pemahaman spi dan penilaian cr
Post on 30-Dec-2015
59 Views
Preview:
TRANSCRIPT
PEMAHAMAN SPI DAN PENILAIAN
RISIKO PENGENDALIAN
1
Pengertian Pengendalian Intern
2
Mengadopsi pengertian Pengendalian internal dari laporan COSO (Committee of Sponsoring Organization). COSO terdiri atas:
IIA (Institute of Internal Auditors), AICPA (American Institute of Certified Public Accountants), FEI (Financial Executive Institute), AAA (American Accounting Association), dan IMA (Institute of Manajemen Accountants)
Internal control adalah suatu proses, dijalankan oleh dewan komisaris, managemen, dan karyawan lain dari suatu entitas, dirancang untuk memberikan jaminan memadai sehubungan dengan pencapaian tujuan.
Tujuan Pendalian Intern
3
Tujuan pengendalian intern:
Keandalan pelaporan keuangan (tujuan pelaporan keuangan).
Efektivitas dan efesiensi operasional (tujuan operasi).
Kepatuhan terhadap undang-undang dan peraturan yang berlaku (tujuan kepatuhan).
4
Reliabilitas informasi keuangan* PABU
Efektivitas dan efesiensi operasional* Pengamanan aset* Pengurangan risiko bisnis
Kepatuhan terhadap undang-undang dan peraturan-peraturan yang berlaku* Mendeteksi kesalahan dan ketidakberesan
Tujuan Pendalian Intern-yang relevan dengan audit
• Pengendalian intern merupakan suatu proses yang berkelanjutan, suatu alat untuk mencapai tujuan, bukan merupakan tujuan itu sendiri
• Pengendalian intern dipengaruhi oleh orang-orang yang ada pada setiap tingkatan di organisasi, bukan hanya merupakan kebijakan dan prosedur serta dokumentasinya semata.
• Pengendalian intern tidak pernah bisa menghilangkan risiko tetapi dapat memberikan keyakinan memadai bahwa pengendalian telah berjalan untuk mengurangi risiko.
Konsep Utama COSO
6
Kesalahan dalam keputusan (kurang informasi, kendala waktu, tekanan).
Breakdown (macet karena salah memahami instruksi dan prosedur serta lalai).
Collusion (kerja sama antarkaryawan).Management override (manajemen
melanggar pengendalian yang dibuatnya sendiri).
Cost versus benefits (biaya pembuatan pengendalian lebih besar dari manfaatnya).
Keterbatasan Pendalian Intern
7
Control Environment (Lingkungan Pengendalian)
Risk Assessment (Penilaian Risiko) Control Activities (Aktivitas Pengendalian) Information and Communication (Informasi
dan Komunikasi) Monitoring (Pemantauan)
Komponen Pendalian Intern
8
Komponen SPI
4)
Info
rmati
on &
4)
Info
rmati
on &
Com
munic
ati
on F
low
Com
munic
ati
on F
low 4
) Info
rmatio
n &
4) In
form
atio
n &
Com
munica
tion F
low
Com
munica
tion F
low
4) Information &4) Information & Communication Communication
FlowFlow
1) Control1) Control
EnvironmentEnvironment
2)2) Risk Risk AssessmenAssessmen
tt
3)3) Control Control ActivitiesActivities
5)5) MonitoringMonitoring
Komponen SPI
Komponen SPI
11
Hubungan Komponen SPI dengan Aktivitas Organisasi
Lingkungan pengendalian terdiri dari tindakan, kebijakan, prosedur yang mencerminkan sikap keseluruhan top manajemen, direktur, dan pemilik suatu perusahaan terhadap pengendalian dan pentingnya pengendalian tersebut bagi perusahaan.
