Menilai Risiko Pengendalian Dan Uji Pengendalian

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi
efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji yang
material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu auditor
dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material dalam asersi laporan
keuangan. Penilaian resiko pengendalian melibatkan pengevaluasian terhadap efetivitas dari (1)
rancangan dan (2) pengoperasian pengendalian. Menilai resiko pengendalian juga membantu
auditor dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit. Pada
dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai bagian dari dasar
yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam asersi nilai
keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi, dan banyak aktifitas
pengendalian berhubungan dengan pemrosesan suatu jenis transaksi tertentu. Oleh karena itu,
adalah umum memulai dengan menilai resiko pengendalian atas asersi kelas transaksi seperti
asersi keberadaan atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi untuk
penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat
dalam menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di pengaruhi
oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian yang relevan untuk penjualan
dan penerimaan kas di anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah
penting untuk mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual, bukan
untuk pengendalian intern secara keseluruhan, komponen pengendalian intern individual, atau
kebijakan atau prosedur individual.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah pengendalian yang
berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi oleh
manajemen entitas
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas
3. Mengidentifikasikan pengendalian yang diperlukan
mencegah atau mendeteksi dan memperbaiki salah saji

yang

mungkin

akan

4. Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan

untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian
tersebut
5. Mengevaluasi bukti dan membuat penilaian
Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika risiko
pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam proses penilaian ini akan
dibahas dalam bagian berikut.
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures to obtain an
understanding) mengenai pengendalian intern untuk asersi laporan keuangan yang signifikan.
Auditor mendokumentasikan pemahaman dalam bentuk kuisioner pengendalian intern yang telah
dilengkapi, bagan arus, dan atau memorandum naratif. Analisis mengenai pendokumentasian
merupakan titik awal untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan

pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial
dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material, seperti
apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah
saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur
yang relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban
Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta
kelemahan yang dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia biasanya akan
membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian, serta memeriksa dokumendokumen. Dalam proses tersebut auditor mungkin akan memperoleh bukti yang akan
mengizinkannya untuk menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut
tidak cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor
mungkin akan merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan
sementara memperoleh suatu pemahaman mengenai pengendalian intern.
2. Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang menghubungkan
jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang terkomputerisasi dengan salah
saji potensial untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa system
pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern
dan untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas
transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang signifikan.
Sebagai contoh, salah saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan
hutang usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi asersi
saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa
asersi yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:
Tabel salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian transaksi pengeluaran kas

Salah saji potensial

Suatu pengeluaran kas
dapat dibuat untuk tujuan
yang
tidak
diotorisasi
(keberadaan
atau
keterjadian untuk transaksi
yang valid)

Pengendalian yang diperlukan

Komputer
mencocokkan
informasi
cek
dengan
informasi yang mendukung
tanda bukti dan hutang usaha
untuk
setiap
transaksi
pengeluaran
Hanya
personel
dengan
otorisasi yang diizinkan untuk
menjalankan program dan
mneangani cek yang dicetak
dan ditandatangani komputer
Pemisahan
tugas
dalam
menyetujui
tanda
bukti
(voucher) pembayaran dan
menandatangani cek

Pengujian pengendalian
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati individu-individu
yang menangani pengeluaran
kas dan membandingkannya
dengan daftar personel yang
memiliki otorisasi
Mengamati pemisahan tugas

Suatu tanda bukti mungkin

dibayar
dua
kali
(keberadaan dan keterjadian
dari transaksi yang valid)

Komputer secara elektronik

membatalkan tanda bukti dan
informasi pendukung ketika
cek diterbitkan

Memberi tanda pada bukti

pembayaran dan dokumen
pendukung dengan tanda luns
ketika cek diterbitkan

Suatu cek dapat diterbitkan

untuk jumlah yang salah
atau dicatat dalam jumlah
yang salah (penilaian atau
alokasi)

Komputer
mencocokkan
informasi
cek
dengan
informasi yag mendukung
tanda bukti dan hutang usaha
untuk
setiap
transaksi
pengeluaran
Komputer
membandingkanjumlah
cek
yang
diterbitkan
dengan
jumlah yang dicatat dalam
pengeluaran kas
Rekonsiliasi bank independen
secara periodik

Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengemati pemberian cap
kepada dokumen dan/ atau
memeriksa
sampael
dari
dokumen yang telah dibayar
untuk memeriksa adanya
tanda lunas
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati
kinerja
rekonsiliasi bank dan/ atau
memeriksa rekonsiliasi bank.

