BAB 25

MEMAHAMI PENGENDALIAN INTERNAL

Tinjauan Umum
Pengendalian internal adalah proses, kebijakan, dan prosedur yang dirancang oleh
manajemen untuk memastikan pelaporan keuangan yang andal dan pembuatan laporan
keuangan yang sesuai dengan kerangka akuntansi yang berlaku. Pengendalian internal
membahas hal-hal seperti sikap, manajemen terhadap pengandalian, kompetensi pegawai
inti/kunci, penilaian risiko, akuntansi, dan sistem informasu keuangan lainnyayang digunakan,
serta kegiatan pengendalian yang tradisional.
Auditor harus memperoleh pemahaman mengenai pengendalian internal dalam semua
penugasan audit. Ini berlaku untuk semua ukuran entitas, sekalipun auditor sudah
memutuskan untuk menggunakan sepenuhnya pendekatan substantif dalam menanggapi
risiko salah saji yang material.

Risiko Dan Pengendalian

Risiko bawaan (inherent risk) yang merupakan risiko bisnis (bussiness risk) meupun risiko
kecurangan (fraud risk) diidentifikasi dalam tahap identifikasi dan penilaian risiko.
Manajemen menanggulangi risiko ini dengan merancang dan mengimplementasikan
pengendalian internal yang akan menurunkan risiko ini ke tingkat rendah yang dapat diterima
(acceptably low level). Risiko yang tersisa sesudah pengendalian intern dirancang dan
diimplementasikan, disebut residual risk atau risiko sisa. Risiko sisa ini tidak lain dari risiko
salah saji material.

Pengendalian Internal Pervasif Dan Spesifik

Pengendalian internal secara luas dapat dikategorikan ke dalam pengendalian pervasif
(pervasive controls) atau pengendalian intrenal di tingkat entitas (entity-level controls) dan
pengendalian spesifik (spesific controls) atau pengendalian transaksional (transactional
controls).

Lima Komponen Pengendalian Internal

Berbagai jenis pengendalian internal dalam suatu entitas dibagi dalam lima komponen inti
sebagai berikut:
 Financial reporting objective—tujuan pelaporan keuangan
 Contol environment—lingkungan oengendalian
 Risk assessment—penilaian risiko
 Information system—sistem informasi
 Control activities—pengendalian aktivitas
 Monitoring—pemantauan
 Setiap komponen pengendalian internal mendapat perhatian auditor sebagai:
 Bagian dari pemahamannya terhadap pengendalian intern atas pelaporan keuangan
 Informasi untuk mempertimbangkan bagaimana berbagai aspek pengendalian internal itu
bisa memengaruhi audit

Pengendalian Intrenal Entitas Kecil

Entitas kecil mempunyai pegawai yang (relatif) sedikit. Pengendalian pada entitas semacam
itu berasal dari lingkungan pengendalian (control environment); komitmen manajemen atas
nilai-nilai etika, kompetensi, sikap/cara pikir mengenai pengendalian, dan sikap dan tindakan
sehari-hari. Pengendalian intern pada entitas kecil tidak berpusat pada pengendalian spesifik
atas transaksi.

Tidak Adanya Pengendalian Internal

Jika tidak ada banyak kegiatan pengendalian (control activities) yang bisa diidentifikasi,
auditor mempertimbangkan apakah:
 Mungkin menangani asersi-asersi relevan dengan melaksanakan proseur audit selanjutnya
yang terutama merupakan prosedur substantif; atau
 Ketiadaan kegiatan pengendalian atau komponen pengendalian lainnya (sangat jarang
terjadi) tidak memungkinkan auditor memperoleh bukti audit yang cukup dan tepat.
 Hal-hal lain menimbulkan tanda tanya mengenai apakah audit seharusnya dijalankan,
seperti berikut:
 Keraguan mengenai integritas manajemen, perilaku non-etis, atau sikap yang
mengabaikan pengendalian internal
 Kekhawatiran mengenai kondisi dan keandalan catatan ektitas yang membuat auditor
tidak mungkin memperoleh bukti audit yang cukup dan tepat untuk memberikan pendapat
wajar tanpa pengecualian.
 Jika keraguan dan kekhawatiran di atas terjadi, auditor perlu mempertimbangkan dan
memodifikasi laporan auditornya atau mengundurkan diri dari penugasan sama sekali.

