Ini adalah sebuah resume dari buku Auditing and Assurance Services An Integrated Approach oleh Alvin Aren. I do not own the copyrights, it's only for educational purposes.

1. Pengendalian Internal
Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk memberikan manajemen
kepastian yang layak bahwa perusahaan akan mencapai tujuan dan sasarannya.
Tujuan Umum Pengendalian Internal :
(i) Realibilitas Pelaporan Keuangan – manajemen bertanggung jawab untuk memastikaninformasi keuangan
telah disajikan secara wajar sesuai dengan ketentuan yang berlaku.
(ii) Efektivitas dan Efisiensi – pengendalian internal membantu manajemen dalam mengukur efektivitas dan
efisiensi perusahaan dalam rangka mencapai tujuan.
(iii) Ketaatan pada Hukum dan Peraturan – section 404 mewajibkan perusahaan untuk mengeluarkan laporan
efektivitas pengendalian internal. Ketaatan tersebut juga berkaitan erat dengan ketentuan akuntansi,
pajak, dsb.
Tanggung Jawab terkait Pengendalian Internal
Tanggung jawab manajemen
Manajemen bertanggung jawab untuk menetapkan dan menyelenggarakan pengendalian internal
perusahaan (berkaitan dengan mempersiapkan laporan keuangan). Tanggung jawab tersebut meliputi :
a. Kepastian yang layak
Pengendalian internal harus memberikan kepastian yang layak dan tidak absolut untuk menghindarkan
dari kemungkinan salah saji kecil.
b. Keterbatasan Inheren
Pengendalian internal tidak akan berguna bila tidak ada kecermatan dalam penyusunan dan
implementasinya. Contohnya apabila karyawan tidak berkompeten dalam melakukan perhitungan
persediaan, pengendalian internal menjadi sia-sia.
Tanggung jawab manajemen tentang pengendalian internal menurut section 404
Perusahaan Publik (menurut Section 404) mengharuskan manajemen untuk mengeluarkan laporan
pengendalian internal perusahaan, termasuk mendesain dan melaksanakan pengendalian internal melalui
penggunaan kerangka kerja pengendalian internal seperti COSO, Turnbull Report, dsb dan menaksir efektivitas
dari pengendalian internal tersebut.
Tanggung jawab manajemen untuk menilai efektivitas pengendalian internal meliputi :
a. Rancangan pengendalian
Manejemen harus mengevaluasi apakah pengendalian internal telah dirancang dan diberlakukan untuk
mencegah atau terdeteksinya salah saji yang material
b. Efektivitas pengendalian
Tujuan pengujian adalah untuk menentukan apakah pengendalian internal telah berjalan seperti yang
direncanakan serta orang yang melaksanakannya mempunyai kewenangan dan kualifikasi yang
diperlukan.
Tanggung jawab auditor
Auditor bertanggung jawab untuk memahami pengendalian internal pada setiap audit. Auditor biasanya
menekankan pada pengendalian atas reabilitas laporan keuangan dan pengendalian atas transaksi.
Tanggung jawab tersebut meliputi :
a. Pengendalian atas reabilitas pelaporan keuangan
Fokus auditor adalah pada perhatian utama manajemen dalam pengendalian internal, yaitu reabilitas
informasi. Pengendalian internal yang buruk akan menghasilkan laporan keuangan yang tidak memadai.
Auditor tidak fokus pada tujuan pengendalian internal berkaitan dengan efektivitas operasi.

2. Reabilitas laporan keuangan sangat bergantung pada pengendalian internal, pengendalian internal yang
baik akan membantu auditor dalam menemukan kecurangan (fraud), misappropriation of asset, aktivitas
illegal yang mempengaruhi laporan keuangan.
b. Pengendalian atas kelas-kelas transaksi
Auditor berfokus pada input dalam laporan keuangan, yaitu kelas transaksi. Karena saldo-akun (output)
sangat bergantung pada inputnya yaitu transaksi. Namun, auditor tetap harus memahami pengendalian
internal terkait saldo akun.
