Pemahaman SPI dan Penilaian Risiko Penge
PEMAHAMAN SPI
DAN PENILAIAN
RISIKO PENGENDALIAN
Monika Candra
Raharja
1
Pengertian Pengendalian
Intern
Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring
Organization). COSO terdiri atas:
IIA (Institute of Internal Auditors), AICPA
(American Institute of Certified Public
Accountants), FEI (Financial Executive Institute),
AAA (American Accounting Association), dan IMA
(Institute of Manajemen Accountants)
Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan
lain dari suatu entitas, dirancang untuk
memberikan jaminan memadai sehubungan
dengan pencapaian tujuan.
2
Tujuan Pendalian
Intern
Tujuan pengendalian intern:
Keandalan pelaporan keuangan (tujuan
pelaporan keuangan).
Efektivitas dan efesiensi operasional (tujuan
operasi).
Kepatuhan terhadap undang-undang dan
peraturan yang berlaku (tujuan kepatuhan).
3
Tujuan Pendalian Intern
-yang relevan dengan audit
Reliabilitas informasi keuangan
* PABU
Efektivitas dan efesiensi operasional
* Pengamanan aset
* Pengurangan risiko bisnis
Kepatuhan terhadap undang-undang dan
peraturan-peraturan yang berlaku
* Mendeteksi kesalahan dan ketidakberesan
4
Konsep Utama COSO
•
•
•
Pengendalian intern merupakan suatu proses
yang berkelanjutan, suatu alat untuk mencapai
tujuan, bukan merupakan tujuan itu sendiri
Pengendalian intern dipengaruhi oleh orangorang yang ada pada setiap tingkatan di
organisasi, bukan hanya merupakan kebijakan
dan prosedur serta dokumentasinya semata.
Pengendalian intern tidak pernah bisa
menghilangkan risiko tetapi dapat memberikan
keyakinan memadai bahwa pengendalian telah
berjalan untuk mengurangi risiko.
Keterbatasan Pendalian
Intern
Kesalahan dalam keputusan (kurang informasi,
kendala waktu, tekanan).
Breakdown (macet karena salah memahami
instruksi dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).
Management override (manajemen melanggar
pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan
pengendalian lebih besar dari manfaatnya).
6
Komponen Pendalian
Intern
7
Control Environment (Lingkungan
Pengendalian)
Risk Assessment (Penilaian Risiko)
Control Activities (Aktivitas Pengendalian)
Information and Communication (Informasi
dan Komunikasi)
Monitoring (Pemantauan)
Komponen SPI
8
Komponen SPI
&
n low
io
at n F
rm atio
fo
In ni c
4) mu
m
Co
Co 4 ) In
m m fo
un rma
i ca tio
t io n &
n
Fl o
w
5)
Monitoring
1) Control
Environment
2) Risk
4) Information & 3) Control
Assessmen Communication
Activities
t
Flow
Komponen SPI
Hubungan Komponen SPI
dengan Aktivitas Organisasi
11
Lingkungan
Pengendalian
Lingkungan pengendalian
terdiri dari tindakan,
kebijakan, prosedur yang
mencerminkan sikap
keseluruhan top manajemen,
direktur, dan pemilik suatu
perusahaan terhadap
pengendalian dan pentingnya
pengendalian tersebut bagi
perusahaan.
Lingkungan
Pengendalian
Unsur-unsur yang perlu dipahami dan dinilai
1.
2.
3.
4.
5.
6.
7.