Lingkungan Pengendalian
Unsur-unsur yang perlu dipahami dan dinilai oleh auditor:
1. Integritas dan nilai etika2. Komitmen terhadap kompetensi3. Partisipasi dewan komisaris dan komite
audit4. Filosofi dan gaya operasi5. Struktur Organisasi6. Pemberian wewenang dan tanggung jawab7. Kebijakan dan praktik SDM
Lingkungan Pengendalian
Mekanisme untuk mengidentifikasikan, menganalisis, dan mengelola berbagai risiko dalam organisasi atau perusahaan dihubungkan dengan tujuan yang ingin dicapai
Penaksiran Risiko
Control it
Share orTransfer it
Diversify orAvoid it
RiskManagement
ProcessLevel
ActivityLevel
Entity level
RiskMonitoring
Identification
Measurement
Prioritization
RiskAssessment
Analisis Risiko
Risiko bisa muncul karena: Perubahan lingkungan operasional Personel baru Sistem informasi baru atau perubahan sistem
informasi Pertumbuhan cepat Tehnologi baru Produk atau aktivitas baru Restrukturisasi korporasi Operasional luar negeri PSAK baru
Penaksiran Risiko
Control
Share Mitigate & Control
Accept
High Risk
Medium Risk
Medium Risk
Low Risk
Low
High
High
IMPACT
PROBABILITY
Penaksiran Risiko
Low
High
High
IMPACT
PROBABILITY
High Risk
Medium Risk
Medium Risk
Low Risk
Contoh: Call Center Risk Assessment
• Loss of phones• Loss of computers
• Customer has a long wait• Customer can’t get through• Customer can’t get answers
• Entry errors • Equipment obsolescence• Repeat calls for same problem
• Fraud• Lost transactions• Employee morale
Penilaian Risiko
Auditor harus memperoleh pengetahuan tentang proses penaksiran risiko untuk memahami bagaimana manajemen mempertimbangkan risiko.
Tujuan penaksiran risiko adalah untuk menilai, mengelola, dan memonitor risiko yang berdampak bagi entitas.
Penilaian Risiko
20
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu memastikan bahwa arahan manajemen dilaksanakan. Aktivitas pengendalian meliputi:Review kinerjaPengolahan informasiPengendalian fisikPemisahan tugas
Aktivitas Pengendalian
21
Analisis laporan ikhtisar rincian saldo akunAnalisis realisasi dengan anggaran,
prakiraan, atau periode yang laluAnalisis hubungan seperangkat data
seperti antara data nonkeuangan dengan data keuangan
Aktivitas Pengendalian – Review Kinerja
22
General ControlPengendalian organisasi dan operasionalPengendalian pengembangan sistem dan
dokumentasiPengendalian perangkat keras dan lunakPengendalian aksesPengendalian data dan prosedural
Application ControlPengendalian Input: otorisasi, computer check,
koreksi kesalahanPengendalian Proses: control total, limit check,
sequence test, process tracing data.Pengendalian Output: pihak yang berhak
memperoleh hasil, perbandingan dengan dokumen sumber, visual scanning
Aktivitas Pengendalian – Pengolahan Informasi
23
Direct physical controlIndirect physical controlPenghitungan berkala terhadap aset
Aktivitas Pengendalian – Pengendalian Fisik
24
Seseorang tidak boleh melakukan tugas yang tidak kompatibel
Pemisahan tugas pelaksana, pencatatan, dan penyimpanan aset dari suatu transaksi
Pemisahan bagian IT dengan pengguna. Pemisahan dalam bagian IT:Pengembangan sistemOperationData controlSecurities administration
Aktivitas Pengendalian – Pemisahan Tugas
Sistem informasi dan komunikasi memungkinkan orang dalam organisasi untuk mendapatkan dan berbagi informasi yang diperlukan untuk mengelola, melaksanakan, dan mengendalikan kegiatan operasi.
