BAB 26 : MENGEVALUASI PENGENDALIAN INTERNAL

Berikut ini terjemahan beberapa alinea dari ISA 315 mengenai kewajiban auditor sehubungan
dengan evaluasi pengendalian intern, dan pendokumentasian hasilnya,

ISA 135.13.
Dalam memperoleh pemahaman mengenai pengendalian yang relevan dengan audit, auditor wajib
mengevaluasi rancangan dari pengendalian tersebut dan menentukan apakah pengendalian tersebut
sudah diimplementasi , dengan melaksanakan prosedur tambahan disamping bertanya kepada
pegawai entitas.

ISA 135.29
Jika auditor sudah menentukan adanya risiko signifikan , auditor wajib memperoleh pemahaman
mengenai pengendalian entitas, termasuk kegiatan pengendalian yang relevan dengan risiko
tersebut.

ISA 315.32
Auditor wajib memasukkan dalam dokumentasi audit, antara lain:

a. Pembahasan diantaranya anggot tim (penugasan) audit seperti yang diharuskan dalam
alinea 10 dan keputusan signifikan yang dicapai.
b. Unsur pertama pemahaman yang diperoleh mengenai setiap aspek tentang entitas dan
lingkungannya seperti yang disebutkan dalam alinea 11 dan setiap komponen pengendalian
intern yang disebutkan dalam alinea 14-24; sumber informasi dari mana pemahaman
itudiperoleh, dan prosedur penilaian risiko yang dilaksanakan.
c. Risiko (salah saji material) yang diidentifikasi dan dinilai pada tingkat lapioran keuangan dan
pada tingkat asersi seperti yang diharuskan dalam alenia 25; dan
d. Risiko yang diidentifikasi , dan pengendalian yang terkait yang dipahami, sebagai hasil
(pelaksanaan) kewajiban dalam alinea 27-30.

Auditor wajib mengevaluasi rancangan dan implementasi pengendalian, apakah ia akhirnya akan
melaksanakan atau tidak melaksanakan uji pengendalian untuk mengumpulkan bukti . Evaluasi ini
merupakan suatu proses yang terdiri atas empat langkah ;
LANGKAH 1. Risiko Apa yang Harus Dimitigasi

Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor risiko yang signifikan
dan faktor risiko lain yang ada
Apa yang bisa salah adalah pertanyaan sederhana yang mengarahkan manajemen dan
juga auditor pada identifikasi tentang risiko apa yang dihadapi, dan apakah risiko itu bersufat
pervasif atau spesifik.
Dalam Pengendalian Penanggulangan untuk risiko yang bersifat pervasif ada; entity level
controls (pengendalian pada tingkat entitas). General IT controls (pengendalian teknologi informasi
umum), transactional controls (pengendalian transaksional), sedangkan pengendalian untuk risiko
yang bersifat spesifik; transactional controls (pengendalian transaksional) , IT Application controls
(pengendalian aplikasi), dan beberapa entity level controls (pengendalian pada tinngkat entitas)
yang spesifik.
LANGKAH 2. Apakah Pengendalian Memitigasi Risiko?

Pada tahap ini para auditor (khususnya mereka yang mengaudit entitas bebar dan kompleks)
memandang perlu untuk memperoleh informasi, terutama yang dibuat oleh entitas tersebut, yang
menjelaskan proses biasnis, arus dokumen didalam entitas , dan dimana pegendalian itu berada .
Namun ini bukanlah ketentuan yang ditetapkanoleh ISAs.
Ada dua cara yang lazimnya digunakan untuk menyandingkan pengendalian internal dengan
faktor risiko atau tujuan pengendaliannya yang dirancang untuk menangkal risiko . Kedua
pendekatan ini adalah one-risk-to-many controls (satu re risiko dengan banyak pengendalian) dan
many-risks-to-many controls(banyak risiko dengan banyak pengendalian)

