1717 SPA 300, “Perencanaan SuatuAudit atas Laporan Keuangan,” paragraf 7 dan 9. 18
A134. Untuk audit yang berulang, dokumentasi tertentu dapat digunakan kembali untuk audit berikutnya, yang dimutakhirkan sebagaimana diperlukan untuk mencerminkan perubahan dalam bisnis atau proses entitas.
Lampiran 1 (Ref: 4(c), 14-24, A69-A104) Komponen Pengendalian Internal
1. Lampiran ini menjelaskan lebih lanjut komponen pengendalian internal, sebagaimana ditetapkan dalam paragraf 4(c), 14-24, dan A69-A104, sehubungan dengan keterkaitan komponen tersebut dengan audit atas laporan keuangan.
Lingkungan Pengendalian
2. Lingkungan pengendalian meliputi unsur-unsur sebagai berikut:
(a) Komunikasi dan penegakan nilai integritas dan etika. Efektivitas pengendalian tidak dapat melebihi nilai integritas dan etika dari mereka yang menciptakan, mengelola, dan memantau pengendalian tersebut. Integritas dan perilaku etis merupakan produk standar etika dan perilaku entitas, bagaimana standar tersebut dikomunikasikan, dan bagaimana standar tersebut diperkuat dalam praktik. Penegakan nilai integritas dan etika mencakup, sebagai contoh, tindakan manajemen untuk menghilangkan atau memitigasi insentif atau godaan yang dapat menyebabkan personel untuk melakukan tindakan yang tidak jujur, ilegal, atau tidak etis. Komunikasi kebijakan entitas tentang nilai integritas dan etika dapat mencakup komunikasi standar perilaku kepada personel melalui pernyataan kebijakan dan kode etik, serta contoh yang diberikan. (b) Komitmen terhadap kompentensi. Kompetensi adalah pengetahuan dan keahlian yang
diperlukan untuk menyelesaikan tugas yang menjadi tanggung jawab individu.
(c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola. Kesadaran pengendalian suatu entitas dipengaruhi secara signifikan oleh pihak yang bertanggung jawab atas tata kelola. Pentingnya tanggung jawab pihak yang bertanggung jawab atas tata kelola dinyatakan dalam kode etik dan peraturan perundang-undangan, atau panduan yang dikeluarkan untuk memberikan manfaat bagi pihak yang bertanggung jawab atas tata kelola. Tanggung jawab lainnya dari pihak yang bertanggung jawab atas tata kelola mencakup pengawasan atas rancangan dan pengoperasian secara efektif prosedur peniup peluit (whistle blower) serta proses untuk menelaah efektivitas pengendalian internal entitas.
(d) Falsafah dan gaya operasi manajemen. Falsafah dan gaya operasi manajemen meliputi suatu rentang karakteristik. Sebagai contoh, sikap dan tindakan manajemen terhadap pelaporan keuangan dapat ternyatakan dengan sendirinya melalui pemilihan
yang bersifat konservatif atau agresif dari prinsip akuntansi alternatif yang tersedia, atau kecermatan dan konservatisme yang melandasi penyusunan estimasi akuntansi. (e) Struktur organisasi. Penetapan suatu struktur organisasi yang relevan mencakup
pertimbangan atas wilayah utama atas wewenang dan tanggung jawab serta garis pelaporan yang tepat. Ketepatan struktur organisasi suatu entitas tergantung dari ukuran dan sifat aktivitas entitas tersebut.
(f) Penugasan wewenang dan tanggung jawab. Penugasan wewenang dan tanggung jawab dapat mencakup kebijakan yang berkaitan dengan praktik bisnis yang tepat, pengetahuan dan pengalaman personel kunci, dan sumber daya yang tersedia untuk melaksanakan tugas. Selain itu, penugasan tersebut juga mencakup kebijakan dan komunikasi yang diarahkan untuk menjamin bahwa seluruh personel memahami tujuan entitas, mengetahui bagaimana tindakan mereka secara individu saling terkait dan memberikan kontribusi terhadap tujuan tersebut, serta menetapkan bagaimana dan untuk apa mereka akan dimintakan pertanggungjawaban.
