Sa 315

Standar audit 315

pEnGindEntiFiKaSian dan pEnilaian riSiKO

KESalahan pEnYajian matErial mElalui

pEmahaman ataS EntitaS dan linGKunGannYa

(Berlaku efektif untuk audit atas laporan keuangan untuk periode yang dimulai pada atau setelah tanggal: (i) 1 Januari 2013 (untuk Emiten), atau (ii) 1 Januari 2014 (untuk entitas selain Emiten). Penerapan dini

dianjurkan untuk entitas selain Emiten.)

daFtar iSi

Paragraf pendahuluan

Ruang Lingkup ... 1

Tanggal Efektif ... 2

tujuan ... 3

definisi ... 4

Ketentuan Prosedur Penilaian Risiko dan Aktivitas Terkait ... 5–10 Pemahaman atas Entitas dan Lingkungannya yang Diharuskan, termasuk Pengendalian Internal Entitas .... 11–24 Pengidentifikasian dan Penilaian Risiko Kesalahan penyajian Material ... 25–31 Dokumentasi ... 32 materi penerapan dan penjelasan lain

Prosedur Penilaian Risiko dan Aktivitas Terkait ... A1–A16 Pemahaman atas Entitas dan Lingkungannya

yang Diharuskan, termasuk Pengendalian

Internal Entitas ... A17–A104 Pengidentifikasian dan Penilaian Risiko

Kesalahan penyajian Material ... A105–130 Dokumentasi ... A131–134 lampiran 1:

Komponen Pengendalian Internal lampiran 2:

Kondisi dan Peristiwa yang Dapat Mengindikasikan Risiko Kesalahan penyajian Material

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

pEndahuluan

ruang lingkup

1. Standar Audit (“SA”) ini berkaitan dengan tanggung jawab auditor untuk mengidentifikasi dan menilai risiko kesalahan penyajian material dalam laporan keuangan, melalui pemahaman atas entitas dan lingkungannya, termasuk pengendalian internal entitas.

tanggal Efektif

2. SA ini berlaku efektif untuk audit atas laporan keuangan untuk periode yang dimulai pada atau setelah tanggal: (i) 1 Januari 2013 (untuk Emiten), atau (ii) 1 Januari 2014 (untuk entitas selain Emiten). Penerapan dini dianjurkan untuk entitas selain Emiten.

tujuan

3. Tujuan auditor adalah untuk mengidentifikasi dan menilai risiko kesalahan penyajian material, apakah karena kecurangan atau kesalahan, pada tingkat laporan keuangan dan asersi, melalui pemahaman atas entitas dan lingkungannya, termasuk pengendalian internal entitas, oleh karena itu menyediakan suatu dasar untuk merancang dan mengimplementasikan respons terhadap risiko yang ditetapkan atas kesalahan penyajian material tersebut.

dEFiniSi

4. Untuk tujuan SA ini, istilah berikut memiliki makna sebagai diuraikan di bawah ini:

(a) Asersi:Representasi oleh manajemen, secara eksplisit atau dengan cara lain, yang terkandung dalam laporan keuangan, yang dipakai oleh auditor untuk mempertimbangkan berbagai jenis kesalahan penyajian potensial yang mungkin terjadi.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

dalam melaksanakan strateginya, atau dari penetapan sasaran dan strategi yang tidak tepat.

(c) Pengendalian internal: Proses yang dirancang, diimplementasikan, dan dipelihara oleh pihak yang bertanggung jawab atas tata kelola, manajemen, dan personel lain untuk menyediakan keyakinan memadai tentang pencapaian tujuan suatu entitas yang berkaitan dengan keandalan pelaporan keuangan, efisiensi dan efektivitas operasi, dan kepatuhan terhadap peraturan perundang-undangan. Istilah “pengendalian” mengacu pada setiap aspek dari satu atau lebih komponen pengendalian internal.

(d) Prosedur penilaian risiko: Prosedur audit yang dilaksanakan untuk memperoleh suatu pemahaman tentang entitas dan lingkungannya, termasuk pengendalian internal entitas, untuk mengidentifikasi dan menilai risiko kesalahan penyajian material, apakah karena kecurangan atau kesalahan, pada tingkat laporan keuangan dan asersi.

(e) Risiko signifikan: Suatu risiko kesalahan penyajian material yang diidentifikasi dan dinilai yang, dalam pertimbangan auditor, memerlukan pertimbangan audit khusus.

KEtEntuan

prosedur penilaian risiko dan aktivitas terkait

5. Auditor harus melaksanakan prosedur penilaian risiko untuk menyediakan suatu dasar bagi pengidentifikasian dan penilaian risiko kesalahan penyajian material pada tingkat laporan keuangan dan asersi. Namun, prosedur penilaian risiko semata tidak menyediakan bukti audit yang cukup dan tepat sebagai dasar opini audit. (Ref: Para. A1–A5)

6. Prosedur penilaian risiko harus mencakup berikut:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

(b) Prosedur analitis. (Ref: Para. A7–A10) (c) Observasi dan inspeksi. (Ref: Para. A11)

7. Auditor harus mempertimbangkan apakah informasi yang diperoleh dari proses penerimaan atau keberlanjutan hubungan dengan klien relevan untuk mengidentifikasi risiko kesalahan penyajian material.

8. Jika rekan perikatan telah melaksanakan perikatan lain untuk entitas tersebut, rekan perikatan harus mempertimbangkan apakah informasi yang diperoleh relevan untuk mengidentifikasi risiko kesalahan penyajian material.

9. Jika auditor bermaksud untuk menggunakan informasi yang diperoleh dari pengalaman sebelumnya dengan entitas tersebut dan dari prosedur audit yang dilaksanakan dalam audit sebelumnya, auditor harus menentukan apakah informasi tersebut relevan dengan audit kini. (Ref: Para. A12–A13)

10. Rekan perikatan dan anggota kunci tim perikatan harus mendiskusikan kerentanan laporan keuangan entitas terhadap kesalahan penyajian material, dan penerapan kerangka pelaporan keuangan yang berlaku terhadap fakta dan kondisi entitas tersebut. Rekan perikatan harus menentukan hal mana yang dikomunikasikan kepada anggota tim perikatan yang tidak terlibat dalam diskusi. (Ref: Para. A14–A16)

pemahaman atas Entitas dan lingkungannya yang diharuskan, termasuk pengendalian internal Entitas

Entitas dan Lingkungannya

11. Auditor harus memperoleh suatu pemahaman berikut: (a) Faktor-faktor industri, peraturan, dan eksternal lain

termasuk kerangka pelaporan keuangan yang berlaku. (Ref: Para. A17–A22)

(b) Sifat entitas, termasuk: (i) Operasinya;

(ii) Struktur kepemilikan dan tata kelolanya;

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

(iv) Cara entitas tersebut distrukturisasi dan bagaimana entitas tersebut dibiayai,

untuk memungkinkan auditor memahami golongan transaksi, saldo akun, dan pengungkapan yang diharapkan ada dalam laporan keuangan. (Ref: Para. A23–A27)

(c) Pemilihan dan penerapan kebijakan akuntansi oleh entitas, termasuk alasan perubahannya. Auditor harus mengevaluasi apakah kebijakan akuntansi entitas adalah tepat untuk bisnisnya dan konsisten dengan kerangka pelaporan keuangan yang berlaku dan kebijakan akuntansi yang digunakan dalam industri yang relevan. (Ref: Para. A28)

(d) Tujuan dan strategi entitas, dan risiko bisnis terkait yang dapat menimbulkan risiko kesalahan penyajian material. (Ref: Para. A29–A35)

(e) Pengukuran dan penelahaan atas kinerja keuangan entitas. (Ref: Para. A36–A41)

Pengendalian Internal Entitas

12. Auditor harus memperoleh suatu pemahaman atas pengendalian internal yang relevan dengan audit. Meskipun sebagian besar pengendalian yang relevan dengan audit kemungkinan berhubungan dengan pelaporan keuangan, namun tidak semua pengendalian yang berhubungan dengan pelaporan keuangan relevan dengan audit. Ini merupakan hal yang berkaitan dengan pertimbangan profesional auditor apakah suatu pengendalian, secara individual atau bersama-sama dengan yang lain, merupakan hal yang relevan dengan audit. (Ref: Para. A42–A65)

Sifat dan Luas Pemahaman atas Pengendalian yang Relevan 13. Pada waktu memperoleh suatu pemahaman tentang

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Komponen Pengendalian Internal Lingkungan pengendalian

14. Auditor harus memperoleh suatu pemahaman atas lingkungan pengendalian. Sebagai bagian dari pemerolehan pemahaman ini, auditor harus mengevaluasi apakah:

(a) Manajemen, dengan pengawasan dari pihak yang bertanggung jawab atas tata kelola, telah menciptakan dan memelihara suatu budaya jujur dan perilaku etis; dan

