Standar audit
Sa 402
pertimbangan audit terkait dengan Entitas
yang menggunakan Suatu Organisasi Jasa
Standar audit 402
pErtimBanGan audit tErKait dEnGan EntitaS YanG
mEnGGunaKan Suatu OrGaniSaSi JaSa
(Berlaku efektif untuk audit atas laporan keuangan untuk periode yang dimulai pada atau setelah tanggal: (i) 1 Januari 2013 (untuk Emiten), atau (ii) 1 Januari 2014 (untuk entitas selain Emiten). Penerapan dini
dianjurkan untuk entitas selain Emiten.)
daFtar iSi
Paragraf pendahuluan Ruang Lingkup ... 1–5 Tanggal Efektif ... 6 tujuan ... 7 definisi ... 8 KetentuanPemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Organisasi
Jasa, Termasuk Pengendalian Internal ... 9–14 Respons terhadap Risiko yang Telah Dinilai atas
Kesalahan Penyajian Material ... 15–17 Laporan Tipe 1 dan Tipe 2 yang tidak
Memasukkan Jasa Organisasi Subjasa ... 18 Kecurangan, Ketidakpatuhan terhadap
Peraturan Perundang-Undangan dan Kesalahan Penyajian yang tidak Dikoreksi Berkaitan dengan
Aktivitas di Organisasi Jasa ... 19 Pelaporan oleh Auditor Pengguna ... 20–22 materi penerapan dan penjelasan lain
Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Organisasi Jasa,
Termasuk Pengendalian Internal ... A1–A23 Respons terhadap Risiko yang Telah Dinilai
atas Kesalahan Penyajian Material ... A24–A39 Laporan Tipe 1 dan Tipe 2 yang Tidak Memasukkan
Kecurangan, Ketidakpatuhan terhadap
Peraturan Perundang-Undangan dan Kesalahan Penyajian yang Tidak Dikoreksi Berkaitan dengan
Aktivitas di Organisasi Jasa ... A41 Pelaporan oleh Auditor Pengguna ... A42–A44 Standar Audit (“SA”) 402, “Pertimbangan Audit yang Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa” harus dibaca bersamaaan dengan SA 200, “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit Berdasarkan Standar Audit.”
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 pEndahuluan ruang lingkup
1. Standar Audit (“SA”) ini mengatur tentang tanggung jawab auditor pengguna untuk memperoleh bukti audit yang cukup dan tepat ketika suatu entitas pengguna memanfaatkan jasa dari satu atau lebih organisasi jasa. Secara spesifik, standar ini menjelaskan tentang bagaimana auditor pengguna menerapkan SA 3151 dan SA 3302 dalam memperoleh
pemahaman tentang entitas pengguna, termasuk pengendalian internal yang relevan dengan audit, yang cukup untuk mengidentifikasi dan menilai risiko adanya kesalahan penyajian material dan dalam merancang dan melaksanakan prosedur audit lebih lanjut sebagai respons terhadap risiko tersebut.
2. Banyak entitas melakukan outsource aspek-aspek bisnisnya kepada organisasi penyedia jasa, mulai dari pelaksanaan tugas spesifik di bawah arahan suatu entitas sampai dengan penggantian keseluruhan unit atau fungsi bisnis suatu entitas, seperti fungsi kepatuhan perpajakan. Banyak jasa yang disediakan oleh organisasi semacam itu yang merupakan bagian integral dari kegiatan operasi bisnis entitas; namun, tidak semua jasa tersebut relevan dengan audit.
3. Jasa yang diberikan oleh organisasi jasa relevan dengan audit atas laporan keuangan entitas pengguna ketika jasa tersebut, dan pengendalian terhadap jasa tersebut, merupakan bagian dari sistem informasi entitas pengguna, termasuk proses bisnis yang terkait, yang relevan terhadap pelaporan keuangan. Walaupun sebagian besar pengendalian di organisasi jasa kemungkinan besar berhubungan dengan pelaporan keuangan, ada kemungkinan terdapat pengendalian lain yang relevan terhadap audit, seperti pengendalian atas pengamanan aset. Jasa suatu organisasi jasa yang merupakan bagian dari sistem informasi entitas pengguna, termasuk proses bisnis yang terkait, relevan terhadap pelaporan keuangan jika jasa
1 SA 315, “Pengidentifikasian dan Penilaian Risiko Kesalahan Penyajian Material
melalui Pemahaman atas Entitas dan Lingkungannya.”
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
tersebut berdampak terhadap salah satu di bawah ini: (a) Golongan transaksi dalam entitas pengguna yang
signifikan terhadap laporan keuangan entitas pengguna;
(b) Prosedur, dalam teknologi informasi (“TI”) maupun sistem manual, yang dengan itu transaksi entitas pengguna diciptakan, dicatat, diproses, dikoreksi, ditransfer ke buku besar, dan dilaporkan dalam laporan keuangan; (c) Catatan akuntansi yang terkait, baik dalam bentuk
elektronik atau manual, informasi pendukung dan akun-akun spesifik dalam laporan keuangan entitas pengguna yang digunakan untuk menciptakan, mencatat, memproses, dan melaporkan transaksi entitas pengguna; termasuk pengoreksian atas informasi yang tidak benar dan cara pentransferan informasi ke buku besar; (d) Bagaimana sistem informasi entitas pengguna mencatat
peristiwa dan kondisi, selain transaksi, yang signifikan terhadap laporan keuangan;
(e) Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas pengguna, termasuk estimasi akuntansi signifikan dan pengungkapan; dan (f) Pengendalian terhadap entri jurnal, termasuk entri jurnal
nonstandar yang digunakan untuk mencatat transaksi tidak rutin, transaksi atau penyesuaian yang tidak lazim.
4. Sifat dan luas pekerjaan yang dilaksanakan oleh auditor pengguna yang berkaitan dengan jasa yang disediakan oleh organisasi jasa tergantung pada sifat dan signifikansi jasa tersebut terhadap entitas pengguna dan relevansinya terhadap audit.
5. SA ini tidak berlaku bagi jasa yang disediakan oleh institusi keuangan yang terbatas pada pemrosesan, untuk rekening entitas yang ada di institusi keuangan, transaksi yang diotorisasi secara spesifik oleh entitas, seperti pemrosesan transaksi rekening giro oleh bank atau pemrosesan transaksi sekuritas oleh pialang. Di samping itu, SA ini tidak berlaku terhadap audit atas transaksi yang berasal dari hak kepemilikan kepentingan keuangan dalam entitas lain, seperti firma, korporasi, dan joint venture, ketika hak kepemilikan
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
kepentingan dipertanggungjawabkan dan dilaporkan kepada pemegang kepentingan.
tanggal Efektif
6. SA ini berlaku efektif untuk audit atas laporan keuangan untuk periode yang dimulai pada atau setelah tanggal: (i) 1 Januari 2013 (untuk Emiten), atau (ii) 1 Januari 2014 (untuk entitas selain Emiten). Penerapan dini dianjurkan untuk entitas selain Emiten.
tuJuan
7. Tujuan auditor pengguna, ketika entitas pengguna menggunakan jasa dari suatu organisasi jasa, adalah: (a) Untuk memperoleh pemahaman tentang sifat dan
signifikansi jasa yang disediakan oleh organisasi jasa dan dampaknya terhadap pengendalian internal entitas pengguna yang relevan dengan audit, yang cukup untuk mengidentifikasi dan menilai risiko kesalahan penyajian material; dan
(b) Untuk merancang dan melaksanakan prosedur audit sebagai respons terhadap risiko tersebut.
