MEMAHAMI PENGENDALIAN INTERNAL
Tinjauan Umum
Pengendalian internal adalah proses, kebijakan, dan prosedur yang
dirancang oleh manajemen untuk memastikan pelaporan keuangan yang andal dan pembuatan
laporan keuangan yang sesuai dengan kerangka akuntansi yang berlaku.
Pengendalian internal membahas hal-hal seperti sikap, manajemen terhadap pengandalian,
kompetensi pegawai inti/kunci, penilaian risiko, akuntansi, dan sistem
informasu keuangan lainnyayang digunakan, serta kegiatan pengendalian yang
tradisional.
Auditor harus memperoleh pemahaman mengenai pengendalian internal
dalam semua penugasan audit. Ini berlaku untuk semua ukuran entitas, sekalipun
auditor sudah memutuskan untuk menggunakan sepenuhnya pendekatan substantif
dalam menanggapi risiko salah saji yang material.
Risiko Dan Pengendalian
Risiko bawaan (inherent risk) yang merupakan risiko bisnis (bussiness
risk) meupun risiko kecurangan (fraud risk) diidentifikasi dalam
tahap identifikasi dan penilaian risiko. Manajemen menanggulangi risiko ini dengan
merancang dan mengimplementasikan pengendalian internal yang akan menurunkan
risiko ini ke tingkat rendah yang dapat diterima (acceptably low level).
Risiko yang tersisa sesudah pengendalian intern dirancang dan
diimplementasikan, disebut residual risk atau risiko sisa. Risiko sisa ini
tidak lain dari risiko salah saji material.
Pengendalian Internal Pervasif Dan Spesifik
Pengendalian internal secara luas dapat dikategorikan ke dalam
pengendalian pervasif (pervasive controls) atau pengendalian intrenal di
tingkat entitas (entity-level controls) dan pengendalian spesifik (spesific
controls) atau pengendalian transaksional (transactional controls).
Lima Komponen Pengendalian Internal
Berbagai jenis pengendalian internal dalam suatu entitas dibagi
dalam lima komponen inti sebagai berikut:
·
Financial
reporting objective—tujuan
pelaporan keuangan
·
Contol
environment—lingkungan
oengendalian
·
Risk
assessment—penilaian risiko
·
Information
system—sistem informasi
·
Control
activities—pengendalian aktivitas
·
Monitoring—pemantauan
Setiap komponen pengendalian internal mendapat perhatian auditor
sebagai:
·
Bagian
dari pemahamannya terhadap pengendalian intern atas pelaporan keuangan
·
Informasi
untuk mempertimbangkan bagaimana berbagai aspek pengendalian internal itu bisa
memengaruhi audit
Pengendalian Intrenal Entitas Kecil
Entitas kecil mempunyai pegawai yang (relatif) sedikit.
Pengendalian pada entitas semacam itu berasal dari lingkungan pengendalian (control
environment); komitmen manajemen atas nilai-nilai etika, kompetensi,
sikap/cara pikir mengenai pengendalian, dan sikap dan tindakan sehari-hari.
Pengendalian intern pada entitas kecil tidak berpusat pada pengendalian
spesifik atas transaksi.
Tidak Adanya Pengendalian Internal
Jika tidak ada banyak kegiatan pengendalian (control activities)
yang bisa diidentifikasi, auditor mempertimbangkan apakah:
·
Mungkin
menangani asersi-asersi relevan dengan melaksanakan proseur audit selanjutnya
yang terutama merupakan prosedur substantif; atau
·
Ketiadaan
kegiatan pengendalian atau komponen pengendalian lainnya (sangat jarang
terjadi) tidak memungkinkan auditor memperoleh bukti audit yang cukup dan
tepat.
Hal-hal lain menimbulkan tanda tanya mengenai apakah audit
seharusnya dijalankan, seperti berikut:
·
Keraguan
mengenai integritas manajemen, perilaku non-etis, atau sikap yang mengabaikan pengendalian
internal
·
Kekhawatiran
mengenai kondisi dan keandalan catatan ektitas yang membuat auditor tidak
mungkin memperoleh bukti audit yang cukup dan tepat untuk memberikan pendapat
wajar tanpa pengecualian.
Jika keraguan dan kekhawatiran di atas terjadi, auditor perlu
mempertimbangkan dan memodifikasi laporan auditornya atau mengundurkan diri
dari penugasan sama sekali.
Pengendalian Memberantas Kecurangan
Management override atau peniadaan pengendalian oleh manajemen,
dalam entitas kecil, dapat dimitigasi atau ditekan dengan menetapkan (beberapa)
kebijakan dan prosedur inti dan mendokumentasikannya.
Pengendalian Internal Yang Relevan Untuk Audit
Tidak semua pengendalian relevan bagi audit itu.auditor hanya perlu
memperhatikan pemahaman dan evaluasi atas pengendalian yang memitigasi risiko
salah saji yang material dalam laporan keuangan (karena kecurangan atau
kesalahan). Ini berarti, pengendalian tertentu dapat dikeluarkan dari lingkup
audit, seperti pengendalian yang:
·
Tidak
berurusan dengan pelaporan keuangan
·
Sekalipun
tidak ada, kemungkina terjadinya salah saji material dalam laporan keuangan
sangat kecil.
