A.
Pertimbangan
Pengendalian Intern dalam Perencanaan Audit
Dalam semua audit, auditor harus
memperoleh pemahaman masing-masing dari lima komponen pengendalian intern yang
cukup untuk merencanakan audit dengan melaksanakan prosedur untuk memahami
desain pengendalian yang relevan dengan suatu audit laporan keuangan, dan
apakah pengendalian tersebut dioperasikan. Dalam perencanaan audit, pengetahuan
tersebut harus digunakan untuk:
a. Mengidentifikasi
tipe salah saji potensial.
b. Mempertimbangkan
faktor-faktor yang berdampak terhadap risiko salah saji material.
Sifat, saat, dan luasnya prosedur
yang dipilih auditor untuk memperoleh pemahaman akan bervariasi dengan ukuran
dan kompleksitas entitas, pengalaman sebelumnya dengan entitas, sifat
pengendalian khusus yang terkait, dan sifat dokumentasi pengendalian khusus
yang diselenggarakan oleh entitas. Sebagai contoh, pemahaman tentang penaksiran
risiko yang diperlukan untuk merencanakan suatu audit untuk entitas yang
beroperasi dalam lingkungan yang relatif stabil dapat bersifat terbatas.
Pemahaman tentang pemantauan yang dibutuhkan dalam perencanaan suatu audit
untuk entitas yang kecil dan tidak kompleks dapat juga bersifat terbatas.
Apakah suatu pengendalian telah
dioperasikan adalah berbeda dari efektivitas operasinya. Dalam memperoleh
pengetahuan tentang apakah pengendalian telah dioperasikan, auditor menentukan
bahwa entitas telah menggunakannya. Di lain pihak, efektivitas operasi,
berkaitan dengan bagaimana pengendalian tersebut diterapkan, konsistensi
penerapannya, dan oleh siapa pengendalian tersebut diterapkan. Sebagai contoh,
sistem pelaporan anggaran dapat memberikan laporan memadai, namun laporan tersebut
tidak di analisis dan ditindaklanjuti.
Pemahaman auditor tentang
pengendalian intern kadang-kadang menimbulkan keraguan tentang dapat atau
tidaknya laporan keuangan entitas diaudit. Integritas manajemen entitas mungkin
sangat rendah sehingga menyebabkan auditor berkesimpulan bahwa risiko salah
representasi manajemen dalam laporan keuangan sedemikian rupa sehingga suatu
audit tidak dapat dilaksanakan. Sifat dan luasnya catatan entitas dapat mengakibatkan
auditor berkesimpulan bahwa tidak mungkin bukti audit kompeten yang cukup akan
tersedia untuk mendukung pendapat atas laporan keuangan.
B.
Pertimbangan
atas Pengendalian Intern dalam Penaksiran resiko Pengendalian
Bukti Audit menyatakan bahwa hampir
semua pekerjaan auditor independen dalam membentuk pendapatnya atas laporan
keuangan terdiri dari pemerolehan dan evaluasi bukti audit tentang asersi dalam
laporan keuangan. Asersi ini terkandung dalam saldo akun, golongan transaksi,
dan komponen pengungkapan dalam laporan keuangan dan digolongkan ke dalam lima
golongan utama berikut ini:
a.
Keberadaan atau keterjadian
b.
Kelengkapan
c.
Hak dan kewajiban
d.
Penilaian atau alokasi
e.
Penyajian dan pengungkapan
Dalam perencanaan dan pelaksanaan
audit, auditor mempertimbangkan asersi tersebut dalam hubungannya dengan saldo
akun atau golongan transaksi tertentu.
Risiko salah saji material dalam
asersi laporan keuangan terdiri dari risiko bawaan, risiko pengendalian, dan
risiko deteksi. Risiko bawaan adalah kerentanan suatu asersi terhadap salah
saji material dengan anggapan tidak terdapat pengendalian yang berkaitan.
Risiko pengendalian adalah risiko bahwa salah saji material yang dapat terjadi dalam
suatu asersi tidak akan dapat dicegah atau dideteksi pada saat yang tepat oleh pengendalian
intern entitas. Risiko deteksi adalah risiko bahwa auditor tidak akan mendeteksi
salah saji material yang ada dalam suatu asersi.
Penaksiran risiko pengendalian
adalah proses evaluasi efektivitas suatu pengendalian intern entitas dalam
mencegah atau mendeteksi salah saji material dalam laporan keuangan. Risiko
pengendalian hares ditaksir menurut asersi laporan keuangan. Setelah memperoleh
pemahaman atas pengendalian intern, auditor dapat melakukan penaksiran risiko
pengendalian pada tingkat maksimum untuk beberapa atau semua tidak berkaitan
dengan suatu asersi, kemungkinan tidak efektif, atau karena evaluasi terhadap
efektivitasnya akan tidak efisien.