oleh auditor:
Integritas dan nilai etika
Komitmen terhadap kompetensi
Partisipasi dewan komisaris dan komite audit
Filosofi dan gaya operasi
Struktur Organisasi
Pemberian wewenang dan tanggung jawab
Kebijakan dan praktik SDM
Penaksiran Risiko
Mekanisme untuk
mengidentifikasikan,
menganalisis, dan
mengelola berbagai risiko
dalam organisasi atau
perusahaan dihubungkan
dengan tujuan yang ingin
dicapai
Analisis Risiko
Risk
Assessment
Risk
Management
Risk
Monitoring
Identification
Control it
Process
Level
Measurement
Share or
Transfer it
Activity
Level
Prioritization
Diversify or
Avoid it
Entity level
Penaksiran Risiko
Risiko bisa muncul karena:
Perubahan lingkungan operasional
Personel baru
Sistem informasi baru atau perubahan sistem
informasi
Pertumbuhan cepat
Tehnologi baru
Produk atau aktivitas baru
Restrukturisasi korporasi
Operasional luar negeri
PSAK baru
Penaksiran Risiko
High
I
M
P
A
C
T
Medium Risk
Share
Mitigate & Control
Low Risk
Accept
Low
High Risk
Medium Risk
Control
PROBABILITY
High
Penilaian Risiko
Contoh: Call Center Risk Assessment
High
Medium Risk
•
I
M
P
A
C
T
•
Loss of phones
Loss of computers
•
•
•
Customer has a long wait
Customer can’t get through
Customer can’t get answers
Low Risk
•
•
•
Low
High Risk
Fraud
Lost transactions
Employee morale
Medium Risk
•
•
•
Entry errors
Equipment obsolescence
Repeat calls for same problem
PROBABILITY
High
Penilaian Risiko
Auditor harus memperoleh pengetahuan tentang
proses penaksiran risiko untuk memahami
bagaimana manajemen mempertimbangkan risiko.
Tujuan penaksiran risiko adalah untuk menilai,
mengelola, dan memonitor risiko yang berdampak
bagi entitas.
Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan
prosedur yang membantu memastikan bahwa
arahan manajemen dilaksanakan. Aktivitas
pengendalian meliputi:
Review kinerja
Pengolahan informasi
Pengendalian fisik
Pemisahan tugas
20
Aktivitas Pengendalian – Review
Kinerja
Analisis laporan ikhtisar rincian saldo akun
Analisis realisasi dengan anggaran,
prakiraan, atau periode yang lalu
Analisis hubungan seperangkat data
seperti antara data nonkeuangan dengan
data keuangan
21
Aktivitas Pengendalian – Pengolahan
Informasi
General Control
Pengendalian
Pengendalian
Pengendalian
Pengendalian
Pengendalian
organisasi dan operasional
pengembangan sistem dan dokumentasi
perangkat keras dan lunak
akses
data dan prosedural
Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check,
sequence test, process tracing data.
Pengendalian Output: pihak yang berhak memperoleh
hasil, perbandingan dengan dokumen sumber, visual
scanning
22
Aktivitas Pengendalian –
Pengendalian Fisik
Direct physical control
Indirect physical control
Penghitungan berkala terhadap aset
23
Aktivitas Pengendalian – Pemisahan
Tugas
Seseorang tidak boleh melakukan tugas yang
tidak kompatibel
Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna.
Pemisahan dalam bagian IT:
Pengembangan sistem
Operation
Data control
Securities administration
24
Informasi dan
Komunikasi
Sistem informasi dan komunikasi
memungkinkan orang dalam organisasi untuk
mendapatkan dan berbagi informasi yang
diperlukan untuk mengelola, melaksanakan,
dan mengendalikan kegiatan operasi.
Contoh:
Memperoleh informasi internal dan
eksternal untuk diolah dan disajikan kpd
manajemen
Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
Informasi dan
Komunikasi
Down:
Goals /objectives
Directives
Policies
/procedures
Top
Management
Senior Managers
Up:
Progress reports
Problem identification
Improvement
suggestions
Supervisors
Line staf
Across: Daily work information—all
levels
Informasi dan
Komunikasi
Transaksi
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
Audit atau transaction trail
Dokumen dan catatan
27
Informasi dan
Komunikasi
Auditor harus memperoleh pengetahuan
tentang:
Golongan transaksi
Bagaimana transaksi dimulai
Catatan akuntansi dan informasi pendukung
Pengolahan akuntansi sejak transaksi sampai
dengan laporan keuangan
28
Monitoring
Pengawasan oleh manajemen dan pegawai lain
yang ditunjuk atas pelaksanaan tugas sebagai
penilaian terhadap kualitas dan efektivitas
sistem pengendalian internal
Ongoing activities
Problem solution
Separate periodic evaluations
Internal auditor’s assessment
29
Monitoring
Regular
Activities
On-going
monitoring
Progress check
Performance
improvements
Regular
Activities
Regular
Activities
On-going
monitoring
Observations
Recording
Regular
Activities
Prosedur untuk
Memahami SPI
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor,
dan staf personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas
31
Dokumentasi Pemahaman
SPI
Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang
pengendalian internal yang diperlukan untuk
mencegah salahsaji material
Bagan alir
Diagram sistematik dengan memakai simbol
standar, garis penghubung dan penjelasan
Memoranda
Komentar tertulis auditor tentang pengendalian
internal
32
Questionnaire
Narrative Memoranda
MENILAI CR
35
Pengertian CR
Risiko bahwa pengendalian intern tidak
mampu mencegah dan mendeteksi
salah saji.