Pengendalian Memberantas Kecurangan

Management override atau peniadaan pengendalian oleh manajemen, dalam entitas kecil,
dapat dimitigasi atau ditekan dengan menetapkan (beberapa) kebijakan dan prosedur inti dan
mendokumentasikannya.

Pengendalian Internal Yang Relevan Untuk Audit

Tidak semua pengendalian relevan bagi audit itu.auditor hanya perlu memperhatikan
pemahaman dan evaluasi atas pengendalian yang memitigasi risiko salah saji yang material
dalam laporan keuangan (karena kecurangan atau kesalahan). Ini berarti, pengendalian
tertentu dapat dikeluarkan dari lingkup audit, seperti pengendalian yang:
 Tidak berurusan dengan pelaporan keuangan
 Sekalipun tidak ada, kemungkina terjadinya salah saji material dalam laporan keuangan
sangat kecil.
 BAB 26
MENGEVALUASI PENGENDALIAN INTERNAL
Tinjauan Umum
Auditor wajib mengevaluasi rancangan dan implementasi pengendalian, apakah ia akhirnya
akan melaksanakan atau tidak melaksanakan uji pengendalian (tests of controls) untuk
mengumpulkan bukti. Evaluasi ini merupakan suatu proses yang terdiri atas empat langkah
yang diringkaskan sebagai berikut:
Langkah 1—Risiko apa yang harus dimitigasi ?
Langkah 2—Apakah Pengendalian yang dirancang manajemen, memitigasi risiko itu ?
Langkah 3—Apakah pengendalian yang memitigasi risiko itu, berfungsi ?
Langkah 4—Apakah operasi pengendalian yang relevan, sudah didokumentasikan ?

Langkah 1—Risiko Apa Yang Harus Dimitigasi ?

Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor risiko yang signifikan
dan faktor risiko lain yang ada. Daftar faktor risiko berdasarkan proses bisnis tidak wajib
dibuat. Namun jika sudah dibuat, daftar ini bermanfaat untuk mengeliminasi setiap faktor
risiko yang sedikit kemungkinannya mengakibatkan salah saji yang material, sekalipun tidak
dimitigasi sama sekali.
Dalam membuat daftar faktor risiko:
 Gunakan istilah faktor risiko yang sesuai untuk entitas yang bersangkutan
 Pastikan semua asersi yang relevan telah diperhatikan; dan
 Perhatikan, apakah ada risiko tambahan yang berakibat salah saji yang material, jika tidak
dimitigasi.

Langkah 2—Apakah Pengendalian Memitigasi Risiko ?

Dalam mengevaluasi apakah suatu pengendalian sudah dirancang oleh manajemen, auditor
menilai apakah pengendalian yang diidentifikasi benar-benar akan menangkal atau
memitigasi faktor risiko. Ini berarti, manajemen harus memperhatikan apakah pengendalian
itu efektis untuk:
 Mencegah (preventing) terjadinya salah saji material; atau
 Menemukan atau mengungkapkan (detecting) dan mengoreksi (correcting) salah saji
material, setelah salah saji itu terjadi.

Ada dua cara yang lazimnya digunakan untuk menyandingkan pengendalian internal dengan
faktor risiko atau tujuan pengendaliannya yang dirancang untuk menangkal risiko. Kedua
pendekatan ini adalah one-risk-to-many controls (satu risiko dengan banyak pengendalian)
dan many-risk-to-many controls (banyak risiko dengan banyak pengendalian).

One-Risk-To-Many Controls
Pendekatan “satu risiko, banyak pengendalian” ini sering digunakan untuk memetakan semua
jenis pengendalian, termasuk pengendalian transaksional. Namun, satu pengendalian
transaksional seringkali dapat menangani lebih dari satu risiko; karenanya, satu pengendalian
ditampilkan berulang-ulang dalam pendekatan ini.

Many-Risk-To-Many Controls
Untuk risiko spesifik dan risiko transaksional, pendekatan yang paling umum dalam
mengevaluasi rancangan pengendalian, ialah dengan menggunakanapa yang dikenal sebagai
”control design matrix” atau “matriks rancangan pengendalian”. Matriks ini memungkinkan
auditor secara sekilas dengan cepat dapat melihat:
 Hubungan “banyak-dengan-banyak” (many to many relationship) antara risiko dan
pengendalian
 Di mana kuatnya pengendalian internal
 Di mana lemahnya pengendalian internal; dan
 Pengendalian utama yang menanggapi banyak risiko/asersi dan dapat diuji
efektif/tidaknya pengendalian tersebut.

