Pengendalian Internal
(Internal Control)
Istilah Pengendalian internal
• 1947 AICPA Internal Control
• Internal Control System
– Accounting Control System
– Administrative Control System
• Internal Control Structure (SAS 55 -1988) – Control Environments
SAS 1 (section 320)
• Pengendalian internal terdiri atas struktur
SAS 55 (1988)
• Internal Control Structure: artinya
diperluas mencakup:
– Lingkungan Pengendaian
– Sistem Akuntansi
SAS 78, 1995
• Mengadopsi pengertian Pengendalian internal dari laporan COSO (Committee of Sponsoring Organization)
• Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan lain dari suatu entitas, dirancang untuk memberikan jaminan memadai sehubungan dengan pencapaian tujuan antara lain:
– Keandalan pelaporan keuangan
– Kepatuhan terhadap undang-undang dan peraturan yang berlaku
Tujuan Pengendalian Intern
–
Keandalan pelaporan keuangan
–
Kepatuhan terhadap
undang-undang dan peraturan yang
berlaku
–
Efektivitas
dan
efesiensi
Tujuan Entitas dan Pengendalian
internal yang relevan dg Audit
• Reliabilitas informasi keuangan
– PABU
• Kepatuhan terhadap undang-undang
dan peraturan-peraturan yang berlaku
– Mendeteksi kesalahan dan ketidakberesan
• Efektivitas dan efesiensi operasional
– Pengamanan aset
Komponen Pengendalian Internal
• Control Environment
• Risk Assessment
• Control Activities
Control environment
– merupakan dasar dari komponen yang lain
– menentukan irama organisasi
Control Environment
• Nilai-nilai Etika dan Integritas • Komitmen terhadap kompetensi
• Dewan Komisaris dan Komite Audit • Philosophy managemen dan gaya
operasional
• Struktur organisasi
Risk assessment
– Identifikasi dan analisis oleh entitas terhadap risiko relevan dengan pencapaian tujuan-tujuannya
Risk Assessment
• Perlu memperhatikan:
– Perubahan lingkungan operasional – Personel baru
– Sistem informasi baru atau perubahan sistem informasi
– Pertumbuhan cepat – Tehnologi baru
Control activities
– Kebijakan dan prosedur yang membantu menjamin pengarahan managemen
Control Activities
• Pemisahan Tugas
• Pengendalian Pengolahan Informasi
– General Control
– Application Control
• Pemisahan Tugas:
– seseorang tidak boleh melakukan tugas yang tidak kompatibel
– Pemisahan tugas pelaksana, pencatatan, dan penyimpanan aset dari suatu transaksi
– Pemisahan bagian IT dengan Pengguna – Pemisahan dalam bagian IT:
• Pengembangan sistem • Operation
• Data control
• Information Processing Control
• General Control
– Pengendalian organisasi dan operasional – Pengendalian pengembangan sistem dan
dokumentasi
– Pengendalian perangkat keras dan lunak – Pengendalian akses
– Pengendalian data dan prosedural
– Pengendalian Input
– Pengendalian Proses
– Pengendalian Output
• Input Control
– Otorisasi
– Konversi Data Input
• Verification Control
• Computer Editing: missing data check, valid character check, limit (reasonable) check, valid sign check, valid code check, check digit)
– Koreksi Kesalahan
• Processing Control
– Control totals
– File identification labels
– Limit and reasonableness checks – Before-and-after report
– Sequence test
• Output control: hasil benar dan hanya
orang yang berhak yang memperoleh
hasilnya
– Reconciliation of totals
Physical Control
• Direct physical control
• Indirect physical control
Information and communication:
– Idenfikasi, perekaman, dan pertukaran informasi dalam rerangka bentuk dan waktu yang memungkinkan orang
Information and Communication
• Transaksi
– Hanya transakasi valid – Seluruh transaksi
– Hak dan kewajiban – Pengukuran
– Cukup detail
Monitoring
Monitoring
• Ongoing activities
– Problem solution
• Separate periodic evaluations
Performance Review
• Analisis Laporan Ikhtisar rincian saldo
akun
• Analisis Realisasi dengan anggaran,
prakiraan, atau periode yang lalu
• Analisis hubungan seperangkat data spt
antara data nonkeuangan dg data
Keterbatasan Pengendalian
Internal suatu Entitas
• Kesalahan dalam keputusan
• Collusion
Peran dan Tanggungjawab
• Management