(b) Kekuatan dalam unsur lingkungan pengendalian secara kolektif menyediakan fondasi yang semestinya untuk komponen lain pengendalian internal, dan apakah komponen lain tersebut tidak dirusak oleh defisiensi dalam lingkungan pengendalian. (Ref: Para. A69–A78)

Proses penilaian risiko entitas

15. Auditor harus memperoleh suatu pemahaman tentang apakah entitas memiliki suatu proses untuk:

(a) Mengidentifikasi risiko bisnis yang relevan dengan tujuan pelaporan keuangan;

(b) Mengestimasi signifikansi risiko;

(c) Menentukan kemungkinan terjadinya risiko tersebut; dan

(d) Memutuskan tentang tindakan untuk menangani risiko tersebut. (Ref: Para. A79)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

17. Jika entitas belum menetapkan proses tersebut di atas atau memiliki suatu proses khusus (ad hoc), maka auditor harus mendiskusikan dengan manajemen tentang apakah risiko bisnis yang relevan dengan tujuan pelaporan keuangan telah diidentifikasi dan bagaimana risiko tersebut ditangani. Auditor harus mengevaluasi apakah ketiadaan proses penilaian risiko yang didokumentasi sudah tepat sesuai dengan kondisinya, atau menentukan apakah ketiadaan tersebut merupakan suatu defisiensi signifikan dalam pengendalian internal (Ref: Para. A80)

Sistem informasi, termasuk proses bisnis yang terkait, yang relevan dengan pelaporan keuangan, dan komunikasi

18. Auditor harus memperoleh pemahaman tentang sistem informasi, termasuk proses bisnis yang terkait, yang relevan dengan pelaporan keuangan, termasuk hal-hal sebagai berikut:

(a) Golongan transaksi dalam operasi entitas yang signifikan terhadap laporan keuangan;

(b) Prosedur, baik dalam teknologi informasi maupun sistem manual, yang olehnya transaksi dimulai, dicatat, diproses, dan dikoreksi sebagaimana mestinya, ditransfer ke buku besar, dan dilaporkan dalam laporan keuangan;

(c) Catatan akuntansi, informasi pendukung, dan akun spesifik dalam laporan keuangan yang digunakan untuk memulai, mencatat, memproses, dan melaporkan transaksi; hal ini mencakup koreksi terhadap informasi yang salah dan bagaimana informasi tersebut ditransfer ke buku besar. Catatan tesebut dapat dalam bentuk manual atau elektronis;

(d) Bagaimana sistem informasi menangkap peristiwa dan kondisi (selain transaksi) yang signifikan terhadap laporan keuangan;

(e) Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas, termasuk estimasi akuntansi dan pengungkapan yang signifikan; dan (f) Pengendalian di sekitar entri jurnal, termasuk entri jurnal

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

19. Auditor harus memperoleh suatu pemahaman tentang bagaimana entitas mengomunikasikan peran dan tanggung jawab pelaporan keuangan serta hal-hal signifikan yang berkaitan dengan pelaporan keuangan, termasuk: (Ref: Para. A86–A87)

(a) Komunikasi antara manajemen dengan pihak yang bertanggung jawab atas tata kelola; dan

(b) Komunikasi eksternal, seperti dengan otoritas pengatur.

Aktivitas pengendalian yang relevan dengan audit

20. Auditor harus memperoleh suatu pemahaman tentang aktivitas pengendalian yang relevan dengan audit, yaitu aktivitas pengendalian yang dipandang perlu oleh auditor untuk dipahami agar dapat menilai risiko kesalahan penyajian material pada tingkat asersi dan merancang prosedur audit lebih lanjut yang responsif terhadap risiko yang dinilai. Suatu audit tidak membutuhkan suatu pemahaman tentang seluruh aktivitas pengendalian yang terkait dengan setiap golongan transaksi signifikan, saldo akun, dan pengungkapan dalam laporan keuangan atau tentang setiap asersi yang relevan dengannya. (Ref: Para. A88–A94)

21. Dalam memahami aktivitas pengendalian entitas, auditor harus memperoleh suatu pemahaman tentang bagaimana entitas telah merespons terhadap risiko yang timbul dari teknologi informasi. (Ref: Para. A95–A97)

Pemantauan atas pengendalian

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

23. Jika entitas memiliki fungsi audit internal,1 _{maka auditor harus}

memperoleh suatu pemahaman tentang hal-hal di bawah ini untuk menentukan apakah fungsi tersebut kemungkinan relevan dengan audit:

(a) Sifat tanggung jawab fungsi audit internal dan bagaimana fungsi tersebut cocok dengan struktur organisasi entitas; dan

(b) Aktivitas yang dilakukan atau yang akan dilakukan oleh fungsi audit internal. (Ref: Para. A101–A103)

24. Auditor harus memperoleh suatu pemahaman tentang sumber informasi yang digunakan dalam aktivitas pemantauan entitas, dan dasar bagi manajemen untuk mempertimbangkan apakah informasi tersebut cukup dapat diandalkan untuk tujuan tersebut. (Ref: Para. A104)

pengidentifikasian dan penilaian risiko Kesalahan penyajian material

25. Auditor harus mengidentifikasi dan menilai risiko kesalahan penyajian material pada:

(a) Tingkat laporan keuangan; dan (Ref: Para. A105–A108) (b) Tingkat asersi untuk golongan transaksi, saldo akun, dan

pengungkapan, (Ref: Para. A109–A113)

untuk menyediakan suatu basis bagi perancangan dan pelaksanaan prosedur audit lanjutan.

26. Untuk tujuan ini, auditor harus:

(a) Mengidentifikasi risiko sepanjang proses pemerolehan pemahaman tentang entitas dan lingkungannya, termasuk pengendalian relevan yang berkaitan dengan risiko, dan dengan mempertimbangkan golongan transaksi, saldo akun, dan pengungkapan dalam laporan keuangan; (Ref: Para. A114–A115)

(b) Menilai dan mengidentifikasi risiko, serta mengevaluasi apakah risiko tersebut berkaitan secara lebih pervasif

1 _{Istilah “fungsi audit internal” didefinisikan dalam paragraf 7(a) dari SA 610,}

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

terhadap laporan keuangan secara keseluruhan dan secara potensial memengaruhi banyak asersi;

(c) Menghubungankan risiko yang diidentifikasi dengan apa yang bisa menjadi salah (what can go wrong) pada tingkat asersi, dengan memperhitungkan pengendalian relevan yang hendak diuji oleh auditor; dan (Ref: Para. A116-A118) (d) Mempertimbangkan kemungkinan kesalahan penyajian,

termasuk kemungkinan kesalahan penyajian multipel,dan apakah potensi kesalahan penyajian yang besar tersebut dapat mengakibatkan suatu kesalahan penyajian material.

Risiko yang Membutuhkan Pertimbangan Audit Khusus

27. Sebagai bagian dari penilaian risiko sebagaimana dijelaskan dalam paragraf 25, auditor harus menentukan apakah risiko yang diidentifikasi adalah, menurut pertimbangan auditor, suatu risiko yang signifikan. Dalam melakukan pertimbangan tersebut, auditor tidak boleh memperhitungkan pengaruh pengendalian yang diidentifikasi terkait dengan risiko tersebut.

28. Dalam melakukan pertimbangan atas penentuan suatu risiko sebagai risiko yang signifikan (significant risks), auditor harus mempertimbangkan paling tidak hal-hal sebagai berikut: (a) Apakah risiko tersebut merupakan suatu risiko

kecurangan;

(b) Apakah risiko tersebut terkait dengan perkembangan terkini yang signifikan dalam bidang ekonomi, akuntansi, atau lainnya, dan oleh karena itu, membutuhkan perhatian spesifik;

(c) Kompleksitas transaksi;

(d) Apakah risiko tersebut melibatkan transaksi signifikan dengan pihak yang berelasi;

(e) Derajat subjektivitas dalam pengukuran informasi keuangan yang berkaitan risiko, terutama pengukuran yang melibatkan ketidakpastian pengukuran yang luas; dan

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

29. Jika auditor telah menentukan bahwa terdapat suatu risiko signifikan, auditor harus memperoleh suatu pemahaman tentang pengendalian entitas, termasuk aktivitas pengendalian yang relevan dengan risiko tersebut. (Ref: Para. A124–A126)

Risiko ketika Prosedur Subtantif Semata Tidak Menyediakan Bukti Audit yang Cukup dan Tepat

