Audit Internal

Section 404 Audits of Internal Control and Control Risk

Section 404 Audits of Internal Control and Control Risk

Internal Control, menurut Committee of Sponsoring Organization (COSO) yaitu Proses yang dipengaruhi oleh entitas dewan direktur, manajemen, dan personil lain yang dirancang untuk menyediakan reasonable assurance mengenai pencapaian tujuan efektivitas dan efisiensi operasi, reliabilitas laporan keuangan, ketaatan yang sesuai dengan hukum dan peraturan, pengamanan asset terhadap akuisisi yang tidak sah.

Internal Control, menurut ISA Audit Standard yaitu Proses yang dirancang, diimplementasikan oleh pemerintah, manajemen, dan personil lain untuk menyediakan reasonable assurance tentang pencapaian tujuan entitas yang tertuju pada pengendalian atas reliabilitas laporan keuangan, efektivitas dan efisiensi operasi, dan ketaatan pada hukum dan peraturan.

  1. Tujuan Pengendalian Internal
  2. Menjaga kekayaan organisasi.

Kekayaan fisik suatu perusahaan dapat dicuri, disalahgunakan atau hancur karena kecelakaan kecuali jika kekayaan tersebut dilindungi dengan pengendalian yang memadai. Begitu juga dengan kekayaan perusahaan yang tidak memiliki wujud fisik seperti piutang dagang akan rawan oleh kekurangan jika dokumen penting dan catatan tidak dijaga.

  1. Mengecek ketelitian dan keandalan data akuntansi.

Manajemen memerlukan informasi keuangan yang diteliti dan andal untuk menjalankan kegiatan usahanya. Banyak informasi akuntansi yang digunakan oleh manajemen untuk dasar pengambilan keputusan penting. Pengendalian internal dirancang untuk memberikan jaminan proses pengolahan data akuntansi akan menghasilkan informasi keuangan yang teliti dan andal karena data akuntansi mencerminkan perubahan kekayaan perusahaan.

  1. Mendorong efesiensi.

Pengendalian internal ditujukan untuk mencegah duplikasi usaha yang tidak perlu atau pemborosan dalam segala kegiatan bisnis perusahaan dan untuk mencegah penggunaan sumber daya perusahaan yang tidak efesien.

 

  1. Mendorong dipatuhinya kebijakan manajemen.

Untuk mencapai tujuan perusahaan, manajemen metapkan kebijakan dan prosedur. Pengendalian internal ini ditujukan untuk memberikan jaminan yang memadai agar kebijakan manajemen dipatuhi oleh karyawan.

 

  1. Tanggung Jawab Manajemen dan Auditor atas Pengendalian Internal

Tanggung jawab terhadap pengendalian internal berbeda bagi manajemen dan auditor. Tanggung jawab manajemen adalah untuk menegakkan dan menjaga pengendalian internal entitasnya sedangkan tanggung jawab auditor adalah memahami dan menguji pengendalian internal atas laporan keuangan. Dua konsep tanggung jawab manajemen dalam merancang dan menerapkan pengendalian internal :

  1. Keyakinan yang memadai : Dalam pengendalian internal memberikan keyakinan yang memadai, bukan absolut, bahwa laporan keuangan disajikan secara wajar. Keyakinan yang memadai hanya memberikan kemungkinan terjadinya salah saji material dengan jumlah sangat kecil yang tidak dapat dicegah dan tidak terdeteksi dengan tepat  waktu oleh pengendalian internal.
    2. Keterbatasan Bawaan :  pengendalian internal tidak sepenuhnya efektif tanpa memerlukan kehati-hatian yang telah dilakukan dalam merancang dan menerapkan pengendalian internal. Walaupun personel yang merancang sistem mampu menyusun suatu pengendalian yang ideal namun efektifitasnya tergantung pada kompetensi dan ketergantungan pemakainya.
    Dua konsep tanggung jawab auditor dalam merancang dan menerapkan pengendalian internal:

 

