bagian-9-sistem-pengendalian-internal
advertisement
BAGIAN 9 SISTEM PENGENDALIAN INTERNAL Pengauditan I - Sururi Halaman 1 SISTEM PENGENDALIAN INTERNAL • Sistem Pengendalian Internal (SPI) adalah sistem yang dirancang untuk mengendalikan kegiatan internal organisasi atau entitas, agar tujuan entitas dapat dicapai dengan efektif dan efisien. • Istilah lain kegiatan internal organisasi adalah proses bisnis. Jadi SPI adalah sistem untuk mengendalikan proses bisnis. Pengauditan I - Sururi Halaman 2 SISTEM PENGENDALIAN INTERNAL • Tujuan SPI dapat diringkas menjadi sbb.: 1. Menjamin keandalan laporan, baik laporan manajerial maupun laporan keuangan. 2. Menjamin efisiensi dan efektifitas kegiatan operasional. 3. Menjamin kepatuhan terhadap kebijakan manajemen. 4. Menjamin kepatuhan terhadap hukum dan peraturan, serta komitmen terhadap pihak luar organisasi. Pengauditan I - Sururi Halaman 3 SISTEM PENGENDALIAN INTERNAL • SPI terdiri dari sejumlah unsur pengendalian, antara lain: 1. Pemisahan fungsi 2. Otorisasi transaksi 3. Dokumen transaksi 4. Dokumen pembukuan (data base) 5. Dokumen laporan 6. Pengecekan independen 7. Teknologi informasi 8. SDM yang kompeten 9. Pemantauan periodik Pengauditan I - Sururi Halaman 4 TANGGUNG JAWAB SPI • Manajemen bertanggungjawab penuh terhadap perancangan dan implementasi SPI, terutama untuk tujuan menjamin kemampuan manajemen untuk menyusun laporan keuangan sesuai dengan framework pelaporan keuangan, seperti SAK atau IFRS. • Konsep perancangan dan implementasi SPI: 1. Keyakinan memadai (reasonable assurance) 2. Keterbatasan bawaan (inherent limitation) Pengauditan I - Sururi Halaman 5 TANGGUNG JAWAB SPI • • Keyakinan memadai (reasonable assurance) SPI dirancang hanya untuk mendapatkan keyakinan memadai, bukan keyakinan mutlak, terhadap kewajaran laporan keuangan. Keterbatasan bawaan (inherent limitation) SPI tidak akan pernah bisa 100% efektif, sedetil apapun rancangan dan implementasinya. Pengauditan I - Sururi Halaman 6 KETERBATASAN SPI 1. 2. 3. 4. Kesalahan pengoperasian SPI (mistake in judgment). Kerusakan sistem atau teknologi pendukung SPI (systems break-down). Kolusi untuk mengelabuhi SPI, yang dilakukan justru oleh unsur manajemen dalam organisasi. Pelanggaran SPI dengan sengaja oleh manajemen (management override). Pengauditan I - Sururi Halaman 7 TANGGUNG JAWAB AUDITOR ATAS SPI • Dalam audit laporan keuangan, auditor bertanggungjawab untuk memahami dan menguji SPI. • Pemahaman dan pengujian SPI ditujukan untuk mengukur: 1. Efektifitas pengendalian atas transaksi. 2. Efektifitas pengendalian atas keandalan laporan keuangan. Pengauditan I - Sururi Halaman 8 FRAMEWORK SPI COSO • COSO (Committee of Sponsoring Organization) adalah asosiasi profesi di US yang anggotanya terdiri dari AAA (the American Accounting Association), AICPA, IIA (the Institute of Internal Auditors), IMA (the Institute of Management Accountants), dan FEI (the Financial Executives Institute). • COSO dibentuk untuk mengembangkan konsep pengendalian internal, terutama untuk perusahaan publik, yang jika terjadi salah kelola bisa berdampak luas terhadap masyarakat. Pengauditan I - Sururi Halaman 9 FRAMEWORK SPI COSO • COSO telah mengembangkan framework SPI yang komponennya terdiri dari: 1. Lingkungan pengendalian (control environment) 2. Asesmen risiko (risk assessment) 3. Aktifitas pengendalian (control activities) 4. Informasi dan komunikasi (information and communication) 5. Monitoring Pengauditan I - Sururi Halaman 10 FRAMEWORK SPI COSO • Implementasi komponen SPI COSO harus didukung dengan bukti-bukti dokumenter sehingga memungkinkan untuk dilakukan audit atas kecukupan dan efektifitasnya. • Lingkungan pengendalian Terdiri dari kebijakan, prosedur, dan tindakan yang merefleksikan sikap mental manajemen puncak serta seluruh komponen organisasi. Pengauditan I - Sururi Halaman 11 FRAMEWORK SPI COSO • Lingkungan pengendalian mencakup beberapa hal sebagai berikut, yang semuanya harus didukung dengan buktibukti dokumenter: 1. Integritas dan nilai-nilai etika, bisa dinyatakan dalam pernyataan kebijakan (policy statement) 2. Komitmen terhadap kompetensi 3. Partisipasi dewan komisaris dan komite audit Pengauditan I - Sururi Halaman 12 FRAMEWORK SPI COSO 4. Integritas dan nilai-nilai etika, bisa dinyatakan dalam pernyataan kebijakan (policy statement 5. Filosofi manajemen dan gaya operasional, yaitu landasan pemikiran manajemen serta cara manajemen menjalankan aktifitas operasional organisasi. 