a. One-risk-to-many Controls
Pendekatan satu risiko banyak pengendalian ini sering digunakan untuk memetakan segala jenis
pengendalian , termasuk pengendalian transaksional. Namun satu, pengendalian transaksional
sering kali dapat menangani lebih dari satu risiko ; karena satu pengendalianditampilkan
berulang-ulang yang secara umum dianggap lebih efektif untuk memetakan pen gendalian
transaksional.
Beberapa pengendalian yang dapat dirancang dan diimplementasikan oleh manajemen untuk
menangani pervasive risk (risiko pervasif) ini antara lain;
1. Manajemen terus menerus menunjukkan, dengan kata dan perbuatan , komitmen terhadap
standar etika yang tinggi.
2. Manajemen menghilangkan atau mengurangi insentif atau godaan yang menyebabkan
prgawai berbuat tidak jujur atau tidak etis
3. Ada kode prilaku/etik atau semacamnya yang menetapkan standar etika atau prilaku moral
yang tinggi
4. Pegawai dengan jelas memahami dan dapat membedakan prilaku yang dapat , dan tidapat
diterima, dan mengetahui apa yang harus dilakukan jika mereka berperilaku buruk, dan
5. Pegawai selalu dikenakan disiplin/sanksi untuk perilaku tidak terpuji.
b. Many-risks-to-many Controls
Untuk risiko spesifik dan risiko transaksional pendekatan yang paling umum dalam
mengevaluasi rancangan pengendalian, ialah dengan menggunakan apa yang dikenal sebagai
control design matrix atau matriks rancangan pengendalian. Matriks ini memungkinkan
auditor secara sekilas dengan cepat dapat melihat:
1. Hubungan banyak-dengan-banyak antara risiko dan pengendalian
2. dimana kuatnya pengendalian internal
3. dimana lemahnya pengendalianinternal dan
4. pengendalian utama yang menanggapi banyak risiko /asersi dan dapat diuji efektif tidaknya
pengendalian tersebut.
c. Bagaimana Mengidentifikasi PI yang Relevan
Mengidentifikasi pengendalian internal yang relevan umumnya melalui diskusi atau wawancara
dengan mereka yang bertanggungjawab untuk mengelola suatu risiko. Atau istilah sederhanya,
mereka yang mengelola proses tertentu. Dalam entitas yang kecil orang ini adalah pemilik
merangkap pengelola (owner manager) atau seorang manajer senior (senior manager).
d. Menyimpulkan Rancangan Pengendalian
Langkah terakhir dalam menilai rancangan pengendalian ialah menarik kesimpulan mengenai
apakah pengendalian yang diidentifikasi memang benar-benar memitigasi faktor-faktor tertentu.
 Untuk setiap asersi yang relevan atau faktor risiko, perhatikan apakah tanggapan manajemen
cukup untuk menekan risiko salah saji material ketingkat rendah yang dapat diterima . jika
pendekatan cintrols design matrix diugunakan , baris bawah matriks tersebut dapat digunakan
untuk didokumentasikan apakah pengendalian cukup memitigasi setiap faktor risiko.

LANGKAH 3. Apakah Pengendalian Itu Berfungsi

Dokumen yang menjelaskan tentang pengendalian itu (bagaimanapun baiknya penjelasan

itu) jika pengendalian itu kenyataanya tidak ada atau tiodak berfungsi, sama sekali tidak mempunyai
nilai untuk audit itu. Itulah sebabnya, auditor perlu mengamati pengendalian yang sedang berjalan ,
observe internal control in action!

Prosedur penilaian risiko yang diwajibkan untuk memperoleh bukti audit mengenai
diimplementasikannya pengendalian meliputi:
1. Bertanya kepada pegawai entitas
2. Mengamati atau mengulangi aplikasi dari pengendalian tertnetu
3. Menginpeksi dokumen dan laporan, dan
4. Menelusuri satu atau beberapa transaksi melalui sistem informasi yang relevan untuk pelaporan
keuangan.

Hanya sesudah disimpulkan bahwa pengendalian intern yang relevan untuk audit, sudah
dirancang dan diimplementasi, barulah saatnya untuk mempertimbangkan;
1. Uji pengendalian atas efektifnya operasi yang mana (jika ada) akan menurunkan kebutuhan untuk
uji substantifnya, dan
2. Pengendalian mana uji pengendalian, karena tidak ada cara lain memperoleh bukti audit yang
cukup dan tepat.

LANGKAH 4. Apakah Pengendalian Sudah Didokumentasi?

Tujuan dari langkah ini adalah untuk memberikan informasi tentang beroperasinya
pengendalian yang relevan, yang diidentifikasi dalam langkah 2. Beberapa luas/banyaknya
dokumentasi ditentukan oleh kearifan profesional audit.

Bentuk dokumentasi yang paling umum dibuat oleh manajemen atau auditor adalah;
1. Penjelasan naratif atau memo
2. Bagan arus
3. Kombinasi antara flow charts dan narrative descriptions, dan
4. Kuesioner dan daftar uji

Sifat dan luas/banyaknya dokumentasi yang diperlukan , ditentukan oleh kearifan

profesional auditir. Faktor yang perlu diperhatikan adalah;
1. Sifat, ukuran, kompleksitas entitas dan pengendalian intern
2. Tersedianya informasi pada entitas
3. Metodologi dan teknologi audit yang digunakan
Pemuktahiran Dokumentasi Di Tahun Mendatang

Auditor dapat menggunakan dokumenatasi yang dibuat atau didapat dalam audit periode
yang lalu ketika merencanakan audit tahun berikutnya, pemuktahiran ini meliputu:
1. Buat salinan (copy) dari kertas kerja tahun lalu, sebagai tolok ukur pemuktahiran di tahun
berjalan, jika tidak ada perubahan , evaluasi control implementation. Jika pengendalian sudah
diimplementasikan dan risikonya tidak berubah, rancangannya dapat diterima.
2. Muktahirnya daftar risiko yang dimitigasi oleh pengendalian.
3. Identifikasikan perubhan dalam pengendalian intern pada tingkat entitas dan tingkat transaksional
4. Jika ditemukan ada perubahan (risiko atau pengendalian) , tentukan apakah pengendalian intern
yang sudah dirancang ;dan diimplementasikan;
5. Muktahirkan keterkaitan antara pengendalian intern dengan faktor risiko yang tepat;
6. Mutakhirkan kesimpulan pada risiko pengendalian.

Representasi Tertulis Tentang Pengendalian Internal

Representasi atau pernyataan tertulis tentang pengendalian intern diminta dari manajemen
yang mengakui bertanggung jawab untuk mengadakan dan memelihara pengendalian intern yang
menurutnya diperlukan untuk membuat laporan keuangan yang bebas dari salah saji yang material,
yang disebabkan oleh kesalahan atau kecurangan.