Penaksiran pengendalian intern di
bawah tingkat maksimum mencakup:
a. Pengidentifikasian
pengendalian khusus yang relevan dengan asersi khusus yang kemungkinan mencegah
atau mendeteksi salah saji material dalam asersi tersebut.
b. Pelaksanaan
pengujian pengendalian untuk mengevaluasi efektivitas pengendalian tersebut.
Dalam mengidentifikasi pengendalian
yang relevan dengan asersi laporan keuangan tertentu, auditor harus
mempertimbangkan bahwa pengendalian dapat mempunyai dampak pervasif ke banyak
asersi atau berdampak khusus ke asersi secara individual, tergantung dari sifat
komponen pengendalian intern tertentu yang terkait.
Sebagai contoh, kesimpulan bahwa
lingkungan pengendalian sangat efektif kemungkinan mempengaruhi keputusan
auditor tentang jumlah lokasi entitas yang akan diterapi prosedur audit atau
apakah akan diterapkan prosedur audit tertentu atas beberapa saldo akun atau
kelompok transaksi pada tanggal interim. Keputusan mana pun yang diambil akan
mempengaruhi cara penerapan prosedur audit terhadap asersi tertentu, walaupun auditor
mungkin tidak memperhitungkan secara tersendiri masing-masing asersi yang dipengaruhi
oleh keputusan tersebut.
Sebaliknya, prosedur pengendalian
tertentu sering mempunyai pengaruh terhadap suatu asersi yang terkandung dalam saldo
akun atau kelompok transaksi tertentu. Misalnya prosedur pengendalian yang
diciptakan entitas untuk memastikan bahwa personelnya menghitung dan mencatat
penghitungan fisik sediaan tahunan dengan semestinya, secara langsung
berhubungan dengan asersi tentang eksistensi sediaan untuk saldo akun sediaan.
Pengendalian dapat bersifat langsung
atau tidak langsung berkaitan dengan asersi. Semakin tidak langsung hubungan
tersebut, semakin kurang efektif pengendalian tersebut dalam mengurangi risiko
pengendalian untuk asersi tersebut. Sebagai contoh, review ikhtisar
kegiatan penjualan toko tertentu menurut daerah pemasaran oleh manajer penjualan,
biasanya tidak berhubungan langsung dengan asersi mengenai kelengkapan pendapatan
penjualan Oleh karena itu, cara tersebut mungkin kurang efektif untuk mengurangi
risiko pengendalian atas asersi tersebut, dibandingkan dengan pengendalian yang
lebih langsung berkaitan dengan asersi tersebut, misalnya membandingkan dokumen
pengiriman dengan dokumen penagihan.
Prosedur yang diarahkan terhadap baik
efektivitas desain maupun operasi pengendalian disebut dengan pengujian
pengendalian (test of control). Pengujian pengendalian yang diarahkan
terhadap efektivitas desain pengendalian berkaitan dengan apakah pengendalian. tersebut
didesain sesuai untuk mencegah atau mendeteksi salah saji material dalam asersi
laporan keuangan tertentu.
Pengujian untuk mendapatkan bukti
audit seperti itu biasanya meliputi prosedur permintaan keterangan dari pegawai
entitas yang semestinya, inspeksi dokumen dan laporan, serta pengamatan
terhadap penerapan pengendalian tertentu. Untuk entitas yang pengendalian
internnya kompleks, auditor harus mempertimbangkan penggunaan bagan alir (flowchart),
kuesioner, atau tabel keputusan yang memudahkan penerapan pengujian atas
desain.
Pengujian pengendalian yang
diarahkan terhadap efektivitas operasi pengendalian bersangkutan dengan
bagaimana penerapan pengendalian, konsistensi penerapannya selama periode audit
dan siapa yang menerapkannya. Pengujian ini biasanya mencakup prosedur
permintaan keterangan dari pegawai yang semestinya; inspeksi atas dokumen,laporan,
atau electronic files yang menggambarkan kinerja pengendalian; pengamatan
terhadap penerapan pengendalian, dan pengulangan penerapan pengendalian oleh
auditor. Dalam beberapa hal, prosedur tertentu mungkin dapat sekaligus
menentukan efektivitas desain dan operasi. Namun, mungkin diperlukan gabungan
prosedur untuk mengevaluasi efektivitas desain atau operasi suatu pengendalian.
Kesimpulan yang dicapai dari hasil
penaksiran risiko pengendalian disebut dengan
tingkat risiko pengendalian taksiran. Untuk menetapkan bukti audit yang diperlukan
untuk mendukung tingkat risiko pengendalian taksiran di bawah tingkat maksimum,
auditor harus mempertimbangkan karakteristik bukti audit tentang risiko pengendalian.