Bagaimana Mengidentifikasi PI Yang Relevan

Bagaimana auditor mengidentifikasi pengendalian internal yang relevan? Umumnya melalui
diskusi atau wawancara dengan mereka yang bertanggung jawab untuk mengelola suatu
risiko. Dalam entitas yang lebih kecil, orang ini adalah pemilik merangkap pengelola (owner-
manager) atau seorang manajer senoir (senior manager).

Menyimpulkan Rancangan Pengendalian

Langkah terakhir dalam menilai rancangan pengendalian ialah menarik kesimpulan mengenai
apakah pengendalian yang diidentifikasi memang benar-benar memitigasi faktor risiko
tertentu. Ini memerluka kearifan profesional.

Langkah 3—Apakah Pengendalian Itu Berfungsi ?

Sekedar bertanya kepada manajemen tidak cukup untuk mengevaluasi rancangan prosedur
pengendalian internal atau apakah prosedur pengendalian internal itu sudah
diimplementasikan.. Auditor perlu mengamati pengendalian yang sedang berjalan, observe
internal control in action! Alasannya adalah:
 Proses dapat berubah dengan perubahan waktu.
 Pegawai entitas mungkin menjelaskan bagaimana suatu sistem seharusnya berfungsi, dan
bukan bagaimana sistem itu dalam kenyataannya berfungsi; dan
 Beberapa aspek dalam suatu sistem secara tidak sengaja terabaikan dalam upaya
memahami pengendalian intern.
 Prosedur penilaian risiko (risk assessment procedures) yang diwajibkan untuk
memeperoleh bukti audit mengenai diimplementasikannya pengendalian meliputi:
 Bertanya (inquiry) kepada pegawai entitas
 Mengamati (observing) atau mengulangi (re-performing) aplikasi dari pengendalian
tertentu
 Menginspeksi dokumen dan laporan; dan
 Menelusuri satu atau beberapa transaksi melalui sistem informasi yang relevan untuk
pelaporan keuangan.

Langkah 4—Apakah Pengendalian Sudah Didokumentasikan ?

Tujuan dari langkah ini adalah untuk memberikan informasi tentang beroperasinya
pengendalian yang relevan, yang diidentifikasi dalam langkah 2. Berapa luas/banyaknya
dokumentasi ditentukan oleh kearifan profesional.
Dokumentasi yang baik akan membantu auditor:
 Memahami sifat, operasi, dan konteks dari pengendalian yang diidentifikasi; dan
 Menentukan apakah pengendalian itu andal dan berfungsi efektif.
 Bentuk dokumentasi yang paling umu dibuat oleh manajemen atau auditor adalah:
 Penjelasan naratif (narrative description) atau memo (memoranda);
 Bagan arus (flow charts);
 Kombinasi antara flow charts dan narrative description; dan
 Kuesioner (questionnaires) dan daftar uji (checklists)

Pemutakhiran Dokumentasi Di Tahun Mendatang

Auditor dapat menggunakan dokumentasi yang dibuat atau didapat dalam audit periode yang
lalau, ketika merencanakan audit tahun berikutnya. Pemutakhiran ini meluputi:
 Buat salinan (copy) dari kertas kerja tahun yang lalu. Sebagai tolak ukur pemutakhiran di
tahun berjalan
 Mutakhirkan daftar risiko yang dimitigasi oleh pengendalian
 Identifikasikan perubahan dalam pengendalian internal pada tingkat entitas dan tingkat
transaksional
 Jika ditemukan ada perubahan (risiko atau pengendalian), tentukan apakah pengendalian
internal yang baru sudah dirancang dna diimplementasikan.
 Mutakhirkan keterkaitan antara pengendalian internal dengan faktor risiko yang tepat
 Mutakhirkan kesimpulan pada risiko pengendalian

Representasi Tertulis Tentang Pengendalian Internal

Representasi tertulis tentang pengendalian internal harus diminta dari manajemen yang
mengakui brtanggung jawab untuk mengadakan dan memelihara pengendalian intern yang
menurutnya diperlukan untuk membuat laporan keuangan yang bebas dari ssalah saji yang
material, yang disebabkan oleh kesalahan atau kecurangan
 BAB 27
MENGOMUNIKASIKAN KELEMAHAN PENGENDALIAN INTERNAL
Tinjauan Umum

Selama berlangsung audit, auditor mungkin menemukan kelemahan dalam pengendalian

internal. Ini bisa terjadi sebagai hasil pemahaman dan evaluasi terhadap pengendalian
internal, dalam memuat penilaian resiko, pelaksanaan prosedur audit, dan berbagai
pengamatan dalam setiap tahap risiko.

