Auditing Kontrol Internalrev10
Pengendalian Internal
(Internal Control)
Yulazri M.Ak.
CPA
1
Istilah Pengendalian internal
• 1947 AICPA Internal Control
• Internal Control System
– Accounting Control System
– Administrative Control System
• Internal Control Structure (SAS 55 -1988)
– Control Environments
– Accounting Systems
– Control Procedures
• Internal Control
2
SAS 1 (section 320)
• Pengendalian internal terdiri atas struktur
organisasi dan seluruh metode yang
dikoordinasi
dan
pengukuran
yang
diterapkan dalam suatu
bisnis untuk
melindungi aktiva, mengecek keakuratan dan
keandalan data akuntansi, meningkatkan
efesiensi operasional, dan mendorong
ditaatinya kebijakan management yang
ditetapkan sebelumnya
3
SAS 55 (1988)
• Internal Control Structure: artinya
diperluas mencakup:
– Lingkungan Pengendaian
– Sistem Akuntansi
– Prosedur Pengendalian
4
SAS 78, 1995
• Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring
Organization)
• Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan
lain dari suatu entitas, dirancang untuk memberikan
jaminan memadai sehubungan dengan pencapaian
tujuan antara lain:
– Keandalan pelaporan keuangan
– Kepatuhan terhadap undang-undang dan peraturan yang
berlaku
– Efektivitas dan efesiensi operasional
5
Tujuan Pengendalian Intern
– Keandalan pelaporan keuangan
– Kepatuhan terhadap undangundang dan peraturan yang
berlaku
– Efektivitas
operasional
dan
efesiensi
6
Tujuan Entitas dan Pengendalian
internal yang relevan dg Audit
• Reliabilitas informasi keuangan
– PABU
• Kepatuhan terhadap undang-undang
dan peraturan-peraturan yang berlaku
– Mendeteksi kesalahan dan ketidakberesan
• Efektivitas dan efesiensi operasional
– Pengamanan aset
– Pengurangan risiko bisnis
7
Komponen Pengendalian Internal
•
•
•
•
•
Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring
8
Control environment
– merupakan dasar dari komponen yang
lain
– menentukan irama organisasi
– mempengaruhi kesadaran pengendalian
anggota organisasi
9
Control Environment
•
•
•
•
Nilai-nilai Etika dan Integritas
Komitmen terhadap kompetensi
Dewan Komisaris dan Komite Audit
Philosophy managemen dan gaya
operasional
• Struktur organisasi
• Pelimpahan wewenang dan tanggungjawab
• Kebijakan dan Praktek SDM
10
Risk assessment
– Identifikasi dan analisis oleh entitas
terhadap risiko relevan dengan pencapaian
tujuan-tujuannya
– Merumuskan dasar untuk menentukan
bagaimana risiko-risiko tersebut harus
dikelola
11
Risk Assessment
• Perlu memperhatikan:
– Perubahan lingkungan operasional
– Personel baru
– Sistem informasi baru atau perubahan sistem
informasi
– Pertumbuhan cepat
– Tehnologi baru
– Produk atau aktivitas baru
– Restrukturisasi korporasi
– Operasional luar negeri
– PSAK baru
12
Control activities
– Kebijakan dan prosedur yang membantu
menjamin pengarahan managemen
dilaksanakan
13
Control Activities
• Pemisahan Tugas
• Pengendalian Pengolahan Informasi
– General Control
– Application Control
• Pengendalian Pisik
• Review Kinerja
14
• Pemisahan Tugas:
– seseorang tidak boleh melakukan tugas yang
tidak kompatibel
– Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
– Pemisahan bagian IT dengan Pengguna
– Pemisahan dalam bagian IT:
•
•
•
•
Pengembangan sistem
Operation
Data control
Securities administration
15
• Information Processing Control
• General Control
– Pengendalian organisasi dan operasional
– Pengendalian pengembangan sistem dan
dokumentasi
– Pengendalian perangkat keras dan lunak
– Pengendalian akses
– Pengendalian data dan prosedural
• Application Control
16
Aplication control
– Pengendalian Input
– Pengendalian Proses
– Pengendalian Output
17
Aplication control
• Input Control
– Otorisasi
– Konversi Data Input
• Verification Control
• Computer Editing: missing data check,
valid character check, limit (reasonable)
check, valid sign check, valid code check,
check digit)
– Koreksi Kesalahan
18
• Processing Control
–
–
–
–
–
–
Control totals
File identification labels