Namun, pada umumnya, semakin rendah tingkat risiko pengendalian taksiran,
semakin tinggi keyakinan yang harus diberikan oleh bukti audit bahwa
pengendalian yang relevan dengan sesuatu asersi telah didesain dan dioperasikan
secara efektif.
Auditor menggunakan tingkat risiko
pengendalian taksiran (bersama dengan tingkat risiko bawaan taksiran) untuk
menetapkan tingkat risiko deteksi yang dapat diterima untuk asersi yang
tercantum dalam laporan keuangan. Auditor menggunakan tingkat risiko deteksi
yang dapat diterima untuk menetapkan sifat, saat, dan Iingkup prosedur audit
yang digunakan untuk menemukan salah saji material dalam asersi laporan
keuangan. Prosedur audit yang didesain untuk menemukan salah saji seperti itu dalam
Seksi ini disebut dengan pengujian substantif.
Menurunnya tingkat risiko deteksi
yang dapat diterima menyebabkan meningkatnya keyakinan yang diperoleh dari
pengujian substantif. Oleh sebab itu, auditor dapat melaksanakan satu atau
lebih hal berikut:
a. Mengubah
sifat pengujian substantif dari prosedur yang kurang efektif menjadi efektif, seperti
melakukan pengujian yang diarahkan kepada pihak yang independen di luar.
b. Mengubah
saat pengujian substantif, seperti melakukan pengujian pada akhir tahun; bukan
pada tanggal interim.
c. Mengubah
lingkup pengujian substantif, dengan menggunakan ukuran sampel yang lebih besar
C.
Pertimbangan
Sistem Informasi Komputer dalam Pengendalian Intern
Pengendalian
intern atas pengolahan komputer, yang dapat membantu pencapaian tujuan pengendalian
intern secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain
dalam program komputer. Prosedur pengendalian manual dan komputer terdiri atas pengendalian
menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian umum SIK) dan pengendalian
khusus atas aplikasi akuntansi (pengendalian aplikasi SIK).
Tujuan pengendalian
umum (general control) SIK adalah untuk membuat rerangka pengendalian menyeluruh
atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian
intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi:
a.
Pengendalian organisasi
dan manajemen–didesain untuk menciptakan
rerangka organisasi aktivitas SIK, yang mencakup:
1)
Kebijakan dan prosedur yang
berkaitan dengan fungsi pengendalian.
2)
Pemisahan semestinya fungsi
yang tidak sejalan (seperti penyiapan transaksi masukan, pemrograman, dan
operasi komputer).
b.
Pengendalian terhadap
pengembangan dan pemeliharaan sistem aplikasi–didesain
untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara
dalam suatu cara yang efisien dan melalui proses otorisasi semestinya.
Pengendalian ini juga didesain untuk menciptakan pengendalian atas:
1)
Pengujian, perubahan,
implementasi, dan dokumentasi sistem baru atau sistem yang direvisi.
2)
Perubahan terhadap sistem
aplikasi.
3)
Akses terhadap dokumentasi
sistem.
4)
Pemerolehan sistem aplikasi
dan listing program dari pihak ketiga.
c.
Pengendalian terhadap
operasi sistem–didesain untuk
mengendalikan operasi sistem dan untuk memberikan keyakinan memadai bahwa:
1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah
mendapat otorisasi.
3) Hanya program yang telah diotorisasi yang digunakan.
4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d.
Pengendalian terhadap
perangkat lunak sistem–didesain untuk
memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau
dikembangkan dengan cara yang efisien dan melalui proses otorisasi semestinya,
termasuk:
1)
Otorisasi, pengesahan,
pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru dan
modifikasi perangkat lunak sistem.
2)
Pembatasan akses terhadap
perangkat lunak dan dokumentasi sistem hanya bagi karyawan yang telah
mendapatkan otorisasi.
e.
Pengendalian terhadap
entry data dan program – didesain untuk
memberikan keyakinan bahwa:
1)
Struktur otorisasi telah
ditetapkan atas transaksi yang dimasukkan ke dalam sistem.
2)
Akses ke data dan program
dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
Terdapat
penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan
pengolahan SIK. Hal ini meliputi:
a.
Pembuatan cadangan data
program komputer di lokasi di luar perusahaan.
b.
Prosedur pemulihan untuk
digunakan jika terjadi pencurian, kerugian, atau penghancuran data baik yang
disengaja maupun yang tidak disengaja.
c.
Penyediaan pengolahan di
lokasi di luar perusahaan dalam hal terjadi bencana.