  1. Pengendalian terhadap keandalan laporan keuangan : auditor berfokus terhadap pengendalian terkait dengan keandalan laporan keuangan. Laporan keuangan tidak mereflesikan PABU ( standart otoritas yang dapat diterima ) dengan benar jika pengendalian laporan keuangan tidak memadai. Jika pengendalian terhadap laporan internal tersebut tidak memadai maka nilai informasi yang terkkandung laporan yang disajikan akan menurun.
    2. Pengendalian terhadap kelompok transaksi : Penekanan pada pengendalian internal atas kelompok transaksi diabanding saldo akun karena dalam pengendalian kelompok transaksi akurasi output sistem akuntansi sangat bergantung pada akurasi input dan pemrosesan (transaksi). Meskipun auditor menekankan pada pengendalian terkait transaksi, auditor juga harus mendapatkan pemahaman atas pengendalian terhadap saldo akhir akun serta tujuan penyajian dan pengungkapan.
  2. Komponen Pengendalian Internal COSO

 Kerangka konseptual atau komponen pengendalian internal COSO menjadi standar di seluruh dunia untuk membangun pengendalian internal. Pengendalian internal COSO terdiri dari lingkungan pengendalian (control environtment), penilaian risiko (risk assessment), kegiatan pengendalian (control activities), informasi dan komunikasi (information and communication), dan kegiatan pemantauan (monitoring activities).

Lingkungan pengendalian (control environtment) adalah standar, proses, dan struktur dari pengendalian internal perusahaan. Standar, proses, dan struktur pengendalian internal berjalan dengan baik, maka lingkungan pengendalian akan berdampak terhadap pengendalian internal perusahaan. Contoh-contoh dari lingkungan pengendalian adalah nilai-nilai yang dianut oleh organisasi, struktur organisasi dan pemisahan tugas dan tanggung jawab, dan manajemen yang melaksanakan tata kelola dengan baik.

Penilaian risiko (risk assessment) adalah mengidentifikasi dan menganalisis risiko guna mencapai tujuan organisasi. Risiko yang teridentifikasi akan dibandingkan dengan tingkat toleransi risiko yang telah ditetapkan. Penilaian risiko menjadi dasar bagaimana risiko organisasi akan dikelola. Risiko dapat terjadi dari internal perusahaan atau eksternal perusahaan.

Kegiatan pengendalian (control activities) adalah kegiatan memastikan pelaksanaan aturan atau standar yang sudah dibuat organisasi untuk meminimalkan risiko.  Kegiatan pengendalian ada yang bersifat preventif atau detektif dan ada yang bersifat manual atau otomatis. Contoh kegiatan pengendalian adalah otorisasi dan persetujuan, verivikasi, rekonsiliasi, dan review kenerja.

Informasi dan komunikasi (information and communication) penting dilakukan untuk mengetahui pengendalian internal yang sudah berjalan. Komunikasi dilakukan untuk memperoleh informasi agar pengendalian internal yang sudah berjalan sesuai dengan tujuan organisasi dan tidak mengalami kekurangan. Informasi tersebut akan membantu organisasi untuk melakukan evaluasi untuk perbaikan agar pengendalian internal dapat berlanjut dan dapat mencapai tujuan organisasi.

Kegiatan pemantauan (monitoring activities) adalah kegiatan dari evaluasi dari kegiatan pengendalian internal. Kegiatan evaluasi dilakukan untuk memaksimalkan kegiatan pengendalian internal. Kegiatan tersebut akan menghasilkan perbaikan atau melanjutkan pengendalian internal yang sudah berjalan. Kegiatan ini harus berdasarkan dari fakta-fakta yang ditemukan, baik melalui informasi dan komunikasi.

 

  1. Pengendalian Internal Berbasis Teknologi Informasi

Sistem pengendalian internal yang diterapkan pada SIA berguna untuk mencegah atau menjaga terjadinya hal-hal yang tidak diinginkan seperti kesalahan-kesalahan atau kecurangan-kecurangan. Pengendalian internal juga dapat digunakan untuk melacak kesalahan-kesalahan yang sudah terjadi pada saat penggunaan SIA sehingga dapat dikoreksi.

Gondodiyoto (2007:249), menyatakan pentingnya pengendalian internal pada sistem informasi akuntansi berbasis komputerisasi antara lain:

  1. Besarnya biaya dan kerugian jika sampai data komputer hilang.
  2. “Biaya yang harus dibayar” bila sampai mutu keputusan buruk akibat pengolahan data yang salah (informasi untuk bahan pengambilan keputusan salah).
  3. Potensi kerugian kalau terjadi kesalahan atau penyalahgunaan komputer.
  4. Biaya yang tinggi bila terjadi computer errors.
  5. Perlunya dijaga privacy, mengingat di komputer tersimpan data rahasia.

