

Komunikasi dengan Pohak yang Memikul Tanggung Jawab Tata Kelola

Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang material secara tertulis kepada pihak yang memikul tanggung jawab taat kelola begitu auditor mengetahui keberadaanya. Komunikasi ini biasanya ditujukan kepada kompite audit dan manajemen. Komunikasi yang tepat wajtu dapat memberi manajemen kesempatan untuk menangani defisiensi pengendalian sebelum laporan manajemen mengenai pengendalian internal harus dikeluarkan.

Surat Manajemen

Auditor sering kali mengidentifikasi hal yang berkaitan dengan pengendalian internal yang tidak penting, serta kesempatan bagi klien untuk memperbaiki operasi. Hal tersebut juga harus dikomunikasikan kepada klien. Bentuk komunikasi sering kali berupa surat terpisah untuk tujuan itu yang disebut surat manajemen.

  1. Pengujian Pengendalian

Penilaian risiko pengendalian mengharuskan auditor mempertimbangkan perancangan dan pelaksanaan pengendalian untuk mengevaluasi apakah pengendalian itu efektif dalam memenuhi tujuan audit yang terkait. Prosedur untuk menguji efektivitas pengendalian dalam mendukung penilaian risiko pengendalian yang lebih rendah disebut pengujian pengendalian.

Auditor biasanya menggunakan empat jenis prosedur untuk mendukung keefektifan pelaksanaan pengendalian internal. Jenis prosedur diantaranya :

  1. Mengajukan pertanyaan kepada personil klien yang tepat. Walaupun pengajuan pertanyaan bukan merupakan sumber bukti yang handal tentang pelaksanaan pengendalian yang efektif, prosedur ini masih sesuai.
  2. Memeriksa dokumen , catatan, dan laporan. Banyak pengendalian yang meninggalkan jejak yang jelas berupa bukti dokumenter yang dapat digunakan untuk menguji pengendalian
  3. Mengamati aktivitas yang terkait dengan pengendalian. Beberapa pengendalian tidak meninggalkan jejak bukti yang berarti di kemudian hari tidak mungkin memeriksa bukti bahwa pengendalian itu telah dilaksanakan
  4. Melaksanakan kembali prosedur klien. Ada aktivitas yang terkait dengan pengendalian yang memiliki dokumen dan catatan, tetapi isinya tidak mencukupi untuk mengakomodasi tujuan auditor menilai apakah pengendalian telah berjalan secara efektif.

Mengandalkan Bukti dari Audit Tahun Sebelumya

Apabila auditor berencana menggunakan bukti tentang efektivitas pelaksanaan pengendalian internal yang diperoleh audit terdahulu, SAS 110 mengharuskan auditor untuk menguji keefektifan pengendalian itu paling sedikit tiga tahun sekali.

Menguji Pengendalian yang Berhubungan dengan Risiko yang Signifikan

Risiko yang signifikan adalah risiko yang diyakini auditor membutuhkan pertimbangan audit khusus. Apabila prosedur penilaian dilakukan auditor mengidentifikasi risiko yang signifikan, auditor diharuskan mengji efektivitas pelaksanaan pengendalian yang mengurangi risiko tersebut.

Menguji Kurang dari Seluruh Periode Audit

PCAOB Standard 2 mengharuskan auditor melaksanakan pengujian pengendalian yang memadai untuk menentukan apakan pengendalian itu telah berjalan efektif pada akhir tahun. Karena itu, waktu pelaksanaan pengujian pengendalian oleh audtior akan tergantung pada sifat pengendalian dan kapan perusahaan menggunakannya. Ada dua perbedaan utama dalam meneraokan prosedur umum :

  1. Untuk memahami pengendalian internal, prosedur untuk memperoleh pemahaman yang harus diterapkan pada semua pengendalian yang terindetifikasi.
  2. Prosedur untuk memperoleh pemahaman yang dilakukan pada satu atau beberapa transaksi dalam kasus obesrvasi pada satu titik waktu.

 

  1. Memutuskan Risiko Deteksi yang Direncanakan Dan Merancang Pengujian Substantif

Auditor menggunakan penilaian risiko pengendalian dan hasil pengendalian untuk menentukan risiko deteksi yang direncanakan serta pengujian substantif terkait untuk audit atas laporan keuangan. Tingkat risiko deteksi yang tepat untuk setiap tujuan audit yang berhubungan dengan saldo kemudian diputuskan dengan menggunakan model risiko audit.