dEFiniSi
8. Untuk tujuan SA, istilah-istilah di bawah ini memiliki makna sebagai berikut:
(a) Pengendalian pelengkap entitas pengguna: Pengendalian yang dianggap oleh organisasi jasa, dalam merancang jasanya, akan diimplementasikan oleh entitas pengguna, dan diidentifikasi dalam penjelasan sistemnya jika diperlukan untuk mencapai tujuan pengendalian. (b) Laporan atas deskripsi dan rancangan pengendalian
pada suatu organisasi jasa (dalam standar ini disebut sebagai laporan tipe 1): Sebuah laporan yang terdiri atas:
(i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang sistem yang dimiliki oleh organisasi jasa, tujuan pengendalian dan
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
pengendalian terkait yang telah dirancang dan diimplementasikan pada tanggal tertentu; dan (ii) Suatu laporan dari auditor jasa yang bertujuan
untuk menyampaikan keyakinan memadai yang mencakup opini auditor jasa terhadap deskripsi sistem pada organisasi jasa, tujuan pengendalian dan pengendalian terkait, dan kesesuaian rancangan pengendalian untuk mencapai tujuan pengendalian yang telah ditentukan.
(c) Laporan tentang deskripsi, rancangan, dan efektivitas operasi pengendalian dalam suatu organisasi jasa (dalam SA ini disebut sebagai laporan tipe 2): Sebuah laporan yang berisi:
(i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang sistem dalam organisasi jasa, tujuan pengendalian dan pengendalian-pengendalian yang terkait, rancangan dan implementasi pengendalian tersebut pada tanggal atau sepanjang periode tertentu dan, dalam beberapa kasus, efektivitas operasi pengendalian tersebut sepanjang periode tertentu; dan
(ii) Suatu laporan yang disusun oleh auditor jasa dengan tujuan untuk menyampaikan keyakinan memadai yang meliputi:
a. Opini auditor jasa terhadap deskripsi sistem organisasi jasa, tujuan pengendalian dan pengendalian-pengendalian yang terkait, kesesuaian rancangan pengendalian untuk mencapai tujuan pengendalian yang telah ditentukan, dan efektivitas operasi pengendalian; dan
b. Suatu deskripsi tentang pengujian pengendalian yang dilaksanakan oleh auditor jasa dan hasilnya.
(d) Auditor jasa: Seorang auditor yang, atas permintaan organisasi jasa, menyediakan laporan asurans atas pengendalian suatu organisasi jasa.
(e) Organisasi jasa: Suatu organisasi pihak ketiga (atau segmen suatu organisasi pihak ketiga) yang menyediakan jasa kepada entitas pengguna yang merupakan bagian sistem informasi organisasi entitas tersebut yang relevan dengan pelaporan keuangan.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
(f) Sistem organisasi jasa: Kebijakan dan prosedur yang dirancang, diimplementasikan, dan dipelihara oleh organisasi jasa untuk menyediakan jasa yang tercakup dalam laporan auditor jasa kepada entitas pengguna. (g) Organisasi subjasa: Suatu organisasi jasa yang digunakan
oleh organisasi jasa lain untuk melaksanakan beberapa jasa bagi entitas pengguna yang menjadi bagian sistem informasi entitas pengguna tersebut yang relevan terhadap pelaporan keuangan.
(h) Auditor pengguna: Seorang auditor yang melaksanakan audit dan membuat laporan audit atas laporan keuangan suatu entitas pengguna.
(i) Entitas pengguna: Suatu entitas yang menggunakan suatu organisasi jasa dan yang laporan keuangannya diaudit. KEtEntuan
pemerolehan pemahaman tentang Jasa yang disediakan oleh Organisasi Jasa, termasuk pengendalian internal
9. Pada waktu pemerolehan pemahaman tentang entitas pengguna berdasarkan SA 315,3 auditor pengguna harus
memperoleh suatu pemahaman tentang bagaimana entitas pengguna memanfaatkan jasa organisasi jasa dalam kegiatan operasi entitas pengguna, termasuk: (Ref: Para. A1–A2) (a) Sifat jasa yang disediakan oleh organisasi jasa dan
signifikansi jasa tersebut bagi entitas pengguna, termasuk dampak jasa tersebut terhadap pengendalian internal entitas pengguna; (Ref: Para. A3–A5)
(b) Sifat dan materialitas transaksi yang diproses atau akun-akun atau proses pelaporan keuangan yang dipengaruhi oleh organisasi jasa; (Ref: Para. A6)
(c) Tingkat interaksi antara aktivitas organisasi jasa dan aktivitas entitas pengguna; dan (Ref: Para. A7)
(d) Sifat hubungan antara entitas pengguna dan organisasi jasa, termasuk ketentuan perjanjian yang relevan untuk aktivitas yang dijalankan oleh organisasi jasa. (Ref: Para. A8–A11)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
10. Pada waktu pemerolehan suatu pemahaman atas pengendalian internal yang relevan terhadap audit berdasarkan SA 315,4 auditor pengguna harus mengevaluasi rancangan
dan implementasi pengendalian yang relevan di entitas pengguna yang berhubungan dengan jasa yang diberikan oleh organisasi jasa, termasuk pengendalian yang diterapkan terhadap transaksi yang diproses oleh organisasi jasa. (Ref: Para. A12–A14)
11. Auditor pengguna harus menentukan apakah suatu pemahaman yang memadai tentang sifat dan signifikansi jasa yang disediakan oleh organisasi jasa dan dampaknya terhadap pengendalian internal entitas pengguna yang relevan terhadap audit telah diperoleh untuk menyediakan suatu dasar untuk mengidentifikasi dan menilai risiko kesalahan penyajian material.
