CONSIDERING INTERNAL CONTROL

            Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian internal entitas. Sebaliknya, tanggung jawab auditor mencakup memahami dan menguji pengendalian internal atas pelaporan keuangan.

1. Tanggung Jawab Manajemen untuk Menetapkan Pengendalian Internal. Ada dua konsep utama yang melandasi perancangan dan implementasi pengendalian internal yaitu kepastian yang layak dan keterbatasan inheren.
2. Tanggung Jawab Pelaporan oleh Manajemen menurut Section 404. Section 404 dan Sarbanes-Oxley mengharuskan manajemen semua perusahaan publik untuk mengeluarkan laporan pengendalian internal yang mencakup hal-hal berikut ini:

• Suatu pernyataan bahwa menejemen bertanggung jawab untuk menetapkan dan menyelenggarakan struktur pengendalian internal yang memadai serta prosedur pelaporan keuangan,
• Suatu penilaian atas efektivitas struktur pengendalian internal dan prosedur pelaporan keuangan per akhir tahun fiskal perusahaan.

Penilaian menejemen mengenai pengendalian internal atas pelaporan keuangan terdiri dari dua komponen utama. Pertama, manajemen harus mengevaluasi rancangan pengendalian internal atas pelaporan keuangan. Kedua, manajemen harus menguji efektivitas pelaksanaan pengendalian tersebut.

1. Tanggung Jawab Auditor untuk Memahami Pengendalian Internal. Auditor harus memiliki pemahaman yang cukup tenteng entitas dan lingkungannya, termasuk pengendalian internalnya, untuk menilai apakah risiko salah saji yang material dalam laporan keuangan disebabkan oleh kekeliruan atau kecurangan, dan untuk merancang sifat, penetapan waktu, dan luas prosedur audit yang lebih lanjut. Auditor terutama memperhatikan pengendalian atas reliabilitas pelaporan keuangan dan pengendalian atas kelas-kelas transaksi.
2. Tanggung Jawab Auditor untuk Menguji Pengendalian Internal. Untuk menyatakan pendapat mengenai pengendalian ini, auditor harus memahami dan melakukan pengujian atas pengendalian untuk semua saldo akun, kelas transaksi, dan pengungkapan yang signifikan, serta asersi terkait dalam laporan keuangan.

Lima Komponen Kerangka Kerja Pengendalian Internal COSO

1. Lingkungan Pengendalian terdiri atas tindakan, kebijakan, dan prosedur yang mencerminkan sikap manajemen puncak, para direktur, dan pemilik entitas secara keseluruhan mengenai pengendalian internal serta arti pentingnya bagi entitas itu. Untuk memahami dan menilai pengendalian, auditor harus mempertimbangkan subkomponen pengendalian yang paling penting.

• Integritas dan nilai-nilai etis.
• Komitmen pada kompetensi.
• Partisipasi dewan komisaris atau komite audit.
• Filosofi dan gaya operasi manajemen.
• Struktur organisasi.
• Kebijakan dan praktik sumber daya manusia,

1. Penilaian Risiko atas pelaporan keuangan adalah tindakan yang dilakukan manajemen untuk mengidentifikasi dan menganalisis risiko-risiko yang relevan dengan penyusunan laporan keuangan yang sesuai dengan GAAP. Manajemen menilai risiko sebagai bagian dari perancangan dan pelaksanaan pengendalian internal untuk meminimalkan kekeliruan serta kecurangan, auditor menilai risiko untuk memutuskan bukti yang dibutuhkan dalam audit.
2. Aktivitas Pengendalian adalah kebijakan dan prosedur, selain yang sudah termasuk dalam empat komponen lainnya, yang membantu memastikan bahwa tindakan yang diperlukan telah diambil untuk menangani risiko guna mencapai tujuan entitas. Aktivitas pengendalian umumnya dibagi menjadi lima jenis, yaitu: pemisahan tugas yang memadai; otorisasi yang sesuai atas transaksi dan aktivitas; dokumen dan catatan yang memadai; pengendalian fisik atas aktiva dan catatan; pemeriksaan kinerja secara independen.
3. Informasi dan Komunikasi. Tujuan sistem informasi dan komunikasi akuntansi dari entitas adalah untuk memulai, mencatat, memroses, dan melaporkan transaksi yang dilakukan entitas itu serta mempertahankan akuntabilitas aktiva terkait. Untuk memahami perancangan sistem informasi akuntansi, auditor menetukan (1) kelas transaksi utama entitas; (2) bagaimana transaksi dimulai dan dicatat; (3) catatan akuntansi apa saja yang ada serta sifatnya; (4) bagaimana sistem itu menangkap peristiwa-peristiwa lain yang penting bagi laporan keuangan; (5) sifat serta rincian proses pelaporan keuangan yang diikuti, termasuk prosedur pencatatan transaksi dan penyesuaian dalam buku besar umum.
4. Aktivitas pemantauan berhubungan dengan penilaian mutu pengendalian internal secara berkelanjutan atau periodik oleh manajemen untuk menentukan bahwa pengendalian itu telah beroperasi seperti yang diharapkan, dan telah dimodifikasi sesuai dengan perubahan kondisi.