Tujuan
pengendalian aplikasi (application control) SIK adalah untuk menetapkan
prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan
memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah
seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi mencakup:
a.
Pengendalian atas
masukan–didesain untuk memberikan keyakinan
memadai bahwa:
1)
Transaksi diotorisasi
sebagaimana semestinya sebelum diolah dengan komputer.
2)
Transaksi diubah dengan
cermat ke dalam bentuk yang dapat dibaca mesin dan dicatat dalam file data
komputer.
3)
Transaksi tidak hilang,
ditambah, digandakan, atau diubah tidak semestinya.
4)
Transaksi yang keliru
ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu.
b.
Pengendalian atas
pengolahan dan file data komputer–didesain
untuk memberikan keyakinan memadai bahwa:
1)
Transaksi, termasuk
transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer.
2)
Transaksi tidak hilang,
ditambah, digandakan, atau diubah tidak semestinya.
3)
Kekeliruan pengolahan
diidentifikasi dan dikoreksi secara tepat waktu.
c.
Pengendalian atas
keluaran–didesain untuk memberikan keyakinan
memadai bahwa:
1)
Hasil pengolahan adalah
cermat
2)
Akses terhadap keluaran
dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
3)
Keluaran disediakan secara
tepat waktu bagi karyawan yang mendapatkan otorisasi semestinya.
d.
Pengendalian masukan,
pengolahan, dan keluaran dalam sistem online
1)
Pengendalian masukan pada
sistem online–didesain untuk memberikan keyakinan bahwa:
Ø Transaksi di-entry ke terminal yang semestinya.
Ø Data di-entry dengan cermat.
Ø Data di-entry ke periode akuntansi yang semestinya.
Ø Data yang di-entry telah diklasifikasikan dengan benar dan
pada nilai transaksi yang sah (valid).
Ø Data yang tidak sah (invalid) tidak di-entry pada
saat transmisi.
Ø Transaksi tidak di-entry lebih dari sekali.
Ø Data yang di-entry tidak hilang selama masa transmisi
berlangsung.
Ø Transaksi yang tidak berotorisasi tidak di-entry–didesain
untuk memberikan keyakinan.
2)
Pengendalian pengolahan pada
sistem online–didesain untuk memberikan keyakinan bahwa:
Ø Hasil penghitungan telah diprogram dengan benar.
Ø Logika yang digunakan dalam proses pengolahan adalah benar.
Ø File yang digunakan dalam proses
pengolahan adalah benar.
Ø Record yang digunakan dalam proses
pengolahan adalah benar
Ø Operator telah memasukkan data ke komputer console yang
semestinya.
Ø Tabel yang digunakan selama proses pengolahan adalah benar.
Ø Selama proses pengolahan telah digunakan standar operasi (default)
yang semestinya.
Ø Data yang tidak sah tidak digunakan dalam proses pengolahan.
Ø Proses pengolahan tidak menggunakan program dengan versi yang
salah.
Ø Hasil penghitungan yang dilakukan secara otomatis oleh program
adalah sesuai dengan kebijakan manajemen entitas.
Ø Data masukan yang diolah adalah data yang berotorisasi.
3)
Pengendalian keluaran pada
sistem online–didesain untuk memberikan keyakinan bahwa:
Ø Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
Ø Keluaran yang diterima oleh entitas adalah terklasifikasi.
Ø Keluaran didistribusikan ke personel yang berotorisasi.
Auditor harus mempertimbangkan
bagaimana pengendalian umum SIK yang berdampak terhadap aplikasi SIK signifikan
bagi auditnya. Pengendalian umum SIK yang berhubungan dengan beberapa atau
seluruh aplikasi merupakan pengendalian yang saling terkait yang operasinya
seringkali merupakan hal yang menentukan efektivitas pengendalian aplikasi SIK.
Oleh karena itu, adalah lebih efisien untuk mereview desain pengendalian
umum lebih dahulu sebelum auditor melakukan review terhadap pengendalian
aplikasi.
Pengendalian atas
masukan, pengolahan, file data, dan keluaran dapat dilaksanakan oleh
karyawan SIK, oleh pemakai sistem, oleh grup pengendali terpisah, atau dapat
diprogram ke dalam perangkat lunak aplikasi. Pengendalian aplikasi SIK, yang
diuji oleh auditor mencakup:
a.