Penilaian CR berdampak terhadap
rancangan substantive test:
Sifat
Saat
Waktu
36
Alasan Menilai
CR
CR untuk Setiap
Asersi
CR ditentukan untuk setiap asersi; asersi untuk
setiap komponen pengendalian intern.
Tahapan dalam Menilai
CR
Prosedur untuk Menilai
CR
Pengajuan pertanyaan (enquiry): mengajukan
pertanyaan kepada berbagai pihak dalam lini
manajemen sesuai kebutuhan.
Pengamatan / observasi (observation):
auditor mengamati aktivitas yang sedang
terjadi.
Inspeksi (inspection) : memeriksa dokumen
dan catatan.
Mengerjakan ulang: auditor menjalankan
aplikasi yang digunakan perusahaan.
Perbedaan TOC dan ST
Perbedaan TOC dan ST
Lingkungan SIK
Suatu lingkungan SIK (sistem informasi
komputer) ada apabila komputer dengan tipe
dan ukuran apapun digunakan dalam
pengolahan informasi keuangan suatu entitas
yang signifikan bagi audit, terlepas apakah
komputer tersebut dioperasikan oleh entitas
tersebut atau pihak ketiga.
Karakteristik organisasi SIK
Pemusatan fungsi dan pengetahuan
Pemusatan program dan data
43
Sifat Pengolahan dan Aspek Desain dalam
SIK
44
Sifat pengolahan dalam SIK:
Tidak ada dokumen masukan
Tidak ada jejak transaksi (transaction trail)
Tidak ada keluaran yang dapat dilihat dengan
mata
Aspek desain dan prosedur dalam SIK:
Kinerja konsisten
Prosedur pengendalian terprogram
Pemutakhran transaksi ke database file
komputer
Transaksi ada yang ditimbulkan oleh sistem
Media penyimpanan data dan program rentan
Pengendalian dalam
Lingkungan SIK
Pengendalian umum SIK
Pengendalian organisasi dan manajemen
Pengendalian terhadap pengembangan dan
pemeliharaan sistem aplikasi
Pengendalian terhadap operasi sistem
Pengendalian terhadap perangkat lunak sistem
Pengendalian terhadap entry data dan program
45
Pengendalian dalam
Lingkungan SIK
46
Pengendalian aplikasi SIK
Pengendalian atas masukan: otorisasi transaksi,
konversi transaksi agar bisa dibaca oleh mesin,
transaksi tidak diubah oleh pihak yang tidak
berhak, transaksi yang keliru ditolak.
Pengendalian atas pengolahan: transaksi diolah
semestinya oleh sistem, transaksi tidak diubah
atau hilang secara tidak semestinya, kekeliruan
diidentifikasi dan dikoreksi dengan tepat waktu.
Pengendalian atas keluaran: hasil pengolahan
cermat, akses dibatasi ke pihak yang berhak,
keluaran tersedia tepat waktu.
Pengendalian dalam
Lingkungan SIK
47
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
keluaran didistribusi ke personel yang berhak.
Pengendalian dalam
Lingkungan SIK
48
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
keluaran didistribusi ke personel yang berhak.
Review Pengendalian di Lingkungan SIK oleh
Auditor
Review Pengendalian Umum
Auditor mereview pengendalian umum untuk
memastikan apakah pengendalian menyeluruh
atas aktivitas SIK dapat memberikan tingkat
keyakinan memadai bahwa tujuan pengendalian
tercapai.
49
Review Pengendalian di Lingkungan SIK oleh
Auditor
50
Review Pengendalian Aplikasi
Auditor menguji pengendalian manual. Misalnya menguji
manual masukan gaji, perhitungan gaji bersih,
persetujuan pembayaran, perbandingan ke daftar gaji,
dan rekonsiliasi ke bank (audit around the computer).