12. Jika auditor pengguna tidak mampu memperoleh pemahaman yang cukup dari entitas pengguna, auditor pengguna harus memperoleh pemahaman dari satu atau beberapa prosedur berikut:
(a) Memperoleh laporan tipe 1 atau tipe 2, jika tersedia; (b) Menghubungi organisasi jasa, melalui entitas pengguna,
untuk memperoleh informasi spesifik;
(c) Mengunjungi organisasi jasa dan melaksanakan prosedur yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan pada organisasi jasa; atau (d) Menggunakan auditor lain untuk melaksanakan prosedur
yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan pada organisasi jasa. (Ref: Para. A15–A20)
Menggunakan Suatu Laporan Tipe 1 atau Tipe 2 untuk Mendukung Pemahaman Auditor Pengguna Tentang Organisasi Jasa
13. Dalam menentukan kecukupan dan ketepatan bukti audit yang disediakan oleh suatu laporan tipe 1 atau tipe 2, auditor pengguna harus puas atas:
(a) Kompetensi profesional auditor jasa dan independensi terhadap organisasi jasa; dan
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
(b) Kecukupan standar yang dipakai sebagai acuan laporan tipe 1 atau tipe 2 yang dikeluarkan. (Ref: Para. A21) 14. Jika auditor pengguna merencanakan untuk menggunakan
laporan tipe 1 atau tipe 2 sebagai bukti audit untuk mendukung pemahaman auditor pengguna tentang rancangan dan implementasi pengendalian di organisasi jasa, auditor pengguna harus melakukan hal-hal sebagai berikut:
(a) Mengevaluasi apakah deskripsi dan rancangan pengendalian dalam organisasi jasa pada suatu tanggal atau suatu periode telah tepat untuk tujuan auditor pengguna;
(b) Mengevaluasi kecukupan dan ketepatan bukti yang disediakan oleh laporan untuk memahami pengendalian internal entitas pengguna yang relevan dengan audit; dan
(c) Menentukan apakah pengendalian pelengkap entitas pengguna yang diidentifikasi oleh organisasi jasa adalah relevan bagi entitas pengguna dan, jika demikian, memperoleh pemahaman apakah entitas pengguna telah merancang dan mengimplementasikan pengendalian tersebut. (Ref: Para. A22–A23)
respons terhadap risiko yang telah dinilai atas Kesalahan penyajian material
15. Dalam merespons risiko yang telah dinilai berdasarkan SA 330, auditor pengguna harus melakukan hal-hal sebagai berikut:
(a) Menentukan apakah kecukupan dan ketepatan bukti audit tentang asersi laporan keuangan yang relevan tersedia dari catatan yang ada di tangan entitas pengguna; dan, jika tidak,
(b) Melaksanakan prosedur audit lebih lanjut untuk memperoleh bukti audit yang cukup dan tepat atau menggunakan auditor lain untuk melaksanakan prosedur tersebut di organisasi jasa bagi kepentingan auditor pengguna. (Ref: Para. A24–A28)
Pengujian Pengendalian
16. Jika penilaian risiko auditor pengguna memasukkan suatu harapan bahwa pengendalian di organisasi jasa telah beroperasi secara efektif, auditor pengguna harus memperoleh
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
bukti audit mengenai efektivitas operasi pengendalian yang dijalankan tersebut dari satu atau beberapa prosedur berikut:
(a) Memperoleh laporan tipe 2, jika tersedia;
(b) Melaksanakan pengujian pengendalian yang tepat di organisasi jasa; atau
(c) Menggunakan auditor lain untuk melaksanakan pengujian pengendalian di organisasi jasa bagi kepentingan auditor pengguna. (Ref: Para. A29–A30)
Penggunaan Laporan Tipe 2 sebagai Bukti Audit Bahwa Pengendalian di Organisasi Jasa Beroperasi secara Efektif
17. Jika, sesuai dengan paragraf 16(a), auditor pengguna merencanakan untuk menggunakan laporan tipe 2 sebagai bukti audit bahwa pengendalian di organisasi jasa beroperasi secara efektif, auditor pengguna harus menentukan apakah laporan auditor pengguna menyediakan bukti audit yang cukup dan tepat tentang efektivitas pengendalian untuk mendukung penilaian risiko auditor pengguna dengan: (a) Mengevaluasi apakah deskripsi, rancangan, dan
efektivitas operasi pengendalian di organisasi jasa pada suatu tanggal atau suatu periode sesuai dengan tujuan auditor pengguna;
(b) Menentukan apakah pengendalian pelengkap entitas pengguna yang diidentifikasi oleh organisasi jasa relevan dengan entitas pengguna dan, jika demikian, memperoleh suatu pemahaman apakah entitas pengguna telah merancang dan mengimplementasikan pengendalian tersebut dan, jika demikian, menguji efektivitas operasi pengendalian tersebut;
(c) Mengevaluasi kecukupan periode waktu yang dicakup oleh pengujian pengendalian dan waktu yang berlalu sejak pelaksanaan pengujian pengendalian tersebut; dan
(d) Mengevaluasi apakah pengujian pengendalian dilaksanakan oleh auditor jasa dan hasilnya, seperti dijelaskan dalam laporan auditor jasa, relevan dengan asersi dalam laporan keuangan entitas pengguna, dan menyediakan bukti audit yang cukup dan tepat untuk mendukung penilaian risiko auditor pengguna. (Ref: Para. A31–A39)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
laporan tipe 1 dan tipe 2 yang tidak memasukkan Jasa Organisasi Subjasa
18. Apabila auditor pengguna merencanakan untuk menggunakan laporan tipe 1 atau tipe 2 yang tidak memasukkan jasa yang disediakan oleh organisasi subjasa dan jasa tersebut relevan dengan audit atas laporan keuangan entitas pengguna, auditor pengguna harus menerapkan ketentuan SA ini sesuai dengan jasa yang disediakan oleh organisasi subjasa. (Ref: Para. A40)
Kecurangan, Ketidakpatuhan terhadap peraturan perundang-undangan dan Kesalahan penyajian yang tidak dikoreksi Berkaitan dengan aktivitas di Organisasi Jasa
19. Auditor pengguna harus meminta keterangan kepada manajemen entitas pengguna apakah organisasi jasa telah melaporkan kepada entitas pengguna, atau apakah entitas pengguna menyadari adanya kecurangan, ketidakpatuhan terhadap peraturan perundang-undangan, atau kesalahan penyajian yang tidak dikoreksi yang memengaruhi laporan keuangan entitas pengguna. Auditor pengguna harus mengevaluasi bagaimana hal-hal tersebut memengaruhi sifat, saat, dan luas prosedur audit lebih lanjut, termasuk dampak terhadap kesimpulan dan laporan auditor pengguna. (Ref: Para. A41)
pelaporan oleh auditor pengguna
20. Auditor pengguna harus memodifikasi opini dalam laporan auditor pengguna berdasarkan SA 7055 jika auditor pengguna
tidak dapat memperoleh bukti audit yang cukup dan tepat tentang jasa yang diberikan oleh organisasi jasa yang relevan terhadap audit atas laporan keuangan entitas pengguna. (Ref: Para. A42)
21. Auditor pengguna tidak boleh mengacu ke pekerjaan auditor jasa dalam laporan auditor pengguna yang berisi opini tanpa modifikasian kecuali jika diwajibkan oleh peraturan perundang-undangan. Jika pengacuan tersebut diwajibkan oleh peraturan perundang-undangan, laporan auditor
5 SA 705, “Modifikasi terhadap Opini dalam Laporan Auditor Independen,”
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
pengguna harus menunjukkan bahwa pengacuan tersebut tidak mengurangi tanggung jawab auditor pengguna terhadap opini audit tersebut. (Ref: Para. A43)
22. Jika pengacuan ke pekerjaan auditor jasa relevan dengan suatu pemahaman tentang suatu modifikasi atas opini auditor pengguna, auditor pengguna harus menunjukkan bahwa pengacuan tersebut tidak mengurangi tanggung jawab auditor pengguna terhadap opini auditnya. (Ref: Para. A44)
***
matEri pEnErapan dan pEnJElaSan lain
pemerolehan pemahaman tentang Jasa yang disediakan oleh Organisasi Jasa, termasuk pengendalian internal
Sumber Informasi (Ref: Para. 9)
A1. Informasi tentang sifat dari jasa-jasa yang disediakan oleh organisasi jasa mungkin tersedia dari berbagai macam sumber, seperti:
• Panduan pengguna. • Ikhtisar sistem. • Panduan teknis.
• Kontrak atau perjanjian tingkat jasa antara entitas pengguna dan organisasi jasa.
• Laporan oleh organisasi jasa, auditor internal atau badan pengatur yang berwenang untuk mengendalikan organisasi jasa.