Pengendalian manual
yang dilaksanakan oleh pemakai–Jika
pengendalian manual yang dilakukan oleh pemakai sistem aplikasi mampu
memberikan keyakinan memadai bahwa keluaran sistem lengkap, cermat, dan
terotorisasi, auditor dapat memutuskan untuk membatasi pengujian pengendaliannya
terhadap pengendalian manual tersebut (seperti pengendalian manual yang dilakukan
oleh pemakai atas sistem penggajian terkomputerisasi bagi karyawan dapat
mencakup total pengendalian masukan, pengecekan terhadap perhitungan keluaran
gaji bersih, persetujuan pembayaran dan transfer dana, perbandingan ke jumlah
daftar gaji, dan rekonsiliasi bank dengan segera). Dalam hal ini, auditor dapat
melakukan untuk pengujian hanya terhadap pengendalian manual yang dilaksanakan
oleh pemakai.
b.
Pengendalian atas
keluaran sistem–jika, di samping
pengendalian masukan yang dilaksanakan oleh pemakai, pengendalian yang harus
diuji menggunakan informasi yang dihasilkan oleh komputer atau termasuk dalam
program komputer, kemungkinan auditor dapat menguji pengendalian tersebut
dengan memeriksa keluaran sistem dengan menggunakan teknik manual atau teknik
audit berbantuan komputer. Keluaran tersebut dapat berbentuk media magnetis, microfilm
atau cetakan (seperti, auditor dapat menguji pengendalian yang dilaksanakan
oleh entitas atas rekonsiliasi total laporan ke dalam akun kontrol yang
bersangkutan dalam buku besar dan dapat melakukan pengujian manual terhadap
rekonsiliasi tersebut). Sebagai alternatif, bila rekonsiliasi dilaksanakan
dengan komputer, auditor dapat melakukan pengujian atas rekonsiliasi tersebut
dengan melaksanakan kembali pengendalian tersebut dengan menggunakan teknik audit
berbantuan komputer. Lihat SA Seksi 327 [PSA No. 59] Teknik Audit Berbantuan
Komputer.
c.
Prosedur pengendalian
terprogram–dalam sistem komputer tertentu, auditor
dapat menjumpai keadaan yang di dalamnya ia tidak mungkin atau, dalam beberapa
hal, tidak praktis untuk menguji pengendalian dengan hanya memeriksa
pengendalian oleh pemakai atau keluaran sistem (seperti dalam aplikasi yang
tidak menghasilkan keluaran atau mengesampingkan kebijakan normal, auditor
mungkin ingin menguji prosedur pengendalian yang terdapat dalam program
komputer). Auditor dapat mempertimbangkan pelaksanaan pengujian pengendalian dengan
menggunakan teknik audit berbantuan komputer, seperti data uji, data transaksi
yang diproses kembali atau, dalam situasi yang tidak biasa, memeriksa
pengkodean program aplikasi.
Pengendalian umum
SIK dapat memiliki dampak luas atas pengolahan transaksi dalam sistem aplikasi.
Jika pengendalian ini tidak efektif, maka akan terdapat risiko bahwa salah saji
mungkin terjadi dan berlangsung tanpa dapat dideteksi dalam sistem aplikasi.
Jadi, kelemahan dalam pengendalian umum SIK menghalangi pengujian pengendalian
aplikasi SIK tertentu; namun, prosedur manual yang dilaksanakan oleh pemakai
dapat memberikan pengendalian efektif pada tingkat aplikasi.
D.
Komunikasi
Masalah terkait dengan Pengendalian Intern
Selama
melaksanakan audit, auditor mungkin mengetahui persoalan yang menyangkut
pengendalian intern yang mungkin perlu diketahui oleh komite audit. Dalam Seksi
ini, persoalan yang diharuskan untuk dilaporkan kepada komite audit untuk
selanjutnya disebut dengan kondisi
yang dapat dilaporkan.
Secara khusus, ini adalah persoalan yang menarik perhatian
auditor, yang menurut pertimbangannya, harus dikomunikasikan kepada komite
audit, karena merupakan kekurangan material dalam desain atau operasi
pengendalian intern, yang berakibat buruk terhadap kemampuan organisasi
tersebut dalam mencatat, mengolah, mengikhtisarkan, dan melaporkan data keuangan
yang konsisten dengan asersi manajemen dalam laporan keuangan. Kekurangan
demikian dapat mencakup aspek lima komponen pengendalian intern1 (a) lingkungan
pengendalian, (b) penaksiran risiko, (c) aktivitas pengendalian, (d) informasi
dan komunikasi, dan (e) pemantauan.
Auditor mungkin
juga mengidentifikasi persoalan yang menurut pertimbangannya, bukan merupakan kondisi
yang dapat dilaporkan; namun, auditor mungkin memutuskan untuk mengkomunikasikan
persoalan demikian bagi kepentingan manajemen (dan bagi penerima semestinya
laporan audit lainnya).