30. Sehubungan dengan beberapa risiko, auditor dapat memutuskan bahwa adalah tidak mungkin atau tidak praktis untuk memperoleh bukti audit yang cukup dan tepat hanya dari prosedur substantif. Risiko seperti itu dapat berkaitan dengan pencatatan yang tidak akurat atau tidak lengkap atas golongan transaksi atau saldo akun yang rutin dan signifikan, yaitu yang karakteristiknya sering memperbolehkan pengolahan dengan otomatisasi yang tinggi dengan sedikit atau tanpa intervensi manual. Dalam kasus tersebut, pengendalian entitas atas risiko tersebut adalah relevan dengan audit, dan auditor harus memperoleh suatu pemahaman tentang hal tersebut. (Ref: Para. A127–A129)

Revisi Penilaian Risiko

31. Penilaian risiko auditor atas risiko kesalahan penyajian material pada tingkat asersi dapat berubah selama pelaksanaan audit, sejalan dengan diperolehnya bukti audit tambahan. Dalam kondisi ketika auditor memperoleh bukti audit dari pelaksanaan prosedur audit lanjutan, atau ketika informasi baru diperoleh, yang kedua bukti tersebut tidak konsisten dengan bukti audit awal yang menjadi dasar penilaian, auditor harus merevisi penilaian tersebut, dan oleh karena itu, memodifikasi prosedur audit lanjutan yang direncanakan sebelumnya. (Ref: Para. A130)

dokumentasi

32. Auditor harus memasukkan ke dalam dokumentasi audit:2

(a) Diskusi di antara tim perikatan sebagaimana diharuskan oleh paragraf 10, dan keputusan signifikan yang dicapai; (b) Unsur kunci atas pemahaman yang diperoleh tentang

setiap aspek entitas dan lingkungannya yang tercantum dalam paragraf 11 dan setiap komponen pengendalian

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

internal yang tercantum dalam paragraf 14–24; sumber informasi yang digunakan dalam memperoleh pemahaman tersebut; dan prosedur penilaian risiko yang dilaksanakan;

(c) Risiko kesalahan penyajian material yang diidentifikasi dan dinilai pada tingkat laporan keuangan dan pada tingkat asersi sebagaimana yang diharuskan oleh paragraf 25; dan

(d) Risiko yang teridentifikasi, dan pengendalian yang berkaitan yang atasnya auditor telah memperoleh suatu pemahaman, sebagai hasil dari ketentuan dalam paragraf 27–30. (Ref: Para. A131–A134)

***

pEnErapan dan matEri pEnjElaSan lain

prosedur penilaian risiko dan aktivitas terkait (Ref: Para. 5) A1. Pemerolehan suatu pemahaman tentang entitas dan

lingkungannya, termasuk pengendalian internal entitas (selanjutnya disebut sebagai “pemahaman atas entitas”) merupakan suatu proses pengumpulan, pemutakhiran, dan penganalisisan informasi secara berkelanjutan dan dinamis sepanjang audit. Pemahaman menetapkan suatu kerangka acuan yang di dalamnya auditor merencanakan audit dan melaksanakan keputusan profesional sepanjang audit, sebagai contoh, ketika:

• Penilaian risiko kesalahan penyajian material laporan keuangan;

• Penentuan materialitas berdasarkan SA 320;3

• Pertimbangan ketepatan pemilihan dan penerapan kebijakan akuntansi, dan kecukupan pengungkapan laporan keuangan;

• Pengidentifikasian bidang-bidang yang mungkin memerlukan pertimbangan khusus, sebagai contoh, transaksi pihak yang berelasi, ketepatan manajemen dalam menggunakan asumsi kelangsungan hidup, atau pertimbangan atas tujuan bisnis transaksi;

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Pengembangan ekspektasi untuk digunakan ketika melakukan prosedur analitis;

• Respons terhadap penilaian risiko kesalahan penyajian material, termasuk perancangan dan pelaksanaan prosedur audit lebih lanjut untuk memperoleh bukti audit yang cukup dan tepat; dan

• Pengevaluasian atas kecukupan dan ketepatan bukti audit yang diperoleh, seperti ketepatan asumsi dan representasi tertulis maupun tidak tertulis dari manajemen.

A2. Informasi yang diperoleh dari pelaksanaan prosedur penilaian risiko dan aktivitas terkait dapat digunakan oleh auditor sebagai bukti audit untuk mendukung penilaian risiko kesalahan penyajian material. Di samping itu, auditor dapat memperoleh bukti audit tentang golongan transaksi, saldo akun, atau pegungkapan, dan asersi yang terkait, serta tentang efektivitas operasi pengendalian, meskipun prosedur tersebut tidak secara spesifik direncanakan sebagai prosedur substantif atau sebagai pengujian pengendalian. Auditor juga dapat memilih untuk melaksanakan prosedur substantif atau pengujian pengendalian secara bersamaan dengan prosedur penilaian risiko karena adalah efisien untuk melaksanakan hal tersebut.

A3. Auditor menggunakan pertimbangan profesional untuk menentukan luas pemahaman yang diharuskan. Pertimbangan utama auditor adalah apakah pemahaman yang telah diperoleh tersebut adalah cukup untuk memenuhi tujuan yang dinyatakan dalam SA ini. Kedalaman pemahaman secara keseluruhan yang dituntut dari auditor adalah lebih rendah daripada yang dimiliki oleh manajemen entitas dalam pengelolaan entitas.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

mengidentifikasi risiko kesalahan penyajian material karena kecurangan.4

A5. Meskipun auditor dituntut untuk melaksanakan semua prosedur penilaian risiko yang dijelaskan dalam paragraf 6 dalam pelaksanaan pemerolehan pemahaman entitas yang diharuskan (lihat paragraf 11–24), auditor tidak dituntut untuk melaksanakan semua prosedur untuk setiap aspek pemahaman tersebut. Prosedur lain dapat dilaksanakan jika informasi yang harus diperoleh dari prosedur tersebut kemungkinan bermanfaat dalam mengidentifikasi risiko kesalahan penyajian material. Contoh prosedur tersebut mencakup:

• Penelaahan atas informasi yang diperoleh dari sumber eksternal seperti jurnal ekonomi dan perdagangan; laporan analis, bank, atau lembaga pemeringkat; atau publikasi badan pengatur dan publikasi keuangan.

• Permintaan keterangan dari penasihat hukum ekternal entitas atau pakar valuasi yang digunakan oleh entitas.

Permintaan Keterangan dari Manajemen dan Personel Lain dalam Entitas (Ref: Para. 6(a))

A6. Banyak informasi yang didapat dari permintaan keterangan oleh auditor diperoleh dari manajemen dan personel yang bertanggung jawab atas pelaporan keuangan. Namun, auditor dapat juga memperoleh informasi, atau suatu perspektif yang berbeda dalam mengidentifikasi risiko kesalahan penyajian material, melalui permintaan keterangan dari personel lain dalam entitas dan karyawan lain dari berbagai tingkat wewenang. Sebagai contoh:

• Permintaan keterangan yang ditujukan kepada pihak yang bertanggung jawab atas tata kelola dapat membantu auditor untuk memahami lingkungan tempat laporan keuangan disusun.

• Permintaan keterangan yang ditujukan kepada personel audit internal dapat menyediakan informasi tentang prosedur audit internal yang dilaksanakan selama tahun terkait yang berhubungan dengan rancangan

4 _{SA 240, “Tanggung Jawab Auditor Terkait dengan Kecurangan dalam Suatu}

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

dan efektivitas pengendalian internal entitas dan apakah manajemen telah merespons dengan memuaskan temuan dari prosedur tersebut.

• Permintaan keterangan dari karyawan yang terlibat dalam penginisiasian, pengolahan, atau pencatatan transaksi yang kompleks atau tidak biasa dapat membantu auditor untuk mengevaluasi ketepatan pemilihan dan penerapan kebijakan akuntansi tertentu.

• Permintaan keterangan yang ditujukan kepada penasihat hukum internal dapat menyediakan informasi tentang hal-hal seperti litigasi, kepatuhan terhadap peraturan perundang-undangan, pengetahuan tentang kecurangan atau dugaan kecurangan yang memengaruhi entitas, warranties, kewajiban pascapenjualan, pengaturan (seperti joint venture) dengan rekan bisnis dan makna ketentuan kontrak.

• Permintaan keterangan yang ditujukan kepada personel pemasaran atau penjualan dapat menyediakan informasi tentang perubahan dalam strategi pemasaran, tren penjualan, atau pengaturan kontraktual entitas dengan pelanggannya.

Prosedur Analitis (Ref: Para. 6(b))

A7. Prosedur analitis yang dilaksanakan sebagai prosedur penilaian risiko dapat mengidentifikasi aspek-aspek dalam entitas yang tidak disadari oleh auditor dan dapat membantu dalam menilai risiko kesalahan penyajian material agar menyediakan suatu basis untuk perancangan dan pengimplementasian respons terhadap risiko yang dinilai. Prosedur analitis yang dilaksanakan sebagai prosedur penilaian risiko dapat mencakup baik informasi keuangan maupun informasi nonkeuangan, sebagai contoh, hubungan antara penjualan dengan luas tempat penjualan atau dengan kuantitas barang yang dijual.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

risiko kesalahan penyajian material, terutama risiko kesalahan penyajian material yang diakibatkan oleh kecurangan.