Auditor menguji pengendalian keluaran sistem. Misalnya
auditor menguji jumlah di laporan ke buku besar dan buku
pembantu (audit around the computer)..
Auditor menguji pengendalian program. Auditor
menggunakan teknik audit berbantuan komputer untuk
menguji pengendalian. Misalnya:
Test Data (Data Uji), yaitu pengujian pengendalian
aplikasi dengan menginput transaksi dummy
(transaksi departemen atau karyawan) ke sistem
aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan.
Setelah itu transaksi uji dihapus (audit through the
computer).
Audit Software (auditor menggunakan softwarenya
Auditing Around the Computer
Auditor berkonsentrasi pada input dan
output, mengabaikan bagai proses data
oleh komputer (komputer dianggap
sebagai black box). Seperti audit manual.
Auditing Through the
Computer
Pengujian langsung ke pengendalian program yang
digunakan dalam aplikasi. Auditor mengamati control
function dari program aplikasi. Menguji secara langsung
ke komputer klien.
Auditing With the Computer
Pengujian pengendalian intern tidak dilakukan secara
langsung pada komputer yang ada melainkan dengan
menggunakan komputer dan aplikasi yang berbeda.
Pendekatan audit ini biasanya banyak memanfaatkan
berbagai Teknik Audit Berbantuan Komputer (TABK) atau
Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit
namun dengan memanfaatkan database yang sama dengan
yang digunakan oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang
dilakukannya menggunakan aplikasinya sendiri atas database
yang diambil dari sistem yang diaudit akan memberikan
memberikan hasil output yang sama seperti halnya jika
database tersebut diprosesleh aplikasi yang diaudit.
DAN PENILAIAN
RISIKO PENGENDALIAN
Monika Candra
Raharja
1
Pengertian Pengendalian
Intern
Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring
Organization). COSO terdiri atas:
IIA (Institute of Internal Auditors), AICPA
(American Institute of Certified Public
Accountants), FEI (Financial Executive Institute),
AAA (American Accounting Association), dan IMA
(Institute of Manajemen Accountants)
Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan
lain dari suatu entitas, dirancang untuk
memberikan jaminan memadai sehubungan
dengan pencapaian tujuan.
2
Tujuan Pendalian
Intern
Tujuan pengendalian intern:
Keandalan pelaporan keuangan (tujuan
pelaporan keuangan).
Efektivitas dan efesiensi operasional (tujuan
operasi).
Kepatuhan terhadap undang-undang dan
peraturan yang berlaku (tujuan kepatuhan).
3
Tujuan Pendalian Intern
-yang relevan dengan audit
Reliabilitas informasi keuangan
* PABU
Efektivitas dan efesiensi operasional
* Pengamanan aset
* Pengurangan risiko bisnis
Kepatuhan terhadap undang-undang dan
peraturan-peraturan yang berlaku
* Mendeteksi kesalahan dan ketidakberesan
4
Konsep Utama COSO
•
•
•
Pengendalian intern merupakan suatu proses
yang berkelanjutan, suatu alat untuk mencapai
tujuan, bukan merupakan tujuan itu sendiri
Pengendalian intern dipengaruhi oleh orangorang yang ada pada setiap tingkatan di
organisasi, bukan hanya merupakan kebijakan
dan prosedur serta dokumentasinya semata.
Pengendalian intern tidak pernah bisa
menghilangkan risiko tetapi dapat memberikan
keyakinan memadai bahwa pengendalian telah
berjalan untuk mengurangi risiko.
Keterbatasan Pendalian
Intern
Kesalahan dalam keputusan (kurang informasi,
kendala waktu, tekanan).
Breakdown (macet karena salah memahami
instruksi dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).
Management override (manajemen melanggar
pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan
pengendalian lebih besar dari manfaatnya).
6
Komponen Pendalian
Intern
7
Control Environment (Lingkungan
Pengendalian)
Risk Assessment (Penilaian Risiko)
Control Activities (Aktivitas Pengendalian)
Information and Communication (Informasi
dan Komunikasi)
Monitoring (Pemantauan)
Komponen SPI
8
Komponen SPI
&
n low
io
at n F
rm atio
fo
In ni c
4) mu
m
Co
Co 4 ) In
m m fo
un rma
i ca tio
t io n &
n
Fl o
w
5)
Monitoring
1) Control
Environment
2) Risk
4) Information & 3) Control
Assessmen Communication
Activities
t
Flow
Komponen SPI
Hubungan Komponen SPI
dengan Aktivitas Organisasi
11
Lingkungan
Pengendalian
Lingkungan pengendalian
terdiri dari tindakan,
kebijakan, prosedur yang
mencerminkan sikap
keseluruhan top manajemen,
direktur, dan pemilik suatu
perusahaan terhadap
pengendalian dan pentingnya
pengendalian tersebut bagi
perusahaan.