Tujuan auditor
dalam mengaudit laporan keuangan adalah untuk menyatakan pendapat atas laporan
keuangan entitas secara keseluruhan. Auditor tidak berkewajiban mencari kondisi
yang dapat dilaporkan. Namun, auditor mungkin menemukan kondisi yang dapat
dilaporkan melalui pertimbangannya atas komponen pengendalian intern, penerapan
prosedur audit terhadap saldo akun dan transaksi, atau mungkin dengan cara lain
selama pelaksanaan audit. Ditemukan atau tidaknya kondisi yang dapat dilaporkan
akan berbeda antara satu perikatan dengan perikatan yang lain, karena
dipengaruhi oleh sifat, saat, dan lingkup prosedur audit serta faktor-faktor
lainnya, seperti ukuran entitas, kerumitan dan sifat serta keanekaragaman
kegiatan usahanya.
Dalam menentukan
permasalahan apa saja yang merupakan kondisi yang dapat dilaporkan, auditor
harus mempertimbangkan berbagai faktor yang berhubungan dengan entitas
tersebut, seperti ukuran, kerumitan dan keanekaragaman aktivitas, struktur
organisasi dan karakteristik kepemilikan.
Adanya kondisi
yang dapat dilaporkan yang menyangkut desain atau operasi pengendalian intern
mungkin telah diketahui, dan dalam kenyataannya, mungkin merupakan keputusan
yang diambil dengan sadar oleh manajemen-suatu keputusan yang diketahui oleh
komite audit-untuk menerima tingkat risiko tersebut karena pertimbangan biaya
atau pertimbangan lainnya.
Hal ini merupakan
tanggung jawab manajemen untuk mengambil keputusan mengenai biaya yang akan
ditanggung serta manfaat yang bersangkutan. Auditor dapat memutuskan bahwa permasalahan
tersebut tidak perlu dilaporkan asalkan komite audit telah mengetahui
kekurangan tersebut dan memahami risiko yang bersangkutan. Secara berkala,
auditor harus mempertimbangkan, apakah karena perubahan dalam manajemen,
penerima laporan, atau hanya karena berjalannya waktu, perlu untuk melaporkan
permasalahan demikian secara tepat waktu.
Pada waktu
menentukan lingkup auditnya, auditor dan kliennya mungkin membicarakan
pengendalian intern dan berfungsi atau tidaknya pengendalian tersebut. Klien
mungkin meminta auditor untuk waspada terhadap permasalahan tertentu dan untuk
melaporkan kondisi di luar yang dibahas dalam Seksi ini. Auditor sebaiknya juga
melaporkan masalah lain, yang menurut penilaiannya, berguna untuk manajemen,
walaupun tanpa permintaan khusus untuk itu.
Lingkup yang disepakati bersama antara auditor dan klien untuk
melaporkan kondisi yang ditemukan dapat meliputi, misalnya, pelaporan persoalan
yang tidak sepenting dibandingkan dengan yang disebutkan dalam Seksi ini, adanya
kondisi yang dikemukakan oleh klien, atau hasil penyelidikan lebih lanjut dari
permasalahan yang ditemukan untuk mengidentifikasikan penyebabnya. Dalam
lingkup demikian, mungkin auditor diminta untuk mengunjungi lokasi tertentu,
menilai prosedur pengendalian tertentu, atau melaksanakan prosedur tertentu
yang tidak direncanakan sebelumnya.
Kondisi yang
ditemukan oleh auditor, yang menurut Seksi ini dapat dilaporkan atau yang
merupakan hasil kesepakatan dengan klien harus dilaporkan, sebaiknya dilakukan
secara tertulis. Apabila informasi tersebut dikomunikasikan secara lisan,
auditor harus mendokumentasikan komunikasi tersebut dalam kertas kerjanya.
Laporan tersebut
harus menyatakan bahwa komunikasi dilakukan semata-mata sebagai informasi dan
digunakan oleh penerima laporan audit, manajemen, dan pihak lain dalam
organisasi itu. Apabila ada ketentuan bahwa laporan itu harus disampaikan juga
kepada badan pemerintah, pengacuan secara spesifik mengenai badan pemerintah tersebut
dan dasar penyampaiannya harus dinyatakan secara jelas.
Setiap laporan
yang diterbitkan mengenai kondisi yang dapat dilaporkan harus:
a.
Menunjukkan bahwa tujuan
audit adalah untuk memberikan pendapat atas laporan keuangan dan tidak untuk memberi
keyakinan atas pengendalian intern.
b.
Memuat definisi kondisi yang
dapat dilaporkan.
c.
Memuat pembatasan distribusi
laporan.
Dalam keadaan
tertentu, auditor dapat memasukkan pernyataan tambahan dalam laporan mengenai
keterbatasan bawaan pada pengendalian intern secara umum, lingkup khusus dan
sifat pertimbangannya atas pengendalian intern selama audit, atau permasalahan
lain yang berhubungan dengan dasar pemberian komentar.