  1. Pelaporan Pengendalian Internal Menurut Section 404

Laporan audit mengenai pengendalian internal harus mencakup dua pendapat auditor :

  1. Pendapat auditor mengenai apakah penilaian manajemen terhadap keefektifan pengendalian internal atas pelaporan keuangan per akhir periode fiskal telah dinyatakan secara wajar.
  2. Pendapat auditor mengenai apakah perusahaan telah menyelenggarakan dalam semua hal yang material, pengendalian internal yang efektif atas pelaporan keuangan per tanggal yang disebutkan.

 

Jenis-jenis pendapatan:

Pendapatan Wajar Tanpa Pengecualian

Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai pengendalian internal atas pelaporan keuangan apabila dua kondisi berikut berlaku :

  • Tidak ada kelemaham material yang teridentifikasi
  • Tidak ada pembatasan atas ruang lingkup pekerjaan auditor

Pendapat Tidak Wajar

Bila ada kelemahan yang material auditor harus menyatakan pendapat yang tidak wajar mengenai efetivitas pengendalian interl. Penyebab umumnya pendapat tidak wajar mengenai pengendalian yaitu apabila manajemen mengidentifikasi suatu kelemahan yang material dalam laporannya.

Pendapat Wajar dengan Pengecualian atau Menolak Memberikan Pendapat

Pembatasan ruang lingkup mengharuskan auditor untuk menyatakan pendapat wajar dengan pengecualian atau menolak memberikan pendapat mengenai pengendalian internal atas pelaporan keuangan.

  1. Mengevaluasi, Melaporkan, dan Menguji Pengendalian Internal Untuk Perusahaan Non Publik

Bagian berikut akan mengidentifikasi dan membahas perbedaan paling penting dalam mengevaluasi, melaporkan, dan menguji pengendalian internal untuk perusahaan nonpublik :

  1. Persyaratan pelaporan.

Audit diharuskan oleh standar auditing SAS 112 untuk mengeluarkan laporan tertulis mengenai defini yang signifikan dan kelemahan yang material dalam pengendalian internal kepada pihak yang bertanggung jawab.

  1. Luas pengendalian internal yang disyaratkan.

Manajemen, dan bukan auditor yang bertanggung jawab untuk menetapkan pengendalian internal yang memadai dalam perusahaan nonpublik, persis seperti manajemen untuk perusahaan publik. Ukuran perusahaan memiliki dampak yang signifikan terhadap sifat pengendalian internal dan pengendalian khusus yang dimplementasikan. Jadi jelas lebih sulit menetapkan pemisahan tugas yang memadai dalam perusahaan yang berukuran kecil. Juga tidak masuk akal mengharapkan perusahaan kecil memiliki audior internal.

  1. Luas pemahaman yang diperlukan.

Standar auditing mengharuskan auditor memiliki pemahaman yang mencukupi tentang pengendalian internal untuk menilai risiko pengendalian. Dalam praktik, prosedur untuk mendapatkan pemahaman pengendalian sangat bervariasi dari klien ke klien. Jika audior berfikir sikap manajemen tidak memadai untuk mendukung komponen pengendalian, auditor akan menilai risiko pengendalian pada tingkat maksimum

  1. Menilai risiko pengendalian.

Perbedaan paling penting dalam menilai risiko pengendaoan perusahaan nonpublik adalah penilaian risiko pengendalian pada tingkat maksimum untuk tujuan yang berkaitan dengan pengendalian apabila pengendalian internal untuk tujuan itu tidak ada atau tidak efektif.

  1. Luas pengujian pengendalian yang diperlukan.

Auditor tidak akan melakukan pengujian pengendalian apabila menilai risiko pengendalian pada tingkat maksimum akibat tidak memadainya pengendalian. Apabila risiko pengendalian dan prosedur substantif untuk memperoleh kepastian yang layak bahwa laporan keuangan tidak dinyatakan secara wajar.

 

Jumlah pengendalian yang diuji oleh auditor untuk menanyakan pendapat mengenai pengendalian internal bagi sebuah perusahaan publik jauh lebih besaf ketimbang hanya menyatakan pendapat tentang laporan keuangan.

 

 

https://www.kompasiana.com/ayhuarisdha/564d7502169773cc084e3f58/audit-atas-pengendalian-internal-menurut-section-404-dan-resiko-pengendalian?page=all