Documentos de Académico
Documentos de Profesional
Documentos de Cultura
yang
mungkin
akan
pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial
dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material, seperti
apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah
saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur
yang relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban
Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta
kelemahan yang dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia biasanya akan
membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian, serta memeriksa dokumendokumen. Dalam proses tersebut auditor mungkin akan memperoleh bukti yang akan
mengizinkannya untuk menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut
tidak cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor
mungkin akan merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan
sementara memperoleh suatu pemahaman mengenai pengendalian intern.
2. Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang menghubungkan
jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang terkomputerisasi dengan salah
saji potensial untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa system
pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern
dan untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas
transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang signifikan.
Sebagai contoh, salah saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan
hutang usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi asersi
saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa
asersi yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:
Tabel salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian transaksi pengeluaran kas
Pengujian pengendalian
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati individu-individu
yang menangani pengeluaran
kas dan membandingkannya
dengan daftar personel yang
memiliki otorisasi
Mengamati pemisahan tugas
Komputer
mencocokkan
informasi
cek
dengan
informasi yag mendukung
tanda bukti dan hutang usaha
untuk
setiap
transaksi
pengeluaran
Komputer
membandingkanjumlah
cek
yang
diterbitkan
dengan
jumlah yang dicatat dalam
pengeluaran kas
Rekonsiliasi bank independen
secara periodik
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengemati pemberian cap
kepada dokumen dan/ atau
memeriksa
sampael
dari
dokumen yang telah dibayar
untuk memeriksa adanya
tanda lunas
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati
kinerja
rekonsiliasi bank dan/ atau
memeriksa rekonsiliasi bank.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian aplikasi
maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari komponen aktivitas
pengendalian dari pengendalian internal. Auditor seharusnya menyadari bahwa beberapa
pengendalian yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan
mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas
transaksi atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari
manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam pemrosesan transaksi
pengeluaran kas, dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya,
kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat
mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu, auditor harus
mengasimilasikan informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan
dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial untuk
asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu pemahamandan
mengidentifikasi salah saji material serta pengendalian yang diperlukan untuk mencegah atau
mendeteksi dan memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko
pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan
pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan
auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu
penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam memperoleh suatu
pemahaman maupun lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan
operasis dari pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti
pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel klien dalam
melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan
bukti mengenai efektivitas dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai
contoh, dengan menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa
komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan pengeluaran kas,
auditor memperoleh bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan jenis bukti yang
tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih,
auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang
terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan pada
pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai
pengendalian intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat risiko
pengendalian yang dinilai merupakan masalah pertimbangan professional. AU 319.64 menyarankan
agar auditor mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti lain
yang berhubugan dengan penilaian risiko pengendalian ketika membuat pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas pengendalian yang
dilaksanakan oleh suatu komputer mungkin tidak ada hingga auditor dapat memilih untuk
menggunakan teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan
pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor
secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan
daripada membuat pertanyaan mengenai individu. Namun demikian, auditor seharusnya
mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin tidak
dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika mengevaluasi batas waktu
Pengujian pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang diperoleh oleh
beberapa pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit
diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian
aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah
program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat
melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian pengendalian
umum komputer selama periode audit umntuk memperoleh bukti mengenai apakah aktivitas
pengendalian terprogram dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai efektivitas suatu
pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung
beberapa kesimpulan yang berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit
dengan bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian
secara tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman
prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang
diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif. Dalam menarik
suatu kesimpulan mengenai efektivitas pengendalian intern, auditor sering kali menggunakan
petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi, yang biasanya
diekspresikan dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti, terdapat 10% risiko
bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis
salah saji tertentu) atau secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa
pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji
tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam
menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya
akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan
penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko
penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor
mungkin tidak melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu
audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian
substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga
menghasilkan audit yang tidak efisien.