6. Struktur organisasi 7. Kebijakan dan praktik bidang SDM Pengauditan I - Sururi Halaman 13 FRAMEWORK SPI COSO • Asesmen risiko (risk assessment), adalah kesadaran dan kepedulian manajemen terhadap risiko kesalahan, kecurangan, dan inefisiensi dalam setiap proses bisnis yang dijalaninya. Asesmen risiko diwujudkan oleh manajemen dalam bentuk SPI (Sistem Pengendalian Interen). • Aktifitas pengendalian (control activities), yaitu tindakan kongkrit untuk mengendalikan risiko kesalahan, kecurangan, dan inefisiensi. Pengauditan I - Sururi Halaman 14 FRAMEWORK SPI COSO Bentuk dari aktifitas pengendalian adalah: 1. Pemisahan fungsi 2. Otorisasi transaksi dan aktifitas bisnis 3. Dokumen transaksi dan pembukuan 4. Pengendalian akses fisik atas aset dan pembukuan 5. Pengecekan independen atas kinerja operasional Pengauditan I - Sururi Halaman 15 FRAMEWORK SPI COSO Prinsip pemisahan fungsi: 1. Pemisahan fungsi penyimpanan aset dari fungsi pembukuan 2. Pemisahan fungsi otorisasi dari fungsi penyimpanan aset 3. Pemisahan fungsi TI dari fungsi penggunaan TI Pemisahan fungsi diperlukan untuk meminimumkan potensi kecurangan melalui penyalahgunaan wewenang dan tanggungjawab Pengauditan I - Sururi Halaman 16 FRAMEWORK SPI COSO Otorisasi Transaksi Otorisasi berfungsi untuk mencegah risiko kecurangan melalui penyalahgunaan wewenang dan tanggung jawab. Otorisasi mencakup: 1. Otorisasi umum, yaitu otorisasi untuk kegiatan rutin. 2. Otorisasi khusus, yaitu otorisasi untuk kegiatan atau transaksi non rutin yang berpengaruh signifikan terhadap organisasi. Pengauditan I - Sururi Halaman 17 FRAMEWORK SPI COSO Dokumen transaksi: Prinsip dokumen transaksi mencakup: 1. Bernomor urut tercetak (prenumbered form) 2. Dibuat bersamaan dengan terjadinya transaksi 3. Dirancang multi fungsi 4. Mudah dibuat, kecil potensi salah isi dan potensi penyalahgunaan. Dokumen berfungsi sebagai: alat perintah, alat bukti, dan alat pengendalian/pengawasan. Pengauditan I - Sururi Halaman 18 FRAMEWORK SPI COSO Pengecekan independen: Adalah prosedur atau sistem yang dirancang untuk mendeteksi kesalahan atau kecurangan sedini mungkin, misalnya pencocokan user id dengan password dst. Informasi dan komunikasi: Adalah sistem untuk melancarkan arus informasi dan komunikasi, baik untuk internal entitas maupun untuk hubungan dengan lingkungan eksternal entitas. Monitoring: Adalah pemantauan atas kesesuaian SPI dengan lingkungannya, yang berubah secara berkelanjutan. Pengauditan I - Sururi Halaman 19 PEMAHAMAN DAN DOKUMENTASI SPI • Pemahaman SPI dapat diperoleh melalui: 1. Kuesioner 2. Pemutakhiran dan evaluasi pengalaman dari penugasan audit sebelumnya 3. Wawancara dengan staf yang relevan 4. Evaluasi atas dokumen dan pembukuan 5. Observasi aktifitas operasional 6. Observasi sistem informasi akuntansi Pengauditan I - Sururi Halaman 20 PEMAHAMAN DAN DOKUMENTASI SPI • Dokumentasi pemahaman SPI dapat dibuat dalam bentuk: 1. Narasi atau uraian tertulis 2. Bagan alir (gambar) 3. Kuesioner yang sudah terisi Pengauditan I - Sururi Halaman 21 ASESMEN RISIKO PENGENDALIAN • Asesmen risiko pengendalian dibuat setelah auditor memperoleh pemahaman SPI. • Risiko pengendalian adalah risiko SPI tidak mampu mencegah salah saji dengan segera, baik karena kesalahan (error) maupun karena kecurangan (fraud). • Kesalahan atau kecurangan perlu dicegah atau dideteksi dengan segera, karena jika terlambat bisa berdampak pada kerugian yang signifikan bagi entitas. Pengauditan I - Sururi Halaman 22 ASESMEN RISIKO PENGENDALIAN • Asesmen risiko pengendalian merupakan bagian daris asesmen risiko salah saji dalam laporan keuangan secara keseluruhan. • Langkah-langkah dalam asesmen risiko pengendalian: 1. Mengidentifikasi objek audit dan tujuan audit 2. Mengidentikasi sistem pengendalian yang ada. Pengauditan I - Sururi Halaman 23 ASESMEN RISIKO PENGENDALIAN 3. 