MENGEVALUASI PENGENDALIAN INTERNAL
Tinjauan Umum
Auditor wajib mengevaluasi rancangan dan implementasi pengendalian,
apakah ia akhirnya akan melaksanakan atau tidak melaksanakan uji pengendalian (tests
of controls) untuk mengumpulkan bukti. Evaluasi ini merupakan suatu proses
yang terdiri atas empat langkah yang diringkaskan sebagai berikut:
Langkah 1—Risiko apa yang harus dimitigasi ?
Langkah 2—Apakah Pengendalian yang dirancang manajemen, memitigasi
risiko itu ?
Langkah 3—Apakah pengendalian yang memitigasi risiko itu, berfungsi
?
Langkah 4—Apakah operasi pengendalian yang relevan, sudah
didokumentasikan ?
Langkah 1—Risiko Apa Yang Harus Dimitigasi ?
Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor
risiko yang signifikan dan faktor risiko lain yang ada. Daftar faktor risiko
berdasarkan proses bisnis tidak wajib dibuat. Namun jika sudah dibuat, daftar
ini bermanfaat untuk mengeliminasi setiap faktor risiko yang sedikit
kemungkinannya mengakibatkan salah saji yang material, sekalipun tidak
dimitigasi sama sekali.
Dalam membuat daftar faktor risiko:
·
Gunakan
istilah faktor risiko yang sesuai untuk entitas yang bersangkutan
·
Pastikan
semua asersi yang relevan telah diperhatikan; dan
·
Perhatikan,
apakah ada risiko tambahan yang berakibat salah saji yang material, jika tidak
dimitigasi.
Langkah 2—Apakah Pengendalian Memitigasi Risiko ?
Dalam mengevaluasi apakah suatu pengendalian sudah dirancang oleh
manajemen, auditor menilai apakah pengendalian yang diidentifikasi benar-benar
akan menangkal atau memitigasi faktor risiko. Ini berarti, manajemen harus memperhatikan
apakah pengendalian itu efektis untuk:
·
Mencegah
(preventing) terjadinya salah saji material; atau
·
Menemukan
atau mengungkapkan (detecting) dan mengoreksi (correcting) salah
saji material, setelah salah saji itu terjadi.
Ada dua cara yang lazimnya digunakan untuk menyandingkan
pengendalian internal dengan faktor risiko atau tujuan pengendaliannya yang
dirancang untuk menangkal risiko. Kedua pendekatan ini adalah one-risk-to-many
controls (satu risiko dengan banyak pengendalian) dan many-risk-to-many
controls (banyak risiko dengan banyak pengendalian).
One-Risk-To-Many Controls
Pendekatan “satu risiko, banyak pengendalian” ini sering digunakan
untuk memetakan semua jenis pengendalian, termasuk pengendalian transaksional. Namun,
satu pengendalian transaksional seringkali dapat menangani lebih dari satu
risiko; karenanya, satu pengendalian ditampilkan berulang-ulang dalam
pendekatan ini.
Many-Risk-To-Many Controls
Untuk risiko spesifik dan risiko transaksional, pendekatan yang
paling umum dalam mengevaluasi rancangan pengendalian, ialah dengan
menggunakanapa yang dikenal sebagai ”control design matrix” atau “matriks
rancangan pengendalian”. Matriks ini memungkinkan auditor secara sekilas dengan
cepat dapat melihat:
·
Hubungan
“banyak-dengan-banyak” (many to many relationship) antara risiko dan
pengendalian
·
Di
mana kuatnya pengendalian internal
·
Di mana
lemahnya pengendalian internal; dan
·
Pengendalian
utama yang menanggapi banyak risiko/asersi dan dapat diuji efektif/tidaknya pengendalian
tersebut.
Bagaimana Mengidentifikasi PI Yang Relevan
Bagaimana auditor mengidentifikasi pengendalian internal yang
relevan? Umumnya melalui diskusi atau wawancara dengan mereka yang bertanggung
jawab untuk mengelola suatu risiko. Dalam entitas yang lebih kecil, orang ini
adalah pemilik merangkap pengelola (owner-manager) atau seorang manajer
senoir (senior manager).
Menyimpulkan Rancangan Pengendalian
Langkah terakhir dalam menilai rancangan pengendalian ialah menarik
kesimpulan mengenai apakah pengendalian yang diidentifikasi memang benar-benar
memitigasi faktor risiko tertentu. Ini memerluka kearifan profesional.
Langkah 3—Apakah Pengendalian Itu Berfungsi ?
Sekedar bertanya kepada manajemen tidak cukup untuk mengevaluasi
rancangan prosedur pengendalian internal atau apakah prosedur pengendalian
internal itu sudah diimplementasikan.. Auditor perlu mengamati pengendalian
yang sedang berjalan, observe internal control in action! Alasannya adalah:
·
Proses
dapat berubah dengan perubahan waktu.