Memperoleh dan Mendokumentasikan Pemahaman Tentang Pengendalian Internal

            Pemahaman ini sangat diperlukan dalam audit terhadap pengendalian internal atas pelaporan keuangan maupun audit terhadap laporan keuangan. Dokumentasi manajemen merupakan sumber informasi utama dalam memperoleh pemahaman tersebut. Biasanya auditor menggunakan tiga jenis dokumen untuk memperoleh dan mendokumentasikan pemahamannya atas perancangan pengendalian internal: naratif, bagan arus, dan kuesioner pengendalian internal.

Mengevaluasi Pengimplementasian Pengendalian Internal

            Berikut ini metode-metode yang umum digunakan.

1. Memutakhirkan dan mengevaluasi pengalaman auditor sebelumnya dengan entitas.
2. Melakukan tanya jawab dengan personil klien.
3. Menelaah dokumen dan catatan.
4. Mengamati aktivitas dan operasi entitas.
5. Melakukan penelusuran sistem akuntansi.

Menilai Risiko Pengendalian

            Auditor harus memahami perancangan dan pengimplementasian pengendalian internal untuk melakukan penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian risiko salah saji yang material secara keseluruhan. Sebelum melakukukan penilaian pendahuluan atas risiko pengendalian bagi setiap kelas transaksi yang material, pertama auditor harus memutuskan apakah entitas itu dapat diaudit.

1. Menilai apakah laporan keuangan bisa diaudit. Ada dua faktor utama yang menentukan auditabilitas: integritas manajemen, dan kememadaian catatan akuntansi. Jika manajemen tidak memiliki integritas, sebagian besar auditor tidak akan menerima penugasan audit. Dalam lingkungan TI yang rumit, sebagian besar informasi tentang transaksi hanya tersedia dalam format elektronik tanpa meninggalkan jejak audit yang bisa dilihat seperti dokumen dan catatan. Dalam hal ini, perusahaan umumnya tetap bisa diaudit; namun, auditor harus menilai apakah mereka mempunyai keterampilan yang diperlukan untuk mengumpulkan bukti dalam bentuk elektronik dan dapat menugaskan personil yang memiliki pelatihan dan pengalaman TI yang memadai.
2. Menentukan penilaian risiko pengendalian yang didukung oleh pemahaman yang diperoleh, dengan asumsi pengendalian telah diikuti. Penilaian ini merupakan ukuran ekspektasi auditor bahwa pengendalian internal akan mencegah salah saji yang material atau mendeteksi dan mengoreksinya jika salah saji itu sudah terjadi. Auditor membuat penilaian pendahuluan ini untuk setiap tujuan audit yang berhubungan dengan transaksi bagi setiap kelas transaksi utama dalam masing-masing siklus transaksi. Auditor juga membuat penilaian pendahuluan atas pengendalian yang mempengaruhi tujuan audit untuk akun-akun neraca serta penyajian dan pengungkapan dalam setiap siklus.
3. Penggunaan matriks risiko pengendalian untuk menilai risiko pengendalian. Banyak auditor menggunakan matriks risiko pengendalian untuk membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara yang mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit. Penyusun matriks:

• Mengidentifikasi tujuan audit.
• Mengidentifikasi pengendalian yang ada.
• Menghubungkan pengendalian dengan tujuan audit yang terkait.
• Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan, dan kelemahan yang material.