Komponen pengendalian internal menurut COSO
Lingkingan Pengendalian
Terdiri atas kebijakan, sikap, dan tindakan manajemen puncak atas pengendalian internal. Bila manajemen
puncak memperhatikan pengendalian internal perusahaan, maka bawahannya pun juga akan demikian.
Sub komponen Lingkungan pengendalian
a. Integritas dan nilai etis yang berlaku dalam organisasi.
b. Komitmen pada kompetensi yang tinggi pada pekerjaan.
c. Partisipasi aktif dewan komisaris atau komite audit dalam pengendalian internal.
Dewan komisaris bertanggung jawab untuk memastikan bahwa manajemen melaksanakan
pengendalian internal yang sudah di desain. Untuk melaksanakan tugas tersebut, dewan komisaris
membentuk komete audit (komite audit harus memiliki kompetensi terkait laporan keuangan), yang bertugas
menjalankan fungsi pengawasan atas pelaksanaan pengendalian internal oleh manajemen dan
berkomunikasi dengan auditor.
d. Filosofi dan gaya operasi manajemen sebagai isyarat kepada karyawan tentang pengendalian internal
e. Struktur organisasi
f. Kebijakan dan praktik sumber daya manusia
Sangat bergantung pada sumber daya yang dapat dipercaya dan berkompeten sehingga pengendalian
bisa dikesampingkan tetapi tetap memberikan laporan keuangan yang reliable.
Auditor memahamilingkungan pengendalian dan menilai perilaku manajemen dalam menjalankan pengendalian
internal untuk kemudian dapat mengetahui komponen pengendalian internal yang dipayungi oleh lingkungan
pengendalian :
(i) Penilaian Risiko
Merupakan tindakan manajemen yang dilakukan untuk mengidentifikasi dan menganalisis risiko yang
relevan dalam penyusunan laporan keuangan. Contoh penyebab risiko penyusunan laporan keuangan
adalah proses bisnis yang rumit, operasi bisnis yang luas, perubahan teknologi, dsb.
a. Manajemen menilai risiko sebagai bagian dari perancangan dan pelaksanaan pengendalian internal
untuk meminimalisasi kekeliruan dan kecurangan
b. Auditor menilai risiko untuk memutuskan bukti yang tepat yang dibutuhkan dalam audit.
Jika manajemen sangat perhatian terhadap risiko, maka auditor dapat mengumpulkan bukti yang lebih
sedikit, artinya pengendalian internal untuk mengurangi risiko dapat diandalkan. Auditor menggunakan
wawancara dan diskusi dengan manajemen untuk menilai risiko dalam penyusunan laporan keuangan.
(ii) Aktivitas Pengendalian
Merupakan kebijakan dan prosedur untuk membantu memastikan tindakan yang diperlukan telah diambil
untuk memangani risiko guna mencapai tujuan entitas. (aktivitas untuk menangani risiko)
a. Pemisahan tugas yang memadai
1. Pemisahan fungsi penyimpanan asset dengan accounting. Kegagalan mengikuti prinsip ini adalah
kemungkinan fungsi accounting akan menghapus asset untuk kepentingan pribadi karena ia
memiliki akses pada asset tersebut.
2. Pemisahan otorisasi transaksi dengan fungsi penyimpanan (custody) asset terkait

3. 3. Pemisahan tugas IT dari pengguna software. Hal ini untuk mencegah pengguna software untuk
memanipulasi software.
b. Otorisasi yang sesuai antara transaksi dan aktivitas
1. Otorisasi umum, manajemen menetapkan kebijakan dan bawahannya melaksanakannya dengan
memberikan otorisasi semua transaksi yang tidak melebihi jumlah yang ditetapkan. Contoh
penjualan produk, credit limit, dan pembelian kembali bahan baku. (terkait dengan aktivitas day-
to-day perusahaan).