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin dapat
mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu dengan menggunakan
perangkat lunak computer yang memroses jawaban kuesioner pengendalian intern atau dengan
secara manual menggunakan daftar. Kolom kedua dalam dalam tabel diatas mengilustrasikan
pengendalian potensial untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa
kasus, beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam
kasus lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan mengenai situasi
dan penilaian. Sebagai contoh, jika terdapat volume transaksi pengeluaran kas yang tinggi, maka
pemeriksaan independen antara antara rinkasan harian dari cek-cek yang disetujui untuk diterbitkan
dengan pemasukan dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat
waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan
pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara
independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya pengujian
independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian
kompensasi.

Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian aplikasi
maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari komponen aktivitas
pengendalian dari pengendalian internal. Auditor seharusnya menyadari bahwa beberapa
pengendalian yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan
mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas
transaksi atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari
manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam pemrosesan transaksi
pengeluaran kas, dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya,
kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat
mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu, auditor harus
mengasimilasikan informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan
dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial untuk
asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu pemahamandan
mengidentifikasi salah saji material serta pengendalian yang diperlukan untuk mencegah atau
mendeteksi dan memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko
pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan
pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan
auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu
penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam memperoleh suatu
pemahaman maupun lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan
operasis dari pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti
pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel klien dalam
melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan
bukti mengenai efektivitas dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai
contoh, dengan menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa
komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan pengeluaran kas,
auditor memperoleh bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan jenis bukti yang
tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih,
auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang
terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan pada
pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai
pengendalian intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat risiko
pengendalian yang dinilai merupakan masalah pertimbangan professional. AU 319.64 menyarankan
agar auditor mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti lain
yang berhubugan dengan penilaian risiko pengendalian ketika membuat pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas pengendalian yang
dilaksanakan oleh suatu komputer mungkin tidak ada hingga auditor dapat memilih untuk
menggunakan teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan
pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor
secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan
daripada membuat pertanyaan mengenai individu. Namun demikian, auditor seharusnya
mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin tidak

dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika mengevaluasi batas waktu
Pengujian pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang diperoleh oleh
beberapa pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit
diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian
aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah
program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat
melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian pengendalian
umum komputer selama periode audit umntuk memperoleh bukti mengenai apakah aktivitas
pengendalian terprogram dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai efektivitas suatu
pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung
beberapa kesimpulan yang berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit
dengan bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian
secara tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman
prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang
diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif. Dalam menarik
suatu kesimpulan mengenai efektivitas pengendalian intern, auditor sering kali menggunakan
petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi, yang biasanya
diekspresikan dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti, terdapat 10% risiko
bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis
salah saji tertentu) atau secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa
pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji
tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam
menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya
akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan
penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko
penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor
mungkin tidak melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu
audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian
substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga
menghasilkan audit yang tidak efisien.
B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI
INFORMASI
1. Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :

Menilai risiko pengendalian berdasarkan pengendalian pemakai

Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan

pengendalian aplikasi

Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada

pengendalian umum dan tindak lanjut manual

a) Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan dan
keakuratan dari transaksi yang diproses oleh komputer. Sebagai contoh, manajer yang mengenal
denagn baik transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar pembelian