(g) Kebijakan dan praktik sumber daya manusia. Kebijakan dan praktik sumber daya manusia sering menunjukkan hal-hal penting dalam hubungannya dengan kesadaran pengendalian suatu entitas. Sebagai contoh, standar untuk perekrutan individu yang paling cakap — dengan penekanan pada latar belakang pendidikan, pengalaman kerja sebelumnya, pencapaian masa lalu, serta bukti integritas dan perilaku etis —
menunjukkan komitmen entitas terhadap orang-orang yang kompeten dan dapat dipercaya. Kebijakan pelatihan yang mengomunikasikan peran dan tanggung jawab prospektif serta mencakup praktik seperti sekolah pelatihan dan seminar menggambarkan tingkat kinerja dan perilaku yang diharapkan. Promosi yang didasarkan pada penilaian kinerja secara berkala menunjukkan komitmen entitas terhadap pemajuan personel yang cakap menuju tingkat tanggung jawab yang lebih tinggi.
Proses Penilaian Risiko Entitas
3. Untuk tujuan pelaporan keuangan, proses penilaian risiko entitas mencakup bagaimana manajemen mengidentifikasi risiko bisnis yang relevan dengan penyusunan laporan keuangan sesuai dengan kerangka pelaporan keuangan entitas yang berlaku, mengestimasi signifikansi risiko bisnis tersebut, menilai kemungkinan keterjadiannya, dan memutuskan tindakan untuk merespons dan mengelola risiko tersebut beserta hasil proses
penilaian risiko tersebut. Sebagai contoh, proses penilaian risiko entitas dapat diarahkan untuk melihat bagaimana entitas mempertimbangkan kemungkinan transaksi tidak tercatat atau mengidentifikasi dan menganalisis estimasi signifikan yang tercantum dalam laporan keuangan.
4. Risiko yang relevan dengan pelaporan keuangan yang andal mencakup peristiwa, transaksi, atau kondisi eksternal dan internal yang dapat terjadi dan memengaruhi secara buruk kemampuan entitas untuk menginisiasi, mencatat, mengolah, dan melaporkan data keuangan yang konsisten dengan asersi manajemen dalam laporan keuangan. Manajemen dapat menginisiasi rencana, program, atau tindakan untuk merespons risiko tertentu atau manajemen dapat memutuskan untuk menerima suatu risiko karena pertimbangang biaya atau pertimbangan lainnya. Risiko dapat timbul atau berubah karena kondisi-kondisi seperti sebagai berikut:
Perubahan dalam lingkungan operasi. Perubahan dalam lingkungan peraturan atau lingkungan operasi dapat mengakibatkan perubahan dalam tekanan yang kompetitif dan dalam risiko yang berbeda secara signifikan.
Personel baru.Personel baru dapat memiliki fokus yang berbeda atas, atau pemahaman tentang, pengendalian internal.
Sistem informasi baru atau yang ditingkatkan. Perubahan yang signifikan dan pesat dalam sistem informasi dapat mengubah risiko yang berkaitan dengan pengendalian internal.
Pertumbuhan yang pesat. Ekspansi operasi yang signifikan dan pesat dapat melemahkan pengendalian dan meningkatkan risiko kerusakan dalam pengendalian. Teknologi baru. Penggunaan teknologi baru dalam proses produksi atau sistem informasi dapat mengubah risiko yang terkait dengan pengendalian internal.
Model, produk, atau aktivitas bisnis baru. Ketika entitas memasuki area atau transaksi bisnis dengan pengalaman yang terbatas, risiko baru yang terkait dengan pengendalian internal dapat timbul.
Restukturisasi korporasi. Restrukturisasi dapat disertai dengan pengurangan karyawan dan perubahan dalam supervisi dan pemisahan tugas yang dapat mengubah risiko yang terkait dengan pengendalian internal.