4. Menghubungkan sistem pengendalian yang ada dengan objek audit dan tujuan audit. Mengidentifikasi dan mengevaluasi celah pengendalian (control deficiency), celah signifikan (significan deficiency), dan kelemahan material (material weakness). Pengauditan I - Sururi Halaman 24 ASESMEN RISIKO PENGENDALIAN 5. Menghubungkan celah pengendalian dengan objek audit dan tujuan audit. 6. Mengukur (melakukan asesmen) risiko pengendalian untuk setiap objek audit dan tujuan audit. Deskripsi terminologi: • Celah pengendalian (control deficiency), adalah ketidakmampuan sistem pengendalian untuk mencegah atau mendeteksi salah saji dengan segera. Celah pengendalian terjadi pada saat pengendalian yang diperlukan tidak ada atau tidak dirancang dengan tepat. Pengauditan I - Sururi Halaman 25 ASESMEN RISIKO PENGENDALIAN • Celah operasional (operational deficiency) terjadi pada saat sistem pengendalian yang dirancang dengan baik gagal dioperasikan atau pada saat operator sistem kurang kompeten atau tidak diberi otorisasi dengan tepat. Celah significan (significant deficiency), terjadi pada saat terdapat satu atau lebih celah pengendalian, tetapi sifatnya belum pervasive atau akut. Pengauditan I - Sururi Halaman 26 ASESMEN RISIKO PENGENDALIAN • Kelemahan material (material weakness), terjadi pada saat terdapat beberapa celah pengendalian yang signifikan atau akut, yang bisa membuat salah saji material dalam laporan keuangan tidak dapat dicegah dan dideteksi dengan segera. Pengauditan I - Sururi Halaman 27 ASESMEN RISIKO PENGENDALIAN Lima cara deteksi deficiencies, significant deficiencies, dan material weakness: 1. Identifikasi SPI yang ada. 2. Identifikasi sistem pengendalian utama atau penting yang tidak ada. 3. Identifikasi eksistensi alternatif pengendalian (compensating control) untuk mengganti pengendalian utama yang tidak ada. Pengauditan I - Sururi Halaman 28 ASESMEN RISIKO PENGENDALIAN 4. Buat kesimpulan potensi adanya significant deficiency atau material weakness. 5. Buat kesimpulan tentang potensi salah saji yang dapat terjadi, yang disebabkan oleh adanya control deficiency, signifincant deficiency, dan material weakness. Pengauditan I - Sururi Halaman 29 KOMUNIKASI SPI • Auditor harus melaporkan secara tertulis kepada manajemen temuan tentang celah pengendalian (significant deficiency) dan kelemahan material (material weakness). • Tujuan pelaporan adalah agar kelemahan SPI yang signifikan tersebut dapat segera ditindaklanjuti oleh manajemen. • Laporan ditujukan kepada komite audit atau langsung ditujukan ke manajemen. Pengauditan I - Sururi Halaman 30 KOMUNIKASI SPI • Kelemahan-kelemahan SPI yang tidak signifikan dilaporan tersendiri melalui surat terpisah yang disebut dengan management letters. • Management letters tidak diwajibkan oleh standar audit, tetapi perlu dibuat sebagai nilai tambah layanan audit laporan keuangan (value-added service of the audit). Pengauditan I - Sururi Halaman 31 PENGUJIAN PENGENDALIAN • Pengujian pengendalian (tests of controls) ditujukan untuk mengikur tingkat efektifitas SPI. • Pengujian pengendalian diperlukan karena implementasi SPI bisa jadi berbeda dengan standar SPI yang telah ditetapkan, atau berbeda dengan yang difahami oleh auditor. Pengauditan I - Sururi Halaman 32 PENGUJIAN PENGENDALIAN • Prosedur pengujian SPI: 1. Wawancara dengan staf terkait. 2. Evaluasi dokumen, pembukuan, dan laporan. 