yang dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen
pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen sumber
yang mendukung transaksi. Meskipun kedua pengendalian ini dapat mendeteksi dan memperbaiki
salah saji, namun opengendalian yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi
dan mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah
dideteksi dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian pemakai yang
berhubungan dengan suatu asersi secara langsung, serupa dengan pengujian pengendalian dalam
struktur manual. Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap
komplektisitas program komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang menyediakan
suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi tanggungjawab mereka. Namun
demikian, pengendalian manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup
sehingga memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang
rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai risiko
pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi komputer.Dalam rangka
melaksanakan strategi ini auditor seharusnya :
1. Menguji pengendalian aplikasi computer
2. Menguji pengendalian umum computer
3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian
aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian
berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah pengendalian
yang terprogram beroperasi secara konsisten selama periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor untuk
menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum dan prosedur
tindak lanjut manual. Ketika menguji pengendalian umum, biasanya auditor akan mempelajari
efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat
membuat kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan
pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan yang
melaksanakan prosedur tindak lanjut manual.
2. Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi.
Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan
pengendalian pemrosesan terprogram.
Teknik audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian dari
pengendalian aplikasi terprogram tertentu termasuk
1. Simulasi pararel,
2. Pengujian data,
3. Fasilitas pengujian terintegrasi, dan
4. Pemantauan yang berkelanjutan atas sistem real-time online.

a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan suatu program
perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki keuntungan sebagai berikut
:
1. Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
2. Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil.
3. Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan guna
menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi aktual klien. Juga bahwa
sistem klien dapat melakukan operasi yang berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut pengendalian
auditor dengan program computer klien. Metode ini memiliki beberapa kekurangan yaitu :

Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode

Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian

yang ada dan yang berfungsi yang diuji oleh program

Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system

Operator computer mengetahui bahwa data pengujian sedang dijalankan,

sehigga dapat mengurangi validitas output

Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang

pengendalian dalam aplikasi

c) Fasilitas pengujian integrasi

Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam system teknologi
informasi regular. Data pengujian, yang diberi kode secara khusus untuk berhubungan dengan file
master buatan, diperkenalkan ke dalam system bersamaan dengan transaksi actual. Metode ITF
memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data klien. Selain itu,
modifikasi juga mungkin diperlukan dalam program klien untuk mengakomodasi data buatan.
d) Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi terhadap file data dan
kesulitan dalam menyimpan data hipotesis. Modul audit ini menyediakan suatu cara bagi auditor
untuk memilih transaksi yang memiliki karakteristik penting bagi auditor.
1. Memberi label pada transaksi. Meliputi penempatan suatu indicator atau
label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri
melalui system ketika sedang diproses.
2. Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu,
digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan
auditor ketika mereka muncul pada titik tertentu dalam system.
3. Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan pengendalian
manual, pengendalian yang mengambil keuntungan teknologi informasi atau keduanya. Penting
untuk (1) mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu
pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3)
mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki

salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat
penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang
dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup baik
prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur pengendalian
manual dan komputer terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan
SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi
SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian
menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan
pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi
aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan,
pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain untuk
memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara
yang efisien dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk
menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk
memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan keyakinan memadai
bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui
proses otorisasi semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru
dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi karyawan
yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk memberikan keyakinan bahwa:
(1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan
pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau penghancuran data
baik yang disengaja maupun yang tidak disengaja.

c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi bencana.

b) Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan prosedur
pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai bahwa semua
transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat, dan tepat waktu.
Pengendalian aplikasi mencakup:
a. Pengendalian atas masukan-didesain
memadai bahwa:

untuk

memberikan

keyakinan

1. Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan komputer.

2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan
dicatat dalam file data komputer.
3. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali
secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk
memberikan keyakinan memadai bahwa
1. Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh
komputer.
2. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
3. Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.
c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Hasil pengolahan adalah cermat.
(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapatkan otor
(3) Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan oton semestinya.
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
(1) Pengendalian masukan pada sistem on-line-didesain untuk memberikan key bahwa:
- Transaksi di-entry ke terminal yang semestinya.
- Data di-entry dengan cermat.
- Data di-entry ke periode akuntansi yang semestinya.
- Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai transaks' sah (valid).
- Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.
- Transaksi tidak di-entry lebih dari sekali.
- Data yang di-entry tidak hilang selama masa transmisi berlangsung.
- Transaksi yang tidak berotorisasi tidak di-entry selama transmisi berlangsung.
(2) Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan keyakinan bahwa:
(i) Hasil penghitungan telah diprogram dengan benar.
(ii) Logika yang digunakan dalam proses pengolahan adalah benar.
(iii) File yang digunakan dalam proses pengolahan adalah benar.
(iv) Record yang digunakan dalam proses pengolahan adalah benar.
(v) Operator telah memasukkan data ke komputer console yang semestinya.
(vi) Tabel yang digunakan selama proses pengolahan adalah benar.
(vii) Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya.
(viii) Data yang tidak sah tidak digunakan dalam proses pengolahan.