Ekspansi entitas di luar negeri. Ekspansi atau akuisisi entitas di luar negeri membawa risiko baru, dan seringkali, bersifat unik, yang dapat memengaruhi pengendalian internal, sebagai contoh, risiko tambahan atau risiko yang berubah sebagai akibat dari transaksi mata uang asing.
Standar akuntansi baru. Adopsi prinsip akuntansi baru atau perubahan prinsip akuntansi dapat memengaruhi risiko dalam penyusunan laporan keuangan.
Sistem Informasi (Termasuk Proses Bisnis Terkait) yang Relevan dengan Pelaporan Keuangan, dan Komunikasi
5. Suatu sistem informasi terdiri dari infrastruktur (komponen fisik dan perangkat keras), perangkat lunak, orang, prosedur, dan data. Banyak sistem informasi menggunakan teknologi informasi secara ekstensif.
6. Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup sistem pelaporan keuangan, mencakup metode dan catatan yang:
Mengidentifikasi dan mencatat seluruh transaksi yang valid.
Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk memungkinkan klasifikasi transaksi yang tepat untuk pelaporan keuangan.
Mengukur nilai transaksi dengan suatu cara yang memungkinkan pencatatan nilai moneter transaksi tersebut secara tepat dalam laporan keuangan.
Menentukan periode terjadinya transaksi yang memungkinkan pencatatan transaksi tersebut dalam periode akuntasi yang tepat.
Menyajikan transaksi dan pengungkapan terkait secara tepat dalam laporan keuangan. 7. Kualitas informasi yang dihasilkan dari sistem memengaruhi kemampuan manajemen untuk membuat keputusan yang tepat dalam mengelola dan mengendalikan aktivitas entitas dan untuk menyusun laporan keuangan yan andal.
8. Komunikasi, yang melibatkan penyediaan pemahaman tentang peran dan tanggung jawab individu yang terkait dengan pengendalian internal atas pelaporan keuangan, dapat berupa manual kebijakan, manual akuntansi dan pelaporan keuangan, serta memorandum. Komunikasi juga dapat dilakukan secara elektronis, lisan, dan melalui tindakan manajemen.
Aktivitas Pengendalian
9. Pada umumnya, aktivitas pengendalian yang relevan dengan suatu audit dapat dikategorikan sebagai kebijakan dan prosedur yang berkaitan dengan hal-hal sebagai berikut:
Penelaahan kinerja. Aktivitas pengendalian ini mencakup penelaahan dan analisis kinerja aktual dibandingkan dengan anggaran, prakiraan, dan kinerja periode lalu;
menghubungkan serangkaian data yang berbeda (data operasi atau data keuangan) satu sama lainnya, bersama dengan analisis hubungan dan tindakan investigatif dan korektif; membandingkan data internal dengan sumber informasi ekternal; serta menelaah kinerja fungsional atau kinerja aktivitas.
Pengolahan informasi. Dua pengelompokan besar atas aktivitas pengendalian sistem informasi adalah: (i) pengendalian aplikasi, yaitu pengendalian yang diterapkan atas pengolahan aplikasi individu, dan (ii) pengendalian teknologi informasi umum, yaitu pengendalian berupa kebijakan dan prosedur yang berhubungan dengan banyak aplikasi yang mendukung berfungsinya pengendalian aplikasi secara efektif dengan membantu untuk menjamin beroperasinya sistem informasi secara tepat dan berkelanjutan. Contoh-contoh pengendalian aplikasi mencakup pengecekan keakurasian perhitungan atas catatan, memelihara dan menelaah akun dan neraca saldo, pengendalian terotomatisasi seperti pengecekan edit atas data masukan dan pengecekan urutan numerik, dan penindaklanjutan secara manual atas laporan penyimpangan. Contoh-contoh pengendalian teknologi informasi umum adalah pengendalian perubahan program, pengendalian atas implementasi paket aplikasi perangkat lunak baru, dan pengendalian atas perangkat lunak sistem yang membatasi akses terhadap atau yang memantau utilitas sistem yang dapat mengubah data atau catatan keuangan tanpa meninggalkan jejak audit.