1. Mengidentifikasi defisiensi, defisiensi yang signifikan, dan kelemahan yang material. Pendekatan lima-langkah dapat digunakan untuk mengidentifikasi defisiensi, defisiensi yang signifikan, dan kelemahan yang material:
2. Mengidentifikasi pengendalian yang ada.
3. Mengidentifikasi tidak diterapkannya pengendalian kunci.
4. Mempertimbangkan kemungkinan pengendalian pengimbang.
5. Memutuskan apakah ada defisiensi yang signifikan atau kelemahan yang material.
6. Menetukan salah saji yang potensial yang bisa dihasilkan.
7. Komunikasi dengan pihak yang memikul tanggung jawab tata kelola dan surat manajemen. Auditor harus menyampaikan defisiensi yang signifikan dan kelemahan yang material secara tertulis kepada pihak yang memikul tanggung jawab tata kelola begitu auditor mengetahui keberadaannya. Komunikasi yang tepat waktu dapat memberi manajemen kesempatan untuk menangani defisiensi pengendalian sebelum laporan menejemen mengenai pengendalian internal harus dikeluarkan. Auditor juga mengidentifikasi hal-hal yang berkaitan dengan pengendalian internal yang tidak begitu penting, serta kesempatan bagi klien untuk memperbaiki operasi. Hal-hal tersebut juga harus dikomunikasikan kepada klien. Bentuk komunikasinya sering kali berupa surat terpisah untuk tujuan itu, yang disebut surat manajemen.

Pengujian Pengendalian

1. Tujuan Pengujian Pengendalian. Pengujian pengendalian adalah prosedur untuk menguji efektivitas pengendalian dalam mendukung penilaian risiko pengendalian yang lebih rendah. Jika hasil pengujian pengendalian mendukung perencangan dan pelaksanaan pengendalian seperti yang diharapkan, auditor akan menggunakan penilaian risiko pengendalian yang sama dengan penilaian pendahuluan. Akan tetapi, jika pengujian pengendalian menunjukkan bahwa pengendalian tidak berjalan efektif, penilaian risiko pengendalian harus dipertimbangkan kembali.
2. Prosedur untuk Pengujian Pengendalian. Jenis prosedur yang digunakan auditor untuk mendukung keefektifan pelaksanaan pengendalian internal:
3. Mengajukan pertanyaan kepada personil klien yang tepat.
4. Memeriksa dokumen, catatan, dan laporan.
5. Mengamati aktivitas yang terkait dengan pengendalian.
6. Melaksanakan kembali prosedur klien.
7. Luas Prosedur. Seberapa luas pengujian pengendalian diterapkan tergantung pada penilaian pendahuluan atas risiko pengendalian. Jika menginginkan risiko pengendalian yang dinilai lebih rendah, auditor akan menerapkan pengujian pengendalian yang lebih ekstensif, baik dalam hal jumlah pengendalian yang diuji maupun luas pengujian untuk setiap pengendalian.
8. Hubungan Antara Pengujian Pengendalian dan Prosedur untuk Memperoleh Pemahaman. Ada dua perbedaan utama dalam penerapan prosedur umum tersebut:
9. Untuk memahami pengendalian internal, prosedur untuk memperoleh pemahaman harus diterapkan pada semua pengendalian yang teridentifikasi selama tahap tersebut. Sebaliknya, pengujian pengendalian hanya diterapkan bila penilaian risiko pengendalian tidak terpenuhi oleh prosedur untuk memperoleh pemahaman itu.
10. Prosedur untuk memperoleh pemahaman hanya dilakukan pada satu atau beberapa transaksi atau, dalam kasus observasi, pada satu titik waktu. Pengujian pengendalian dilakukan pada sampel transaksi yang lebih besar, dan observasi sering kali dilakukan pada lebih dari satu titik waktu.

Memutuskan Risiko Deteksi yang Direncanakan dan Merancang Pengujian Substantif