(ix) Proses pengolahan tidak menggunakan program dengan versi yang salah.
(x) Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan
kebijakan manajemen entitas.
(xi) Data masukan yang diolah adalah data yang berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa:
(i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang berotorisasi.
Tabel dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial
serta pengendalian yang diperlukan untuk pengendalian umum dan
pengendalian aplikasi.

Salah saji potensial

Pengendalian
yang Kemungkinan pengujian
diperlukan
pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat Pemisahan tugas dalam Mengamati
pemisahan
memodifikasi program ke teknologi informasi untuk tugas dalam teknologi
dalam
pengendalian pemrograman
komputer informasi
terprogram
dan
pengoperasian
komputer
Personel
teknologi Pemisahan tugas antar Mengamati
pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses transaksi teknologi informasi untuk pemakai dan pemrosesan
tanpa otorisasi
memulai dan memproses data elektronik
transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
Rancangan
sistem Partisipasi personel dari Pertanyaan
mengenai
mungkin tidak memenuhi departemen pemakai dan partisipan yang terlibat
kebutuhan
departemen audit
internal
dalam dalam perancangan sistem
pemakai atau auditor
merancang dan menyetujui baru, memeriksa bukti
sistem baru
untuk persetujuan sistem
baru
Perubahan program yang Pemeriksaan
intern Memeriksa bukti verifikasi
tidak diotorisasi dapat mengenai otorisasi yang intern;
menelusuri
menghasilkan kekeliruan tepat,
pengujian
dan perubahan program ke
pemrosesan yang tidak pendokumentasian
dari dokumentasi
yang
diantisipasi
perubahan
program mendukung
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan dapat Pengendalian
perangkat Memeriksa
spesifikasi
menghasilkan kekeliruan keras dan perangkat lunak perangkat keras dan lunak
pemrosesan
sistem untuk mendeteksi sistem
kerusakan

Perubahan yang tidak

diotorisasi
dalam
perangkat lunak sistem
dapat
menghasilkan
kekeliruan pemrosesan
PENGENDALIAN AKSES
Pemakai tanpa otorisasi
dapat memeperoleh akses
terhadap
peralatab
teknologi informasi

Persetujuan
pendokumentasian
semua perubahan.

dan Memeriksa bukti

dari persetujuan
pendokumentasian
perubahan.

Keamanan
fisik
dan
fasilitas
teknologi
informasi;
tinjauan
manajemen
mengenai
laporan penggunaan.
Arsip data dan program Penggunaan
dapat diperbarui oelh perpusatakaan,
pemakai
yang
tidak pustakawan, dan log untuk
memiliki otorisasi
membatasi dan mengawasi
pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan
kelompok
dalam memasukkan atau pengendalian data yang
memproses data dan bertanggungjawab untuk
mendistribusikan keluaran memelihara pengendalian
terhadap data masukan,
pemrosesan dan output.
Kontinuitas
Rencana
kontijensi
pengoperasian
dapat termasuk pengaturan untuk
terganggu oleh suatu penggunaan
fasilitas
bencana seperti kebakaran cadangan
atau banjir
Arsip data dan program Penyimpanan
arsip
dapat rusak atau hilang
cadangan dan program off
premise; ketentuan untuk
rekonstruksi arsip data

dan

Memeriksa
pengaturan
keamanan dan laporan
penggunaan

Memeriksa fasilitas dan

log

Mengamati
kelompok
data

pengopersian
pegendalian

Memeriksa
kontijensi

rencana

Memeriksa
fasilitas
penyimpanan;
mengevalusasi
kemampuan rekonstruksi
arsip

Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian umum

pemrosesan data elektronik (EDP)