Contoh: Memperoleh informasi internal dan
eksternal untuk diolah dan disajikan kpd manajemen
Menyajikan informasi relevan kepada pihak yang tepat secara tepat isi dan tepat waktu
Informasi dan Komunikasi
Line staffLine staff
SupervisorsSupervisors
Senior ManagersSenior Managers
TopTopManagementManagement
Down:Goals /objectivesDirectivesPolicies
/procedures
Up:Progress reportsProblem identificationImprovement
suggestions
Across: Daily work information—all levels
Informasi dan Komunikasi
27
TransaksiHanya transakasi validSeluruh transaksiHak dan kewajibanPengukuranCukup detail
Audit atau transaction trailDokumen dan catatan
Informasi dan Komunikasi
28
Auditor harus memperoleh pengetahuan tentang:
Golongan transaksiBagaimana transaksi dimulaiCatatan akuntansi dan informasi pendukungPengolahan akuntansi sejak transaksi sampai
dengan laporan keuangan
Informasi dan Komunikasi
29
Pengawasan oleh manajemen dan pegawai lain yang ditunjuk atas pelaksanaan tugas sebagai penilaian terhadap kualitas dan efektivitas sistem pengendalian internal
Ongoing activitiesProblem solutionSeparate periodic evaluationsInternal auditor’s assessment
Monitoring
On-going monitoring
ObservationsRecording
RegularActivities
RegularActivities
On-going monitoring
Progress checkPerformance
improvements
RegularActivities
RegularActivities
Monitoring
31
ReviewReview pengalaman yang lalu dengan klien
BertanyaMenanyakan pada manajemen, supervisor, dan staff personil yang sesuai
InspeksiMenginspeksi dokumen dan catatan
ObservasiMengamati aktivitas dan operasional entitas
Prosedur untuk Memahami SPI
32
Kuesioner (questionnaires)Rangkaian pertanyaan ya/tidak tentang pengendalian internal yang diperlukan untuk mencegah salahsaji material
Bagan alirDiagram sistematik dengan memakai simbol standar, garis penghubung dan penjelasan
MemorandaKomentar tertulis auditor tentang pengendalian internal
Dokumentasi Pemahaman SPI
Questionnaire
Narrative Memoranda
MENILAI CR
35
36
Risiko bahwa pengendalian intern tidak mampu mencegah dan mendeteksi salah saji.
Penilaian CR berdampak terhadap rancangan substantive test:SifatSaatWaktu
Pengertian CR
Alasan Menilai CR
CR untuk Setiap Asersi
CR ditentukan untuk setiap asersi; asersi untuk
setiap komponen pengendalian intern.
Tahapan dalam Menilai CR
Pengajuan pertanyaan (enquiry): mengajukan pertanyaan kepada berbagai pihak dalam lini manajemen sesuai kebutuhan.
Pengamatan / observasi (observation): auditor mengamati aktivitas yang sedang terjadi.
Inspeksi (inspection) : memeriksa dokumen dan catatan.
Mengerjakan ulang: auditor menjalankan aplikasi yang digunakan perusahaan.
Prosedur untuk Menilai CR
Perbedaan TOC dan ST
Perbedaan TOC dan ST
43
Lingkungan SIK
Suatu lingkungan SIK (sistem informasi komputer) ada apabila komputer dengan tipe dan ukuran apapun digunakan dalam pengolahan informasi keuangan suatu entitas yang signifikan bagi audit, terlepas apakah komputer tersebut dioperasikan oleh entitas tersebut atau pihak ketiga.
Karakteristik organisasi SIK Pemusatan fungsi dan pengetahuan Pemusatan program dan data
44
Sifat Pengolahan dan Aspek Desain dalam SIK
Sifat pengolahan dalam SIK: Tidak ada dokumen masukan Tidak ada jejak transaksi (transaction trail) Tidak ada keluaran yang dapat dilihat dengan
mataAspek desain dan prosedur dalam SIK: Kinerja konsisten Prosedur pengendalian terprogram Pemutakhran transaksi ke database file
komputer Transaksi ada yang ditimbulkan oleh sistem Media penyimpanan data dan program rentan
45
Pengendalian dalam Lingkungan SIK
Pengendalian umum SIK Pengendalian organisasi dan manajemen Pengendalian terhadap pengembangan dan
pemeliharaan sistem aplikasi Pengendalian terhadap operasi sistem Pengendalian terhadap perangkat lunak sistem Pengendalian terhadap entry data dan program
46
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK Pengendalian atas masukan: otorisasi transaksi,
konversi transaksi agar bisa dibaca oleh mesin, transaksi tidak diubah oleh pihak yang tidak berhak, transaksi yang keliru ditolak.
Pengendalian atas pengolahan: transaksi diolah semestinya oleh sistem, transaksi tidak diubah atau hilang secara tidak semestinya, kekeliruan diidentifikasi dan dikoreksi dengan tepat waktu.