Kecurangan
Jika auditor memperoleh bukti tentang adanya kecurangan, ia secepatnya memberi tahu
hal itu kepada manajemen. Ini perlu dikatakan, sekalipun kecurangan tersebut seakan-akan
kecil. Pada tingkat manajemen yang mana kecurangan tersebut dilaporkan? Ini memerlukan
kearifan professional judgment. Namun, sekurang-kurangnya satu jenjang diatas orang yang
diduga terlibat dalam dugaan kecurangan. Juga tergantung pada kemungkinan kolusi
(keterlibatan atasan) dan besarnya kecurangan. Jika kecurangan melibatkan senior
management, komunikasi dengn TCWG juga diperlukan, lisan atau tertulis.
Menilai Parahnya Kelemahan Pengendalian Internal
Kelemahan yang signifikan dalam pengendalian internal didefinisikan sebagai suatu
kelemahan atau gabungan dari beberapa kelemahan dalam pengendalian internal yang
menurut pendapat auditor, cukup penting untuk mendapat perhatian manajemen dan TCWG.
Dalam mengevaluasi pengendalian internal, jika faktor resiko yang kecil kemungkinannya
menyebabkan salah saji material dalam laporan keuangan, faktor resiko tersebut dikeluarkan
dari lingkup pemahaman auditor mengenai pengendalian internal. Kriteria untuk
menentukan apakah kelemahan pengendalian internal adalah signifikan atau tidak, serupa
dengan kriteria untuk segala bentuk resiko. Kearifan profesional digunakan untuk menilai
kemungkinan terjadinya salah saji, dan besarnya potensi salah saji (jika terjadi). Jika salah saji
memang terjadi, penilaian didasarkan pada salah saji yang sebenarnya terjadi.
Kelemahan pengendalian internal yang tidak serius atau kelemahan kecil mungkin
diidentifikasi selama audit. Ini mungkin merupakan hasil wawancara dengan manajemen dan
pegawai, pengamatan terhadap bekerjanya pengendalian internal, pelaksanaan prosedur
audit selanjutnya, dan segala bentuk informasi yang diperoleh. Merupakan maslaah kearifan
profesional untuk menentukan apakah kelemahan pengendalian internal sedemikian
pentingnya untuk dilaporkan kepada manajemen dan TCWG.
Hal-hal yang perlu dipertimbangkan auditor dalam menilai berapa parahnya kelemahan
pengendalian internal adalah sebagai berikut:
 Dampak kelemahan itu pada salah saji material dalam laporan keuangan.
 Kemungkinan kelemahan itu pada salah saji material dalam laporan keuangan di
kemudian hari.
 Kerentanan aset atau utang terhadap kerugian atau kecurangan.
 Subjektivitas atau kompleksitas dalam menentukan angka estimasi, seperti nilai wajar
(fair value)
 Volume kegiatan yang sudah atau akan terjadi dalam saldo akun atau jenis transaksi yang
terekspos oleh kelemahan pengendalian internal.
 Pentingnya pengendalian intern dalam proses pelaporan keuangan.
 Apa sebabnya dan berapa sering terjadinya penyimpangan/ exceptions karena kelemahan
pengendalian internal.
 Keterkaitan antara kelemahan pengendalian internal dengan kelemahan pengendalian
internal lainnya.
Mendokumentasikan Kelemahan Pengendalian Internal
Tidak ada ketentuan khusus dalam ISAs mengenai bagaimana kelemahan pengendalian
internal didokumentasikan. Luasnya dokumentasi merupakan keputusan ynag didasarkan
kearifan profesional. Tabel dibawah ini menyajikan contoh dokumentasi yang tidak mengacu
ke kertas kerja pendukung dan kertas kerja lain.
Jelaskan Apa Dampak
Apa Faktor Resiko kelemahan Potensialnya
Kelemahan Tanggapan
atau Apa Asersi dalam terhadap
Signifikan? audit
yang Dipengaruhi? Pengendalian Laporan
Internal Keuangan?
Manajemen belum Anggota tim Manajemen Ya. Lihat prosedur
mempertimbangkan, manajemen dapat tertentu
atau menilai, resiko memercayai meniadakan berkenaan
terjadinya satu sama lain, (override) dengan
kecurangan. dan keberatan pengendalian journal
menerapkan dan sering entries,
kebijakan yang memanipulasi related
mahal, untuk laporan parties, dan
menangani keuangan. pengakuan
resiko pendapatan.
kecurangan.
Penjualan dicatat Tidak ada Pendapatan Ya. Lihat prosedur
dalam periode/ pengendalian dapat disalah tambahan
tahun buku yang untuk sajikan secara untuk proses
salah. mencegah hal material dalam pisah batas.
ini dan kami laporan
menemukan keuangan.
dua kesalahan
pisah batas
(cut off) dalam
uji rincian
(tests of
details) kami.
 Pengawasan dan Klien tidak Mengingat Ya. Dapatkan
dokumentasi membuat besarnya bukti untuk
mengenai dokumen angka mendukung
pembuatan estimasi untuk estimasi, satu asumsi dan
akuntansi, sangat mendukung kesalahan bisa hitung
lemah. estimasi berdampak kembali
akuntansi yang material estimasi
dibuat. terhadap tersebut.
laporan
keuangan