• Laporan oleh auditor jasa, termasuk surat pernyataan manajemen, jika tersedia.
A2. Pengetahuan yang diperoleh melalui pengalaman auditor pengguna dengan organisasi jasa, contohnya melalui pengalaman dalam perikatan audit lain, dapat juga bermanfaat dalam memperoleh pemahaman tentang sifat jasa yang disediakan oleh organisasi jasa. Hal ini secara khusus dapat bermanfaat jika jasa dan pengendalian pada organisasi jasa atas jasa tersebut mempunyai standar yang tinggi.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
Sifat Jasa yang Disediakan oleh Organisasi Jasa (Ref: Para. 9(a))
A3. Suatu entitas pengguna dapat menggunakan organisasi jasa seperti memproses transaksi dan menjaga akuntabilitasnya, atau mencatat transaksi dan memproses data terkait. Organisasi jasa yang menyediakan jasa seperti itu meliputi, sebagai contoh, trust department bank yang menginvestasikan dan memberikan jasa aset untuk imbalan karyawan atau untuk pihak lain; bankir yang memberikan jasa hipotik untuk pihak lain; dan penyedia jasa aplikasi yang menyediakan paket aplikasi perangkat lunak dan sebuah lingkungan teknologi yang membantu pelanggan untuk memproses transaksi operasi dan keuangan.
A4. Contoh jasa yang disediakan oleh organisasi jasa yang relevan dengan audit meliputi:
• Menyelenggarakan catatan akuntansi entitas pengguna.
• Manajemen aset.
• Penciptaan, pencatatan atau pemrosesan transaksi sebagai agen entitas pengguna.
Pertimbangan Spesifik Khusus bagi Entitas yang Lebih Kecil A5. Entitas lebih kecil dapat menggunakan jasa pembukuan dari
pihak luar, mulai dari pemrosesan transaksi tertentu (misalnya, pembayaran pajak atas gaji) dan penyelenggaraan catatan akuntansi sampai dengan penyusunan laporan keuangan. Penggunaan suatu organisasi jasa tersebut untuk penyusunan laporan keuangan tidak membebaskan manajemen entitas lebih kecil, dan jika berlaku, pihak yang bertanggung jawab atas tata kelola, dari tangggung jawabnya terhadap laporan keuangan yang dihasilkan.6
Sifat dan Materialitas Transaksi yang Diproses oleh Organisasi Jasa
(Ref: Para. 9(b))
A6. Suatu organisasi jasa dapat menetapkan kebijakan dan prosedur yang berdampak atas pengendalian internal entitas pengguna. Kebijakan dan prosedur ini paling tidak,
6 SA 200, “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
secara fisik dan secara operasional, terpisah dari entitas pengguna. Signifikansi pengendalian organisasi jasa terhadap pengendalian entitas pengguna tergantung pada sifat transaksi yang disediakan oleh organisasi jasa, termasuk sifat dan materialitas transaksi yang diproses untuk entitas pengguna. Dalam situasi tertentu, transaksi yang diproses dan akun yang dipengaruhi oleh organisasi jasa mungkin tidak tampak material bagi laporan keuangan entitas pengguna, namun sifat transaksi yang diproses mungkin signifikan dan kondisi tersebut auditor pengguna dapat menetapkan bahwa pemahaman atas pengendalian tersebut diperlukan dalam kondisi tersebut.
Tingkat Interaksi antara Aktivitas Organisasi Jasa dengan Entitas Pengguna (Ref: Para. 9(c))
A7. Signifikansi pengendalian organisasi jasa terhadap pengendalian entitas pengguna juga tergantung pada tingkat interaksi antara aktivitas organisasi jasa dengan entitas pengguna jasa. Tingkat interaksi mengacu pada seberapa luas entitas pengguna dapat melakukan dan memilih untuk mengimplementasikan pengendalian yang efektif atas pemrosesan yang dilakukan oleh organisasi jasa. Sebagai contoh, suatu tingkat interaksi yang tinggi terjadi antara aktivitas entitas pengguna dan aktivitas organisasi jasa pada waktu entitas pengguna mengotorisasi transaksi dan organisasi jasa memproses dan melaksanakan akuntansi transaksi tersebut. Dalam kondisi ini, lebih praktis bagi entitas pengguna untuk mengimplementasikan pengendalian yang efektif atas transaksi ini. Di lain pihak, pada waktu organisasi jasa menciptakan atau memulai pencatatan, pemrosesan, dan melakukan akuntansi untuk transaksi entitas pengguna, terdapat tingkat interaksi yang rendah antara kedua organisasi tersebut. Dalam kondisi ini, entitas pengguna mungkin tidak dapat melakukan, atau mungkin memilih untuk tidak melakukan, implementasi pengendalian yang efektif terhadap transaksi ini pada entitas pengguna dan mungkin mengandalkan pengendalian pada organisasi jasa.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
Sifat Hubungan antara Etitas Pengguna dengan Organisasi Jasa
(Ref: Para. 9(d))
A8. Kontrak atau perjanjian tingkat jasa antara entitas pengguna dan organisasi jasa dapat menyediakan hal-hal sebagai berikut: • Informasi yang disediakan untuk entitas pengguna dan
tanggung jawab untuk menciptakan transaksi yang terkait dengan aktivitas yang dilaksanakan oleh organisasi jasa;
• Penerapan ketentuan badan pengatur tentang bentuk catatan yang harus dipelihara, atau akses terhadap catatan tersebut;
• Ganti rugi, jika ada, yang disediakan bagi entitas pengguna jika terjadi kegagalan dalam suatu pelaksaan kontrak atau perjanjian tingkat jasa;
• Apakah organisasi jasa akan menyediakan suatu laporan atas pengendaliannya dan, jika demikian, apakah laporan tersebut adalah laporan tipe 1 atau tipe 2;
• Apakah auditor pengguna berhak untuk mengakses catatan akuntansi entitas pengguna yang dipelihara oleh organisasi jasa dan informasi lain yang diperlukan untuk pelaksanaan audit; dan
• Apakah perjanjian mengizinkan komunikasi langsung antara auditor pengguna dan auditor jasa.
A9. Terdapat suatu hubungan langsung antara organisasi jasa dengan entitas pengguna dan antara organisasi jasa dengan auditor jasa. Hubungan ini tidak perlu menciptakan suatu hubungan langsung antara auditor pengguna dan auditor jasa. Ketika tidak terdapat hubungan langsung antara auditor pengguna dan auditor jasa, komunikasi antara auditor pengguna dan auditor jasa biasanya dilakukan melalui entitas pengguna dan organisasi jasa. Suatu hubungan langsung juga dapat diciptakan antara auditor pengguna dan auditor jasa, dengan memperhitungkan etika yang relevan dan pertimbangan tentang kerahasiaan. Sebagai contoh, auditor pengguna dapat memanfaatkan auditor jasa untuk melaksanakan prosedur atas kepentingan auditor pengguna, seperti:
(a) Pengujian pengendalian di organisasi jasa; atau
(b) Prosedur substantif atas transaksi dan saldo pada laporan keuangan entitas pengguna yang dipelihara oleh organisasi jasa.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
Pertimbangan Spesifik atas Entitas Sektor Publik
A10. Auditor sektor publik umumnya mempunyai hak akses yang luas yang ditetapkan oleh legislasi. Namun, mungkin terdapat situasi di mana hak akses tersebut tidak tersedia, sebagai contoh pada waktu organisasi jasa berada di lokasi dalam suatu yurisdiksi yang berbeda. Dalam kasus tersebut, auditor sektor publik mungkin perlu untuk memperoleh suatu pemahaman atas legislasi yang berlaku di yurisdiksi yang berbeda tersebut untuk menentukan apakah hak akses yang tepat dapat diperoleh. Auditor sektor publik dapat juga memperoleh atau meminta entitas pengguna untuk memasukkan hak akses pada setiap perjanjian kontraktual antara entitas pengguna dengan organisasi jasa.
