PEMAHAMAN SPI
DAN PENILAIAN
RISIKO PENGENDALIAN
1
Pengertian Pengendalian
Intern
2
Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring Organization). COSO terdiri atas:
IIA (Institute of Internal Auditors), AICPA (American Institute of Certified Public
Accountants), FEI (Financial Executive Institute), AAA (American Accounting Association), dan IMA (Institute of Manajemen Accountants)
Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan lain dari suatu entitas, dirancang untuk
Tujuan Pendalian
Intern
3
Tujuan pengendalian intern:
Keandalan pelaporan keuangan (tujuan pelaporan keuangan).
Efektivitas dan efesiensi operasional (tujuan operasi).
4
Reliabilitas informasi keuangan
* PABU
Efektivitas dan efesiensi operasional
* Pengamanan aset
* Pengurangan risiko bisnis
Kepatuhan terhadap undang-undang dan
peraturan-peraturan yang berlaku
* Mendeteksi kesalahan dan ketidakberesan
Tujuan Pendalian Intern
•
Pengendalian intern merupakan suatu proses
yang berkelanjutan
, suatu alat untuk mencapai
tujuan, bukan merupakan tujuan itu sendiri
•
Pengendalian intern dipengaruhi oleh
orang-orang yang ada pada setiap tingkatan di
organisasi
, bukan hanya merupakan kebijakan
dan prosedur serta dokumentasinya semata.
•
Pengendalian intern tidak pernah bisa
menghilangkan risiko
tetapi dapat memberikan
keyakinan memadai bahwa pengendalian telah
berjalan untuk mengurangi risiko.
6
Kesalahan dalam keputusan (kurang informasi, kendala waktu, tekanan).
Breakdown (macet karena salah memahami instruksi dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).
Management override (manajemen melanggar pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan
pengendalian lebih besar dari manfaatnya).
Keterbatasan Pendalian
7
Control Environment (Lingkungan
Pengendalian)
Risk Assessment (Penilaian Risiko)
Control Activities (Aktivitas Pengendalian) Information and Communication (Informasi
dan Komunikasi)
Monitoring (Pemantauan)
8
4)
4) Information &
4) Information &
Communication
Communication
Flow
Flow
1) Control
1) Control
Environment
3) Control Control Activities Activities 5)5)
Monitoring
Monitoring
11
Hubungan Komponen SPI
Lingkungan pengendalian terdiri dari tindakan,
kebijakan, prosedur yang mencerminkan sikap
keseluruhan top manajemen, direktur, dan pemilik suatu perusahaan terhadap
pengendalian dan pentingnya pengendalian tersebut bagi perusahaan.
Unsur-unsur yang perlu dipahami dan dinilai oleh auditor:
1. Integritas dan nilai etika
2. Komitmen terhadap kompetensi
3. Partisipasi dewan komisaris dan komite audit 4. Filosofi dan gaya operasi
5. Struktur Organisasi
6. Pemberian wewenang dan tanggung jawab 7. Kebijakan dan praktik SDM
Mekanisme untuk
mengidentifikasikan, menganalisis, dan
mengelola berbagai risiko dalam organisasi atau
perusahaan dihubungkan dengan tujuan yang ingin dicapai
Control it
Share or Transfer it
Diversify or Avoid it
Risk
Entity level
Risk
Risiko bisa muncul karena:
Perubahan lingkungan operasional Personel baru
Sistem informasi baru atau perubahan sistem informasi
Pertumbuhan cepat Tehnologi baru
Produk atau aktivitas baru Restrukturisasi korporasi Operasional luar negeri PSAK baru
Control
Share Mitigate & Control
Accept
High Risk
Medium Risk Medium Risk
Low Risk
Low
Low
High Risk
Medium Risk Medium Risk
Low Risk
Contoh: Call Center Risk Assessment
• Loss of phones • Loss of computers
• Customer has a long wait • Customer can’t get through • Customer can’t get answers
• Entry errors
• Equipment obsolescence
• Repeat calls for same problem • Fraud
• Lost transactions • Employee morale
Auditor harus memperoleh pengetahuan tentang proses penaksiran risiko untuk memahami
bagaimana manajemen mempertimbangkan risiko.
Tujuan penaksiran risiko adalah untuk menilai,
mengelola, dan memonitor risiko yang berdampak bagi entitas.
20
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa arahan manajemen dilaksanakan. Aktivitas
pengendalian meliputi:
Review kinerja
Pengolahan informasi Pengendalian fisik
Pemisahan tugas
21
Analisis laporan ikhtisar rincian saldo akun
Analisis realisasi dengan anggaran,
prakiraan, atau periode yang lalu
Analisis hubungan seperangkat data
seperti antara data nonkeuangan dengan
data keuangan
22
General Control
Pengendalian organisasi dan operasional
Pengendalian pengembangan sistem dan dokumentasi Pengendalian perangkat keras dan lunak
Pengendalian akses
Pengendalian data dan prosedural
Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check,
sequence test, process tracing data.
Pengendalian Output: pihak yang berhak memperoleh
hasil, perbandingan dengan dokumen sumber, visual scanning
23
Direct physical control
Indirect physical control
Penghitungan berkala terhadap aset
24
Seseorang tidak boleh melakukan tugas yang
tidak kompatibel
Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna.
Pemisahan dalam bagian IT: Pengembangan sistem
Operation Data control
Securities administration
Sistem informasi dan komunikasi
memungkinkan orang dalam organisasi untuk mendapatkan dan berbagi informasi yang
diperlukan untuk mengelola, melaksanakan, dan mengendalikan kegiatan operasi.