Pengendalian atas keluaran: hasil pengolahan cermat, akses dibatasi ke pihak yang berhak, keluaran tersedia tepat waktu.
47
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line: Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke periode semestinya, data entry diklasifikasi dan bernilai valid, transaksi yang tidak valid ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram, logika pengolahan benar, file pengolahan benar, record pengolahan benar, tabel yang digunakan benar, data yang tidak valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap, keluaran diterima telah terklasifikasi, keluaran didistribusi ke personel yang berhak.
48
Pengendalian dalam Lingkungan SIK
Pengendalian aplikasi SIK dalam sistem on-line: Pengendalian atas masukan: transaksi dientry ke
terminal semestinya, data entry cermat, entry ke periode semestinya, data entry diklasifikasi dan bernilai valid, transaksi yang tidak valid ditolak, transaksi dientry sekali, data entri tidak hilang.
Pengendalian atas pengolahan: hasil perhitungan diprogram, logika pengolahan benar, file pengolahan benar, record pengolahan benar, tabel yang digunakan benar, data yang tidak valid tidak diolah, versi yang digunakan adalah versi yang sah.
Pengendalian atas keluaran: keluaran diterima tepat dan lengkap, keluaran diterima telah terklasifikasi, keluaran didistribusi ke personel yang berhak.
49
Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Umum
Auditor mereview pengendalian umum untuk memastikan apakah pengendalian menyeluruh atas aktivitas SIK dapat memberikan tingkat keyakinan memadai bahwa tujuan pengendalian tercapai.
50
Review Pengendalian di Lingkungan SIK oleh Auditor
Review Pengendalian Aplikasi Auditor menguji pengendalian manual. Misalnya menguji
manual masukan gaji, perhitungan gaji bersih, persetujuan pembayaran, perbandingan ke daftar gaji, dan rekonsiliasi ke bank (audit around the computer).
Auditor menguji pengendalian keluaran sistem. Misalnya auditor menguji jumlah di laporan ke buku besar dan buku pembantu (audit around the computer)..
Auditor menguji pengendalian program. Auditor menggunakan teknik audit berbantuan komputer untuk menguji pengendalian. Misalnya: Test Data (Data Uji), yaitu pengujian pengendalian
aplikasi dengan menginput transaksi dummy (transaksi departemen atau karyawan) ke sistem aplikasi klien di bawah kontrol auditor dan mencocokkan hasilnya dengan hasil yang diharapkan. Setelah itu transaksi uji dihapus (audit through the computer).
Audit Software (auditor menggunakan softwarenya untuk mengolah transaksi dan membandingkan hasilnya dengan software klien) (audit with the computer).
Auditor berkonsentrasi pada input dan output, mengabaikan bagai proses data oleh komputer (komputer dianggap sebagai black box). Seperti audit manual.
ClientOutputAccounting
ApplicationClientInput
Comparewith
ClientOutput
Auditor’sPredetermined
Output
Auditing Around the Computer
Pengujian langsung ke pengendalian program yang digunakan dalam aplikasi. Auditor mengamati control function dari program aplikasi. Menguji secara langsung ke komputer klien.
Master File 1 Master File 2
AccountingApplication
Comparewith
ClientOutput
Auditor’sPredetermined
Output
Auditing Through the Computer
Pengujian pengendalian intern tidak dilakukan secara langsung pada komputer yang ada melainkan dengan menggunakan komputer dan aplikasi yang berbeda. Pendekatan audit ini biasanya banyak memanfaatkan berbagai Teknik Audit Berbantuan Komputer (TABK) atau Computer Assisted Audit & Techniques (CAATs).
Auditor menggunakan aplikasinya sendiri dan berupaya untuk melakukan proses yang serupa dengan aplikasi yang diaudit namun dengan memanfaatkan database yang sama dengan yang digunakan oleh sistem yang diaudit.
Auditor akan menguji apakah hasil dari proses yang dilakukannya menggunakan aplikasinya sendiri atas database yang diambil dari sistem yang diaudit akan memberikan memberikan hasil output yang sama seperti halnya jika database tersebut diprosesleh aplikasi yang diaudit.
Auditing With the Computer
top related