A11. Auditor sektor publik dapat juga menggunakan auditor lain untuk melakukan pengujian pengendalian atau prosedur substantif dalam kaitannya dengan kepatuhan terhadap peraturan perundang-undangan atau otoritas lain.
Pemahaman atas Pengendalian yang Terkait dengan Jasa yang Disediakan oleh Organisasi Jasa (Ref: Para. 10)
A12. Entitas pengguna dapat menetapkan pengendalian atas jasa organisasi jasa yang mungkin diuji oleh auditor pengguna dan dapat membuat auditor pengguna menyimpulkan bahwa pengendalian entitas pengguna beroperasi secara efektif untuk beberapa atau semua asersi yang terkait, tanpa memperhatikan bahwa pengendalian berada di organisasi jasa. Sebagai contoh, jika suatu entitas pengguna memanfaatkan organisasi jasa untuk memproses transaksi penggajian, entitas pengguna dapat menetapkan pengendalian atas pengiriman dan penerimaan informasi penggajian yang dapat mencegah atau mendeteksi kesalahan penyajian material. Pengendalian ini dapat meliputi:
• Membandingkan data yang dikirim ke organisasi jasa dengan laporan informasi yang diterima dari organisasi jasa setelah data tersebut diproses.
• Menghitung ulang sampel atas jumlah gaji untuk memastikan keakuratan perhitungannya dan mereviu kewajaran jumlah gaji.
A13. Dalam situasi ini, auditor pengguna dapat melakukan pengujian terhadap pengendalian entitas pengguna atas
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
proses penggajian yang akan menyediakan dasar bagi auditor pengguna untuk menyimpulkan bahwa pengendalian entitas pengguna telah beroperasi secara efektif untuk asersi yang terkait dengan transaksi penggajian.
A14. Seperti yang dicantumkan dalam SA 315,7 dalam
hubungannya dengan beberapa risiko, auditor pengguna dapat mempertimbangkan bahwa tidak mungkin atau tidak praktis untuk memperoleh bukti audit yang cukup dan tepat hanya dari prosedur substantif. Risiko tersebut mungkin terkait dengan ketidakakuratan atau ketidaklengkapan pencatatan golongan transaksi yang rutin dan signifikan dan saldo akun, yang karakteristiknya sering kali memerlukan pemrosesan otomatis yang tinggi dengan sedikit atau tanpa intervensi secara manual. Karakteristik pemrosesan otomatis seperti itu mungkin ada pada saat entitas pengguna memanfaatkan organisasi jasa. Dalam kasus seperti ini, pengendalian entitas pengguna atas risiko tersebut relevan terhadap audit dan auditor pengguna perlu memperoleh pemahaman tentang, dan mengevaluasi, pengendalian-pengendalian tersebut yang sesuai dengan paragraf 9 dan 10 SA ini.
Prosedur Lebih Lanjut Jika Pemahaman yang Memadai Tidak Dapat Diperoleh dari Entitas Pengguna (Ref: Para. 12)
A15. Keputusan auditor pengguna tentang prosedur yang akan diambil, secara individual atau dalam kombinasi, dalam paragraf 12, dalam rangka memperoleh informasi yang diperlukan untuk menyediakan suatu dasar untuk mengidentifikasi dan menilai risiko kesalahan penyajian material sehubungan dengan penggunaan organisasi jasa oleh entitas pengguna, dapat dipengaruhi oleh hal-hal sebagai berikut:
• Ukuran entitas pengguna dan organisasi jasa;
• Kompleksitas transaksi di entitas pengguna dan kompleksitas jasa yang disediakan oleh organisasi jasa;
• Lokasi organisasi jasa (contohnya, auditor pengguna dapat memutuskan untuk menggunakan auditor lain untuk melaksanakan prosedur di organisasi jasa untuk
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
kepentingan auditor pengguna jika organisasi jasa terletak di lokasi yang jauh);
• Apakah prosedur diharapkan secara efektif menyediakan bukti audit yang cukup dan tepat untuk auditor pengguna; dan
• Sifat hubungan antara entitas pengguna dan organisasi jasa.
A16. Suatu organisasi jasa dapat melakukan perikatan dengan auditor jasa untuk melaporkan penjelasan dan rancangan pengendaliannya (laporan tipe 1) atau penjelasan dan rancangan pengendalian dan efektivitas operasi pengendalian (laporan tipe 2). Laporan tipe 1 atau tipe 2 dapat dikeluarkan berdasarkan Standar Perikatan Asurans Lain (“SPA”) 34028
atau berdasarkan standar yang ditetapkan oleh organisasi berwenang atau organisasi pembuat standar yang telah diakui (yang dapat mengidentifikasi lewat berbagai nama, seperti laporan tipe A atau tipe B).
A17. Ketersediaan laporan tipe 1 atau tipe 2 biasanya tergantung pada apakah perjanjian antara organisasi jasa dan entitas pengguna mencakup penyediaan laporan tersebut oleh organisasi jasa. Organisasi jasa dapat juga memilih, dengan alasan praktis, untuk menyediakan laporan tipe 1 atau tipe 2 bagi entitas pengguna. Namun demikian, dalam beberapa kasus, laporan tipe 1 atau tipe 2 mungkin tidak tersedia bagi entitas pengguna.
A18. Dalam beberapa kondisi, suatu entitas pengguna dapat melakukan outsource satu atau beberapa unit atau fungsi bisnis yang signifikan, seperti seluruh fungsi perencanaan dan kepatuhan pajak, atau fungsi keuangan dan akuntansi atau fungsi pengawasan ke satu atau beberapa organisasi jasa. Oleh karena laporan tentang pengendalian di organisasi jasa mungkin tidak tersedia dalam kondisi seperti ini, kunjungan ke organisasi jasa adalah prosedur yang paling efektif bagi auditor pengguna untuk menambah pemahaman atas pengendalian
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
di organisasi jasa, karena adanya kemungkinan terjadinya interaksi langsung antara manajemen entitas pengguna dengan manajemen organisasi jasa.
A19. Auditor lain mungkin terbiasa melaksanakan prosedur yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan di organisasi jasa. Jika laporan tipe 1 atau tipe 2 telah diterbitkan, auditor pengguna dapat menggunakan auditor jasa untuk melaksanakan prosedur-prosedur ini karena auditor jasa telah memiliki hubungan dengan organisasi jasa. Auditor pengguna yang menggunakan pekerjaan auditor lain dapat menggunakan panduan dalam SA 6009 karena berkaitan dengan upaya untuk memahami auditor
lain (termasuk independensi dan kompetensi profesional auditor tersebut), keterlibatan pada pekerjaan auditor lain dalam perencanaan sifat, ruang lingkup, dan waktu pekerjaan, dan dalam mengevaluasi kecukupan dan ketepatan bukti audit yang diperoleh.