Lingkungan
Pengendalian
Unsur-unsur yang perlu dipahami dan dinilai
1.
2.
3.
4.
5.
6.
7.
oleh auditor:
Integritas dan nilai etika
Komitmen terhadap kompetensi
Partisipasi dewan komisaris dan komite audit
Filosofi dan gaya operasi
Struktur Organisasi
Pemberian wewenang dan tanggung jawab
Kebijakan dan praktik SDM
Penaksiran Risiko
Mekanisme untuk
mengidentifikasikan,
menganalisis, dan
mengelola berbagai risiko
dalam organisasi atau
perusahaan dihubungkan
dengan tujuan yang ingin
dicapai
Analisis Risiko
Risk
Assessment
Risk
Management
Risk
Monitoring
Identification
Control it
Process
Level
Measurement
Share or
Transfer it
Activity
Level
Prioritization
Diversify or
Avoid it
Entity level
Penaksiran Risiko
Risiko bisa muncul karena:
Perubahan lingkungan operasional
Personel baru
Sistem informasi baru atau perubahan sistem
informasi
Pertumbuhan cepat
Tehnologi baru
Produk atau aktivitas baru
Restrukturisasi korporasi
Operasional luar negeri
PSAK baru
Penaksiran Risiko
High
I
M
P
A
C
T
Medium Risk
Share
Mitigate & Control
Low Risk
Accept
Low
High Risk
Medium Risk
Control
PROBABILITY
High
Penilaian Risiko
Contoh: Call Center Risk Assessment
High
Medium Risk
•
I
M
P
A
C
T
•
Loss of phones
Loss of computers
•
•
•
Customer has a long wait
Customer can’t get through
Customer can’t get answers
Low Risk
•
•
•
Low
High Risk
Fraud
Lost transactions
Employee morale
Medium Risk
•
•
•
Entry errors
Equipment obsolescence
Repeat calls for same problem
PROBABILITY
High
Penilaian Risiko
Auditor harus memperoleh pengetahuan tentang
proses penaksiran risiko untuk memahami
bagaimana manajemen mempertimbangkan risiko.
Tujuan penaksiran risiko adalah untuk menilai,
mengelola, dan memonitor risiko yang berdampak
bagi entitas.
Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan
prosedur yang membantu memastikan bahwa
arahan manajemen dilaksanakan. Aktivitas
pengendalian meliputi:
Review kinerja
Pengolahan informasi
Pengendalian fisik
Pemisahan tugas
20
Aktivitas Pengendalian – Review
Kinerja
Analisis laporan ikhtisar rincian saldo akun
Analisis realisasi dengan anggaran,
prakiraan, atau periode yang lalu
Analisis hubungan seperangkat data
seperti antara data nonkeuangan dengan
data keuangan
21
Aktivitas Pengendalian – Pengolahan
Informasi
General Control
Pengendalian
Pengendalian
Pengendalian
Pengendalian
Pengendalian
organisasi dan operasional
pengembangan sistem dan dokumentasi
perangkat keras dan lunak
akses
data dan prosedural
Application Control
Pengendalian Input: otorisasi, computer check, koreksi
kesalahan
Pengendalian Proses: control total, limit check,
sequence test, process tracing data.
Pengendalian Output: pihak yang berhak memperoleh
hasil, perbandingan dengan dokumen sumber, visual
scanning
22
Aktivitas Pengendalian –
Pengendalian Fisik
Direct physical control
Indirect physical control
Penghitungan berkala terhadap aset
23
Aktivitas Pengendalian – Pemisahan
Tugas
Seseorang tidak boleh melakukan tugas yang
tidak kompatibel
Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna.