Limit and reasonableness checks
Before-and-after report
Sequence test
Process tracing data
19
• Output control: hasil benar dan hanya
orang yang berhak yang memperoleh
hasilnya
– Reconciliation of totals
– Comparioson to source document
– Visual scanning
20
Physical Control
• Direct physical control
• Indirect physical control
• Penghitungan berkala terhadap aset
21
Information and communication:
– Idenfikasi, perekaman, dan pertukaran
informasi dalam rerangka bentuk dan
waktu yang memungkinkan orang
menjalankan tanggungjawabnya
22
Information and Communication
• Transaksi
–
–
–
–
–
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
• Audit atau transaction trail
• Dokumen dan catatan
23
Monitoring
– Proses untuk menilai kualitas pelaksanaan
pengendalian internal dari waktu ke waktu
24
Monitoring
• Ongoing activities
– Problem solution
• Separate periodic evaluations
– Internal auditor’s assessment
25
Performance Review
• Analisis Laporan Ikhtisar rincian saldo
akun
• Analisis Realisasi dengan anggaran,
prakiraan, atau periode yang lalu
• Analisis hubungan seperangkat data spt
antara data nonkeuangan dg data
keuangan
26
Keterbatasan Pengendalian
Internal suatu Entitas
•
•
•
•
Kesalahan dalam keputusan
Collusion
Management override
Cost versus benefits
27
Peran dan Tanggungjawab
• Management
• Board of directors dan Audit
committee
• Internal auditor
• Karyawan lain
• Independent Auditor
• Pihak Luar lain: legislators dan
regulators
28
Penerapan komponen
pengendalian internal
• Untuk seluruh entitas tanpa memandang
ukuran entitas
• Faktor-faktor yang dipertimbangkan dalam
memutusakan bagaimana setiap komponen
harus diimplementasikan:
–
–
–
–
–
–
Ukuran entitas
Karakteristik organisasi dan pemiliknya
Jenis usaha
Diversitas dan kompleksitas operasional
Metode pengolahan data
Aplikabilitas persyaratan legal dan regulator
29
Perolehan Pemahaman
Pengendalian Internal
• Metodologi audit untuk memenuhi
standar pekerjaan lapangan kedua:
– Pemahaman cukup atas komponen-komponen
pengendalian internal untuk merencanaan audit
– Penilaian risiko kontrol untuk setiap asersi
penting yang ada dlam saldo akun atau kelompok
transaksi dan komponen pengungkapan dari
laporan keuangan
– Perancangan pengujian substantif untuk setiap
asersi penting elemen laporan keuangan
30
Perolehan pemahaman
• Pemahaman disain kebijakan dan prosedur
yang terkait dengan setiap komponen
pengendalian internal
• Menentukan apakah kebijakan dan prosedur
telah dijalankan
• Mengidentifikasi tipe potensi salahsaji
• Mempertimbangkan
faktor-faktor
yang
mempengaruhi risiko salahsaji yang material
• Merancang pengujian substantif untuk
memperoleh jaminan memadai dalam
menemukan salahsaji yang terkait dengan
asersi tertentu
31
Prosedur untuk memperoleh
suatu pemahaman
• Review pengalaman yang lalu dengan klien
(Review)
• Menanyakan pada manajemen, supervisor,
dan staff personil yang sesuai (Inquiry)
• Menginspeksi dokumen dan catatan
(Inspection)
• Mengamati aktivitas dan operasional entitas
(Observation)
32
Dokumentasi Pemahaman
• Angket (questionnaires)
– Rangkaian pertanyaan ya/tidak tentang pengendalian
internal yang diperlukan untuk mencegah salahsaji
material
• Bagan alir
– Diagram sistematik dg memakai simbol standar, garis
penghubung dan penjelasan
• Tabel keputusan
– Matriks yang digunakan mendokumentasikan logika
program komputer
• Memoranda
– Komentar tertulis auditor tentang pengendalian internal
33
Documentation of
the Understanding
Internal
Internal
control
control
questionnaire
questionnaire
Flowchart
Flowchart
Narrative
Narrative
Understanding Internal Control
and Assessing Control Risk
Obtain Understanding of Internal Control:
Design and Operation
Assess Control Risk
Test Controls
Decide Planned Detection Risk
and Substantive Tests
Reasons for Sufficiently
Understanding Internal Control
SAS 55 (as amended by SAS 78 and 594
plus AU319) requires the auditor to
obtain an understanding of internal
control for every audit.