A20. Suatu entitas pengguna dapat memanfaatkan organisasi jasa yang akan menggunakan organisasi subjasa untuk menyediakan beberapa jasa yang disediakan bagi entitas pengguna yang menjadi bagian dari sistem informasi entitas pengguna yang relevan terhadap pelaporan keuangan. Organisasi subjasa dapat merupakan suatu entitas yang terpisah dari atau terkait dengan organisasi jasa. Auditor pengguna mungkin perlu mempertimbangkan pengendalian di organisasi subjasa. Dalam situasi di mana satu atau beberapa organisasi subjasa digunakan, interaksi antara aktivitas entitas pengguna dan aktivitas organisasi jasa diperluas untuk mencakup interaksi antara entitas pengguna, organisasi jasa, dan organisasi subjasa. Tingkat interaksi ini, baik sifat dan materialitas transaksi yang diproses oleh organisasi jasa dan organisasi subjasa merupakan faktor yang paling penting bagi auditor pengguna untuk dipertimbangkan dalam penentuan
9 SA 600, “Pertimbangan Khusus–Audit atas Laporan Keuangan Grup (Termasuk
Pekerjaan Auditor Komponen), paragraf 2, menyatakan “Auditor dapat mengetahui SA ini, yang disesuaikan seperlunya sesuai dengan kondisi, bermanfaat pada saat auditor melibatkan auditor lain dalam audit atas laporan keuangan yang bukan merupakan laporan keuangan grup.” Lihat juga paragraf 19 atau SA 600.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
signifikansi pengendalian di organisasi jasa dan organisasi subjasa atas pengendalian entitas pengguna.
Penggunaan Laporan Tipe 1 atau Tipe 2 untuk Mendukung
Pemahaman Auditor Pengguna tentang Organisasi Jasa (Ref: Para.
13–14)
A21. Auditor pengguna dapat meminta keterangan tentang auditor jasa kepada organisasi profesional auditor jasa atau praktisi lain dan menanyakan apakah auditor jasa masuk dalam pengawasan oleh regulator. Auditor jasa mungkin berpraktik di yurisdiksi yang mengikuti standar yang berbeda sehubungan dengan laporan atas pengendalian pada organisasi jasa, dan auditor pengguna perlu memperoleh informasi tentang standar yang digunakan oleh auditor jasa dari organisasi pembuat standar yang bersangkutan.
A22. Laporan tipe 1 atau tipe 2, bersama dengan informasi tentang entitas pengguna, dapat membantu auditor pengguna untuk memperoleh pemahaman atas:
(a) Aspek pengendalian di organisasi jasa yang mungkin berdampak terhadap pemrosesan transaksi entitas pengguna, termasuk penggunaan organisasi subjasa; (b) Arus transaksi signifikan melalui organisasi jasa untuk
menentukan titik-titik dalam arus transaksi yang di dalamnya kesalahan penyajian material atas laporan keuangan entitas pengguna dapat terjadi;
(c) Tujuan pengendalian di organisasi jasa yang relevan dengan asersi laporan keuangan entitas pengguna; dan
(d) Apakah pengendalian di organisasi jasa telah dirancang dan diimplementasikan dengan baik untuk mencegah atau mendeteksi kesalahan pemrosesan yang dapat menimbulkan kesalahan penyajian material dalam laporan keuangan entitas pengguna.
Suatu laporan tipe 1 atau tipe 2 dapat membantu auditor pengguna dalam memperoleh pemahaman memadai untuk mengidentifikasi dan menilai risiko kesalahan penyajian material. Namun, laporan tipe 1, tidak menyediakan bukti atas efektivitas operasi pengendalian yang relevan.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
A23. Laporan tipe 1 atau tipe 2 untuk tanggal atau untuk periode di luar periode pelaporan suatu entitas pengguna dapat membantu auditor pengguna dalam memperoleh pemahaman awal atas pengendalian yang diimplementasikan di organisasi jasa jika laporan tersebut dilengkapi dengan tambahan informasi saat ini dari berbagai sumber. Jika penjelasan organisasi jasa tentang pengendalian pada tanggal atau untuk periode sebelum periode awal pelaksanaan audit, auditor pengguna dapat melaksanakan prosedur untuk memutakhirkan informasi yang terdapat dalam laporan tipe 1 dan tipe 2, seperti:
• Mendiskusikan perubahan yang terjadi di organisasi jasa tersebut dengan personel entitas pengguna yang mengetahui adanya perubahan tersebut;
• Mereviu dokumen dan korespondensi terkini yang dibuat oleh organisasi jasa; atau
• Mendiskusikan perubahan yang terjadi dengan personel organisasi jasa.
respons terhadap risiko yang telah dinilai atas Kesalahan penyajian material (Ref: Para. 15)
A24. Apakah penggunaan organisasi jasa meningkatkan risiko kesalahan penyajian material entitas pengguna tergantung pada sifat jasa yang disediakan dan pengendalian terhadap jasa tersebut; dalam beberapa kondisi, penggunaan organisasi jasa dapat menurunkan risiko kesalahan penyajian material entitas pengguna, khususnya jika entitas pengguna tidak memiliki keahlian yang diperlukan dalam menjalankan aktivitas tertentu, seperti menciptakan, memproses, dan mencatat transaksi, atau tidak memiliki sumber daya yang memadai (contoh, suatu sistem teknologi informasi).
A25. Ketika organisasi jasa memelihara unsur yang material atas catatan akuntansi entitas pengguna, akses langsung terhadap catatan tersebut mungkin saja dibutuhkan oleh auditor pengguna untuk memperoleh bukti audit yang cukup dan tepat yang terkait dengan pengoperasian pengendalian terhadap catatan tersebut atau untuk membuktikan transaksi dan saldo yang tercatat dalam catatan tersebut, atau keduanya. Akses tersebut mungkin melibatkan inspeksi fisik atas catatan di organisasi jasa atau pengajuan pertanyaan tentang catatan yang dipelihara secara elektronik dari entitas pengguna atau
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
lokasi lain, atau keduanya. Jika akses langsung ditempuh secara elektronik, auditor pengguna dapat memperoleh bukti atas kecukupan pengendalian yang dijalankan organisasi jasa atas kelengkapan dan integritas data entitas pengguna yang menjadi tanggung jawab organisasi jasa.
A26. Dalam menentukan sifat dan luas bukti audit yang harus diperoleh sehubungan dengan saldo yang menggambarkan aset yang dimiliki atau transaksi yang dijalankan oleh organisasi jasa untuk kepentingan entitas pengguna, auditor pengguna mungkin perlu mempertimbangkan prosedur-prosedur di bawah ini:
(a) Menginspeksi catatan dan dokumen yang disimpan oleh entitas pengguna: keandalan sumber bukti ini ditentukan oleh sifat dan luasnya catatan akuntansi dan dokumentasi pendukung yang disimpan oleh entitas pengguna. Dalam beberapa kondisi, entitas pengguna mungkin tidak memelihara catatan yang independen atau dokumentasi atas transaksi spesifik untuk kepentingannya.