Pengendalian fisik. Pengendalian ini mencakup:
o Pengamanan yang memadai atas fisik aset, seperti fasilitas yang aman atas akses terhadap aset dan catatan.
o Otorisasi atas akses terhadap program komputer dan fail data.
o Penghitungan dan pembandingan dengan jumlah yang tercantum dalam catatan pengendali secara periodik (sebagai contoh, pembandingan antara hasil penghitungan kas, surat berharga, dan persediaan dengan catatan akuntansi). Luas pengendalian fisik yang ditujukan untuk mencegah pencurian aset adalah relevan dengan keandalan penyusunan laporan keuangan, dan oleh karena itu, audit bergantung pada kondisi-kondisi seperti ketika aset tinggi kerentanannya terhadap penyalahgunaan.
Pemisahan tugas. Penugasan tanggung jawab kepada individu yang berbeda dalam pengotorisasian dan pencatatan transaksi, serta penyimpanan aset. Pemisahan tugas dimaksudkan untuk mengurangi peluang kemungkinan individu manapun untuk
berada dalam suatu posisi yang memungkinkannya untuk melakukan dan menyembunyikan kesalahan atau kecurangan dalam tugas normalnya.
10. Aktivitas pengendalian tertentu dapat bergantung pada eksistensi kebijakan tingkat lebih tinggi yang tepat yang ditetapkan oleh manajemen atau pihak yang bertanggung jawab atas tata kelola. Sebagai contoh, pengendalian otorisasi dapat didelegasikan berdasarkan panduan yang telah ditetapkan, seperti kriteria investasi yang ditetapkan oleh pihak yang bertanggung jawab atas tata kelola; atau, transaksi nonrutin seperti akuisisi atau divestasi signifikan mungkin mengharuskan persetujuan tingkat tinggi, termasuk persetujuan dari pemegang saham pada beberapa kasus.
Pemantauan Pengendalian
11. Tanggung jawab penting manajeman adalah untuk menetapkan dan memelihara pengendalian internal secara berkelanjutan. Pemantauan pengendalian oleh manajemen mencakup pertimbangan apakah pengendalian tersebut beroperasi sebagaimana yang dimaksudkan dan pengendalian tersebut dimodifikasi sebagaimana diperlukan sehubungan dengan perubahan dalam kondisi. Pemantauan pengendalian dapat mencakup aktivitas seperti penelaahan manajemen tentang apakah rekonsiliasi bank dibuat secara tepat waktu, evaluasi auditor internal atas kepatuhan personel penjualan terhadap kebijakan entitas atas persyaratan kontrak penjualan, dan pengawasan departemen legal atas kepatuhan terhadap kebijakan etika atau kebijakan praktik bisnis. Pemantauan juga dilakukan untuk menjamin bahwa pengendalian beroperasi secara efektif secara berkelanjutan sepanjang waktu. Sebagai contoh, jika ketepatan waktu dan keakurasian rekonsiliasi bank tidak dipantau, maka kemungkinan personil akan menghentikan penyiapan rekonsiliasi tersebut. 12. Auditor internal atau personel yang melaksanakan fungsi serupa dapat memberikan
kontribusi untuk memantau pengendalian entitas melalui evaluasi secara terpisah. Pada umumnya, mereka menyediakan informasi reguler tentang keberfungsian pengendalian internal, pemusatan perhatian yang cukup besar atas pengevaluasian efektivitas pengendalian internal, serta pengomunikasian informasi tentang kekuatan dan defisiensi pengendalian internal dan rekomendasi untuk memperbaiki pengendalian internal.