A9. Namun, ketika prosedur analitis tersebut menggunakan data yang diagregasi secara garis besar (high level) (situasi seperti ini kemungkinan ditemukan dalam prosedur analitis yang dilaksanakan sebagai prosedur penilaian risiko), hasil prosedur analitis tersebut hanya menyediakan suatu indikasi awal yang luas tentang apakah suatu kesalahan penyajian material kemungkinan ada. Oleh karena itu, dalam kasus seperti itu, pertimbangan atas informasi lain yang telah dikumpulkan ketika mengidentifikasi risiko kesalahan penyajian material bersama dengan hasil prosedur analitis tersebut dapat membantu auditor dalam memahami dan mengevaluasi hasil prosedur analitis tersebut.

Pertimbangan Spesifik bagi Entitas yang Lebih Kecil

A10. Beberapa entitas yang lebih kecil mungkin tidak memiliki informasi keuangan interim atau bulanan yang dapat digunakan untuk tujuan prosedur analitis. Dalam kondisi ini, meskipun auditor mungkin dapat melaksanakan prosedur analitis terbatas untuk tujuan perencanaan audit atau memperoleh beberapa informasi melalui permintaan keterangan, auditor mungkin perlu merencanakan pelaksanaan prosedur analitis untuk mengidentifikasi dan menilai risiko kesalahan penyajian material ketika draft awal laporan keuangan entitas tersedia.

Observasi dan Inspeksi (Ref: Para. 6(c))

A11. Observasi dan inspeksi dapat mendukung permintaan keterangan dari manajemen dan pihak lain, serta dapat juga menyediakan informasi tentang entitas dan lingkungannya. Contoh prosedur audit tersebut mencakup observasi atau inspeksi atas hal-hal sebagai berikut:

• Operasi entitas.

• Dokumen (seperti rencana dan strategi bisnis), catatan, dan manual pengendalian internal.

• Laporan yang disusun oleh manajemen (seperti laporan manajemen triwulanan dan laporan keuangan interim) dan oleh pihak yang bertanggung jawab atas tata kelola (seperti risalah rapat dewan komisaris).

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Informasi yang Diperoleh dalam Periode Lalu (Ref: Para. 9)

A12. Pengalaman sebelumnya auditor dengan entitas dan prosedur audit yang dilaksanakan dalam audit sebelumnya dapat menyediakan bagi auditor informasi tentang hal-hal seperti berikut:

• Kesalahan penyajian periode lalu dan apakah kesalahan penyajian tersebut telah dikoreksi secara tepat waktu.

• Sifat entitas dan lingkungannya, dan pengendalian internal entitas (termasuk defisiensi dalam pengendalian internal).

• Perubahan signifikan yang kemungkinan telah terjadi dalam entitas atau operasinya sejak periode keuangan lalu, yang dapat membantu auditor dalam memperoleh suatu pemahaman yang cukup tentang entitas untuk mengidentifikasi dan menilai risiko kesalahan penyajian material.

A13. Auditor diharuskan untuk menentukan apakah informasi yang diperoleh dalam periode lalu tetap relevan, jika auditor bermaksud untuk menggunakan informasi tersebut untuk tujuan audit periode kini. Hal ini karena perubahan dalam lingkungan pengendalian, sebagai contoh, dapat memengaruhi relevansi informasi yang diperoleh dalam tahun sebelumnya. Untuk menentukan apakah perubahan telah terjadi yang dapat memengaruhi relevansi informasi tersebut, auditor dapat meminta keterangan dan melaksanakan prosedur audit yang tepat lainnya, seperti walk-through atas sistem yang relevan.

Pembahasan di Antara Tim Perikatan (Ref: Para. 10)

A14. Diskusi di antara tim perikatan tentang kerentanan laporan keuangan entitas terhadap kesalahan penyajian material:

• Menyediakan suatu peluang untuk anggota tim perikatan yang lebih berpengalaman, termasuk rekan perikatan, dalam berbagi wawasan mereka berdasarkan pengetahuan mereka tentang entitas.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Membantu anggota tim perikatan untuk memperoleh pemahaman yang lebih baik tentang kesalahan penyajian material yang potensial pada laporan keuangan dalam bidang spesifik yang ditugaskan kepada mereka, dan untuk memahami sejauh mana prosedur audit lanjutan yang dilaksanakan oleh mereka dapat memengaruhi aspek lain dari audit, termasuk keputusan tentang sifat, saat, dan luas prosedur audit lanjutan.

• Menyediakan suatu basis bagi anggota tim perikatan untuk mengomunikasikan dan berbagi informasi baru yang diperoleh selama audit yang dapat memengaruhi penilaian risiko kesalahan penyajian material atau prosedur audit yang dilaksanakan untuk merespons risiko tersebut.

SA 240 menyediakan ketentuan dan panduan lebih lanjut tentang diskusi di antara anggota tim perikatan tentang risiko kecurangan.5

A15. Tidak selalu perlu atau praktis dalam diskusi untuk mengikutsertakan seluruh anggota tim perikatan dalam suatu diskusi tunggal (seperti, sebagai contoh, dalam suatu audit lokasi multipel), atau juga tidak selalu perlu bagi semua anggota tim perikatan untuk diinformasikan mengenai seluruh keputusan yang dihasilkan dalam diskusi tersebut. Rekan perikatan dapat mendiskusikan hal-hal dengan anggota kunci tim perikatan, termasuk, jika dipandang tepat, personel dengan keahlian atau pengetahuan spesifik, dan personel yang bertanggung jawab atas audit komponen, sementara mendelegasikan diskusi kepada personel lain, dengan memperhitungkan luas komunikasi yang dipandang perlu di seluruh tim perikatan. Suatu rencana komunikasi, yang disepakati oleh rekan perikatan, dapat bermanfaat.

Pertimbangan Spesifik bagi Entitas yang Lebih Kecil

A16. Banyak audit yang dilakukan terhadap entitas yang lebih kecil dilaksanakan seluruhnya oleh rekan perikatan (yang kemungkinan berupa praktisi tunggal). Dalam situasi seperti itu, rekan perikatan, yang telah melaksanakan sendiri perencanaan audit, bertanggung jawab untuk

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

mempertimbangkan kerentanan laporan keuangan entitas terhadap kesalahan penyajian material yang diakibatkan oleh kecurangan atau kesalahan.

pemahaman atas Entitas dan lingkungannya yang diharuskan, termasuk pengendalian internal Entitas

Entitas dan lingkungannya

Faktor Industri, Regulasi, dan Eksternal Lainnya (Ref: Para. 11(a)) Faktor Industri

A17. Faktor industri yang relevan mencakup kondisi industri seperti lingkungan yang kompetitif, hubungan dengan pemasok dan pelanggan, dan perkembangan teknologi. Contoh hal-hal yang dapat dipertimbangkan oleh auditor mencakup:

• Pasar dan kompetisi, termasuk permintaan, kapasitas, dan kompetisi harga.

• Aktivitas yang terjadi berdasarkan siklus atau yang bersifat musiman.

• Teknologi produk yang berkaitan dengan produk entitas.

• Ketersediaan dan biaya energi.

A18. Industri tempat entitas beroperasi dapat menimbulkan risiko kesalahan penyajian material yang spesifik yang disebabkan oleh sifat bisnis atau ketatnya regulasi. Sebagai contoh, kontrak jangka panjang dapat melibatkan estimasi signifikan atas pendapatan dan biaya yang menyebabkan risiko kesalahan penyajian material. Dalam kasus tersebut, adalah penting bahwa tim perikatan mencakup anggota dengan pengetahuan dan pengalaman relevan yang cukup.6

Faktor Regulasi

A19. Faktor regulasi yang relevan mencakup lingkungan regulasi. Lingkungan regulasi mencakup, antara lain, kerangka pelaporan keuangan yang berlaku dan lingkungan politik dan hukum. Contoh hal-hal yang dapat dipertimbangkan oleh auditor mencakup:

• Prinsip akuntansi dan praktik spesifik industri.

• Kerangka regulasi untuk industri yang diregulasi.

6 _{SA 220, “Pengendalian Mutu untuk Audit atas Laporan Keuangan,” paragraf}

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Legislasi dan regulasi yang secara signifikan memengaruhi operasi entitas, termasuk aktivitas yang di supervisi langsung.

• Perpajakan (korporasi dan lainnya).

• Kebijakan pemerintah yang saat ini memengaruhi kegiatan bisnis entitas, seperti kebijakan moneter, termasuk pengendalian nilai tukar mata uang, fiskal, insentif keuangan, dan tarif, atau kebijakan pembatasan perdagangan.

• Ketentuan lingkungan yang memengaruhi industri dan bisnis entitas.