(b) Menginspeksi catatan dan dokumen yang disimpan oleh organisasi jasa: akses auditor pengguna terhadap catatan organisasi jasa dapat ditetapkan sebagai bagian dari perjanjian kontraktual antara entitas pengguna dan organisasi jasa. Auditor pengguna dapat juga menggunakan auditor lain, untuk kepentingan auditor pengguna, dalam memperoleh akses terhadap catatan entitas pengguna yang dipelihara oleh organisasi jasa. (c) Memperoleh konfirmasi atas saldo dan transaksi dari
organisasi jasa: jika entitas pengguna memelihara catatan atas saldo dan transaksi yang independen, konfirmasi dari organisasi jasa yang menguatkan catatan entitas pengguna dapat meningkatkan keandalan bukti audit mengenai keberadaan dari transaksi dan aset yang bersangkutan. Sebagai contoh, jika organisasi yang memiliki jasa yang beragam digunakan, seperti manajer investasi dan jasa kustodian, dan organisasi jasa tersebut menyelenggarakan catatan yang independen, auditor pengguna dapat mengonfirmasi saldo ke organisasi tersebut untuk membandingkan informasi ini dengan catatan independen di entitas pengguna.
Jika entitas pengguna tidak memelihara catatan yang independen, maka informasi yang diperoleh dalam
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
konfirmasi dari organisasi jasa hanyalah merupakan sebuah pernyataan atas hal-hal yang digambarkan dalam catatan yang disimpan oleh organisasi jasa. Dengan demikian, konfirmasi tersebut, secara individual, bukan merupakan bukti audit yang handal. Dalam situasi ini, auditor pengguna dapat mempertimbangkan apakah terdapat sumber bukti independen lain yang dapat diidentifikasi.
(d) Melakukan prosedur analitis terhadap catatan yang dipelihara oleh entitas pengguna atau terhadap laporan yang diterima dari organisasi jasa: efektivitas prosedur analitik tersebut akan bervariasi, tergantung pada asersi, dan dipengaruhi oleh luasnya dan rincian dari informasi yang tersedia.
A27. Auditor lain dapat melaksanakan prosedur substantif bagi kepentingan auditor pengguna. Perikatan yang demikian dapat melibatkan pelaksanaan, oleh auditor lain, atas prosedur yang disetujui oleh entitas pengguna dan auditornya serta oleh organisasi jasa dan auditornya. Temuan-temuan yang berasal dari prosedur yang dilaksanakan oleh auditor lain direviu oleh auditor pengguna untuk menentukan apakah temuan-temuan tersebut merupakan bukti audit yang cukup dan tepat. Sebagai tambahan, terdapat beberapa ketentuan yang dikeluarkan oleh pemerintah yang berwenang atau melalui perjanjian kontraktual yang mewajibkan auditor jasa untuk melaksanakan prosedur substantif yang telah dirancang. Hasil penerapan prosedur yang diharuskan atas saldo dan transaksi yang diproses oleh organisasi jasa dapat digunakan oleh auditor pengguna sebagai bagian dari bukti yang diperlukan untuk mendukung opini auditnya. Dalam kondisi seperti ini, akan berguna bagi auditor pengguna dan auditor jasa untuk menyetujui, sebelum pelaksanaan prosedur tersebut diatas, dokumentasi audit atau akses atas dokumentasi audit yang akan disediakan bagi auditor pengguna.
A28. Dalam kondisi tertentu, khususnya pada saat suatu entitas pengguna melakukan outsource beberapa atau semua fungsi keuangan kepada organisasi jasa, auditor pengguna dapat menghadapi situasi di mana porsi signifikan dari bukti audit berada di organisasi jasa. Prosedur substantif mungkin perlu dilaksanakan di organisasi jasa oleh auditor pengguna
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
atau auditor lain untuk kepentingan auditor pengguna. Auditor jasa dapat menyediakan laporan tipe 2 dan, sebagai tambahan, dapat juga melaksanakan prosedur substantif untuk kepentingan auditor pengguna. Keterlibatan auditor lain tidak mengubah tanggung jawab auditor pengguna untuk memperoleh bukti audit yang cukup dan tepat sebagai basis yang memadai dalam mendukung opini auditor pengguna. Dengan demikian, pertimbangan auditor pengguna tentang apakah kecukupan dan ketepatan bukti audit telah diperoleh dan apakah auditor pengguna perlu melaksanakan prosedur substantif lebih lanjut meliputi keterlibatan auditor pengguna dengan, atau bukti atas arahan, pengawasan, dan pelaksanaan prosedur substantif yang dilaksanakan oleh auditor lain.
Pengujian Pengendalian (Ref: Para. 16)
A29. Auditor pengguna diwajibkan oleh SA 33010 untuk merancang
dan melaksanakan pengujian pengendalian untuk memperoleh bukti audit yang cukup dan tepat atas efektivitas operasi dari pengendalian yang relevan dalam situasi tertentu. Dalam konteks organisasi jasa, ketentuan ini diterapkan ketika: (a) Penilaian risiko kesalahan penyajian material oleh auditor
pengguna mencakup harapan bahwa pengendalian di organisasi jasa beroperasi secara efektif (yakni, auditor pengguna bermaksud untuk mengandalkan efektivitas operasi pengendalian di organisasi jasa dalam menentukan sifat, saat, dan luas prosedur substantif); atau
(b) Prosedur substantif saja, atau dalam kombinasi dengan pengujian atas efektivitas operasi pengendalian di entitas pengguna, tidak dapat menyediakan bukti audit yang cukup dan tepat pada tingkat asersi.
A30. Jika laporan tipe 2 tidak tersedia, auditor pengguna dapat menghubungi organisasi jasa, melalui entitas pengguna, untuk meminta organisasi jasa menunjuk auditor jasa untuk menyediakan laporan tipe 2 yang meliputi pengujian efektivitas operasi pengendalian yang relevan atau auditor pengguna dapat menggunakan auditor lain untuk menguji efektivitas operasi pengendalian tersebut di organisasi jasa.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
Auditor pengguna dapat juga mengunjungi organisasi jasa dan melakukan pengujian pengendalian yang relevan jika organisasi jasa menyetujui hal itu. Penilaian risiko yang dilakukan oleh auditor pengguna didasarkan pada bukti yang disediakan oleh hasil pekerjaan auditor lain dan prosedur yang dilakukan sendiri oleh auditor pengguna.
Penggunaan Laporan Tipe 2 sebagai Bukti Audit bahwa Pengendalian di Organisasi Jasa telah Beroperasi Secara Efektif (Ref: Para.17) A31. Laporan tipe 2 mungkin ditujukan untuk memenuhi kebutuhan
beberapa auditor pengguna yang berbeda; oleh karena itu pengujian pengendalian dan hasilnya yang dijelaskan dalam laporan auditor jasa mungkin tidak relevan dengan asersi yang signifikan terhadap laporan keuangan entitas pengguna. Pengujian pengendalian yang relevan beserta hasilnya dievaluasi untuk menentukan bahwa laporan auditor jasa telah menyediakan bukti audit yang cukup dan tepat tentang efektivitas pengendalian untuk mendukung penilaian risiko yang dilakukan oleh auditor pengguna. Dalam melakukan hal tersebut, auditor pengguna dapat mempertimbangkan faktor-faktor sebagai berikut:
(a) Periode waktu yang dicakup oleh pengujian pengendalian dan waktu yang telah berlalu sejak pelaksanaan pengujian pengendalian;
(b) Ruang lingkup pekerjaan auditor jasa serta jasa-jasa dan proses-proses yang tercakup, pengendalian yang diuji dan pengujian yang dilakukan, serta keterkaitan pengendalian yang diuji dengan pengendalian di entitas pengguna; dan
(c) Hasil pengujian pengendalian tersebut dan opini auditor jasa atas efektivitas operasi pengendalian.
