TINJAUAN
UMUM
4 langkah mengevaluasi rancangan
dan implementasi pengendalian:
|
Langkah-Langkah
|
Penjelasan
|
|
1. Risiko
apa yang harus dimitigasi?
|
Identifikasi risiko bawaan mengenai
salah saji material (yang terdiri dari risiko bisnis & risiko
kecurangan), dan apakah risiko ini bersifat pervasif yang mempengaruhi semua
asersi atau merupakan risiko spesifik yang mempengaruhi area laporan keuangan
dan asersi tertentu
|
|
2. Apakah
pengendalian yang dirancang manajemen memitigasu risiko itu?
|
Identifikasi proses bisnis yang sudah
ada.
· Wawancarai
personalia entitas untuk mengidentifikasi pengendalian apa yang memitigasi
risiko yang diidentifikasi dalam langkah 1
· Reviu
hasilnya, apakah benar pengendalian itu memang memitigasi risikonya
· Komunikasikan
setiap kelemahan signifikan yang diidentifikasi dalam pengendalian intern
entitas kepada TCWG & manajemen
|
|
3. Apakah
pengendalian yang memitigasi risiko itu berfungsi?
|
Inspeksi operasi pengendalian internal
yang relevan untuk memastikan bahwa pengendalian internal tersebut sudah di
implementasikan.
Langkah ini sering digabungkan dengan
langkah 2.
|
|
4. Apakah
operasi pengendalian yang relevan sudah di dokumentasikan?
|
Langkah ini terdiri dari penjelasan
naratif sederhana mengenai proses-proses utama, yang menggambarkan operasi pengendalian
internal yang relevan.
Dokumentasi tidak perlu memasukkan:
· Deskripsi
rinci tentang proses bisnis atau arus dokumen dalam entitas
· Pengendalian
internal yang mungkin ada, tetapi tidak relevan untuk audit
|
LANGKAH
1-RISIKO APA YANG HARUS DIMITIGASI?
Langkah pertama adalah
mengidentifikasi dan kemudian menilai faktor risiko yang signifikan dan faktor
risiko yang lain. Tabel di bawah mengikhtisarkan beberapa sumber risiko yang
sering ditemukan dan jenis pengendalian yang dapat memitigasi risiko tersebut.
|
Apa yang bisa salah?
|
Sumber Risiko
|
Pengendalian Penanggulangan
|
|
Laporan keuangan yang tidak andal
(risiko pervasif)
|
· Faktor
industri/eksternal
· Sifat
entitas
· Kebijakan
akuntansi
· Tujuan
dan sasaran entitas
· Pengukuran
kinerja
· kecurangan
|
· pengendalian
dan proses pada tingkat entitas
· pengendalian
TI umum
· pengendalian
transaksional
|
|
Salah saji ketika menyajikan laporan
keuangan ( risiko pervasif)
|
· estimasi
akuntansi
· penyisihan
· kebijakan
akuntansi
· penggunaan
lembar kerja
· transaksi
non rutin
· journal entries,
rekonsiliasi info untuk pengungkapan
|
· pengendalian
dan proses pada tingkat entitas
· pengendalian
TI umum
· pengendalian
transaksional
|
|
Transakasi yang tidak dicatat dengan
akurat
|
· identifikasi/pencatatan
· transaksi
yang sudah disetujui
· klasifikasi
transaksi
· pengukuran,
pisah batas
· pengamanan
aset
|
· Pengendalian
transaksional
· Pengendalian
aplikasi TI
· Beberapa
pengendalian pada tingkat entitas yang spesifik
|
Dalam membuat daftar
faktor risiko:
· Gunakan
istilah daftar faktor risiko yang sesuai untuk enitas yang bersangkutan
· Pastika
semua asersi yang relevan telah diperhatikan
· Perhatikan,
apakah ada risiko tambahan yang dapat berakibat salah saji yang material, jika
tidak dimitigasi
LANGKAH
2- APAKAH PENGENDALIAN MEMITIGASI RISIKO?