Butir Pertimbangan
 Catat semua kelemahan pengendalian internal di satu tempat.
Tentukan satu formulir audit untuk mencatat detail penting dari kelemahan
pengendalian intern, setiap kali satu kelemahan ditemukan. Dengan demikian, setiap
kelemahan pengendalian intern yang ditemukan, akan dicatat secara konsisten (karena
format kertas kerjanya sama) dan di tempat yang sama. Jika catatan/ kertas kerja mengenai
kelemahan pengendalian internal tersebar di seluruh file, ada kelemahan pengendalian
internal yang terabaikan pada waktu auditor merangkum temuannya. Ini juga dapat
mengakibatkan tanggapan audit yang tidak lengkap terhadap resiko yang ditemukan, serta
komunikasi yang tidak lengkap kepada manajemen atau TCGW.
 Jelaskan implikasinya.
Dalam mendokumentasikan kelemahan pengendalian internal, ambil waktu untuk
menjelaskan implikasi kelemahan itu (pertanyaan bahasa inggris: “what could go wrong” atau
apa yang bisa salah?) dan tanggapan audit yang disarankan.
 Apa tindakan yang disarankan.
Memberikan rekomendasi kepada manajemen mengenai tindakan yang perlu
diambilnya untuk mengoreksi kelemahan pengendalian intern yang ditemukan, bukanlah
keharusan (yang ditetapkan ISA). Namun, rekomendasi bisa berguna bagi dalam mengambil
manajemen tindakan perbaikan yang tepat. Dalam hal auditor akan memberikan
rekomendasi kepada manajemen, dokumentasikan saran-saran perbaikan pada saat
mencatat kelemahan pengendalian intern. Jika dilakukan kemudian hari, auditor membuang
waktu untuk “mempelajari kembali” temuannya.