2. Otorisasi khusus, otorisasi pada tingkat manajemen, yang diberikan kepada beberapa transaksi
khusus. Contoh otorisasi penjualan asset perusahaan.
c. Dokumen dan catatan yang memadai
Digunakan sebagai dasar pencatatan dan pengikhtisaran. Beberapa prinsip terkait dokumen dan
catatan, sebagai berikut :
1. Menggunakan dokumen yang di pra-nomori untuk mencegah hilangnya dokumen dan
memudahkan pengorganisasian dokumen.
2. Dokumen dibuat saat transaksi terjadi.
3. Didesain untuk multiguna (bisa digunakan untuk berbagai keperluan)
4. Disusun dalam bentuk yang tepat
d. Pengendalian fisik asset dan catatan
Asset harus dijaga untuk mencegah pencurian yang mengganggu penyusunan laporan keuangan.
Bisanya dengan menggunakan gudang penyimpanan yang dijaga oleh safeguards.
e. Pemeriksaan kinerja independen
Bertujuan untuk memastikan bahwa pengendalian internal tetap dijalankan dengan baik. Oleh sebab
itu, diperlukan pemisahan tugas seperti yang sudah dibahas sebelumnya.
(iii) Informasi dan Komunikasi
Bertujuan untuk memulai, mecatat, memproses, dan melaporkan transaksi yang dilakukan oleh entitas itu,
serta mempertahankan akuntabilitas asset terkait. Untuk memahami desain sistem informasi klien, auditor
dapat melakukan hal –hal berikut :
1. Kelas transaksi
2. Bagaimana transaksi tersebut dimulai
3. Catatan akuntansi yang ada dan sifat alamiahnya
4. Bagaimana sistem tersebut menangkap kejadian yang signfikan terhadap laporan keuangan
5. Sifat alami dan proses rincian laporan keuangan yang diikuti
(iv) Pemantauan
Bertujuan untuk menilai mutu pengendalian internal secara berkelanjutan atau periodic oleh manajemen.
Untuk menentukan bahwa pengendalian internal itu telah beroperasi sesuai harapan dan telah
dimodisikasi sesuai perubahan kondisi.
Terkait proses audit dalam memahami pengendalian internal dalam melaksanakan pengujian
pengendalian dan menetapkan risiko pengendalian
Memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal
Auditing standards require auditors to obtain and document their under standing of internal control for every
audit. Untuk memahamipengendalian internal, auditor menggunakan procedurestoobtain an understanding,
which involve gathering evidence about the design of internal controls and whether they have been
implemented, and then uses that information as a basis for the integrated audit.
Understanding of the design of internal control
Auditors commonly use three types of documents to obtain and document their understanding of the design of
internal control: narratives, flowcharts, and internal control questionnaires.

4. 1. Narrative is a written description of a client’s internal controls. A proper narrative of an accounting system
and related controls describes four things:
a. Asal mula dari setiap dokumen dan catatan dalam sistem.
b. Semua proses yang terjadi atau take place.
c. Disposisi dari setiap dokumen dan catatan dalam sistem.
d. Indikasi atas pengendalian relevan untuk menetapkan risiko pengendalian.
2. An internal control flowchart is a diagram of the client’s documents and their sequential flow in the
organization. An adequate flowchart includes the same four characteristics identified for narratives. Well
prepared flowcharts are advantageous primarily because they provide a concise overview of the client’s
system, which helps auditors identify controls and deficiencies in the client’s system.
3. An internal control questionnaire asks a series of questions about the controls in each audit area as a
means of identifying internal control deficiencies.
Evaluating Internal Control Implementation
Metode yang digunakan :
1. Update and Evaluate Auditor’s Previous Experience with the Entity untuk memastikan bahwa
pegendalian internal yang sebelumnya tidak berjalan sudah diperbaiki.