Salah saji potensial

Pengedalian
diperlukan

yang Kemungkinan pengujian

pengendalian

PENGENDALIAN INPUT
Data untuk transaksi yang Otorisasi dan persetujuan
tidak diotorisasi dapat data dari departemen
diserahkan untuk diproses pemakai;
pengendalian
aplikasi membandingkan

Memeriksa
dokumen
sumber
dan
untuk
membuktikan persetujuan;
pengujian
aplikasi,

data dengan
sebelumnya

otorisasi pengendalian
dengan
CAATs,
dan
mneguji
tindak lanjut manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi data
secara
tidak
benar total pengendalian
prosedur,
menggunakan
dikonversikan
dalam
CAATs untuk menguji
bentuk yang dapat dibaca
rutinitas
dan
menguji
oleh mesin
tindak
lanjut
manual;
memeriksa
rekonsiliasi
total pengendalian.
Kekeliruan pada dokumen Pemeliharaan dari log Memeriksa log dan bukti
sumber
tidak
dapat kekeliruan; pengembalian tindak lanjut.
diperbaiki dan diserahkan kepada
departemen
ulang
pengguna
untuk
diperbaiki; tindak lanjut
manual
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin Penggunaan label arsip Mengamati
penggunaan
diproses dan diperarui
eksternal dan internal
label
arsip
eksternal;
memeriksa
pendokumentasian
label
arsip internal
Data mungkin hilang, Penggunaan
total Memeriksa
bukti
ditambahkan, digandakan, pengendalian, batasan dan pengendalian rekonsiliasi
atau
diubah
selam pengujian,
pengujian total, menggunakan CAAT
pemrosesan
urutan
untuk
menguji
pengendalian
komputer
dan menguji tindak lanjut
manual
PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa
bukti
benar
kelompok
pengendalian rekonsiliasi
data atau departemen
pengguna
Output
mungkin Penggunaan
lembar Memeriksa
lembar
didistribusikan
kepada pengendalian
distribusi pengendalian
pemakai
yang
tidak laporan;
monitoring pendistribusian
laporan,
memiliki otorisasi
kelompok
pengendalian mengamati
monitoring
data.
kelompok
pengendalian
data.
Tabel pertimbangan
aplikasi komputer

penilaian

risiko

pengendalian

C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

untuk

pengendalian

1. Pendekatan substantif utama

Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen pengendalian intern
aktivitas pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat komponen lain
dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah satu dari hal-hal :

Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi

Setiap pengendalian intern yang relevan mungkin tidak efektif

Tidak efisien untuk memperoleh

pengendalian intern yang relevan

bukti

guna

mengevaluasi

efektivitas

Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian pengendalian
intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko pengendalian sedikit
dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1)
pengujian pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi
adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive
yang lebih tinggi, yang diperlukan oleh pendekatan substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin
menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang
disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah,
auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk
memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko pengendalian yang
direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika
bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada tingkat
sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat risiko pendeteksian
yang lebih rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan
mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk mencapai hal tersebut,
auditor harus mengevaluasi baik efektivitas dari rancangan maupun efektivitas dari pengoperasian
pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu
pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi ketika
pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian diterapkan. AU 319.53
menyatakan bahwa pengujian untuk memperoleh bukti semacam ini normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan
pelaksanaan pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian terkomputerisasi,
maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan teknik audit berbbantuan