·
Pegawai
entitas mungkin menjelaskan bagaimana suatu sistem seharusnya berfungsi, dan
bukan bagaimana sistem itu dalam kenyataannya berfungsi; dan
·
Beberapa
aspek dalam suatu sistem secara tidak sengaja terabaikan dalam upaya memahami
pengendalian intern.
Prosedur penilaian risiko (risk assessment procedures) yang
diwajibkan untuk memeperoleh bukti audit mengenai diimplementasikannya
pengendalian meliputi:
·
Bertanya
(inquiry) kepada pegawai entitas
·
Mengamati
(observing) atau mengulangi (re-performing) aplikasi dari
pengendalian tertentu
·
Menginspeksi
dokumen dan laporan; dan
·
Menelusuri
satu atau beberapa transaksi melalui sistem informasi yang relevan untuk
pelaporan keuangan.
Langkah 4—Apakah Pengendalian Sudah Didokumentasikan ?
Tujuan dari langkah ini adalah untuk memberikan informasi tentang
beroperasinya pengendalian yang relevan, yang diidentifikasi dalam langkah 2. Berapa
luas/banyaknya dokumentasi ditentukan oleh kearifan profesional.
Dokumentasi yang baik akan membantu auditor:
·
Memahami
sifat, operasi, dan konteks dari pengendalian yang diidentifikasi; dan
·
Menentukan
apakah pengendalian itu andal dan berfungsi efektif.
Bentuk dokumentasi yang paling umu dibuat oleh manajemen atau
auditor adalah:
·
Penjelasan
naratif (narrative description) atau memo (memoranda);
·
Bagan
arus (flow charts);
·
Kombinasi
antara flow charts dan narrative description; dan
·
Kuesioner
(questionnaires) dan daftar uji (checklists)
Pemutakhiran Dokumentasi Di Tahun Mendatang
Auditor dapat menggunakan dokumentasi yang dibuat atau didapat
dalam audit periode yang lalau, ketika merencanakan audit tahun berikutnya. Pemutakhiran
ini meluputi:
·
Buat
salinan (copy) dari kertas kerja tahun yang lalu. Sebagai tolak ukur pemutakhiran
di tahun berjalan
·
Mutakhirkan
daftar risiko yang dimitigasi oleh pengendalian
·
Identifikasikan
perubahan dalam pengendalian internal pada tingkat entitas dan tingkat
transaksional
·
Jika
ditemukan ada perubahan (risiko atau pengendalian), tentukan apakah
pengendalian internal yang baru sudah dirancang dna diimplementasikan.
·
Mutakhirkan
keterkaitan antara pengendalian internal dengan faktor risiko yang tepat
·
Mutakhirkan
kesimpulan pada risiko pengendalian
Representasi Tertulis Tentang Pengendalian Internal
Representasi tertulis tentang pengendalian internal harus diminta
dari manajemen yang mengakui brtanggung jawab untuk mengadakan dan memelihara
pengendalian intern yang menurutnya diperlukan untuk membuat laporan keuangan
yang bebas dari ssalah saji yang material, yang disebabkan oleh kesalahan atau
kecurangan
KESIMPULAN
v Pengendalian internal adalah proses, kebijakan, dan prosedur yang
dirancang oleh manajemen untuk memastikan pelaporan keuangan yang andal dan
pembuatan laporan keuangan yang sesuai dengan kerangka akuntansi yang berlaku.
v Pengendalian internal secara luas dapat dikategorikan ke dalam
pengendalian pervasif (pervasive controls) atau pengendalian intrenal di
tingkat entitas (entity-level controls) dan pengendalian spesifik (spesific
controls) atau pengendalian transaksional (transactional controls).
v Berbagai jenis pengendalian internal dalam suatu entitas dibagi
dalam lima komponen inti sebagai berikut:
·
Financial
reporting objective—tujuan
pelaporan keuangan
·
Contol
environment—lingkungan
oengendalian
·
Risk
assessment—penilaian risiko
·
Information
system—sistem informasi
·
Control
activities—pengendalian aktivitas
·
Monitoring—pemantauan
v Auditor wajib mengevaluasi rancangan dan implementasi pengendalian,
apakah ia akhirnya akan melaksanakan atau tidak melaksanakan uji pengendalian (tests
of controls) untuk mengumpulkan bukti. Evaluasi ini merupakan suatu proses
yang terdiri atas empat langkah yang diringkaskan sebagai berikut:
·
Langkah
1—Risiko apa yang harus dimitigasi ?
·
Langkah
2—Apakah Pengendalian yang dirancang manajemen, memitigasi risiko itu?
·
Langkah
3—Apakah pengendalian yang memitigasi risiko itu, berfungsi ?
·
Langkah
4—Apakah operasi pengendalian yang relevan, sudah didokumentasikan ?
Tidak ada komentar:
Posting Komentar