Pemisahan dalam bagian IT:
Pengembangan sistem
Operation
Data control
Securities administration
24
Informasi dan
Komunikasi
Sistem informasi dan komunikasi
memungkinkan orang dalam organisasi untuk
mendapatkan dan berbagi informasi yang
diperlukan untuk mengelola, melaksanakan,
dan mengendalikan kegiatan operasi.
Contoh:
Memperoleh informasi internal dan
eksternal untuk diolah dan disajikan kpd
manajemen
Menyajikan informasi relevan kepada pihak
yang tepat secara tepat isi dan tepat waktu
Informasi dan
Komunikasi
Down:
Goals /objectives
Directives
Policies
/procedures
Top
Management
Senior Managers
Up:
Progress reports
Problem identification
Improvement
suggestions
Supervisors
Line staf
Across: Daily work information—all
levels
Informasi dan
Komunikasi
Transaksi
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
Audit atau transaction trail
Dokumen dan catatan
27
Informasi dan
Komunikasi
Auditor harus memperoleh pengetahuan
tentang:
Golongan transaksi
Bagaimana transaksi dimulai
Catatan akuntansi dan informasi pendukung
Pengolahan akuntansi sejak transaksi sampai
dengan laporan keuangan
28
Monitoring
Pengawasan oleh manajemen dan pegawai lain
yang ditunjuk atas pelaksanaan tugas sebagai
penilaian terhadap kualitas dan efektivitas
sistem pengendalian internal
Ongoing activities
Problem solution
Separate periodic evaluations
Internal auditor’s assessment
29
Monitoring
Regular
Activities
On-going
monitoring
Progress check
Performance
improvements
Regular
Activities
Regular
Activities
On-going
monitoring
Observations
Recording
Regular
Activities
Prosedur untuk
Memahami SPI
Review
Review pengalaman yang lalu dengan klien
Bertanya
Menanyakan pada manajemen, supervisor,
dan staf personil yang sesuai
Inspeksi
Menginspeksi dokumen dan catatan
Observasi
Mengamati aktivitas dan operasional entitas
31
Dokumentasi Pemahaman
SPI
Kuesioner (questionnaires)
Rangkaian pertanyaan ya/tidak tentang
pengendalian internal yang diperlukan untuk
mencegah salahsaji material
Bagan alir
Diagram sistematik dengan memakai simbol
standar, garis penghubung dan penjelasan
Memoranda
Komentar tertulis auditor tentang pengendalian
internal
32
Questionnaire
Narrative Memoranda
MENILAI CR
35
Pengertian CR
Risiko bahwa pengendalian intern tidak
mampu mencegah dan mendeteksi
salah saji.
Penilaian CR berdampak terhadap
rancangan substantive test:
Sifat
Saat
Waktu
36
Alasan Menilai
CR
CR untuk Setiap
Asersi
CR ditentukan untuk setiap asersi; asersi untuk
setiap komponen pengendalian intern.
Tahapan dalam Menilai
CR
Prosedur untuk Menilai
CR
Pengajuan pertanyaan (enquiry): mengajukan
pertanyaan kepada berbagai pihak dalam lini
manajemen sesuai kebutuhan.
Pengamatan / observasi (observation):
auditor mengamati aktivitas yang sedang
terjadi.
Inspeksi (inspection) : memeriksa dokumen
dan catatan.
Mengerjakan ulang: auditor menjalankan
aplikasi yang digunakan perusahaan.
Perbedaan TOC dan ST
Perbedaan TOC dan ST
Lingkungan SIK
Suatu lingkungan SIK (sistem informasi
komputer) ada apabila komputer dengan tipe
dan ukuran apapun digunakan dalam
pengolahan informasi keuangan suatu entitas
yang signifikan bagi audit, terlepas apakah
komputer tersebut dioperasikan oleh entitas
tersebut atau pihak ketiga.