A20. SA 250 mencakup beberapa ketentuan spesifik yang terkait dengan kerangka hukum dan regulasi yang berlaku terhadap entitas dan industri atau sektor tempat entitas beroperasi.7

Pertimbangan spesifik atas entitas sektor publik

A21. Untuk audit entitas sektor publik, peraturan perundang-undangan atau otoritas lain dapat memengaruhi operasi entitas. Unsur tersebut esensial untuk dipertimbangkan ketika melakukan pemerolehan pemahaman atas entitas dan lingkungannya.

Faktor Eksternal Lain

A22. Contoh faktor eksternal lain yang memengaruhi entitas yang dapat dipertimbangkan oleh auditor mencakup kondisi ekonomi umum, tingkat bunga, dan ketersediaan pendanaan, serta inflasi atau revaluasi mata uang.

Sifat Entitas (Ref: Para. 11(b))

A23. Suatu pemahaman tentang sifat suatu entitas memungkinkan auditor untuk memahami hal-hal seperti:

• Apakah entitas memiliki suatu struktur yang kompleks, sebagai contoh, entitas yang memiliki anak perusahaan atau komponen lainnya di berbagai lokasi. Struktur yang kompleks sering menuntun pada isu-isu yang dapat mengakibatkan risiko kesalahan penyajian material. Isu-isu tersebut dapat mencakup apakah goodwill, joint

7 _{SA 250, “Pertimbangan atas Peraturan Perundang-Undangan dalam Audit atas}

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

ventures, investasi, atau entitas bertujuan khusus telah dicatat dengan tepat.

• Kepemilikan dan hubungan antara pemilik dengan pihak lain atau entitas lain. Pemahaman tersebut membantu auditor dalam menentukan apakah transaksi pihak yang berelasi telah diidentifikasi dan dicatat dengan tepat. SA 550 8_{menetapkan ketentuan dan menyediakan panduan}

tentang pertimbangan auditor yang relevan dengan pihak yang berelasi.

A24. Contoh hal-hal yang dapat dipertimbangkan oleh auditor ketika memperoleh suatu pemahaman tentang sifat entitas mencakup:

• Operasi bisnis seperti:

o Sifat sumber pendapatan, produk atau jasa, dan pasar, termasuk keterlibatan dalam perdagangan elektronis (e-commerce) seperti aktivitas penjualan dan pemasaran melalui Internet.

o Kegiatan operasi (sebagai contoh, tahapan dan metode produksi, atau aktivitas yang terpapar dengan risiko lingkungan).

o Aktivitas aliansi, joint ventures, dan outsourcing. o Penyebaran geografis dan segmentasi industri. o Lokasi fasilitas produksi, gudang, dan kantor, serta

lokasi dan kuantitas persediaan.

o Pelanggan utama dan pemasok penting atas barang dan jasa, pengaturan ketenagakerjaan (termasuk eksistensi kontrak serikat pekerja, pensiun dan manfaat pasca kerja lainnya, pengaturan opsi saham atau bonus insentif, dan peraturan pemerintah yang terkait dengan hal-hal ketenagakerjaan).

o Aktivitas dan pembelanjaan untuk riset dan pengembangan.

o Transaksi dengan pihak yang berelasi.

• Investasi dan aktivitas investasi seperti:

o Akuisisi atau divestasi yang direncanakan atau yang baru dilaksanakan.

o Investasi dan pelepasan efek dan pinjaman. o Aktivitas investasi modal.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

o Investasi pada entitas nonkonsolidasian, termasuk persekutuan, joint ventures, dan entitas bertujuan khusus.

• Pendanaan dan aktivitas pendanaan seperti:

o Entitas anak dan entitas asosiasian utama, termasuk struktur konsolidasian dan nonkonsolidasian. o Struktur utang dan ketentuan yang terkait, termasuk

pengaturan pendanaan dan sewa di luar neraca ( off-balance-sheet financing and lease arrangements). o Pemilik yang memperoleh manfaat (lokal, asing,

reputasi bisnis, dan pengalaman bisnis) dan pihak yang berelasi.

o Penggunaan instrumen keuangan derivatif.

• Pelaporan keuangan seperti:

o Prinsip akuntansi dan praktik spesifik industri, termasuk kategori signifikan spesifik industri (sebagai contoh, pinjaman dan investasi untuk bank, atau riset dan pengembangan untuk perusahaan farmasi).

o Praktik pengakuan pendapatan. o Akuntansi untuk nilai wajar.

o Aset, utang, dan transaksi dalam mata uang asing. o Akuntansi untuk transaksi yang tidak biasa atau

kompleks, termasuk transaksi dalam bidang yang kontroversial atau baru (sebagai contoh, akuntansi untuk kompensasi berbasis saham).

A25. Perubahan signifikan dalam entitas dari periode lalu dapat menyebabkan atau mengubah risiko kesalahan penyajian material.

Sifat Entitas Bertujuan Khusus

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

sebagai bagian dari suatu transaksi penghentian pengakuan yang melibatkan aset keuangan), memperoleh hak untuk menggunakan aset atau memberikan jasa kepada entitas bertujuan khusus, sementara pihak lain dapat menyediakan pendanaan kepada entitas bertujuan khusus. Seperti yang diindikasikan oleh SA 550, dalam beberapa kondisi, suatu entitas bertujuan khusus mungkin merupakan suatu pihak yang berelasi dengan entitas.9

A27. Kerangka pelaporan keuangan sering menjabarkan kondisi detail yang dipandang mampu mengendalikan, atau kondisi-kondisi yang menjadi pertimbangan untuk mengkonsolidasi entitas bertujuan khusus. Interpretasi tentang ketentuan kerangka tersebut sering menuntut suatu pengetahuan detail tentang perjanjian yang relevan yang melibatkan entitas bertujuan khusus.

Pemilihan dan Penerapan Kebijakan Akuntansi Entitas (Ref: Para. 11(c))

A28. Suatu pemahaman tentang pemilihan dan penerapan kebijakan akuntansi entitas dapat meliputi hal-hal seperti:

• Metode yang digunakan oleh entitas untuk mencatat transaksi yang signifikan dan tidak biasa.

• Pengaruh kebijakan akuntansi signifikan dalam bidang yang kontroversial atau baru di mana tidak terdapat panduan atau konsensus dari pihak yang memiliki otoritas.

• Perubahan dalam kebijakan akuntansi entitas.

• Standar pelaporan keuangan dan peraturan perundang-undangan yang baru bagi entitas, serta kapan dan bagaimana entitas akan mengadopsi ketentuan tersebut.

Tujuan dan Strategi Bisnis, serta Risiko Bisnis yang Terkait (Ref: Para. 11(d))

A29. Entitas melaksanakan bisnisnya dalam konteks faktor industri, faktor regulasi, serta faktor internal dan eksternal lainnya. Untuk merespons faktor-faktor ini, manajemen atau pihak yang bertanggung jawab atas tata kelola entitas mendefinisikan tujuan, yang merupakan rencana keseluruhan entitas. Strategi

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

adalah pendekatan yang melaluinya manajemen bermaksud untuk mencapai tujuannya. Tujuan dan strategi entitas dapat berubah dari waktu ke waktu.

A30. Risiko bisnis adalah lebih luas daripada risiko kesalahan penyajian material dalam laporan keuangan, meskipun risiko bisnis mencakup risiko kesalahan penyajian material tersebut. Risiko bisnis dapat timbul dari perubahan atau kompleksitas. Suatu kegagalan dalam mengakui perlunya perubahan dapat juga menimbulkan risiko bisnis. Risiko bisnis dapat timbul, sebagai contoh, dari:

• Pengembangan produk atau jasa baru yang kemungkinan gagal;

• Suatu pasar yang, bahkan jika dikembangkan dengan sukses, adalah tidak cukup untuk mendukung suatu produk atau jasa; atau

• Cacat dalam suatu produk atau jasa yang dapat mengakibatkan adanya kewajiban dan risiko reputasi.

A31. Suatu pemahaman tentang risiko bisnis yang dihadapi oleh entitas meningkatkan kemungkinan pengidentifikasian risiko kesalahan penyajian material, karena sebagian besar risiko bisnis pada akhirnya akan memiliki konsekuensi keuangan dan, oleh karena itu, memiliki pengaruh terhadap laporan keuangan. Namun, auditor tidak bertanggung jawab untuk mengidentifikasi atau menilai seluruh risiko bisnis karena tidak seluruh risiko bisnis menyebabkan risiko kesalahan penyajian material.

A32. Contoh hal-hal yang dapat dipertimbangkan oleh auditor ketika memperoleh suatu pemahaman tentang tujuan dan strategi bisnis entitas, serta risiko bisnis yang terkait, yang dapat mengakibatkan risiko kesalahan penyajian material dalam laporan keuangan mencakup:

• Perkembangan industri (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, entitas tidak memiliki personel atau pakar untuk menghadapi perubahan dalam industri).