Pembahasan dengan Manajemen

Sebelum menerbitkan komunikasi tertulis, merupakan kebiasaan yang baik untuk
membahas temuan audit secara lisan (dengan menyiapkan draf surat). Auditor bertemu
dengan orang yang tepat dalam manajemen atau TCWG. Orang yang tepat ialah orang yang
mengevaluasi kelemahan pengendalian intern dan yang akan mengambil tindakan perbaikan.
Pembahasan lisan membantu auditor memastikan temuannya benar dan redakasi (dalam
draf surat) sudah tepat menggambarkan situasi yang ditemukan. Itu juga merupakan peluang
bagi auditor untuk memperoleh indikasi awal mengenai tanggapan manajemen atau TCWG
terhadap temuan audit.
Untuk kelemahan pengendalian intern yang signifikan, tingkat anggota manajemen yang
tepat adalah pejabat tertinggi dalam entitas, seperti pemilik pengelola/ owner manager,
Direktur utama/ CEO (chief executive officer), atau direktur keuangan/ CFO (chief financial
officer), atau yang setara dengan jabatan itu. Untuk kelemahan pengendalian internal lainnya,
tingkat yang tepat bisa tingkat pelaksana operasional yang langsung terlibat dengan area
pengendalian yang menjadi masalah.
Jika pengendalian internal yang signifikan dilakukan oleh atau mencerminkan kekurangan
kompetensi pemilik-pengelola atau TCWG, tidak ada tingkat atau jenjang yang lebih tinggi
dalam entitas kepada siapa temuan audit harus dilaporkan. Dalam situai seperti ini, auditor
perlu mempertimbangkan apakah ia masih dapat melanjutkan melaksanakan auditnya.
Auditor perlu meminta nasehat hukum.
Diskusi dengan manajemen sangat bermanfaat untuk:
 Membuka peluang untuk memperoleh informasi yang relevan, seperti: Penegasan
mengenai akuratnya sajian tentang kelemahan pengendalian internal dan fakta terkait
(seperti besarnay salah saji yang sebenarnya);
 Membuka peluang untuk memperoleh informasi yang relevan, seperti: Ada / tidaknya
pengendalian lain yang mengatasi resiko (compensating controls);
 Membuka peluang untuk memperoleh informasi yang relevan, seperti: Reaksi manajemen
dan pemahaman manajemen tentang penyebab kelemahan pengendalian internal (yang
sebenarnya atau yang dicurigai);
 Membuka peluang untuk memperoleh informasi yang relevan, seperti: Adanya
penyimpangan (exceptions) yang diketahui manajemen, akibat kelemahan pengendalian
intern;
 Memperoleh indikasi awal mengenai tanggapan manajemen atau TCGW terhadap temuan
audit.
Komunikasi Tertulis
Kelemahan pengendalian internal yang signifikan harus dilaporkan secara tertulis. Ini
mencerminkan betapa pentingnya temuan audit itu, dan dapat membantu manajemen atau
TCWG dalam memenuhi berbagai kewajiban mereka.
Kewajiban untuk mengomunikasikan kelemahan pengendalian internal yang signifikan
secara tertulis berlaku untuk entitas dari segala macam ukuran, termasuk entitas yang
dikelola pemiliknya dan entitas yang sangat kecil. Mengomunikasikan kelemahan
pengendalian internal secara tertulis memastikan bahwa TCWG sudah diinformasikan
mengenai masalahnya. Pada kesempatan pertama yang tepat sesudah menyimpulkan adanya
kelemahan pengendalian internal yang signifikan, auditor memastikan temuannya, diikuti
dengan komunikasi tertulis kepada manajemen dan TCWG.
Tanggapan Manajemen terhadap Komunikasi
 Merupakan tanggung jawab manajemen atau TCWG untuk memberikan tanggapan yang