3. Observasi prosedur pengendalian, terutama untuk kegiatan yang tidak didokumentasikan. 4. Pengerjaan ulang prosedur SPI. Pengauditan I - Sururi Halaman 33 LUAS PENGUJIAN PENGENDALIAN Faktor-faktor yang mempengaruhi luas pengujian pengendalian: 1. Asesmen risiko pengendalian pada tahap perencanaan audit. Jika asesmen risiko pengendalian ditetapkan rendah (lower assessed control risk), pengujian pengendalian akan lebih ekstensif dengan bukti yang relatif lebih banyak, begitu pula sebaliknya. Pengauditan I - Sururi Halaman 34 LUAS PENGUJIAN PENGENDALIAN 2. 3. 4. Pengalaman audit tahun sebelumnya, jika SPI telah mengalami banyak perubahan, auditor harus melakukan pengujian untuk memastikan kecukupan dan efektifitas SPI yang baru. Adanya risiko signifikan, yaitu risiko salah saji yang dipandang perlu mendapatkan perhatian khusus oleh auditor. Hasil pengujian pengendalian digunakan untuk mengukur risiko pengendalian, yaitu risiko salah saji tidak dapat dideteksi dengan segera oleh sistem pengendalian yang ada. Pengauditan I - Sururi Halaman 35 PENGUJIAN SUBSTANTIF • Pengujian substantif adalah pengujian atas kewajaran angka-angka dalam laporan keuangan. • Jumlah bukti dan kedalaman pengujian substantif dipengaruhi oleh tingkat kualitas SPI yang telah diuji melalui pengujian pengendalian. • Pengujian substantif dilakukan dengan cara mencocokkan angka laporan dengan dokumen pendukung dan standar akuntansi yang berlaku. Pengauditan I - Sururi Halaman 36 PENDEKATAN AUDIT COMPONENTS OF PRELIMINARY AUDIT STRATEGIES PRIMARILY SUBSTANTIVE APPROACH 1 2 3 LOWER ASSESSED LEVEL OF CONTROL RISK APPROACH AUDIT STRATEGY PLANNED ASSESSED LEVEL OF CONTROL RISK MAX HIGH MODERATE LOW EXTENT OF UNDERSTANDING OF INTERNAL CONTROL STRUCTURE TEST OF CONTROL 4 PLANNED LEVEL OF SUBSTANTIVE TESTS COST OF COMBINED PROCEDURES PRELIMINARY AUDIT STRATEGIES FOR Pengauditan I - Sururi MATERIAL FINANCIAL STATEMENT ASSERTIONS Halaman 37 PENDEKATAN AUDIT Keterangan gambar: • Terdapat dua alternatif pendekatan audit: 1. 2. Pendekatan pengujian sistem (the lower assessed level of control risk approach), digunakan pada saat: A. SPI diprediksi memadai dan efektif B. Volume transaksi relatif besar Pendekatan pengujian substantif (primarily substantive approach), digunakan pada saat: A. SPI diprediksi kurang memadai dan tidak efektif, ATAU B. Volume transaksi rendah, sehingga lebih efisien langsung melakukan pengujian substantif. Pengauditan I - Sururi Halaman 38 PENDEKATAN AUDIT Keterangan gambar: • Pada pendekatan pengujian pengendalian, yang diperluas adalah pemahaman dan pengjian SPI, sedangkan pada pendekatan substantif, yang diperluas adalah pengujian substantif, yaitu pengujian kewajaran elemen laporan keuangan dengan acara mengujia kesesuaian angka laporan dengan bukti pendukung serta standar akuntansi yang berlaku. Pengauditan I - Sururi Halaman 39 PELAPORAN PENGUJIAN PENGENDALIAN • Di US untuk audit perusahaan publik, auditor diwajibkan menerbitkan laporan hasil pengujian pengendalian, secara terpisah atau menjadi satu dengan laporan atas audit laporan keuangan. • Cakupan laporan pengujian SPI hanya terbatas pada keyakian memadai bawah kelemahan material (material weakness) dalam SPI dapat diidentifikasi. Pengauditan I - Sururi Halaman 40 PELAPORAN PENGUJIAN PENGENDALIAN Opini auditor atas hasil pengujian SPI: 1. Opini wajar tanpa pengecualian (unqualified opinion), dikeluarkan pada kondisi: Material weakness tidak teridentifikasi Tidak ada pembatasan luas pemeriksaan 2. Opini tidak wajar (adverse opinion), dikeluarkan pada saat auditor menemukan satu atau lebih material weakness dalam SPI. 3. Opini dengan pengecualian atau menolak memberi opini (qualified or disclaimer of opinion), dikeluarkan pada saat auditor mengalami keterbatasan luas pemeriksaan (scope limitation) dalam melakukan pengujian pengendalian. Pengauditan I - Sururi Halaman 41 Terimakasih (Bagian Terpenting Dalam Hidup) Pengauditan I - Sururi Halaman 42