• Board of directors dan Audit
committee
• Internal auditor
• Karyawan lain
• Independent Auditor
Penerapan komponen
pengendalian internal
• Untuk seluruh entitas tanpa memandang ukuran entitas
• Faktor-faktor yang dipertimbangkan dalam memutusakan bagaimana setiap komponen harus diimplementasikan:
– Ukuran entitas
– Karakteristik organisasi dan pemiliknya – Jenis usaha
– Diversitas dan kompleksitas operasional – Metode pengolahan data
Perolehan Pemahaman
Pengendalian Internal
• Metodologi audit untuk
memenuhi
standar pekerjaan lapangan
kedua
:– Pemahaman cukup atas komponen-komponen pengendalian internal untuk merencanaan audit – Penilaian risiko kontrol untuk setiap asersi
penting yang ada dlam saldo akun atau kelompok transaksi dan komponen pengungkapan dari
laporan keuangan
Perolehan pemahaman
• Pemahaman disain kebijakan dan prosedur yang terkait dengan setiap komponen pengendalian internal
• Menentukan apakah kebijakan dan prosedur telah dijalankan
• Mengidentifikasi tipe potensi salahsaji
• Mempertimbangkan faktor-faktor yang mempengaruhi risiko salahsaji yang material • Merancang pengujian substantif untuk
Prosedur untuk memperoleh
suatu pemahaman
• Review pengalaman yang lalu dengan klien (Review)
• Menanyakan pada manajemen, supervisor, dan staff personil yang sesuai (Inquiry)
• Menginspeksi dokumen dan catatan (Inspection)
Dokumentasi Pemahaman
• Angket (questionnaires)
– Rangkaian pertanyaan ya/tidak tentang pengendalian internal yang diperlukan untuk mencegah salahsaji material
• Bagan alir
– Diagram sistematik dg memakai simbol standar, garis penghubung dan penjelasan
• Tabel keputusan
– Matriks yang digunakan mendokumentasikan logika program komputer
• Memoranda
Documentation of
the Understanding
Narrative
Narrative
Flowchart
Flowchart
Internal
control
questionnaire
Internal
control
Understanding Internal Control
and Assessing Control Risk
Obtain Understanding of Internal Control:
Design and Operation
Assess Control Risk
Test Controls
Reasons for Sufficiently
Understanding Internal Control
SAS 55 (as amended by SAS 78 and 594
plus AU319) requires the auditor to
obtain an understanding of internal
control for every audit
.
Minimum audit
planning matters
•
Auditability
•
Potential material
misstatements
Procedures to Determine
Design and Placement
Update and evaluate auditor’s previous
experience with the entity.
Make inquires of client personnel.
Read client’s policy and systems manuals.
Examine documents and records.
Documentation of
the Understanding
Narrative
Narrative
Flowchart
Flowchart
Internal
control
questionnaire
Internal
control
Assess Control Risk
Obtain sufficient understanding for planning.
Assess whether the entity is auditable.
Determine assessed control risk.
Assess Control Risk
Identify transaction-related audit objectives.
Identify specific controls.
Identify and Evaluate
Weaknesses
Identify existing controls.
Identify the absence of key controls.
The Control Risk Matrix
Auditors use the control risk matrix to
identify both controls and weaknesses
Communication
Reportable conditions letter
Management letters
Tests of Controls
The procedures to test effectiveness
of controls in support of a reduced
Procedures for
Tests of Controls
Make inquiries of client personnel.
Examine documents, records, and reports.
Observe control-related activities.
Extent of Procedures
Reliance on evidence from prior year’s audit
Relationship of Assessed Control
Risk and Extend of Procedures
Assessed Control Risk
High Level: Lower Level: Obtaining an Tests of
Type of Procedure Understanding Only Controls Inquiry Yes – extensive Yes – some Documentation Yes – with transaction Yes – using
walk-through sample Observation Yes – with transaction Yes – multiple
Decide Planned Detection Risk
and Design Substantive Tests
The auditor uses the results of the control risk
assessment process and tests of controls to
determine the planned detection risk and
related substantive tests.