B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI
INFORMASI
1. Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
a) Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan dan
keakuratan dari transaksi yang diproses oleh komputer. Sebagai contoh, manajer yang mengenal
denagn baik transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar pembelian
yang dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen
pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen sumber
yang mendukung transaksi. Meskipun kedua pengendalian ini dapat mendeteksi dan memperbaiki
salah saji, namun opengendalian yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi
dan mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah
dideteksi dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian pemakai yang
berhubungan dengan suatu asersi secara langsung, serupa dengan pengujian pengendalian dalam
struktur manual. Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap
komplektisitas program komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang menyediakan
suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi tanggungjawab mereka. Namun
demikian, pengendalian manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup
sehingga memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang
rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai risiko
pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi komputer.Dalam rangka
melaksanakan strategi ini auditor seharusnya :
1. Menguji pengendalian aplikasi computer
2. Menguji pengendalian umum computer
3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian
aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian
berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah pengendalian
yang terprogram beroperasi secara konsisten selama periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor untuk
menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum dan prosedur
tindak lanjut manual. Ketika menguji pengendalian umum, biasanya auditor akan mempelajari
efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat
membuat kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan
pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan yang
melaksanakan prosedur tindak lanjut manual.
2. Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi.
Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan
pengendalian pemrosesan terprogram.
Teknik audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian dari
pengendalian aplikasi terprogram tertentu termasuk
1. Simulasi pararel,
2. Pengujian data,
3. Fasilitas pengujian terintegrasi, dan
4. Pemantauan yang berkelanjutan atas sistem real-time online.
a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan suatu program
perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki keuntungan sebagai berikut
:
1. Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
2. Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil.
3. Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan guna
menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi aktual klien. Juga bahwa
sistem klien dapat melakukan operasi yang berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut pengendalian
auditor dengan program computer klien. Metode ini memiliki beberapa kekurangan yaitu :
Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode
salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat
penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang
dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup baik
prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur pengendalian
manual dan komputer terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan
SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi
SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian
menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan
pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi
aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan,
pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain untuk
memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara
yang efisien dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk
menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk
memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan keyakinan memadai
bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui
proses otorisasi semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru
dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi karyawan
yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk memberikan keyakinan bahwa:
(1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan
pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau penghancuran data
baik yang disengaja maupun yang tidak disengaja.
untuk
memberikan
keyakinan
(ix) Proses pengolahan tidak menggunakan program dengan versi yang salah.
(x) Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan
kebijakan manajemen entitas.
(xi) Data masukan yang diolah adalah data yang berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa:
(i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang berotorisasi.
Tabel dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial
serta pengendalian yang diperlukan untuk pengendalian umum dan
pengendalian aplikasi.
Pengendalian
yang Kemungkinan pengujian
diperlukan
pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat Pemisahan tugas dalam Mengamati
pemisahan
memodifikasi program ke teknologi informasi untuk tugas dalam teknologi
dalam
pengendalian pemrograman
komputer informasi
terprogram
dan
pengoperasian
komputer
Personel
teknologi Pemisahan tugas antar Mengamati
pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses transaksi teknologi informasi untuk pemakai dan pemrosesan
tanpa otorisasi
memulai dan memproses data elektronik
transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
Rancangan
sistem Partisipasi personel dari Pertanyaan
mengenai
mungkin tidak memenuhi departemen pemakai dan partisipan yang terlibat
kebutuhan
departemen audit
internal
dalam dalam perancangan sistem
pemakai atau auditor
merancang dan menyetujui baru, memeriksa bukti
sistem baru
untuk persetujuan sistem
baru
Perubahan program yang Pemeriksaan
intern Memeriksa bukti verifikasi
tidak diotorisasi dapat mengenai otorisasi yang intern;
menelusuri
menghasilkan kekeliruan tepat,
pengujian
dan perubahan program ke
pemrosesan yang tidak pendokumentasian
dari dokumentasi
yang
diantisipasi
perubahan
program mendukung
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan dapat Pengendalian
perangkat Memeriksa
spesifikasi
menghasilkan kekeliruan keras dan perangkat lunak perangkat keras dan lunak
pemrosesan
sistem untuk mendeteksi sistem
kerusakan
Persetujuan
pendokumentasian
semua perubahan.
Keamanan
fisik
dan
fasilitas
teknologi
informasi;
tinjauan
manajemen
mengenai
laporan penggunaan.
Arsip data dan program Penggunaan
dapat diperbarui oelh perpusatakaan,
pemakai
yang
tidak pustakawan, dan log untuk
memiliki otorisasi
membatasi dan mengawasi
pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan
kelompok
dalam memasukkan atau pengendalian data yang
memproses data dan bertanggungjawab untuk
mendistribusikan keluaran memelihara pengendalian
terhadap data masukan,
pemrosesan dan output.