2. Make Inquiries of Client Personnel untuk memastikan bahwa setiap pegawai memahami tugas mereka
dan melaksanakan sesuai dengan kebijakan pengendalian
3. Examine Documents and Records
4. Observe Entity Activities and Operations
5. Perform Walkthroughs of the Accounting System dengan cara mengambil satu sample dokumen untuk
kemudian dilakukan tracing mengikuti flowchart organisasi.
ASSESS CONTROL RISK
Auditor mendapatkan pemahaman terkait desain dan implementasi pengendalian internal untuk membuat
preliminary assessment of control risk.
Assess Whether the Financial Statements Are Auditable
Factor yang menentukan auditable:
1. Integritas manajemen, jika manajemen tidak punya integritas, kebanyakan auditor tidak akan
menerimanya sebagai klien pada awal engagement.
2. Catatan akuntansi yang memadai, Catatan akuntansi sangat penting sebagai sumber bukti audit pada
kebanyakan tujuan audit. Jika catatan akuntansi mengandung kelemahan, bukti audit yang dibutuhkan
mungkin menjadi tidak tersedia.
Determine Assessed Control Risk Supported by the Understanding Obtained
Setelah memperoleh pemahaman tentang pengendalian internal, auditor membuat penilaian awal risiko
pengendalian (Preliminary Assessemnet of Control Risk). Penilaian ini adalah ukuran dari harapan auditor
bahwa pengendalian internal akan mencegah salah saji material dari terjadi atau mendeteksi dan
memperbaikinya jika terjadi.
Use of a Control Risk Matrix to Assess Control Risk
1. Identify Audit Objectives, langkah pertama dalam penilaian adalah untuk mengidentifikasi tujuan audit
untuk kelas-kelas transaksi, saldo akun, dan penyajian dan pengungkapan yang menjadi dasar penilaian
tersebut.
2. Identify Existing Controls Next, auditor menggunakan informasi yang dibahas sebelumnya tentang
memperoleh dan mendokumentasikan pemahaman tentang pengendalian internal untuk
mengidentifikasi pengendalian yang berkontribusi dalam mencapai tujuan audit terkait transaksi. Auditor

5. harus mengidentifikasi dan memasukkan hanya kontrol-kontrol yang diharapkan memiliki efek terbesar
pada pemenuhan tujuan audit terkait-transaksi (Key Controls).
3. Associate Controls with Related Audit Objectives Each control satisfies one or more related audit
objectives
4. Identify and Evaluate Control Deficiencies, Significant Deficiencies, and Material Weaknesses
harus mengevaluasi apakah pengendalian kunci tidak ada pada desain pengendalian internal atas
laporan keuangan sebagai bagian dari evaluasi risiko pengendalian dan kemungkinan salah saji laporan
keuangan.
a. Control deficiency.
Control deficiency, terjadi ketika desain atau pelaksanakan (operations) pengendalian tidak
mengizinkan personel perusahaan untuk mencegah atau mendeteksi salah saji pada waktu yang
tepat dalam menjalankan fungsi yang ditugaskan.
i. Design deficiency, terjadi ketika pengendalian yang diperlukan tidak ada atau tidak didesain
dengan baik.
ii. Operation deficiency, terjadi ketika pengendalian internal sudah dirancang dengan baik tetapi
tidak dilaksanakan sesuai rancangannya atau ketika orang yang seharusnya
melaksanakannya tidak berkualifikasi atau bukan orang yang diotoriasi.
b. Significant deficiency, terjadi ketika terdapat satu atau dua lebih kelemahan pengendalian
(control deficiency) tidak lebih (less severe) daripada kelemahan material (material weakness)
tetapi cukup penting untuk mendapat perhatian dari mereka yang bertanggung jawab untuk
mengawasi pelaporan keuangan perusahaan.
c. Materialweakness. Terjadi ketika significant deficiency, sendiri atau bersama dengan significant
deficiencty lainnya, menghasilkan kemungkinan yang layak (reasonable) bahwa pengendalian
internal tidak akan mencegah atau mendeteksi salah saji material dalam laporan keuangan on a
timely basis.