Minimum audit
planning matters
• Auditability
• Potential material
misstatements
• Detection risk
• Design of test
Procedures to Determine
Design and Placement
Update and evaluate auditor’s previous
experience with the entity.
Make inquires of client personnel.
Read client’s policy and systems manuals.
Examine documents and records.
Observe entity activities and operations.
Documentation of
the Understanding
Narrative
Narrative
Flowchart
Flowchart
Internal
Internal
control
control
questionnaire
questionnaire
Assess Control Risk
Obtain sufficient understanding for planning.
Assess whether the entity is auditable.
Determine assessed control risk.
Assess if a lower control risk could be supported.
Determine the appropriate assessed control risk.
Assess Control Risk
Identify transaction-related audit objectives.
Identify specific controls.
Identify and evaluate weaknesses.
Identify and Evaluate
Weaknesses
Identify existing controls.
Identify the absence of key controls.
Determine misstatements that could result.
Consider compensating controls.
The Control Risk Matrix
Auditors use the control risk matrix to
identify both controls and weaknesses
and to asses control risk.
Communication
Reportable conditions letter
Audit committee communications
Management letters
Tests of Controls
The procedures to test effectiveness
of controls in support of a reduced
assessed control risk are called
tests of controls.
Procedures for
Tests of Controls
Make inquiries of client personnel.
Examine documents, records, and reports.
Observe control-related activities.
Reperform client procedures.
Extent of Procedures
Reliance on evidence from prior year’s audit
Testing less than the entire audit period
Relationship of Assessed Control
Risk and Extend of Procedures
Type of Procedure
Inquiry
Documentation
Observation
Reperformance
Assessed Control Risk
High Level:
Lower Level:
Obtaining an
Tests of
Understanding Only
Controls
Yes – extensive
Yes – with transaction
walk-through
Yes – with transaction
walk-through
No
Yes – some
Yes – using
sample
Yes – multiple
times
Yes – sampling
Decide Planned Detection Risk
and Design Substantive Tests
The auditor uses the results of the control risk
assessment process and tests of controls to
determine the planned detection risk and
related substantive tests.
The auditor links the control risk assessments
to the balance-related audit objectives.
End of Chapter
(Internal Control)
Yulazri M.Ak.
CPA
1
Istilah Pengendalian internal
• 1947 AICPA Internal Control
• Internal Control System
– Accounting Control System
– Administrative Control System
• Internal Control Structure (SAS 55 -1988)
– Control Environments
– Accounting Systems
– Control Procedures
• Internal Control
2
SAS 1 (section 320)
• Pengendalian internal terdiri atas struktur
organisasi dan seluruh metode yang
dikoordinasi
dan
pengukuran
yang
diterapkan dalam suatu
bisnis untuk
melindungi aktiva, mengecek keakuratan dan
keandalan data akuntansi, meningkatkan
efesiensi operasional, dan mendorong
ditaatinya kebijakan management yang
ditetapkan sebelumnya
3
SAS 55 (1988)
• Internal Control Structure: artinya
diperluas mencakup:
– Lingkungan Pengendaian
– Sistem Akuntansi
– Prosedur Pengendalian
4
SAS 78, 1995
• Mengadopsi pengertian Pengendalian internal dari
laporan COSO (Committee of Sponsoring
Organization)
• Internal control adalah suatu proses, dijalankan
oleh dewan komisaris, managemen, dan karyawan
lain dari suatu entitas, dirancang untuk memberikan
jaminan memadai sehubungan dengan pencapaian
tujuan antara lain:
– Keandalan pelaporan keuangan
– Kepatuhan terhadap undang-undang dan peraturan yang
berlaku
– Efektivitas dan efesiensi operasional
5
Tujuan Pengendalian Intern
– Keandalan pelaporan keuangan
– Kepatuhan terhadap undangundang dan peraturan yang
berlaku
– Efektivitas
operasional
dan
efesiensi
6
Tujuan Entitas dan Pengendalian
internal yang relevan dg Audit
• Reliabilitas informasi keuangan
– PABU
• Kepatuhan terhadap undang-undang
dan peraturan-peraturan yang berlaku
– Mendeteksi kesalahan dan ketidakberesan
• Efektivitas dan efesiensi operasional
– Pengamanan aset
– Pengurangan risiko bisnis
7
Komponen Pengendalian Internal
•
•
•
•
•
Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring
8
Control environment