Kontinuitas
Rencana
kontijensi
pengoperasian
dapat termasuk pengaturan untuk
terganggu oleh suatu penggunaan
fasilitas
bencana seperti kebakaran cadangan
atau banjir
Arsip data dan program Penyimpanan
arsip
dapat rusak atau hilang
cadangan dan program off
premise; ketentuan untuk
rekonstruksi arsip data
dan
Memeriksa
pengaturan
keamanan dan laporan
penggunaan
Mengamati
kelompok
data
pengopersian
pegendalian
Memeriksa
kontijensi
rencana
Memeriksa
fasilitas
penyimpanan;
mengevalusasi
kemampuan rekonstruksi
arsip
Pengedalian
diperlukan
PENGENDALIAN INPUT
Data untuk transaksi yang Otorisasi dan persetujuan
tidak diotorisasi dapat data dari departemen
diserahkan untuk diproses pemakai;
pengendalian
aplikasi membandingkan
Memeriksa
dokumen
sumber
dan
untuk
membuktikan persetujuan;
pengujian
aplikasi,
data dengan
sebelumnya
otorisasi pengendalian
dengan
CAATs,
dan
mneguji
tindak lanjut manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi data
secara
tidak
benar total pengendalian
prosedur,
menggunakan
dikonversikan
dalam
CAATs untuk menguji
bentuk yang dapat dibaca
rutinitas
dan
menguji
oleh mesin
tindak
lanjut
manual;
memeriksa
rekonsiliasi
total pengendalian.
Kekeliruan pada dokumen Pemeliharaan dari log Memeriksa log dan bukti
sumber
tidak
dapat kekeliruan; pengembalian tindak lanjut.
diperbaiki dan diserahkan kepada
departemen
ulang
pengguna
untuk
diperbaiki; tindak lanjut
manual
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin Penggunaan label arsip Mengamati
penggunaan
diproses dan diperarui
eksternal dan internal
label
arsip
eksternal;
memeriksa
pendokumentasian
label
arsip internal
Data mungkin hilang, Penggunaan
total Memeriksa
bukti
ditambahkan, digandakan, pengendalian, batasan dan pengendalian rekonsiliasi
atau
diubah
selam pengujian,
pengujian total, menggunakan CAAT
pemrosesan
urutan
untuk
menguji
pengendalian
komputer
dan menguji tindak lanjut
manual
PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa
bukti
benar
kelompok
pengendalian rekonsiliasi
data atau departemen
pengguna
Output
mungkin Penggunaan
lembar Memeriksa
lembar
didistribusikan
kepada pengendalian
distribusi pengendalian
pemakai
yang
tidak laporan;
monitoring pendistribusian
laporan,
memiliki otorisasi
kelompok
pengendalian mengamati
monitoring
data.
kelompok
pengendalian
data.
Tabel pertimbangan
aplikasi komputer
penilaian
risiko
pengendalian
untuk
pengendalian
bukti
guna
mengevaluasi
efektivitas
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian pengendalian
intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko pengendalian sedikit
dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1)
pengujian pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi
adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive
yang lebih tinggi, yang diperlukan oleh pendekatan substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin
menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang
disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah,
auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk
memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko pengendalian yang
direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika
bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada tingkat
sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat risiko pendeteksian
yang lebih rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan
mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk mencapai hal tersebut,
auditor harus mengevaluasi baik efektivitas dari rancangan maupun efektivitas dari pengoperasian
pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu
pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi ketika
pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian diterapkan. AU 319.53
menyatakan bahwa pengujian untuk memperoleh bukti semacam ini normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan
pelaksanaan pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian terkomputerisasi,
maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan teknik audit berbbantuan
komputer/CAAT. Pengguna dapat menyediakan bukti mengenai baik rancangan yang efektif maupun
pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah tingkatan
maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung tingkat risiko
pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko
pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti audit sangat bervariasi
dalam memberikan keyakinan kepada auditor pada waktu mengembangkan tingkat risiko
pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang
berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang
dapat diberikan oleh bukti audit.
a) Tipe Bukti Audit
Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti audit yang
tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut. Untuk beberapa
pengendalian, dokumentasi desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat
memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk mendapatkan bukti audit
tentang efektivitas desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan.
Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada untuk beberapa faktor
lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa
tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas
pengendalian yang dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas
desain atau operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan
teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh
langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan keyakinan yang lebih besar
daripada bukti audit yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan,
misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang
semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang
menerapkan prosedur pengendalian, biasanya memberikan keyakinan lebih besar daripada yang
diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus
mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak dilaksanakan
dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup
untuk mendukung kesimpulan tentang efektivitas desain dan operasi pengendalian tertentu. Apabila
auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan
dalam mengurangi risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan
pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan
mengenai efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan
bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi tingkat keyakinan yang diberikan
oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa
pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu,
pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut
mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa
yang tidak termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan
untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan
bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang
dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan pengendalian pada
satu waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan pengendalian
secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang diarahkan
terhadap desain dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi
dan penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti
apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama masa
yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit
sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko pengendalian untuk tahun
sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor
harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu yang
dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan operasi pengendalian
tersebut yang dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan
evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian
substantif yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa semakin
lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit
mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus
mendapatkan bukti audit dari audit sekarang mengenai apakah telah terjadi perubahan dalam
pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu.
Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan pertimbangan
mengenai hal yang diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan
bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain
dan operasi yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama
masa interim, is harus menentukan bukti audit tambahan apa yang harus diperoleh untuk masa
yang tersisa. Dalam membuat keputusan tersebut, auditor harus mempertimbangkan pentingnya
asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat
efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian
yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti
audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan
dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup
perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan
personel, yang terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit yang ada
kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti
audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi
efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor
dapat melakukan pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya;
auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang mengoperasikan komputer.
Karena pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus
melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam hal
apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang
lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan bagaimana usaha
tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit, auditor harus
mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas
pengendalian, informasi dan komunikasi, dan pemantauan. Walaupun salah satu komponen
pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk
asersi laporan keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masingmasing komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam
mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama mengenai
desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan
meningkat. Sebaliknya, apabila berbagai tipe bukti audit mengakibatkan kesimpulan yang berbeda
mengenai desain dan operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan
berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif, auditor
mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi
prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian
tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan
pengendalian antara lain dengan menerapkan prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak efektif dapat
berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya,
lingkungan pengendalian yang tampaknya memungkinkan perubahan yang tidak diotorisasi dalam
program komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari
evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat
memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program
tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy
program dan mempergunakan teknik audit berbantuan komputer untuk membandingkan copy
tersebut dengan program yang dipakai perusahaan untuk memproses data.
Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko
pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup
pengujian pengendalian lain yang sudah direncanakan untuk menaksir risiko pengendalian. Di
samping itu, mungkin ada informasi yang masuk ke dalam perhatian auditor sebagai hasil
pelaksanaan pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat
berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam
menaksir risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor ketika
melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko
pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif
yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai tingkat risiko pengendalian
taksiran untuk seluruh atau sebagian asersi laporan keuangan.
E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas
struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan
standar tersebut, auditor melaksanakan prosedur pemahaman struktur pengendalian intern dengan
cara mengumpulkan informasi tentang desain struktur pengendalian intern dan informasi apakah
desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan
auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam mencapai
tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of
controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua macam
pengendalian:
1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.
Untuk menentukan apakah informasi mengenai struktur pengendalian yang dikumpulkan oleh
auditor benar-benar ada, auditor melakukan dua macam pengujian :
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi
tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam
transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih
transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan
pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek
disetor oleh fungsi penerima kas ke bank.
Pengujian transaksi tersebut dapat berupa :
Dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian terhadap transaksi tertentu
yang telah terjadi dan telah dicatat dalam catatan akuntansi. Dalam hal ini auditor harus memilih
transaksi tertentu kemudian mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai,
melalui dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya dalam catatan
akuntansi. Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar dilaksanakan
sesuai dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor memeriksa surat
permintaan pembelian, surat penawaran harga, surat order pembelian, laporan penerimaan barang
dan bukti kas keluar. Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat
yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar
dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak hanya berkepentingan
terhadap eksistensi unsur-unsur struktur pengendalian intern, namun auditor juga berkepentingan
terhadap tingkat kepatuhan klien terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan
klien terhadap pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut ini :
F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang berkenaan
dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas. Penilaian tersebut kemudian
digunakan untuk menilai risiko pengendalian asersi saldo akun yang signifikan sehingga kesesuaian
dari tingkat pengujian substantif yang direncanakan untuk saldo akun dapat ditentukan, dan
pengujian substantif khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk
akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun
yang dipengaruhi oleh kelas transaksi ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akun-akun
yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus dalam kebanyakan
akun laporan laba rugi. Sebagai contoh, penjualan meningkat oleh kredit untuk transksi penjualan
dalam siklus pendapatan, dan banyak akun beban meningkat dengan mendebet transaksi
pembelian dalam siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk
setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk asersi kelas
transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan atau
keterjadian untuk saldo akun penjualan seharusnya sama dengan penilaian risiko pengendalian atas
asersi keberadaan atau keterjadian untuk transaksi penjualan. Demikian pula, penilaian risiko
pengendalian atas asersi pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban
harus sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas transaksi.
Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam siklus pendapatan dan
diturunkan oleh transaksi pengeluaran kas dalam siklus pengeluaran. Dalam kasus ini, menilai risiko
pengendalian untuk suatu asersi saldo akun memerlukan pertimbangan atas penilaian risiko
pengendalian yang relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi
neraca. Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi untuk saldo
kas didasarkan pada penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik untuk
transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko pengendalian
untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko pengendalian untuk asersi
yang sama yang berkenaan dengan semua kelas transaksi dipengaruhi saldo akun tersebut, dengan
satu pengecualian utama. Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian
dan asersi kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan
dengan asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan hubungan yang
tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini menunjukkan penilaian risiko
pengendalian yang relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko
pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan untuk saldo kas.
Tabel Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas
Kelengkapan
Asersi
Penilaian Risiko
Pengendalian
Rendah
Sedang
Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda, auditor
dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu penilaian kombinasi.
Kemungkinan lain, beberapa kantor akuntan publik memilih untuk menggunakan penilaian relevan
yang paling konservatif (paling tinggi). Demikian pula halnya jika penilaian risiko pengendalian
auditor atas asersi penilaian atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas
masing-masing berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas asersi
penilaian atau alokasi untuk saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya risiko pengendalian
tersebut dibandingkan dengan penilaian tingkat risiko pengendalian yang direncanakan. Ketika
tingkat yang direncanakan didukung, auditor dapat melanjutkan untuk merancang pengujian
substantif berdasarkan strategi audit pendahuluan. Jika tingkat risiko pengendalian yang
direncanakan untuk dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan
pengujian audit yang berhubungan seharusnya direvisi untuk memperoleh tingkat risiko audit yng
diinginkan.
4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko pengendalian
(documentation of the controls risk assesment). Persyaratan tersebut adalah sebagai berikut :
Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini yang
diperlukan untuk didokumentasikan.
AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk pendokumentasian. Dalam
praktik, suatu pendekatan umum adalah dengan menggunakan memorandum naratif yang
diorganisasikan oleh asersi laporan keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10,
yang mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan yang
terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk asersi kelengkapan telah
diberikan, di mana hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat
maksimum, seperti ditunjukkan untuk asersi hak dan kewajiban.
5. Mengkomunikasikan Masalah Pengendalian Intern
Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau personel entitas lain
dengan otoritas dan tanggung jawab yang sama, kondisi tertentu yang berhubungan dengan
pengendalian intern suatu entitas yang diamati selama audit laporan keuangan. AU 325,
Communication of Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78)
mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition) sebagai berikut :
masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya, seharusnya
dikomunikasikan dengan komite audit karena menyajikan kekurangan yang signifikan dalam
rancangan dan pengoperasian pengendalian intern yang dapat secara berlawanan mempengaruhi
kemampuan organisasi untuk mencatat, memproses, meringkas, dan melaporkan data keuangan
secara konsisten dengan asersi manajemen dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk kelemahan material
dalam pengendalian intern. AU 325.15 mendefinisikan suatu kelemahan material (material
weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari satu atau lebih
komponen pengendalian intern tidak dapat mengurangi tingkat risiko salah saji sampai ke tingkat
yang rendah karena kekeliruan atau kecurangan di mana jumlah yang material dalam hubungannya
dengan laporan keuangan yang sedang diaudit dapat muncul dan tidak dapat dideteksi selama satu
periode secara tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi
yang ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan kondisi yang
dapat dilaporkan yang memiliki kelemahan material dalam komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern adalah suatu
produk penting yang menggunakan pengetahuan yang diperoleh auditor selama audit laporan
keuangan. Auditor akan secara normal mengevaluasi apakah klien memiliki pengendalian yang
cukup untuk mengatasi masalah yang diciptakan oleh risiko usaha suatu entitas. Sebagai contoh,
dalam usaha untuk mengelola sistem persediaan just-in-time, klien mungkin merancang suatu
sistem yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas
persedian kepada penjual dan memesan barang ketika persediaan berada di bawah tingkat yang
telah ditentukan. Pengendalian intern klien seharusnya menyediakan keyakinan yang memadai
bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen dan
komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem pengendalian intern mereka.