Contoh:
Memperoleh informasi internal dan
eksternal untuk diolah dan disajikan kpd manajemen
Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
Informasi dan
Line staf Line staf Supervisors Supervisors Senior Managers Senior Managers
Top
Top
Management
Management
Down:
Goals /objectives Directives
Policies
/procedures
Up:
Progress reports
Problem identification Improvement
suggestions
Across: Daily work information—all levels
27
Transaksi
Hanya transakasi valid Seluruh transaksi
Hak dan kewajiban Pengukuran
Cukup detail
Audit atau transaction trail Dokumen dan catatan
28
Auditor harus memperoleh pengetahuan tentang:
Golongan transaksi
Bagaimana transaksi dimulai
Catatan akuntansi dan informasi pendukung Pengolahan akuntansi sejak transaksi sampai
dengan laporan keuangan
29
Pengawasan oleh manajemen dan pegawai lain yang ditunjuk atas pelaksanaan tugas sebagai penilaian terhadap kualitas dan efektivitas
sistem pengendalian internal
Ongoing activities
Problem solution
Separate periodic evaluations
On-going
On-going
monitoring
Progress check Performance
31
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor,
dan staf personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas
Prosedur untuk
32
Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang
pengendalian internal yang diperlukan untuk mencegah salahsaji material
Bagan alir
Diagram sistematik dengan memakai simbol standar, garis penghubung dan penjelasan
Memoranda
Komentar tertulis auditor tentang pengendalian internal
MENILAI CR
36
Risiko bahwa pengendalian intern tidak
mampu mencegah dan mendeteksi
salah saji.
Penilaian CR berdampak terhadap
rancangan substantive test:
Sifat Saat Waktu
CR untuk Setiap
Pengajuan pertanyaan (enquiry): mengajukan pertanyaan kepada berbagai pihak dalam lini manajemen sesuai kebutuhan.
Pengamatan / observasi (observation):
auditor mengamati aktivitas yang sedang terjadi.
Inspeksi (inspection) : memeriksa dokumen dan catatan.
Mengerjakan ulang: auditor menjalankan aplikasi yang digunakan perusahaan.
43
Lingkungan SIK
Suatu lingkungan SIK (sistem informasi
komputer) ada apabila komputer dengan tipe dan ukuran apapun digunakan dalam
pengolahan informasi keuangan suatu entitas yang signifikan bagi audit, terlepas apakah komputer tersebut dioperasikan oleh entitas tersebut atau pihak ketiga.
Karakteristik organisasi SIK
44
Sifat Pengolahan dan Aspek Desain dalam SIK
Sifat pengolahan dalam SIK:
Tidak ada dokumen masukan
Tidak ada jejak transaksi (transaction trail)
Tidak ada keluaran yang dapat dilihat dengan
mata
Aspek desain dan prosedur dalam SIK:
Kinerja konsisten
Prosedur pengendalian terprogram
Pemutakhran transaksi ke database file
komputer
45
Pengendalian dalam
Lingkungan SIK
Pengendalian umum SIK
Pengendalian organisasi dan manajemen
Pengendalian terhadap pengembangan dan
pemeliharaan sistem aplikasi
Pengendalian terhadap operasi sistem
46
Pengendalian dalam
Lingkungan SIK
Pengendalian aplikasi SIK
Pengendalian atas masukan: otorisasi transaksi,
konversi transaksi agar bisa dibaca oleh mesin, transaksi tidak diubah oleh pihak yang tidak
berhak, transaksi yang keliru ditolak.
Pengendalian atas pengolahan: transaksi diolah
semestinya oleh sistem, transaksi tidak diubah atau hilang secara tidak semestinya, kekeliruan diidentifikasi dan dikoreksi dengan tepat waktu.
Pengendalian atas keluaran: hasil pengolahan
47
Pengendalian dalam
Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke periode semestinya, data entry diklasifikasi dan bernilai valid, transaksi yang tidak valid ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
48
Pengendalian dalam
Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke periode semestinya, data entry diklasifikasi dan bernilai valid, transaksi yang tidak valid ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
49
Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Umum
Auditor mereview pengendalian umum untuk
memastikan apakah pengendalian menyeluruh atas aktivitas SIK dapat memberikan tingkat
50
Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Aplikasi
Auditor menguji pengendalian manual. Misalnya menguji
manual masukan gaji, perhitungan gaji bersih,
persetujuan pembayaran, perbandingan ke daftar gaji, dan rekonsiliasi ke bank (audit around the computer).
Auditor menguji pengendalian keluaran sistem. Misalnya
auditor menguji jumlah di laporan ke buku besar dan buku pembantu (audit around the computer)..
Auditor menguji pengendalian program. Auditor
menggunakan teknik audit berbantuan komputer untuk menguji pengendalian. Misalnya:
Test Data (Data Uji), yaitu pengujian pengendalian
aplikasi dengan menginput transaksi dummy
(transaksi departemen atau karyawan) ke sistem aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan. Setelah itu transaksi uji dihapus (audit through the computer).
Audit Software (auditor menggunakan softwarenya
Auditor berkonsentrasi pada input dan
output, mengabaikan bagai proses data
oleh komputer (komputer dianggap
sebagai black box). Seperti audit manual.
Pengujian langsung ke pengendalian program yang
digunakan dalam aplikasi. Auditor mengamati control function dari program aplikasi. Menguji secara langsung ke komputer klien.
Pengujian pengendalian intern tidak dilakukan secara
langsung pada komputer yang ada melainkan dengan menggunakan komputer dan aplikasi yang berbeda. Pendekatan audit ini biasanya banyak memanfaatkan berbagai Teknik Audit Berbantuan Komputer (TABK) atau
Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit namun dengan memanfaatkan database yang sama dengan yang digunakan oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang
dilakukannya menggunakan aplikasinya sendiri atas database yang diambil dari sistem yang diaudit akan memberikan