tepat terhadap komunikasi auditor tentang kelemahan pengendalian intern, dan
rekomendasi mengenai tindakan perbaikan. Tanggapan ini bisa berupa berikut ini
 Pelaksanaan tindakan perbaikan terhadap kelemahan pengendalian internal yang
ditemukan auditor, secara dini.
 Keputusan untuk tidak melaksanakan tindakan perbaikan yang direkomendasikan auditor.
Manajemen sudah mengetahui kelemahan pengendalian internal itu, dan memutuskan
untuk tidak melaksanakan tindakan perbaikan, karena pertimbangan biaya atau
pertimbangan lain.
 Tidak bertindak sama sekali. Ini menandakan sikap “masa bodo” terhadap pengendalian
intern, yang mempunyai implikasi ketika auditor menilai resiko laporan keuangan disalah
sajikan. Dalam beberapa situasi, sikap “ tidak bertindak sama sekali” merupakan
kelemahan pengendalian internal yang signifikan.
Apapun tanggapan manajemen, auditor wajib mengomunikasikan semua kelemahan
pengendalian internal yang signifikan, secara tertulis. Ini termasuk kelemahan signifikan yang
sudah dilaporkan di masa lalu. Bukanlah peran auditor untuk menentukan apakah biaya
perbaikan atas kelemahan pengendalian internal itu, sebanding dengan hasil yang diperoleh.
Namun, pertimbangan mengenai keseimbangan antara besar/ kecilnya entitas dan
penerapan akal sehat dalam hal itu, sangat diperlukan. Jika kelemahan signifikan yang sudah
dilaporkan di masa lalu, masih terjadi, komunikasi tahun ini dapat mengulangi penjelasan
dalam laporan masa lalu atau cukup mengacu kepada laporan masa lalu tersebut. Jika
kelemahan pengendalian internal tidak signifikan, tidak perlu mengungkapkan temuan itu
secara tertulis atau mengulanginya di tahun berjalan. Namun, jika ada perubahan dalam
manajemen, sangatlah tepat bagi auditor untuk mengomunikasikan kembali kelemahan
tersebut.
Komunikasi mengenai pengendalian internal yang signifikan biasanya meliputi:
 Penjelasan mengenai setiap kelemahan yang signifikan dan dampak yang mungkin terjadi.
Tidak perlu menghitung dampak kauntitatif dari kelemahan tersebut;
 Usulan untuk memperbaiki kelemahan tersebut;
 Tanggapan manajemen, yang sebenarnya atau yang akan dilakukan; dan
 Pernyataan apkah auditor mengambil langkah-langkah untuk memverifikasi apakah
tanggapan manajemen memang diimplementasikan.
 Kelemahan pengendalian internal yang signifikan dapat dikelompokkan, jika perlu. Untuk
menambah perspektif, surat itu dapat juga memuat:
 Penjelasan bahwa, seandainya auditor melaksanakn lebih banyak prosedur atas
pengendalian intern, auditor mungkin menemukan lebih banyak kelemahan yang harus
dilaporkan, atau menyimpulkan atau beberapa kelemahan seharusnya tidak perlu
dilaporkan; dan
 Penjelasan bahwa komunikasi ini semata-mata untuk keperluan TCWG, dan mungkin tidak
tepat untuk keperluan lain.
 Ketentuan perundang undangan di beberapa negara bisa menetapkan kewajiban
tambahan bagi auditor untuk mengomunikasikan atau lebih jenis kelemahan pengendalian
intern yang ditemukan dalam auditnya. Dalam hal ini:
 Kewajiban menurut ISA 265 tetap berlaku, sekalipun ketentuan perundang-undangan itu
mengharuskan auditor menggunakan istilah atau definisi tertentu; dan
 Auditor menggunakan istilah atau definisi untuk tujuan komunikasi sesuai ketentuan
perundang-undangan yang berlaku.