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Ekspansi bisnis (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, permintaan atas produk atau jasa belum diestimasi secara akurat).

• Ketentuan akuntansi baru (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, implementasi yang tidak lengkap atau tidak tepat, atau biaya yang meningkat).

• Ketentuan regulasi (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, meningkatnya keterpaparan entitas dalam bidang hukum).

• Ketentuan pendanaan periode kini dan masa yang akan datang (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, kehilangan pendanaan yang diakibatkan oleh ketidakmampuan entitas dalam memenuhi ketentuan pendanaan).

• Penggunaan teknologi informasi (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai contoh, sistem dan proses yang tidak cocok).

• Pengaruh pengimplementasian suatu strategi, terutama setiap pengaruh yang akan menuntun pada ketentuan akuntansi baru (suatu risiko bisnis potensial yang terkait dapat berupa, sebagai contoh, implementasi yang tidak lengkap atau tidak tepat).

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

A34. Biasanya manajemen mengidentifikasi risiko bisnis dan mengembangkan pendekatan untuk merespons risiko tersebut. Proses penilaian risiko tersebut merupakan bagian dari pengendalian internal dan dibahas dalam paragraf 15 dan paragraf A79–A80.

Pertimbangan Spesifik atas Entitas Sektor Publik

A35. Untuk audit atas entitas sektor publik, “tujuan manajemen” dapat dipengaruhi oleh kepedulian atas akuntabilitas publik dan dapat mencakup tujuan yang bersumber dari peraturan perundang-undangan atau otoritas lainnya.

Pengukuran dan Penelahaan atas Kinerja Keuangan Entitas (Ref: Para. 11(e))

A36. Manajemen dan pihak lainnya dalam entitas akan mengukur dan menelaah hal-hal yang dipandang penting oleh mereka. Parameter kinerja, apakah bersifat eksternal atau internal, menciptakan tekanan terhadap entitas. Tekanan tersebut, pada gilirannya, dapat memotivasi manajemen untuk mengambil tindakan dalam meningkatkan kinerja bisnis atau untuk menyajikan laporan keuangan secara salah. Oleh karena itu, suatu pemahaman tentang parameter kinerja entitas membantu auditor dalam mempertimbangkan apakah tekanan untuk mencapai target kinerja mengakibatkan tindakan manajemen yang meningkatkan risiko kesalahan penyajian material, termasuk risiko yang diakibatkan oleh kecurangan. Lihat SA 240 untuk ketentuan dan panduan yang berkaitan dengan risiko yang diakibatkan oleh kecurangan.

A37. Pengukuran dan penelahaan atas kinerja keuangan tidak sama dengan pemantauan atas pengendalian (dibahas sebagai suatu komponen pengendalian internal dalam paragraf A98– A104), meskipun kemungkinan terjadi duplikasi dalam tujuan mereka:

• Pengukuran dan penelaahan atas kinerja diarahkan pada apakah kinerja bisnis memenuhi tujuan yang telah ditetapkan oleh manajemen (atau pihak ketiga).

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Namun, dalam beberapa kasus, indikator kinerja juga menyediakan informasi yang memungkinkan manajemen untuk mengidentifikasi defisiensi dalam pengendalian internal.

A38. Contoh informasi yang dihasilkan secara internal yang digunakan oleh manajemen untuk mengukur dan menelaah kinerja keuangan, dan yang dapat dipertimbangkan oleh auditor, mencakup:

• Indikator kinerja utama (keuangan dan nonkeuangan), serta rasio, tren, dan statistik operasi utama.

• Analisis kinerja keuangan dari periode ke periode.

• Anggaran, perkiraan, analisis penyimpangan, informasi segmen dan divisi, dan laporan kinerja tingkat departemen atau tingkat lainnya.

• Pengukuran kinerja karyawan dan kebijakan kompensasi insentif.

• Perbandingan kinerja entitas dengan kompetitor.

A39. Pihak eksternal dapat juga mengukur dan menelaah kinerja keuangan entitas. Sebagai contoh, informasi eksternal seperti laporan analis dan laporan badan pemeringkat kredit dapat merupakan informasi yang berguna bagi auditor. Laporan-laporan tersebut sering dapat diperoleh dari entitas yang sedang diaudit.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Pertimbangan Spesifik bagi Entitas yang Lebih Kecil

A41. Entitas yang lebih kecil sering tidak memiliki proses untuk mengukur dan menelaah kinerja keuangan. Permintaan keterangan dari manajemen mengungkapkan bahwa manajemen tersebut mengandalkan indikator utama tertentu untuk mengevaluasi kinerja keuangan dan melakukan tindakan yang tepat. Jika permintaan keterangan tersebut mengindikasikan ketiadaan pengukuran atau penelaahan kinerja, maka kemungkinan terdapat risiko yang meningkat atas kesalahan penyajian yang tidak terdeteksi dan terkoreksi.

pengendalian internal Entitas (Ref: Para. 12)

A42. Suatu pemahaman atas pengendalian internal membantu auditor dalam mengidentifikasi tipe-tipe kesalahan penyajian yang potensial dan faktor-faktor yang memengaruhi risiko kesalahan penyajian material, serta dalam merancang sifat, saat, dan luas prosedur audit lebih lanjut.

A43. Materi penerapan pengendalian internal di bawah ini disajikan dalam empat bagian sebagai berikut:

• Sifat dan Karakteristik Umum Pengendalian Internal.

• Pengendalian yang Relevan dengan Audit.

• Sifat dan Luas Pemahaman tentang Pengendalian yang Relevan.

• Komponen Pengendalian Internal.

Sifat dan Karakteristik Umum Pengendalian Internal Tujuan Pengendalian Internal

A44. Pengendalian internal dirancang, diimplementasikan, dan dipelihara untuk merespons risiko bisnis yang teridentifikasi yang mengancam pencapaian setiap tujuan entitas yang berkaitan dengan:

• Keandalan pelaporan keuangan entitas;

• Efektivitas dan efisiensi operasi entitas; dan

• Kepatuhan entitas terhadap peraturan perundang-undangan yang berlaku.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Pertimbangan spesifik bagi entitas yang lebih kecil

A45. Entitas yang lebih kecil dapat menggunakan cara yang kurang terstruktur serta proses dan prosedur yang lebih sederhana untuk mencapai tujuan mereka.

Keterbatasan Pengendalian Internal

A46. Pengendalian internal, terlepas bagaimanapun efektifnya, hanya dapat memberikan suatu keyakinan memadai bagi entitas tentang pencapaian tujuan pelaporan keuangan entitas. Kemungkinan pencapaian tujuan tersebut dipengaruhi oleh keterbatasan inheren pengendalian internal. Keterbatasan tersebut mencakup realitas bahwa pertimbangan manusia dalam pembuatan keputusan dapat salah dan kelemahan (breakdowns) dalam pengendalian internal dapat terjadi karena kesalahan manusia. Sebagai contoh, kemungkinan terdapat suatu kesalahan dalam rancangan atas, atau dalam perubahan pada, suatu pengendalian. Sama halnya, operasi suatu pengendalian kemungkinan tidak efektif, seperti ketika informasi yang dihasilkan untuk tujuan pengendalian internal (sebagai contoh, suatu laporan penyimpangan) tidak digunakan secara efektif karena individu yang bertanggung jawab untuk menelaah informasi tersebut tidak memahami tujuan informasi tersebut atau gagal dalam melakukan tindakan tepat.

A47. Selain itu, pengendalian dapat dielakkan dengan kolusi oleh dua orang atau lebih atau pengabaian pengendalian internal yang tidak semestinya oleh manajemen. Sebagai contoh, manajemen dapat membuat perjanjian tambahan dengan pelanggan yang mengubah ketentuan dan kondisi kontrak penjualan standar entitas, yang dapat mengakibatkan pengakuan pendapatan yang tidak benar. Di samping itu, pengecekan atas hasil editan dalam suatu program perangkat lunak yang dirancang untuk mengidentifikasi dan melaporkan transaksi yang melebihi batas kredit yang ditentukan dapat diabaikan dengan sengaja atau dibuat tidak berfungsi.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Pertimbangan spesifik bagi entitas yang lebih kecil

A49. Entitas yang lebih kecil sering memiliki jumlah karyawan yang lebih sedikit yang dapat membatasi luas pemisahan tugas yang selayaknya diterapkan. Namun, dalam suatu entitas kecil yang dikelola oleh pemilik, pemilik-pengelola kemungkinan memiliki kemampuan untuk melaksanakan pengawasan yang lebih efektif daripada dalam suatu entitas yang lebih besar. Pengawasan ini dapat mengompensasi keterbatasan dalam pemisahan tugas.