Pengendalian internal bagi sistem informasi akuntansi yang berbasis komputer sangat penting mengingat risiko–risiko yang terjadi sesuai dengan literatur diatas. Sekali data dimasukkan untuk diproses maka akan lenyap dari jangkauan daya manusia. Hal ini menunjukkan pentingnya perancangan pengendalian internal yang baik pada awal perancangan suatu sistem. Kompleksnya suatu lingkungan komputer seperti pemrosesan, sistem manajemen basis data dapat menimbulkan kesalahan dan kecurangan yang tidak terdeteksi. Untuk mengatasi masalah tersebut perlu dikembangkannya suatu pengendalian internal yang baik yang memadai pada sistem akuntansi berbasis komputer.

Sistem informasi akuntansi masih dapat terjadi ketidakakuratan laporan yang diberikan, kecurangan, dan sebagainya. Kurangnya pengendalian internal dalam sistem informasi akuntansi tersebut yang menjadi penyebabnya. Oleh auditor internal, pengendalian internal ini akan menjadi suatu evaluasi akhir apakah sistem informasi akuntansi tersebut sudah memberikan suatu informasi yang akurat dan sesuai dengan harapan, serta menjadi suatu pengembangan sistem kedepannya.

Melihat daripada tujuan audit sistem informasi itu sendiri, dimana dalam pelaksanaannya oleh auditor internal, menggunakan standar CobIT yakni memiliki 7 komponen yaitu efektifitas, efisiensi, kerahasiaan, integritas, ketersediaan, kepatuhan, dan keakuratan informasi. Dijelaskan pula bahwa audit SI dalam rangka test of control dan substantive test sebagai bagian dari kewajiban manajemen untuk memberikan akuntabilitas kepada stockholder dan stakeholder sesuai ketentuan hukum atau peraturan-peraturan otoritas. Ini menjelaskan bahwa audit sistem informasi tidak terlepas dari apa yang dinamakan pengendalian internal.

Dari uraian di atas dapat disimpulkan bahwa efektivitas pengendalian internal dalam penerapan sistem informasi akuntansi berbasis komputer, sangatlah penting, bahkan tidak bisa diabaikan begitu saja. Dengan kondisi teknologi yang semakin luas dan perkembangan bisnis yang luas pula, justru bisa memungkinkan risiko kegagalan atau error juga semakin luas. Adanya standar CobIT sangat membantu para auditor dalam menjalankan tugasnya. Auditor mempunyai kunci-kunci yang dipakai dalam menentukan kondisi pengendalian internal dalam sistem informasi tersebut. Apabila tidak ada pengendalian internal dan juga tidak adanya audit sistem informasi, perusahaan juga akan malah merugi dikarenakan ketika ada laporan keuangan yang salah akibat error pada sistem, maka perusahaan semakin tidak efektif dan efisien. Hal ini dikarenakan staf administrasi harus mengulang membuat laporan keuangan dari awal, hingga bahkan jika sudah parah harus dibuat secara manual.

 

  1. Infrastruktur TI dan Pengendalian Internal

Pengendalian Umum, diterapkan pada semua aspek fungsi TI termasuuk administrasi, pemisahan tugas TI, pengembangan sistem, keamanan fisik dan online atas akses ke perangkat keras, perangkat lunak, dan data terkait backup dan perencanaa kontinjensi atas keadaan darurat yang tak terduga serta pengendalian perangkat keras.

Pengendalian Aplikasi, berlaku bagi pemrosesan transaksi seperti pengendalian atas pemrosesan penjualan atau penerimaan kas.