Manajemen harus memperhatikan
apakah pengendalian itu efektif untuk:
· Mencegah
terjadinya salah saji yang material
· Menemukan/mengungkapkan
dan mengoreksi salah saji yang material, setelah salah saji itu terjadi
Ada 2 cara yang
digunakan untuk menyandingkan pengendalian internal dengan faktor risiko atau
tujuan pengendaliannya yang dirancang untuk menangkal risiko, yaitu:
1.
One-Risk-to-Many-Controls (Satu Risiko Banyak Pengendalian)
Pendekatan ini sering digunakan untuk
memetakan semua jenis pengendalian, termasuk pengendalian transaksional. Namun,
satu pengendalian transaksional sering kali dapat menangani lebih dari satu
risiko, karenanya, satu pengendalian ditampilkan berulang-ulang dalam
pendekatan ini.
Pendekatan ini bermanfaat khususnya
dalam memetakan atau menyandingkan faktor risiko pervasif pada tingkat entitas
beserta pengendaliannya.
2.
Many-Risk-to-Many-Controls. (Banyak Risiko Banyak
Pengendalian)
Matrix rancangan pengendalian
memungkinkan auditor secara sekilas dengan cepat dapat melihat:
· Hubungan
“banyak dengan banyak” antara risiko dan pengendalian
· Dimana
kuat dan lemahnya pengendalian internal
· Pengendalian
utama yang menanggapi banyak risiko/asersi dan dapat diuji efektif/ tidaknya
pengendalian internal
Menemukan
pasangan antara pengendalian dengan risiko:
· Membantu
auditor mengevaluasi rancangan pengendalian
· Mengidentifikasi
pengendalian kunci yang berpotensi untuk diuji
· Membantu
auditor mengidentifikasi kelemahan pengendalian yang memerlukan:
-
Komunikasi kepada manajemen & TCWG
tentang kelemahan pengendalian yng signifikan pada waktunya, sehingga tindakan
perbaikan dapat diambil
-
Pengembangan tanggapan audit yang tepat
BAGAIMANA
AUDITOR MENGIDENTIFIKASI PENGENDALIAN INTERNAL YANG RELEVAN?
Umumnya melalui diskusi
atau wawancara dengan mereka yang bertanggung jawab untuk mengelola suatu
risiko. Auditor mengidentifikasi pengendalian internal dijelaskan dalam tabel
berikut.
|
Tindakan
|
penjelasan
|
|
Identifikasi risiko bawaan
|
Identifikasi risiko pervasif di
tingkat entitas dan risiko transaksional spesifik yang perlu dimitigasi
melalui prosedur pengendalian internal, untuk mencegah atau mendeteksi dan
mengoreksi salah saji material
|
|
Tanya prosedur pengendalian internal
yang menangani risiko tersebut
|
Tanya penanggung jawab, apakah ada
prosedur pengendalian internal di entitas itu untuk memitigasi setiap faktor
risiko, atau satu demi satu. Dokumentasikan PI yang diidentifikasi dengan
menggunakan bahasa yang digunakan oleh orang yang diwawancarai.
|
|
Dokumentasikan hasilnya
|
PI yang diidentifikasi dapat
didokumentasikan dengan berbagai cara. PI yang diidentifikasi dapat dirinci
untuk setiap faktor risiko, atau dirinci dalam control matrix dan dihubungkan
dengan berbagai faktor risiko terkait.
|
LANGKAH
3- APAKAH PENGENDALIAN ITU BERFUNGSI?
Auditor perlu mengamati
pengendalian yang sedang berjalan dengan alasan:
·
Proses dapat berubah dengan perubahan
waktu, mungkin karena adanya produk/jasa baru, adanya efsiensi dalam operasi,
pergantian pegawai, dan implementasi dari aplikasi IT pendukung yang baru
·
Pegawai entitas mungkin menjelaskan
bagaimana suatu sistem seharusnya berfungsi, dan bukan bagaimana sistem itu
dalam kenyataannya berfungsi
·
Beberapa aspek dari suatu sistem secara
tidak sengaja terabaikan dalam upaya memahami pengendalian internal
Prosedur penilaian risiko yang diwajibkan untuk
memperoleh bukti audit mengenai diimplementasikannya pengendalian meliputi:
· Bertanya
kepada pegawai entitas
· Mengamati
atau mengulangi aplikasi dari pengendalian tertentu
· Menginspeksi
laporan dan dokumen
· Menelusuri
satu atau beberapa transaksi melalui sistem informasi yag relevan untuk
pelaporan keuangan.