komputer/CAAT. Pengguna dapat menyediakan bukti mengenai baik rancangan yang efektif maupun
pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah tingkatan
maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung tingkat risiko
pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko
pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti audit sangat bervariasi
dalam memberikan keyakinan kepada auditor pada waktu mengembangkan tingkat risiko
pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang
berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang
dapat diberikan oleh bukti audit.
a) Tipe Bukti Audit
Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti audit yang
tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut. Untuk beberapa
pengendalian, dokumentasi desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat
memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk mendapatkan bukti audit
tentang efektivitas desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan.
Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada untuk beberapa faktor
lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa
tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas
pengendalian yang dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas
desain atau operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan
teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh
langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan keyakinan yang lebih besar
daripada bukti audit yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan,
misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang
semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang
menerapkan prosedur pengendalian, biasanya memberikan keyakinan lebih besar daripada yang
diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus
mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak dilaksanakan
dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup
untuk mendukung kesimpulan tentang efektivitas desain dan operasi pengendalian tertentu. Apabila
auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan
dalam mengurangi risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan
pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan
mengenai efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan
bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi tingkat keyakinan yang diberikan
oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa
pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu,
pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut
mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa
yang tidak termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan

untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan
bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang
dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan pengendalian pada
satu waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan pengendalian
secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang diarahkan
terhadap desain dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi
dan penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti
apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama masa
yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit
sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko pengendalian untuk tahun
sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor
harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu yang
dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan operasi pengendalian
tersebut yang dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan
evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian
substantif yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa semakin
lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit
mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus
mendapatkan bukti audit dari audit sekarang mengenai apakah telah terjadi perubahan dalam
pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu.
Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan pertimbangan
mengenai hal yang diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan
bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain
dan operasi yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama
masa interim, is harus menentukan bukti audit tambahan apa yang harus diperoleh untuk masa
yang tersisa. Dalam membuat keputusan tersebut, auditor harus mempertimbangkan pentingnya
asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat
efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian
yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti
audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan
dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup
perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan
personel, yang terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit yang ada
kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti
audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi
efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor
dapat melakukan pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya;
auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang mengoperasikan komputer.
Karena pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus
melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam hal
apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang
lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan bagaimana usaha
tersebut dicegah atau dideteksi

Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit, auditor harus
mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas
pengendalian, informasi dan komunikasi, dan pemantauan. Walaupun salah satu komponen
pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk
asersi laporan keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masingmasing komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam
mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama mengenai
desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan
meningkat. Sebaliknya, apabila berbagai tipe bukti audit mengakibatkan kesimpulan yang berbeda
mengenai desain dan operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan
berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif, auditor
mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi
prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian
tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan
pengendalian antara lain dengan menerapkan prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak efektif dapat
berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya,
lingkungan pengendalian yang tampaknya memungkinkan perubahan yang tidak diotorisasi dalam
program komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari
evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat
memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program
tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy
program dan mempergunakan teknik audit berbantuan komputer untuk membandingkan copy
tersebut dengan program yang dipakai perusahaan untuk memproses data.
Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko
pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup
pengujian pengendalian lain yang sudah direncanakan untuk menaksir risiko pengendalian. Di
samping itu, mungkin ada informasi yang masuk ke dalam perhatian auditor sebagai hasil
pelaksanaan pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat
berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam
menaksir risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor ketika
melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko
pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif
yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai tingkat risiko pengendalian
taksiran untuk seluruh atau sebagian asersi laporan keuangan.
E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas
struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan
standar tersebut, auditor melaksanakan prosedur pemahaman struktur pengendalian intern dengan
cara mengumpulkan informasi tentang desain struktur pengendalian intern dan informasi apakah
desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan
auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam mencapai
tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of
controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua macam
pengendalian:
1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.

Untuk menentukan apakah informasi mengenai struktur pengendalian yang dikumpulkan oleh
auditor benar-benar ada, auditor melakukan dua macam pengujian :
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi
tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam
transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih
transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan
pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek
disetor oleh fungsi penerima kas ke bank.
Pengujian transaksi tersebut dapat berupa :

Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat

pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor
mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat
dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan
daftar surat pemberitahuan ke fungsi pencatat piutang.

Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati

endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa
jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi
bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi
penerima surat.

Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak

melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi
ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor
seleruhnya ke bank dengan segera.

Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam

kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.

b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.

Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi
tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam
transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih
transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan
pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek
disetor oleh fungsi penerima kas ke bank.
Pengujian transaksi tersebut dapat berupa :

Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat

pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor
mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat
dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan
daftar surat pemberitahuan ke fungsi pencatat piutang.

Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati

endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa
jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi
bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi
penerima surat.

Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak

melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi
ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor
seleruhnya ke bank dengan segera.

Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam

kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.

Dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian terhadap transaksi tertentu
yang telah terjadi dan telah dicatat dalam catatan akuntansi. Dalam hal ini auditor harus memilih
transaksi tertentu kemudian mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai,
melalui dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya dalam catatan
akuntansi. Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar dilaksanakan
sesuai dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor memeriksa surat
permintaan pembelian, surat penawaran harga, surat order pembelian, laporan penerimaan barang
dan bukti kas keluar. Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat
yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar
dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak hanya berkepentingan
terhadap eksistensi unsur-unsur struktur pengendalian intern, namun auditor juga berkepentingan
terhadap tingkat kepatuhan klien terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan
klien terhadap pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut ini :

Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen

pendukungnya (surat order pembelian, laporan penerimaan barang, dan faktur
dari pemasok) serta tanda tangan pejabat yang berwenang baik dalam bukti kas
keluar maupun dokumen pendukungnya. Tujuan pengujian ini adalah
untukmendapat kepastian transaksi pembelian telah diotorasi oleh pejabatpejabat berwenang.

Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang merupakan

kombinasi antara pengujian yang tujuannya untuk menilai efektivitas
pengendalian intern (pengujian pengendalian) dan pengujian yang tujuannya
menilai kewajaran informasi yang disajikan dalam laporan keuangan (pengujian
substantif).

F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang berkenaan
dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas. Penilaian tersebut kemudian
digunakan untuk menilai risiko pengendalian asersi saldo akun yang signifikan sehingga kesesuaian
dari tingkat pengujian substantif yang direncanakan untuk saldo akun dapat ditentukan, dan
pengujian substantif khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk
akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun
yang dipengaruhi oleh kelas transaksi ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akun-akun
yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus dalam kebanyakan
akun laporan laba rugi. Sebagai contoh, penjualan meningkat oleh kredit untuk transksi penjualan
dalam siklus pendapatan, dan banyak akun beban meningkat dengan mendebet transaksi
pembelian dalam siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk
setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk asersi kelas

transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan atau
keterjadian untuk saldo akun penjualan seharusnya sama dengan penilaian risiko pengendalian atas
asersi keberadaan atau keterjadian untuk transaksi penjualan. Demikian pula, penilaian risiko
pengendalian atas asersi pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban
harus sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas transaksi.
Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam siklus pendapatan dan
diturunkan oleh transaksi pengeluaran kas dalam siklus pengeluaran. Dalam kasus ini, menilai risiko
pengendalian untuk suatu asersi saldo akun memerlukan pertimbangan atas penilaian risiko
pengendalian yang relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi
neraca. Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi untuk saldo
kas didasarkan pada penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik untuk
transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko pengendalian
untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko pengendalian untuk asersi
yang sama yang berkenaan dengan semua kelas transaksi dipengaruhi saldo akun tersebut, dengan
satu pengecualian utama. Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian
dan asersi kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan
dengan asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan hubungan yang
tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini menunjukkan penilaian risiko
pengendalian yang relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko
pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan untuk saldo kas.
Tabel Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

Asersi Saldo Kas di mana Penilaian Risko Pengendalian Penjelasan

Risiko
Pengendalian yang Relevan untuk Kelas
Dinilai
Transaksi yang Mempengaruhi
Saldo Kas
Keberadaan atau Kejadian Keberadaan atau keterjaidan dari Jika beberapa penerimaan kas
penerimaan kas meningkatkan yang tercatat tidak terjadi,
risiko.
sebagian dari saldo kas tidak
ada.

Keberadaan atau keterjadian Jika beberapa pengeluaran

pengeluaran
kas
yang kas yang tercatat tidak
menurunkan saldo.
muncul, saldo kas tidak
lengkap.