Dalam hal ini biasanya auditor mengevaluasi pengendalian terhadap aplikasi yaitu :

  1. Administrasi Fungsi TI, pengaruh dari sikap direksi dan manajemen senior tentang TI yang mempengaruhi arti penting TI yang dirasakan dalam suatu organisasi.
  2. Pemisahan Tugas – tugas TI, sebagai respon terhadap resiko menghubungkan dengan tanggung jawab penyimpanan tradisional, otoritas dan administrasi ke dalam fungsi TI, organisasi yang dikendalikan dengan baik memisahkan tugas – tugas kunci dalam TI. Dalam hal ini tanggung jawab atas manajemen TI, pengembangan sistem, operasi dan pengendalian dibagi sebagai berikut :
  • Manajemen TI, CIO atau manajer TI
  • Pengendalian Sistem
  • Operasi
  • Pengendalian data

Pengembangan sistem, pengembangan sistem mencakup :

  • Membeli perangkat lunak atau mengembangkan diri sendiri
  • Menguji semua perangkat lunak guna memastikan bahwa perangkat lunak baru itu kompatibel, ada pun pengujiannya dan pendekatannya yaitu pengujian percontohan dan pengujian parallel

Keamanan Fisik dan Online, yaitu pengendalian atas fisik dan pembatasan online ke perangkat lunak serta file data terkait mengurangi resiko dilakukannya perubahan yang tidak diotorisasi. Hal ini dibagi menjadi dua yaitu, pengendalian fisik dan pengendalian akses secara online.

 

Backup dan Perencanaan Kontinjensi, yaitu mengantisipasi seperti bencana mati istrik, kebakaran, kelembaban atau panas yang berlebihan, pencemaran air atau bahkan sabotase mempunyai konsekuensi yang serius terhadap bisnis yang menggunakan TI.

Pengendalian Perangkat Keras, yaitu telah dipasangkan dalam peralatan computer oleh perusahaan pembuatnya untuk mendeteksi dan melaporkan kegagalan peralatan.

Pengendalian Input, yaitu bertujuan untuk memastikan bahwa informasi yang dimasukan ke dalam computer sudah di otorisasi, akurat, dan lengkap.

  • Otorisasi manajemen atas transaksi
  • Penyiapan dokumen sumber input yang memadai
  • Personil yang kompeten

 

Pengendalian Internal

Prosedur pengujian pengendalian, ada empat prosedur untuk pengendalian internal yaitu, mengajukan pertanyaan kepada klien, memerikasa dokumen dan lainnya, mengamati aktivitas terkait pengendalian, melaksanakan kembali prosedur klien.

Pengendalian diterapka secara luas dan bergantung pada diterapkannya pengendalian tersebut yaitu :

  • Mengandalkan bukti dari audit tahun sebelumnya
  • Menguji pengendalian yang berhubungan dengan resiko yang signifikan
  • Menguji kurang dari seluruh periode audit

 

  1. Risiko Pengendalian

Resiko pendendalian merupakan suatu resiko bahwa suatu salah suatu salah saji material yang dapat terjadi dalam suatu asersi, tidak dapat di deteksi maupun dicegah secara tepat pada waktunya dari berbagi kebijikan. Dan suatu proses yang dilakukan manajer setelah mengidentifikasi pengukuran dan koreksi atas semua kegiatan yang berpotensi menghasilkan resiko atau kerugian dalam rangka memastikan bahwa tujuan-tujuan dan rencana-rencana organisasi/perusahan dapat terlaksana dengan baik

  1. Penanganan Resiko

Dalam penanganan resiko, ada beberapa metode yang dapat di gunakan di antaranya :

  1. Menghindari resiko

    Menghindari suatu resiko murni adalah menghindari harta, orang atau kegitatan

  1. Mengendalikan kerugian

    Tujuan mengendalikan kerugian adalah untuk memperkecil kemungkinan/peluang terjadinya     dan mengurangi keperahan bila suatu resiko kerugian memang terjadi.

 

  1. Kombinasi

Kombinasi adalah menambah banyaknya exposure unit dalam batas kendali perusahaan yang bersangkutan, dengan tujuan agar kerugian yang akan dialami lebih dapat di ramalkan,sehingga resikonya lebih kecil

  1. Pemisahan

Pemisahan artinya memisahkan penempatan dari harga yang menghadapi resiko yang sama

  1. Pemindahan resiko

Dapat dilakukan dengan cara:

 . Harta milik atau kegiatan yang menghadapi resiko dipindahkan kepeda pihak lain

. Risikonya sendiri yang dipindahkan.