13. Aktivitas pemantauan dapat mencakup penggunaan informasi yang berasal dari komunikasi dengan pihak eksternal yang dapat mengindikasikan masalah atau area yang menjadi
perhatian yang memerlukan perbaikan. Validitas data penagihan didukung secara implisit oleh pelanggan melalui pembayaran atau komplain atas faktur tagihan yang dibebankan kepada mereka. Selain itu, regulator dapat berkomunikasi dengan entitas tentang hal-hal yang memengaruhi keberfungsian pengendalian internal, sebagai contoh, komunikasi tentang eksaminasi oleh badan pengatur bank. Di samping itu, manajemen dapat mempertimbangkan komunikasi yang diperoleh dari auditor eksternal yang berkaitan dengan pengendalian internal dalam melaksanakan aktivitas pemantauan.
Lampiran 2 (Ref: Para. A33, A115) Kondisi dan Peristiwa yang Dapat Mengindikasikan Risiko Salah Saji Material
Di bawah ini adalah contoh-contoh kondisi dan peristiwa yang dapat mengindikasikan eksistensi risiko salah saji material. Contoh-contoh yang diberikan mencakup sejumlah kondisi dan peristiwa; namun, tidak semua kondisi dan peristiwa tersebut relevan dengan setiap perikatan audit dan daftar contoh-contoh tersebut belum tentu lengkap:
Operasi dalam wilayah yang secara ekonomi tidak stabil, sebagai contoh, negara-negara dengan devaluasi mata uang yang signifikan atau ekonomi dengan tingkat inflasi yang tinggi. Operasi yang terekspos dengan pasar yang volatil, sebagai contoh perdagangan future. Operasi yang terkena regulasi dengan tingkat kompleksitas yang tinggi.
Isu kelangsungan usaha dan likuiditas, termasuk hilangnya pelanggan utama. Hambatan ketersediaan modal dan kredit.
Perubahan dalam industri tempat entitas beroperasi. Perubahan dalam rantai pemasok.
Pengembangan atau penawaran produk atau jasa baru, atau perpindahan ke bisnis baru. Ekspansi ke lokasi baru.
Perubahan dalam entitas, seperti akuisisi atau reorganisasi signifikan atau peristiwa lainnya yang tidak biasa.
Kemungkinan penjualan entitas atau segmen bisnis. Eksistensi aliansi dan ventura bersama yang kompleks.
Penggunaan pembiayaan off balance sheet, entitas bertujuan khusus, dan pengaturan pembiayaan lainnya yang kompleks.
Transaksi signifikan dengan pihak berelasi.
Kekurangan personel dengan keahlian akuntansi dan pelaporan keuangan yang tepat. Perubahan dalam personil kunci, termasuk hilangnya eksekutif kunci.
Defisiensi dalam pengendalian internal, terutama defisiensi yang tidak direspons oleh manajemen.
Inkonsistensi antara strategi teknologi informasi dengan strategi bisnis entitas.
Instalasi sistem teknologi informasi baru yang signifikan yang terkait dengan pelaporan keuangan.
Permintaan keterangan tentang operasi atau hasil keuangan entitas oleh badan pengatur atau pemerintah.
Salah saji periode lalu, riwayat kesalahan atau jumlah penyesuaian yang signifikan pada akhir periode.
Transaksi nonrutin atau transaksi nonsistematis yang signifikan, termasuk transaksi antar perusahaan yang berelasi dan transaksi pendapatan dalam jumlah besar pada akhir periode. Transaksi yang dicatat berdasarkan intensi manajemen, sebagai contoh, pembiayaan
kembali hutang, aset yang akan dijual, dan klasifikasi surat berharga. Penerapan standar akuntansi baru.
Pengukuran akuntansi yang melibatkan proses yang kompleks.
Peristiwa atau transaksi yang melibatkan ketidakpastian pengukuran yang signifikan, termasuk estimasi akuntansi.
Litigasi yang sedang berlangsung dan kewajiban kontinjen, sebagai contoh, garansi penjualan, garansi keuangan, dan perbaikan lingkungan.