Dalam suatu
komunikasi yang memuat hasil pengamatan mengenai kondisi yang dapat dilaporkan,
sebagaimana yang diidentifikasi, di samping komentar lainnya, sebaiknya
diidentifikasi komentar mana saja yang masuk dalam setiap kategori.
Suatu kondisi
yang dapat dilaporkan mungkin sedemikian pentingnya sehingga dapat dianggap
sebagai kelemahan material. Suatu kelemahan material pada pengendalian intern
merupakan kondisi yang dapat dilaporkan, yang desain atau operasi komponen
pengendalian intern tertentu tidak mengurangi risiko sampai tingkat yang relative
rendah.
Risiko yang
dimaksud mencakup kekeliruan atau kecurangan dalam jumlah material yang
bersangkutan dengan laporan keuangan, yang dapat terjadi dan tidak ditemukan
secara tepat waktu oleh karyawan dalam pelaksanaan normal tugas yang diberikan.
Walaupun Seksi ini tidak mengharuskan auditor untuk secara terpisah mengindentifikasikan
dan mengkomunikasikan kelemahan material, auditor mungkin memilih atau klien
mungkin meminta agar auditor secara terpisah mengindentifikasikan dan
mengkomunikasikan kondisi yang dapat dilaporkan, yang menurut pertimbangan
auditor merupakan kelemahan material.
Untuk menghindari
salah pengertian mengenai terbatasnya tingkat keyakinan berkenaan dengan penerbitan
laporan tertulis oleh auditor, ia tidak boleh mengeluarkan pernyataan bahwa
tidak ditemukan kondisi yang dapat dilaporkan selama audit.
Karena komunikasi
secara tepat waktu adalah penting, auditor dapat memutuskan untuk
mengkomunikasikan permasalahan penting yang ditemukan selama berlangsungnya
audit tanpa menunggu sampai audit berakhir. Keputusan apakah suatu komunikasi
interim akan dilakukan atau tidak, dipengaruhi oleh tingkat pentingnya permasalahan
yang ditemukan dan mendesaknya tindak lanjut perbaikan.
Seksi ini tidak menghalangi seorang auditor untuk
mengkomunikasikan kepada klien berbagai pengamatan dan saran yang menyangkut
aktivitas klien tersebut, di luar permasalahan yang menyangkut pengendalian
intern. Permasalahan tersebut dapat menyangkut efisiensi operasi atau
administrasi, strategi usaha, dan hal-hal lain yang dipandang bermanfaat untuk
klien.
Kelemahan dalam Desain Pengendalian Intern
a.
Tidak memadainya desain
pengendalian intern secara keseluruhan.
b.
Tidak adanya pemisahan tugas
yang semestinya dan konsisten dengan tujuan pengendalian yang semestinya.
c.
Tidak adanya review dan
persetujuan transaksi, entri akuntansi, atau keluaran sistem.
d.
Tidak memadainya prosedur
untuk menetapkan dan menerapkan prinsip akuntansi yang berlaku umum di Indonesia
secara tepat.
e.
Tidak memadainya ketentuan
untuk perlindungan keamanan aktiva perusahaan.
f.
Tidak adanya teknik
pengendalian tertentu yang dipandang tepat untuk jenis dan tingkat kegiatan
transaksi.
g.
Terbukti bahwa sistem gagal
menyediakan keluaran yang akurat dan lengkap yang konsisten dengan tujuan dan kebutuhan
sekarang karena adanya cacat desain.
Kegagalan dalam Operasi Pengendalian Intern
a.
Bukti kegagalan pengendalian
yang diidentifikasi dalam mencegah atau mendeteksi salah saji dalam informasi akuntansi.
b.
Bukti bahwa sistem gagal
dalam menyediakan keluaran yang akurat dan lengkap, konsisten dengan tujuan pengendalian
entitas karena penerapan yang salah pengendalian entitas.
c.
Bukti kegagalan untuk
melindungi aktiva dari kerugian, kerusakan atau perlakuan yang tidak
semestinya.
d.
Bukti adanya usaha melanggar
pengendalian intern oleh personel yang memiliki wewenang untuk merusak tujuan keseluruhan
sistem.
e.
Bukti kegagalan untuk
melaksanakan tugas yang menjadi bagian pengendalian intern, seperti
rekonsiliasi yang tidak dibuat atau dibuat tidak tepat waktu.
f.
Adanya kesalahan yang
terbukti dilakukan dengan sengaja oleh karyawan atau manajemen.
g.
Terbukti adanya manipulasi,
pemalsuan, atau pengubahan catatan akuntansi atau bukti pendukung.
h.