Karakteristik organisasi SIK
Pemusatan fungsi dan pengetahuan
Pemusatan program dan data
43
Sifat Pengolahan dan Aspek Desain dalam
SIK
44
Sifat pengolahan dalam SIK:
Tidak ada dokumen masukan
Tidak ada jejak transaksi (transaction trail)
Tidak ada keluaran yang dapat dilihat dengan
mata
Aspek desain dan prosedur dalam SIK:
Kinerja konsisten
Prosedur pengendalian terprogram
Pemutakhran transaksi ke database file
komputer
Transaksi ada yang ditimbulkan oleh sistem
Media penyimpanan data dan program rentan
Pengendalian dalam
Lingkungan SIK
Pengendalian umum SIK
Pengendalian organisasi dan manajemen
Pengendalian terhadap pengembangan dan
pemeliharaan sistem aplikasi
Pengendalian terhadap operasi sistem
Pengendalian terhadap perangkat lunak sistem
Pengendalian terhadap entry data dan program
45
Pengendalian dalam
Lingkungan SIK
46
Pengendalian aplikasi SIK
Pengendalian atas masukan: otorisasi transaksi,
konversi transaksi agar bisa dibaca oleh mesin,
transaksi tidak diubah oleh pihak yang tidak
berhak, transaksi yang keliru ditolak.
Pengendalian atas pengolahan: transaksi diolah
semestinya oleh sistem, transaksi tidak diubah
atau hilang secara tidak semestinya, kekeliruan
diidentifikasi dan dikoreksi dengan tepat waktu.
Pengendalian atas keluaran: hasil pengolahan
cermat, akses dibatasi ke pihak yang berhak,
keluaran tersedia tepat waktu.
Pengendalian dalam
Lingkungan SIK
47
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
keluaran didistribusi ke personel yang berhak.
Pengendalian dalam
Lingkungan SIK
48
Pengendalian aplikasi SIK dalam sistem on-line:
Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke
periode semestinya, data entry diklasifikasi dan
bernilai valid, transaksi yang tidak valid ditolak,
transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan
diprogram, logika pengolahan benar, file pengolahan
benar, record pengolahan benar, tabel yang
digunakan benar, data yang tidak valid tidak diolah,
versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat
dan lengkap, keluaran diterima telah terklasifikasi,
keluaran didistribusi ke personel yang berhak.
Review Pengendalian di Lingkungan SIK oleh
Auditor
Review Pengendalian Umum
Auditor mereview pengendalian umum untuk
memastikan apakah pengendalian menyeluruh
atas aktivitas SIK dapat memberikan tingkat
keyakinan memadai bahwa tujuan pengendalian
tercapai.
49
Review Pengendalian di Lingkungan SIK oleh
Auditor
50
Review Pengendalian Aplikasi
Auditor menguji pengendalian manual. Misalnya menguji
manual masukan gaji, perhitungan gaji bersih,
persetujuan pembayaran, perbandingan ke daftar gaji,
dan rekonsiliasi ke bank (audit around the computer).
Auditor menguji pengendalian keluaran sistem. Misalnya
auditor menguji jumlah di laporan ke buku besar dan buku
pembantu (audit around the computer)..
Auditor menguji pengendalian program. Auditor
menggunakan teknik audit berbantuan komputer untuk
menguji pengendalian. Misalnya:
Test Data (Data Uji), yaitu pengujian pengendalian
aplikasi dengan menginput transaksi dummy
(transaksi departemen atau karyawan) ke sistem
aplikasi klien di bawah kontrol auditor dan
mencocokkan hasilnya dengan hasil yang diharapkan.
Setelah itu transaksi uji dihapus (audit through the
computer).
Audit Software (auditor menggunakan softwarenya
Auditing Around the Computer
Auditor berkonsentrasi pada input dan
output, mengabaikan bagai proses data
oleh komputer (komputer dianggap
sebagai black box). Seperti audit manual.
Auditing Through the
Computer
Pengujian langsung ke pengendalian program yang
digunakan dalam aplikasi. Auditor mengamati control
function dari program aplikasi. Menguji secara langsung
ke komputer klien.
Auditing With the Computer
Pengujian pengendalian intern tidak dilakukan secara
langsung pada komputer yang ada melainkan dengan
menggunakan komputer dan aplikasi yang berbeda.
Pendekatan audit ini biasanya banyak memanfaatkan
berbagai Teknik Audit Berbantuan Komputer (TABK) atau
Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk
melakukan proses yang serupa dengan aplikasi yang diaudit
namun dengan memanfaatkan database yang sama dengan
yang digunakan oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang
dilakukannya menggunakan aplikasinya sendiri atas database
yang diambil dari sistem yang diaudit akan memberikan
memberikan hasil output yang sama seperti halnya jika
database tersebut diprosesleh aplikasi yang diaudit.