Sesudah disimpulkan
bahwa pengendalian internal yang relevan untuk audit, sudah dirancang dan
diimplementasi, barulah saatnya untuk mempertimbangkan:
· Uji
pengendalian atas efektifnya operasi yang mana akan menurunkan kebutuhan untuk
uji substantif lainnya
· Pengendalian
mana uji pengendalian, karena tidak ada cara lain untuk memperoleh bukti audit
yang cukup dan tepat
LANGKAH
4- APAKAH PENGENDALIAN SUDAH DI DOKUMENTASIKAN?
Tujuannya langkah ini
adalah untuk memberika informasi tentang beroperasinya pengendalian yang
relevan, yang diidentifikasi dalam langkah 2. Dokumentasi yang baik akan
membantu auditor:
· Memahami
sifat, operasi, dan konteks dari pengendalian yang diidentifikasi
· Menentukan
apakah pengendalian itu andal dan berfungsi efektif.
Beberapa hal yang perlu
dipertimbangkan dalam mendokumentasikan pengendalian internal yang relevan,
yang diidentifikasi dalam langkah 2, adalah:
· Bagaimana
transaksi signifikan disiapkan, diotorisasi, dicatat, diolah, dan dilaporkan
· Arus
transaksi dalam detail yang cukup untuk menentukan titik-titik dimana salah
saji material yang disebabkan oleh kesalahan/kecurangan dapat terjadi
· Pengendalian
internal selama periode proses pelaporan keuangan, termasuk estimasi akuntansi
yang signifikan dan pengungkapannya
Bentuk dokumentasi yang
umum dibuat manajemen atau auditor adalah:
· Penjelasan
naratif / memo
· Bagan
arus
· Kombinasi
antara flowcharts dan naratif
· Kuesioner
dan daftar uji
Sifat dan luas/ banyaknya
dokumentasi yang diperlukan, ditentukan oleh kearifan profesional auditor.
Faktor-faktor yang perlu diperhatikan adalah:
· Sifat,
ukuran, dan kompleksitas entitas dan pengendalian internal
· Tersedianya
informasi pada entitas
· Metodologi
dan teknologi audit yang digunakan
PEMUTAKHIRAN
DOKUMENTASI DI TAHUN MENDATANG
Pemutakhiran ini
meliputi:
· Buat
salinan dari kertas kerja tahun lalu, sebagai tolok ukur pemutakhiran di tahun
berjalan. Jika tidak ada perubahan, evaluasi implementasi pengendalian. Jika pengendaian
sudah diimplementasikan dan risikonya tidak berubah, rancangannya dapat
diterima
· Mutakhirkan
daftar risiko yang dimitigasi oleh pengendalian
· Identifikasi
perubahan dalam pengendalian internal pada tingkat entitas dan tingkat
transaksional
· Jika
ditemukan ada perubahan, tentukan apakah pengendalian internal yang baru sudah
dirancang dan diimplementasikan
· Mutakhirkan
keterkaitan antara pengendalian internal dengan faktor risiko yang tepat
· Mutakhirkan
kesimpulan pada risiko pengendalian
REPRESENTASIKAN
TERTULIS TENTANG PENGENDALIAN INTERNAL
Representasi atau
pernyataan tertulis tentang pengendalian internal harus diminta dari manajemen
yang mengakui bertanggung jawab untuk mengadakan dan memelihara pengendalian
internal yang menurutnya diperlukan untuk membuat laporan keuangan yang
disebabkan oleh kesalahan atau kecurangan.