A50. Selain itu, pemilik-pengelola kemungkinan lebih memiliki kemampuan untuk mengabaikan pengendalian karena sistem pengendalian internal kurang terstruktur. Hal ini diperhitungkan oleh auditor ketika mengidentifikasi risiko kesalahan penyajian material yang diakibatkan oleh kecurangan.

Pembagian Pengendalian Internal ke dalam Komponen

A51. Untuk tujuan SA, pembagian pengendalian internal ke dalam lima komponen di bawah ini menyediakan suatu kerangka yang bermanfaat bagi auditor untuk mempertimbangkan bagaimana berbagai aspek pengendalian internal yang berbeda pada entitas dapat memengaruhi audit:

(a) Lingkungan pengendalian; (b) Proses penilaian risiko entitas;

(c) Sistem informasi yang relevan dengan pelaporan keuangan, termasuk proses bisnis yang terkait, dan komunikasi;

(d) Aktivitas pengendalian; dan

(e) Pemantauan terhadap pengendalian.

Pembagian tersebut belum tentu mencerminkan bagaimana suatu entitas merancang, mengimplementasikan, dan memelihara pengendalian internal, atau bagaimana entitas mengklasifikasikan komponen tertentu. Auditor dapat menggunakan terminologi atau kerangka yang berbeda untuk menjelaskan berbagai aspek pengendalian internal, dan pengaruhnya terhadap audit daripada yang digunakan dalam SA ini, selama seluruh komponen yang dijelaskan dalam SA ini dicakup.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

di bawah ini. Lampiran 1 menyediakan penjelasan lebih lanjut tentang komponen-komponen pengendalian internal tersebut.

Karakteristik Unsur-Unsur Pengendalian Internal Manual dan Terotomatisasi yang Relevan dengan Penilaian Risiko Auditor A53. Sistem pengendalian internal suatu entitas mengandung

unsur manual dan sering juga mengandung unsur-unsur terotomatisasi. Karakteristik unsur-unsur-unsur-unsur manual atau terotomatisasi relevan dengan penilaian risiko auditor dan prosedur audit lebih lanjut yang didasarkan pada penilaian risiko tersebut.

A54. Penggunaan unsur-unsur pengendalian internal manual atau terotomatisasi juga memengaruhi cara transaksi dimulai, dicatat, diolah, dan dilaporkan:

• Pengendalian dalam suatu sistem manual dapat mencakup prosedur-prosedur seperti persetujuan dan penelaahan atas transaksi, serta rekonsiliasi dan tindak lanjut terhadapnya. Sebagai alternatif, entitas dapat menggunakan prosedur-prosedur yang terotomatisasi untuk memulai, mencatat, mengolah, dan melaporkan transaksi, yang dalam hal ini mencatat transaksi dalam format elektronis yang menggantikan dokumen kertas.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Kombinasi unsur-unsur manual dan terotomatisasi dalam pengendalian internal suatu entitas bervariasi sesuai dengan sifat dan kompleksitas penggunaan teknologi informasi oleh entitas tersebut.

A55. Pada umumnya, teknologi informasi bermanfaat bagi pengendalian internal suatu entitas yang memungkinkan entitas untuk:

• Secara konsisten menerapkan aturan bisnis yang telah ditentukan dan melaksanakan perhitungan yang kompleks dalam mengolah transaksi atau data dengan volume yang besar;

• Meningkatkan ketepatan waktu, ketersediaan, dan keakuratan informasi;

• Memfasilitasi analisis tambahan atas informasi;

• Meningkatkan kemampuan untuk memantau pelaksanaan aktivitas serta kebijakan dan prosedur entitas;

• Mengurangi risiko bahwa pengendalian akan dielakkan; dan

• Meningkatkan kemampuan untuk mencapai pemisahan tugas yang efektif dengan cara mengimplementasikan pengendalian keamanan dalam aplikasi, basis data, dan sistem operasi.

A56. Teknologi informasi juga memiliki risiko spesifik terhadap pengendalian internal entitas, termasuk, sebagai contoh:

• Pengandalan terhadap sistem atau program yang mengolah data secara tidak akurat, mengolah data yang tidak akurat, atau keduanya.

• Akses tidak terotorisasi terhadap data yang dapat mengakibatkan kerusakan data atau perubahan yang tidak seharusnya terhadap data, termasuk pencatatan transaksi tidak terotorisasi atau yang tidak terjadi, atau pencatatan yang tidak akurat atas transaksi. Risiko tertentu dapat timbul ketika banyak pengguna mengakses suatu basis databersama.

• Kemungkinan personel teknologi informasi memperoleh keistimewaan akses melampaui yang diperlukan untuk melaksanakan tugasnya, sehingga merusak pemisahan tugas.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Perubahan tidak terotorisasi terhadap sistem atau program.

• Kegagalan untuk membuat perubahan yang diperlukan terhadap sistem atau program.

• Intervensi secara manual yang tidak seharusnya.

• Potensi kehilangan data atau ketidakmampuan untuk mengakses data ketika dibutuhkan.

A57. Unsur manual dalam pengendalian internal kemungkinan lebih cocok ketika pertimbangan dan diskresi dibutuhkan seperti dalam kondisi-kondisi sebagai berikut:

• Transaksi yang besar jumlahnya, tidak biasa, atau tidak berulang.

• Kondisi ketika kesalahan sulit untuk didefinisikan, diantisipasi, atau diprediksi.

• Dalam kondisi yang mengalami perubahan yang membutuhkan suatu respons pengendalian di luar ruang lingkup pengendalian terotomatisasi yang ada.

• Dalam memantau efektivitas pengendalian terotomatisasi.

A58. Unsur manual dalam pengendalian internal kemungkinan menjadi kurang dapat diandalkan daripada unsur terotomatisasi karena unsur manual tersebut dapat lebih mudah di-bypass, diabaikan, atau di-overridden, dan unsur manual tersebut juga lebih memiliki kecenderungan untuk terabaikannya kesalahan dan kekeliruan sederhana. Oleh karena itu, konsistensi penerapan unsur pengendalian manual tidak dapat diandalkan. Unsur pengendalian manual kemungkinan kurang cocok dalam kondisi-kondisi sebagai berikut:

• Transaksi dengan volume yang tinggi atau berulang, atau dalam situasi ketika kesalahan yang dapat diantisipasi atau diprediksi, dapat dicegah, atau dideteksi dan dikoreksi, oleh parameter pengendalian yang diotomatisasi.

• Aktivitas pengendalian yang di dalamnya terdapat cara-cara tertentu untuk melaksanakan pengendalian dapat dirancang dan diotomatisasi secara memadai.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

pengendalian internal dengan menetapkan pengendalian yang efektif dengan mempertimbangkan karakteristik sistem informasi entitas.

Pengendalian yang Relevan dengan Audit

A60. Terdapat hubungan langsung antara tujuan entitas dengan pengendalian yang diimplementasikan oleh entitas untuk menyediakan keyakinan memadai tentang pencapaian tujuan tersebut.Tujuan entitas, termasuk pengendalian internal entitas, berkaitan dengan pelaporan keuangan, operasi, dan kepatuhan; namun, tidak semua tujuan dan pengendalian tersebut relevan dengan penilaian risiko auditor.

A61. Faktor-faktor yang relevan dengan pertimbangan auditor tentang apakah suatu pengendalian, baik secara individu maupun bersama dengan pengendalian lain, adalah relevan dengan audit dapat mencakup hal-hal sebagai berikut:

• Materialitas.

• Signifikansi risiko yang terkait.

• Ukuran entitas.

• Sifat bisnis entitas, termasuk karakteristik organisasi dan kepemilikannya.

• Keberagaman dan kompleksitas operasi entitas.

• Ketentuan hukum dan peraturan yang berlaku.

• Kondisi dan komponen pengendalian internal yang berlaku.

• Sifat dan kompleksitas sistem yang merupakan bagian pengendalian internal entitas, termasuk penggunaan organisasi jasa.

• Apakah, dan bagaimana, suatu pengendalian tertentu, baik secara individu atau bersama dengan pengendalian lain, mencegah, atau mendeteksi dan mengoreksi, kesalahan penyajian material.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

atau digunakan oleh auditor dalam menerapkan prosedur audit.

A63. Pengendalian internal atas pengamanan aset terhadap pemerolehan, penggunaan, atau pelepasan tidak terotorisasi dapat mencakup pengendalian yang berkaitan dengan tujuan pelaporan keuangan dan tujuan operasi. Pada umumnya, pertimbangan auditor atas pengendalian tersebut terbatas pada pengendalian yang relevan dengan keandalan pelaporan keuangan.