Kelengkapan

Kelengkapan dari pengeluaran

kas yang menurunkan saldo.
Jika beberapa pengeluaran
kas tidak dicatat, bagian dari
saldo kas tidak ada lagi

Kelengkapan dari penerimaan kas

yang meningkatkan saldo.
Jika beberapa penerimaan kas
tidak dicatat, saldo kas tidak
lengkap

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko pengendalian
berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya mengenai bagian
pengendalian intern yang relevan berdasarkan pengujian pengendalian:

Asersi

Penilaian Risiko
Pengendalian

Keberadaan atau keterjadian dan penerimaan kas

Rendah

Kelengkapan dari penerimaan kas

Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda, auditor
dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu penilaian kombinasi.
Kemungkinan lain, beberapa kantor akuntan publik memilih untuk menggunakan penilaian relevan
yang paling konservatif (paling tinggi). Demikian pula halnya jika penilaian risiko pengendalian
auditor atas asersi penilaian atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas
masing-masing berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas asersi
penilaian atau alokasi untuk saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya risiko pengendalian
tersebut dibandingkan dengan penilaian tingkat risiko pengendalian yang direncanakan. Ketika
tingkat yang direncanakan didukung, auditor dapat melanjutkan untuk merancang pengujian
substantif berdasarkan strategi audit pendahuluan. Jika tingkat risiko pengendalian yang
direncanakan untuk dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan
pengujian audit yang berhubungan seharusnya direvisi untuk memperoleh tingkat risiko audit yng
diinginkan.
4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko pengendalian
(documentation of the controls risk assesment). Persyaratan tersebut adalah sebagai berikut :

Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini yang
diperlukan untuk didokumentasikan.

Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk

penilaian harus didokumentasikan.

AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk pendokumentasian. Dalam
praktik, suatu pendekatan umum adalah dengan menggunakan memorandum naratif yang
diorganisasikan oleh asersi laporan keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10,
yang mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan yang
terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk asersi kelengkapan telah
diberikan, di mana hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat
maksimum, seperti ditunjukkan untuk asersi hak dan kewajiban.
5. Mengkomunikasikan Masalah Pengendalian Intern
Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau personel entitas lain
dengan otoritas dan tanggung jawab yang sama, kondisi tertentu yang berhubungan dengan
pengendalian intern suatu entitas yang diamati selama audit laporan keuangan. AU 325,
Communication of Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78)
mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition) sebagai berikut :
masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya, seharusnya
dikomunikasikan dengan komite audit karena menyajikan kekurangan yang signifikan dalam
rancangan dan pengoperasian pengendalian intern yang dapat secara berlawanan mempengaruhi
kemampuan organisasi untuk mencatat, memproses, meringkas, dan melaporkan data keuangan
secara konsisten dengan asersi manajemen dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk kelemahan material
dalam pengendalian intern. AU 325.15 mendefinisikan suatu kelemahan material (material
weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari satu atau lebih
komponen pengendalian intern tidak dapat mengurangi tingkat risiko salah saji sampai ke tingkat
yang rendah karena kekeliruan atau kecurangan di mana jumlah yang material dalam hubungannya
dengan laporan keuangan yang sedang diaudit dapat muncul dan tidak dapat dideteksi selama satu
periode secara tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi
yang ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan kondisi yang
dapat dilaporkan yang memiliki kelemahan material dalam komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern adalah suatu
produk penting yang menggunakan pengetahuan yang diperoleh auditor selama audit laporan
keuangan. Auditor akan secara normal mengevaluasi apakah klien memiliki pengendalian yang
cukup untuk mengatasi masalah yang diciptakan oleh risiko usaha suatu entitas. Sebagai contoh,
dalam usaha untuk mengelola sistem persediaan just-in-time, klien mungkin merancang suatu
sistem yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas
persedian kepada penjual dan memesan barang ketika persediaan berada di bawah tingkat yang
telah ditentukan. Pengendalian intern klien seharusnya menyediakan keyakinan yang memadai
bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen dan
komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem pengendalian intern mereka.