Untuk menentukan apakah significant deficiency atau material deficiency, mereka harus dievaluasi
berdasarkan dua dimensi, yaitu likelihood (kemungkinan salah saji) dan significance (materialitas).
Identify Deficiencies, Significant Deficiencies, and Material Weaknesses
A five-step approach can be used to identify deficiencies, significant deficiencies, and material weaknesses:
1. Identify existing controls
2. Identify the absence of key controls. (menggunakan kuisioner, flowchart, dan walkthrough)
3. Consider the possibility of compensatingcontrols (A compensatingcontrol is one elsewhere in the system
that offsets the absence of a key control. Contoh keterlibatan aktif pemilik di perusahaan kecil)
4. Decide whether there is a significant deficiency or material weakness
5. Determine potential misstatements that could result
Associate Significant Deficiencies and Material Weaknesses with Related Audit Objectives
Assess Control Risk for Each Related Audit Objective
Setelah pengendalian, significant deficiency, dan material deficiency diidentifikasi dan dikaitkan dengan tujuan
audit terkait transaksi, auditor dapat menilai risiko pengendalian untuk tujuan audit terkait transaksi.
TESTS OF CONTROLS
Purpose of Tests of Controls
Selama fase memperoleh pemahaman tentang pengendalian internal, auditor akan mengumpulkan beberapa
bukti untuk mendukung desain kontrol dan implementasinya dengan menggunakan prosedur untuk
mendapatkan pemahaman. Dalam kebanyakan kasus, auditor tidak akan mengumpulkan cukup bukti untuk
mengurangi risiko pengendalian yang dinilai ke tingkat yang cukup rendah. Oleh karena itu auditor harus

6. mendapatkan bukti tambahan tentang efektivitas operasi kontrol di seluruh, atau setidaknya sebagian besar,
periode yang diaudit. Prosedur untuk menguji efektivitas kontrol dalam mendukung pengurangan risiko kontrol
dinilai disebut Pengujian pengendalian. Jika hasil pengujian pengendalian mendukung desain dan operasi
kontrol seperti yang diharapkan, auditor menggunakan risiko kontrol yang dinilai sama seperti penilaian awal.
Procedures for Tests of Controls
The four types of procedures are as follows:
1. Make inquiries of appropriate client personnel
2. Examine documents, records, and reports
3. Observe control-related activities
4. Reperform client procedures.
Extent of Procedures
The extent to which tests of controls are applied depends on the preliminary assessed control risk. If the auditor
wants a lower assessed control risk, more extensive tests of controls are applied, both in terms of the number of
controls tested and the extent of the tests for each control.
1. Reliance on Evidence from the Prior Year’s Audit
2. Testing of Controls Related to Significant Risks
3. Testing Less Than the Entire Audit Period
Relationship Between Tests of Controls and Procedures to Obtain an Understanding
1. In obtaining an understanding of internal control, the procedures to obtain an understanding are applied
to all controls identified during that phase. Tests of controls, on the other hand, are applied only when
the assessed control risk has not been satisfied by the procedures to obtain an understanding.
2. Procedures to obtain an understanding are performed only on one or a few transactions or, in the case
of observations, at a single point in time. Tests of controls are performed on larger samples of
transactions, and often, observations are made at more than one point in time.
DECIDE PLANNED DETECTION RISK AND DESIGN SUBSTANTIVE TESTS
Auditor menggunakan penilaian risiko control (Assessment of Control Risk) dan hasil pegujian pengendalian
untuk menentukan risiko deteksi yang direncanakan (PDR) dan pengujian substantif terkait untuk audit laporan
keuangan. Tingkat risiko deteksi yang sesuai untuk setiap tujuan audit terkait saldo ditentukan menggunakan
model risiko audit.