– merupakan dasar dari komponen yang
lain
– menentukan irama organisasi
– mempengaruhi kesadaran pengendalian
anggota organisasi
9
Control Environment
•
•
•
•
Nilai-nilai Etika dan Integritas
Komitmen terhadap kompetensi
Dewan Komisaris dan Komite Audit
Philosophy managemen dan gaya
operasional
• Struktur organisasi
• Pelimpahan wewenang dan tanggungjawab
• Kebijakan dan Praktek SDM
10
Risk assessment
– Identifikasi dan analisis oleh entitas
terhadap risiko relevan dengan pencapaian
tujuan-tujuannya
– Merumuskan dasar untuk menentukan
bagaimana risiko-risiko tersebut harus
dikelola
11
Risk Assessment
• Perlu memperhatikan:
– Perubahan lingkungan operasional
– Personel baru
– Sistem informasi baru atau perubahan sistem
informasi
– Pertumbuhan cepat
– Tehnologi baru
– Produk atau aktivitas baru
– Restrukturisasi korporasi
– Operasional luar negeri
– PSAK baru
12
Control activities
– Kebijakan dan prosedur yang membantu
menjamin pengarahan managemen
dilaksanakan
13
Control Activities
• Pemisahan Tugas
• Pengendalian Pengolahan Informasi
– General Control
– Application Control
• Pengendalian Pisik
• Review Kinerja
14
• Pemisahan Tugas:
– seseorang tidak boleh melakukan tugas yang
tidak kompatibel
– Pemisahan tugas pelaksana, pencatatan, dan
penyimpanan aset dari suatu transaksi
– Pemisahan bagian IT dengan Pengguna
– Pemisahan dalam bagian IT:
•
•
•
•
Pengembangan sistem
Operation
Data control
Securities administration
15
• Information Processing Control
• General Control
– Pengendalian organisasi dan operasional
– Pengendalian pengembangan sistem dan
dokumentasi
– Pengendalian perangkat keras dan lunak
– Pengendalian akses
– Pengendalian data dan prosedural
• Application Control
16
Aplication control
– Pengendalian Input
– Pengendalian Proses
– Pengendalian Output
17
Aplication control
• Input Control
– Otorisasi
– Konversi Data Input
• Verification Control
• Computer Editing: missing data check,
valid character check, limit (reasonable)
check, valid sign check, valid code check,
check digit)
– Koreksi Kesalahan
18
• Processing Control
–
–
–
–
–
–
Control totals
File identification labels
Limit and reasonableness checks
Before-and-after report
Sequence test
Process tracing data
19
• Output control: hasil benar dan hanya
orang yang berhak yang memperoleh
hasilnya
– Reconciliation of totals
– Comparioson to source document
– Visual scanning
20
Physical Control
• Direct physical control
• Indirect physical control
• Penghitungan berkala terhadap aset
21
Information and communication:
– Idenfikasi, perekaman, dan pertukaran
informasi dalam rerangka bentuk dan
waktu yang memungkinkan orang
menjalankan tanggungjawabnya
22
Information and Communication
• Transaksi
–
–
–
–
–
Hanya transakasi valid
Seluruh transaksi
Hak dan kewajiban
Pengukuran
Cukup detail
• Audit atau transaction trail
• Dokumen dan catatan
23
Monitoring
– Proses untuk menilai kualitas pelaksanaan
pengendalian internal dari waktu ke waktu
24
Monitoring
• Ongoing activities
– Problem solution
• Separate periodic evaluations
– Internal auditor’s assessment
25
Performance Review
• Analisis Laporan Ikhtisar rincian saldo
akun
• Analisis Realisasi dengan anggaran,
prakiraan, atau periode yang lalu
• Analisis hubungan seperangkat data spt
antara data nonkeuangan dg data
keuangan
26
Keterbatasan Pengendalian
Internal suatu Entitas
•
•
•
•
Kesalahan dalam keputusan
Collusion
Management override
Cost versus benefits
27
Peran dan Tanggungjawab
• Management
• Board of directors dan Audit
committee
• Internal auditor
• Karyawan lain
• Independent Auditor
• Pihak Luar lain: legislators dan
regulators
28
Penerapan komponen
pengendalian internal
• Untuk seluruh entitas tanpa memandang
ukuran entitas
• Faktor-faktor yang dipertimbangkan dalam
memutusakan bagaimana setiap komponen
harus diimplementasikan:
–
–
–
–
–
–
Ukuran entitas
Karakteristik organisasi dan pemiliknya
Jenis usaha
Diversitas dan kompleksitas operasional
Metode pengolahan data
Aplikabilitas persyaratan legal dan regulator
29
Perolehan Pemahaman
Pengendalian Internal
• Metodologi audit untuk memenuhi
standar pekerjaan lapangan kedua:
– Pemahaman cukup atas komponen-komponen
pengendalian internal untuk merencanaan audit
– Penilaian risiko kontrol untuk setiap asersi