A64. Pada umumnya, suatu entitas memiliki pengendalian yang berkaitan dengan tujuan yang tidak relevan dengan audit, dan oleh karena itu, tidak perlu dipertimbangkan. Sebagai contoh, suatu entitas dapat mengandalkan pada suatu sistem pengendalian terotomatisasi yang canggih untuk menyediakan operasi yang efisien dan efektif (seperti sistem pengendalian terotomatisasi pada maskapai penerbangan untuk mengatur jadwal penerbangan), tetapi pengendalian tersebut pada umumnya tidak relevan dengan audit. Selain itu, meskipun pengendalian internal berlaku bagi entitas secara keseluruhan atau bagi setiap unit operasi atau proses bisnis entitas, pemahaman atas pengendalian internal yang berkaitan dengan setiap unit operasi dan proses bisnis entitas kemungkinan tidak relevan dengan audit.

Pertimbangan Spesifik atas Entitas Sektor Publik

A65. Auditor sektor publik sering memiliki tanggung jawab tambahan sehubungan dengan pengendalian internal, sebagai contoh, untuk melaporkan kepatuhan terhadap seperangkat aturan praktik yang telah ditetapkan. Auditor sektor publik dapat juga memiliki tanggung jawab untuk melaporkan kepatuhan terhadap peraturan perundang-undangan atau wewenang lain. Sebagai akibatnya, penelaahan mereka atas pengendalian internal dapat menjadi lebih luas dan lebih detail.

Sifat dan Luas Pemahaman atas Pengendalian yang Relevan (Ref: Para. 13)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

mengoreksi, kesalahan penyajian material. Impelementasi suatu pengendalian berarti bahwa pengendalian tersebut ada dan digunakan oleh entitas. Penilaian terhadap pengimplementasian suatu pengendalian yang tidak efektif kurang bermakna, dan oleh karena itu, pertimbangan atas rancangan suatu pengendalian harus dilakukan lebih dahulu. Suatu pengendalian yang dirancang secara tidak tepat dapat mengakibatkan suatu defisiensi signifikan dalam pengendalian internal.

A67. Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan implementasi pengendalian yang relevan dapat mencakup:

• Meminta keterangan dari personel entitas.

• Mengamati penerapan pengendalian tertentu.

• Menginspeksi dokumen dan laporan.

• Menelusuri transaksi melalui sistem informasi yang relevan dengan pelaporan keuangan.

Namun, tujuan tersebut di atas tidak dapat dicapai hanya dengan melakukan permintaan keterangan.

A68. Pemerolehan suatu pemahaman tentang pengendalian suatu entitas tidak cukup untuk menguji efektivitas operasi pengendalian tersebut, kecuali terdapat beberapa otomatisasi yang menyediakan operasi pengendalian yang konsisten. Sebagai contoh, pemerolehan bukti audit tentang pengimplementasian suatu pengendalian manual pada suatu waktu tidak menyediakan bukti audit tentang efektivitas operasi pengendalian pada waktu lain selama periode yang diaudit. Namun, karena konsistensi bawaan dari pengolahan teknologi informasi (lihat paragraf A55), pelaksanaan prosedur audit untuk menentukan apakah suatu pengendalian terotomatisasi telah diimplementasikan dapat berfungsi sebagai suatu pengujian terhadap efektivitas operasi pengendalian tersebut, tergantung dari penilaian dan pengujian auditor atas pengendalian tersebut, seperti yang dilakukan terhadap perubahan program. Pengujian terhadap efektivitas operasi pengendalian dijelaskan lebih lanjut dalam SA 330.10

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

Komponen Pengendalian Internal–Lingkungan Pengendalian (Ref: Para. 14)

A69. Lingkungan pengendalian mencakup fungsi tata kelola dan manajemen, serta sikap, kesadaran, dan tindakan pihak yang bertanggung jawab atas tata kelola dan manajemen atas pengendalian internal entitas dan pentingnya pengendalian tersebut dalam entitas. Lingkungan pengendalian menetapkan arah organisasi yang memengaruhi kesadaran pengendalian personel organisasi tersebut.

A70. Unsur-unsur lingkungan pengendalian yang mungkin relevan ketika memperoleh suatu pemahaman atas lingkungan pengendalian mencakup hal-hal sebagai berikut:

(a) Komunikasi dan penegakan integritas dan nilai etika: Ini merupakan unsur-unsur esensial yang memengaruhi efektivitas rancangan, pengelolaan, dan pemantauan pengendalian.

(b) Komitmen terhadap kompetensi: Hal-hal seperti pertimbangan manajemen tentang tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat-tingkat tersebut diterjemahkan ke dalam keahlian dan pengetahuan yang disyaratkan.

(c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola: Atribut pihak yang bertanggung jawab atas tata kelola adalah:

• Independensi mereka dari manajemen.

• Pengalaman dan reputasi mereka.

• Seberapa luas keterlibatan mereka dan informasi yang diterimanya, dan inspeksi atas aktivitas.

• Ketepatan tindakan mereka, termasuk mengajukan pertanyaan-pertanyaan sulit kepada manajemen dan mengejar jawabannya, serta interaksi mereka dengan auditor internal dan eksternal.

(d) Filosofi dan gaya operasi manajemen: Karakteristik manajemen seperti:

• Pendekatan dalam pengambilan dan pengelolaan risiko bisnis.

• Sikap dan tindakan terhadap pelaporan keuangan.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

(e) Struktur organisasi: Kerangka yang di dalamnya aktivitas entitas untuk mencapai tujuan entitas direncanakan, dilaksanakan, dikendalikan, dan ditelaah.

(f) Pemberian wewenang dan tanggung jawab: Hal-hal seperti bagaimana wewenang dan tanggung jawab atas aktivitas operasi diberikan dan bagaimana hubungan pelaporan dan hierarki otorisasi ditetapkan.

(g) Kebijakan dan praktik sumber daya manusia: Kebijakan dan praktik yang berkaitan dengan, sebagai contoh, rekrutmen, orientasi, pelatihan, evaluasi, konseling, promosi, kompensasi, dan tindakan perbaikan.

Bukti Audit untuk Unsur-Unsur Lingkungan Pengendalian

A71. Bukti audit yang relevan dapat diperoleh melalui suatu kombinasi permintaan keterangan dan prosedur penilaian risiko lainnya seperti permintaan keterangan pendukung melalui observasi atau inspeksi atas dokumen. Sebagai contoh, melalui permintaan keterangan dari manajemen dan karyawan, auditor dapat memperoleh suatu pemahaman tentang bagaimana manajemen mengomunikasikan kepada karyawan pandangan manajemen atas praktik bisnis dan perilaku etis. Auditor kemudian dapat menentukan apakah pengendalian yang relevan telah diimplementasikan dengan mempertimbangkan, sebagai contoh, apakah manajemen memiliki kode etik tertulis dan apakah mereka bertindak sesuai dengan kode etik tersebut.

Pengaruh Lingkungan Pengendalian terhadap Penilaian Risiko Kesalahan penyajian Material

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

• Independensi mereka dari manajemen dan kemampuan mereka untuk mengevaluasi tindakan manajemen.

• Tingkat pemahaman mereka atas transaksi bisnis entitas.

• Luas evaluasi mereka terhadap kesesuaian laporan keuangan dengan kerangka pelaporan keuangan yang berlaku.

A73. Suatu dewan komisaris yang aktif dan independen dapat memengaruhi filosofi dan gaya operasi manajemen senior. Namun, unsur-unsur lain mungkin lebih terbatas pengaruhnya. Sebagai contoh, meskipun kebijakan dan praktik sumber daya manusia diarahkan untuk mempekerjakan personel keuangan, akuntansi, dan tekonologi informasi yang kompeten dapat mengurangi risiko kesalahan dalam pengolahan informasi keuangan; unsur-unsur lain tersebut belum tentu dapat memitigasi penyimpangan yang kuat oleh manajemen puncak dalam meninggikan pendapatan entitas.

A74. Eksistensi lingkungan pengendalian yang baik merupakan suatu faktor positif ketika auditor menilai risiko kesalahan penyajian material. Meskipun lingkungan pengendalian yang baik dapat membantu mengurangi risiko kecurangan, hal itu bukan merupakan pencegah absolut terhadap kecurangan. Sebaliknya, defisiensi dalam lingkungan pengendalian dapat merusak efektivitas pengendalian, terutama yang berkaitan dengan kecurangan. Sebagai contoh, kegagalan manajemen dalam menyediakan sumber daya yang cukup untuk merespons risiko keamanan teknologi informasi dapat berdampak buruk terhadap pengendalian internal dengan memperbolehkan perubahan yang tidak semestinya terhadap program komputer atau data, atau transaksi tanpa otorisasi diolah. Seperti yang dijelaskan dalam SA 330, lingkungan pengendalian juga memengaruhi sifat, saat, dan luas prosedur audit lanjutan auditor.11

A75. Lingkungan pengendalian tidak dengan sendirinya mencegah, atau mendeteksi dan mengoreksi suatu kesalahan penyajian material. Namun, lingkungan pengendalian dapat