Terbukti adanya kesengajaan
salah penerapan prinsip akuntansi yang berlaku umum di Indonesia.
i.
Terbukti adanya pemberian
penyajian yang salah oleh karyawan klien kepada auditor.
j.
Terbukti adanya karyawan
atau manajemen yang tidak memenuhi persyaratan kecakapan dan pelatihan untuk melaksanakan
fungsi yang ditugaskan kepada mereka.
Lain-lain
a.
Tidak adanya tingkat
kesadaran memadai dalam organisasi mengenai pengendalian.
b.
Tindak lanjut terbukti tidak
dilakukan untuk membetulkan kesalahan pengendalian intern yang telah
diidentifikasi sebelumnya.
c.
Terbukti adanya transaksi
dalam hubungan istimewa material atau ekstensif yang tidak diungkapkan.
d.
Terbukti adanya sikap memihak
yang tidak sepatutnya atau kekurang objektivan oleh orang yang bertanggung jawab
dalam penentuan keputusan akuntansi.
Contoh Kasus Resiko Pengendalian Intern
Sebuah yayasan membuat
kesepakatan dengan pihak penyelenggara pendidikan khusus untuk mendirikan
yayasan pendidikan. Dalam Perjanjian disepakati pengelolaan uang atas
pendapatan sebesar 50% untuk Yayasan
dan 50% untuk pengelola program. Pada penerimaan siswa untuk pertama
kalinya, perjanjian berjalan sempurna, begitupula dengan penerimaan siswa
tahap kedua sampai dengan tahap keempat. Namun, pada penerimaan tahap
kelima yayasan mulai melanggar perjanjian,dimana uang yang masuk dikelola
sepenuhnya oleh pengelola, sehingga pihak yayasan yang dirugikan.
Pengendalian
Intern yang diciptakan dalam suatu perusahaan harus mempunyai beberapa
tujuan. Sesuai dengan definisi yang dikemukakan AICPA tersebut diatas,
makadapatlah dirumuskan tujuan dari Pengendalian Intern yaitu:
a. Menjaga keamanan
harta milik perusahaan.
b. Memeriksa ketelitian dan
kebenaran data akuntansi.
c. Memajukan efisiensi
operasi perusahaan.
d. Membantu menjaga
kebijaksanaan manajemen yang telah ditetapkan lebih dahulu untuk dipatuhi.
Dari kasus yang
dihadapi oleh yayasan yang bergerak dalam pendidikan di atasdapat kita
identifikasikan permasalahannya yaitu:
a. Lemahnya pengawasan dari
pihak yayasan terhadap perjanjian yang dibuat bersama dengan pihak
penyelenggara pendidikan khusus. Ini bisa dilihat dariterjadinya monopoli
terhadap pengelolaan keuangan di lingkungan yayasan pendidikan tersebut
setelah beberapa periode berjalan.
b. Kurang efektifnya
pengendalian internal yang diterapkan dalam usaha peningkatan kualitas
kerja karyawan. Hal ini dibuktikan dengan adanyaketerlibatan salah seorang
pegawai yayasan yang dalam hal ini ikut membantu kecurangan yang dilakukan oleh pihak penyelenggara pendidikan khusus.
Dari
hasil identifikasi permasalahan tersebut dapat kami rekomendasikan
sebagai berikut:
a. Agar yayasan melakukan
audit terhadap pengelolaan keuangan dan operasionalyayasan, kemudian dari hasil
audit tersebut akan diperoleh informasi mengenailetak penyimpangan yang
terjadi sehingga nantinya dapat ditindaklanjuti agar berjalan sesuai
dengan ketentuan yang berlaku.
b. Agar yayasan meningkatkan
efektifitas pengawasan intern agar selalu berpedoman pada surat
perjanjian yang telah disepakati.
c. Untuk mengitensifkan
pengawasan intern kepada manajemen pengelola program pendidikan.
d. Agar yayasan memberikan
surat peringatan kepada pegawai yang melakukan penyimpangan dalam
pengelolaan keuangan.
e. Agar pengelola program
mengembalikan uang atas pendapatan 50% kepada pihak yayasan.
DAFTAR PUSTAKA
Andra. 2010. Contoh Kasus dan Pemecahan
Masalah Mengenai Audit Keuangan (Online) https://www.scribd.com/ Diakses, 27
April 2017.
Ikatan Akuntan Indonesia. 2011. Standar Profesional Akuntan Publik (SPAP).
Jakarta: Salemba Empat.
Ikatan Akuntan Indonesia. 2016. Exposure
Draft Kode Etik Akuntan Profesional. Jakarta: Komite Etika Ikatan Akuntan Indonesia.
No comments:
Post a Comment