penting yang ada dlam saldo akun atau kelompok
transaksi dan komponen pengungkapan dari
laporan keuangan
– Perancangan pengujian substantif untuk setiap
asersi penting elemen laporan keuangan
30
Perolehan pemahaman
• Pemahaman disain kebijakan dan prosedur
yang terkait dengan setiap komponen
pengendalian internal
• Menentukan apakah kebijakan dan prosedur
telah dijalankan
• Mengidentifikasi tipe potensi salahsaji
• Mempertimbangkan
faktor-faktor
yang
mempengaruhi risiko salahsaji yang material
• Merancang pengujian substantif untuk
memperoleh jaminan memadai dalam
menemukan salahsaji yang terkait dengan
asersi tertentu
31
Prosedur untuk memperoleh
suatu pemahaman
• Review pengalaman yang lalu dengan klien
(Review)
• Menanyakan pada manajemen, supervisor,
dan staff personil yang sesuai (Inquiry)
• Menginspeksi dokumen dan catatan
(Inspection)
• Mengamati aktivitas dan operasional entitas
(Observation)
32
Dokumentasi Pemahaman
• Angket (questionnaires)
– Rangkaian pertanyaan ya/tidak tentang pengendalian
internal yang diperlukan untuk mencegah salahsaji
material
• Bagan alir
– Diagram sistematik dg memakai simbol standar, garis
penghubung dan penjelasan
• Tabel keputusan
– Matriks yang digunakan mendokumentasikan logika
program komputer
• Memoranda
– Komentar tertulis auditor tentang pengendalian internal
33
Documentation of
the Understanding
Internal
Internal
control
control
questionnaire
questionnaire
Flowchart
Flowchart
Narrative
Narrative
Understanding Internal Control
and Assessing Control Risk
Obtain Understanding of Internal Control:
Design and Operation
Assess Control Risk
Test Controls
Decide Planned Detection Risk
and Substantive Tests
Reasons for Sufficiently
Understanding Internal Control
SAS 55 (as amended by SAS 78 and 594
plus AU319) requires the auditor to
obtain an understanding of internal
control for every audit.
Minimum audit
planning matters
• Auditability
• Potential material
misstatements
• Detection risk
• Design of test
Procedures to Determine
Design and Placement
Update and evaluate auditor’s previous
experience with the entity.
Make inquires of client personnel.
Read client’s policy and systems manuals.
Examine documents and records.
Observe entity activities and operations.
Documentation of
the Understanding
Narrative
Narrative
Flowchart
Flowchart
Internal
Internal
control
control
questionnaire
questionnaire
Assess Control Risk
Obtain sufficient understanding for planning.
Assess whether the entity is auditable.
Determine assessed control risk.
Assess if a lower control risk could be supported.
Determine the appropriate assessed control risk.
Assess Control Risk
Identify transaction-related audit objectives.
Identify specific controls.
Identify and evaluate weaknesses.
Identify and Evaluate
Weaknesses
Identify existing controls.
Identify the absence of key controls.
Determine misstatements that could result.
Consider compensating controls.
The Control Risk Matrix
Auditors use the control risk matrix to
identify both controls and weaknesses
and to asses control risk.
Communication
Reportable conditions letter
Audit committee communications
Management letters
Tests of Controls
The procedures to test effectiveness
of controls in support of a reduced
assessed control risk are called
tests of controls.
Procedures for
Tests of Controls
Make inquiries of client personnel.
Examine documents, records, and reports.
Observe control-related activities.
Reperform client procedures.
Extent of Procedures
Reliance on evidence from prior year’s audit
Testing less than the entire audit period
Relationship of Assessed Control
Risk and Extend of Procedures
Type of Procedure
Inquiry
Documentation
Observation
Reperformance
Assessed Control Risk
High Level:
Lower Level:
Obtaining an
Tests of
Understanding Only
Controls
Yes – extensive
Yes – with transaction
walk-through
Yes – with transaction
walk-through
No
Yes – some
Yes – using
sample
Yes – multiple
times
Yes – sampling
Decide Planned Detection Risk
and Design Substantive Tests
The auditor uses the results of the control risk
assessment process and tests of controls to
determine the planned detection risk and
related substantive tests.
The auditor links the control risk assessments
to the balance-related audit objectives.
End of Chapter