Waktu untuk Komunikasi Tertulis

Auditor wajib mengomunikasikan secara tertulis, kelemahan pengendalian internal yang
signifikan yang ditemukannya selama audit, secara tepat waktu. Faktor yang perlu
dipertimbangkan adalah sebagai berikut:
 Apakah penundaan yang tidak perlu, dalam melaporkan informasi tersebut, akan
menyebabkan temuan audit itu kehilangan relevansinya?
 Apakah informasi tersebut merupakan faktor penting yang memungkinkan TCWG
mempertanggungjawabkan kewajiban pengawasan (oversight responsibilities) mereka?
Kecuali jika ketentuan setempat menetapkan tanggal tertentu, tanggal terakhir untuk
komunikasi tertulis adalah sebelum atau mendekati tanggal laporan auditor. Karena
komunikasi tertulis merupakan bagian dari audit file, penyelesaian kewajiban “komunikasi
tertulis” secara dini memungkinkan auditor merampungkan penyusunan final audit file nya
secara tepat waktu. Sedapat mungkin, komunikasikan kelemahan pengendalian internal jauh
sebelum pekerjaan audit akhir tahun dimulai. Pemberitahuan dini memungkinkan
manajemen melaksanakan tindakan perbaikan yang membantu auditor menurunkan resiko
yang dinilainya, yakni resiko salah saji di tingkat laporan keuangan atau asersi. Sebagai contoh
rekomendasi untuk mengganti pemegang buku yang tidak kompeten akan mengurangi
pekerjaan revieuw (atas pembuatan laporan keuangan akhir tahun) secara signifikan.
Berikut beberapa terjemahan alinea dari ISA 260 dan ISA 265 yang relevan dengan
pembahasan ini:
ISA 260.10
Untuk tujuan ISAs, istilah-istilah berikut mempunya makna sebagai berikut:
a) Those Charged With Governance (selanjutnya disingkat TCWG) --Orang atau organisasi
dengan tanggung jawab mengawasi arah strategis dan kewajiban entitas berkenaan
dengan akuntabilitasnya. Termasuk didalamnya, mengawasi proses pelaporan kuangan.
Untuk beberapa entitas dalam beberapa wilayah hukum, TCWG bisa terdiri atas anggota
manajemenn, misalnya anggota eksekutif dalam dewan pengawas pada entitas privat
atau entitas sektor publik, atau pemilik (merangkap) pengelola. Untuk pembahasan
mengenai keberagaman struktur governance, lihat alinea A1- A8.
b) Management / orang- orang dengan tanggung jawab eksekutif untuk menjalankan/
mengelola operasi entitas. Untuk beberapa entitas dalam beberapa wilayah hukum,
management terdiri atas beberapa atau semua TCWG, misalnya, anggota eksekutif dalam
dewan pengawas, atau pemilik pengelola.
ISA 265.6
Untuk tujuan ISAs, istilah-istilah berikut mempunyai makna sebagai berikut.
Kelemahan/ kekurangan dalam pengendalian internal ini terjadi dalam hal:
 Suatu pengendalian dirancang, diimplementasikan atau dijalankan sedemikian rupa
sehingga tidak dapat mencegah, atau mendeteksi/ menemukan dan mengoreksi salah saji
dalam laporan keuangan secara tepat waktu; atau
 Kehilangan pengendalian yang diperlukan untuk mencegah, atau mendeteksi/
menemukan dan mengoreksi, salah saji dalam laporan keuangan secara tepat waktu
Kelemahan/ kekurangan yang signifikan dalam pengendalian inetrnal Suatu kelemahan atau
gabungan dari beberapa kelemahan dalam pengendalian internal yang, menurut pendapat
auditor, cukup penting untuk mendapat perhatian manajemen dan TCWG.
ISA 265.7
Auditor wajib menentukan apakah, berdasarkan pekerjaan audit yang dilaksanakan,
auditor telah mengidentifikasi satu atau beberapa kelemahan dalma pengendalian internal.
ISA 265.8
Jika auditor telah mengidentifikasi satu atau beberapa kelemahan dalam pengendalian
internal, auditor wajib menentukan, berdasarkan pekerjaan audit yang dilaksanakannya
apakah, secara sendiri- sendiri atau tergabung, kelemahan pengendalian internal itu
signifikan.
ISA 265.9
Auditor wajib mengomunikasikan secara tertulis kelemahan pengendalian internal yang
signifikan, yang diidentifikasinya selama audit, kepada TCWG secara tepat waktu.
ISA 265.10
Auditor wajib mengomunikasikan kepada manajemen pada tingkat tanggung jawab yang
tepat secara tepat waktu.
a) Secara tertulis, kelemahan pengendalian internal yang signifikan yang auditor sudah atau
akan dikomunikasikannya kepada TCWG, kecuali jika dalam situasi itu tidak tepat
mengomunikasikannya secara langsung kepada manajemen.
b) Kelemahan lain dalam pengendalian internal yang diidentifikasinya selama audit yang
belum dikomunikasikannya kepada manajemen oleh pihak- pihak lain dan yang, menurut
pendapat auditor, cukup sering untuk mendapat perhatian manajemen.
ISA 265.11
Auditor wajib memasukkan dalam komunikasi tertulisnya tentang kelemahan
pengendalian internal yang signifikan.
a) Uraian tentang kelemahan itu dan penjelasan mengenai dampak potensialnya.
b) Informasi yang cukup untuk memungkinkan TCWG dan manajemen memahami konteks
komunikasi tersebut. Khususnya, auditor wajib menjelaskan bahwa:
 Tujuan auditor ialah untuk auditor memberikan pendapat tentang laporan keuangan.
 Audit itu meliputi pertimbangan mengenai pengendalian intern yang relevan untuk
pembuatan laporan keuangan, untuk merancang prosedur audit yang tepat dalam situasi
 (yang dihadapi), tetapi tidak untuk memberikan pendapat tentang efektifnya
pengendalian intern; dan
 Hal -hal yang dilaporkan, terbatas pada kelamahan pengendalian intern yang diidentifikasi
auditor selama audit dan bahwa auditor menyimpulkan cukup penting untuk dilaporkan
kepada TCWG.