A32. Untuk asersi tertentu, makin pendek periode yang dicakup oleh suatu pengujian spesifik dan makin lama jangka waktu yang lewat setelah pelaksanaan pengujian tersebut, makin sedikit bukti audit yang dapat disediakan oleh pengujian tersebut. Dalam membandingkan antara periode yang dicakup oleh laporan tipe 2 dengan periode pelaporan keuangan entitas pengguna, auditor pengguna dapat menyimpulkan bahwa laporan tipe 2 memberikan bukti audit yang lebih sedikit jika terjadi tumpang tindih antara periode yang dicakup oleh laporan tipe 2 dan periode yang auditor pengguna bermaksud
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
untuk mengandalkan laporan tersebut. Jika hal ini terjadi, laporan tipe 2 yang mencakup periode sebelumnya atau sesudahnya dapat menyediakan tambahan bukti audit. Dalam hal lain, auditor pengguna dapat menentukan perlu tidaknya untuk melaksanakan, atau menggunakan auditor lain untuk melaksanakan pengujian atas pengendalian di organisasi jasa untuk memperoleh bukti audit yang cukup dan tepat tentang efektivitas operasi pengendalian tersebut.
A33. Auditor pengguna mungkin perlu memperoleh tambahan bukti tentang perubahan signifikan atas pengendalian yang relevan di organisasi jasa di luar periode yang dicakup oleh laporan tipe 2, atau menentukan prosedur audit tambahan yang perlu dilaksanakan. Faktor-faktor yang relevan dalam menentukan bukti audit tambahan yang perlu diperoleh tentang pengendalian di organisasi jasa yang dioperasikan di luar periode yang dicakup dalam laporan auditor jasa meliputi:
• Signifikansi risiko kesalahan penyajian material yang dinilai pada tingkat asersi tertentu;
• Pengendalian spesifik yang diuji selama periode interim, dan perubahan signifikan dalam pengendalian tersebut sejak diuji, termasuk perubahan sistem informasi, proses, dan personel;
• Tingkat di mana bukti audit tentang efektivitas operasi pengendalian tersebut diperoleh;
• Lama periode yang tersisa;
• Luasnya prosedur substantif lebih lanjut yang hendak dikurangi oleh auditor pengguna berdasarkan keyakinan atas pengendalian; dan
• Efektivitas lingkungan dan pemantauan pengendalian di entitas pengguna.
A34. Tambahan bukti audit dapat diperoleh, sebagai contoh, dengan memperluas pengujian pengendalian selama waktu yang tersisa atau dengan menguji pemantauan pengendalian di entitas pengguna.
A35. Jika periode pengujian auditor jasa berada seluruhnya di luar periode pelaporan keuangan entitas pengguna, auditor pengguna tidak dapat mengandalkan pengujian tersebut untuk menyimpulkan bahwa pengendalian di entitas pengguna
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
telah beroperasi secara efektif karena pengujian tersebut tidak menyediakan bukti efektivitas pengendalian di periode audit tahun berjalan, kecuali jika dilakukan prosedur lain.
A36. Dalam kondisi tertentu, suatu jasa yang disediakan oleh organisasi jasa mungkin dirancang dengan asumsi bahwa beberapa pengendalian tertentu akan diimplementasikan oleh entitas pengguna. Sebagai contoh, jasa tersebut mungkin dirancang dengan asumsi bahwa entitas pengguna akan memiliki pengendalian untuk mengotorisasi transaksi sebelum transaksi tersebut dikirim ke organisasi jasa untuk diproses. Dalam situasi tersebut, deskripsi pengendalian organisasi jasa mungkin mencakup deskripsi tentang pengendalian komplementer di entitas pengguna. Auditor pengguna mempertimbangkan apakah pengendalian komplementer di entitas pengguna tersebut relevan dengan jasa yang disediakan untuk entitas pengguna.
A37. Jika auditor pengguna yakin bahwa laporan auditor jasa tidak menyediakan bukti audit yang cukup dan tepat, sebagai contoh, jika laporan auditor jasa tidak berisi suatu deskripsi tentang pengujian atas pengendalian beserta hasilnya yang dilakukan oleh auditor jasa, auditor pengguna dapat melengkapi pemahaman tentang prosedur auditor jasa dan kesimpulannya dengan cara menghubungi organisasi jasa, melalui entitas pengguna, untuk meminta suatu pembahasan dengan auditor jasa tentang ruang lingkup dan hasil pekerjaan auditor jasa tersebut. Jika diperlukan, auditor pengguna dapat menghubungi organisasi jasa, melalui entitas pengguna, untuk meminta auditor jasa melaksanakan prosedur di organisasi jasa. Sebagai alternatif, auditor pengguna atau auditor lain atas permintaan auditor pengguna, dapat melakukan prosedur tersebut.
A38. Laporan tipe 2 auditor jasa mengidentifikasi hasil pengujian, termasuk penyimpangan dan informasi lain yang dapat memengaruhi kesimpulan auditor pengguna. Penyimpangan yang diketahui oleh auditor pengguna atau opini modifikasi dalam laporan tipe 2 auditor jasa tidak secara otomatis berarti bahwa laporan tipe 2 auditor jasa tidak berguna bagi audit atas laporan keuangan entitas pengguna dalam penilaian risiko kesalahan penyajian material. Akan tetapi, penyimpangan
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
dan hal yang menyebabkan opini modifikasi dalam laporan tipe 2 auditor jasa dapat dipertimbangkan dalam penilaian oleh auditor pengguna atas pengujian pengendalian yang dilaksanakan oleh auditor jasa. Dalam mempertimbangkan penyimpangan dan hal lain yang menyebabkan opini modifikasi, auditor pengguna dapat membahas hal tersebut dengan auditor jasa. Komunikasi tersebut tergantung pada kontak yang dilakukan oleh entitas pengguna dengan organisasi jasa dan pemerolehan persetujuan dari organisasi jasa untuk berkomunikasi.
Pengomunikasian defisiensi dalam pengendalian internal yang diidentifikasi selama audit
A39. Auditor pengguna diwajibkan untuk mengomunikasikan secara tertulis tentang defisiensi signifikan yang diidentifikasi selama audit, baik kepada manajemen maupun pihak-pihak yang bertanggung jawab atas tata kelola secara tepat waktu.11
Auditor pengguna juga diminta untuk mengomunikasikan secara tepat waktu kepada manajemen pada tingkat semestinya tentang kelemahan dalam pengendalian internal yang diidentifikasi selama audit, yang menurut pertimbangan profesional auditor, hal tersebut cukup penting untuk memperoleh perhatian manajemen.12 Hal-hal yang harus
diidentifikasi oleh auditor pengguna selama audit dan dapat dikomunikasikan kepada manajemen dan pihak-pihak yang bertanggung jawab atas tata kelola entitas pengguna meliputi:
• Pemantauan atas pengendalian yang dapat diimplementasikan oleh entitas pengguna, termasuk pengendalian yang diidentifikasi sebagai hasil pemerolehan laporan tipe 1 atau tipe 2;
• Kondisi di mana pengendalian pelengkap entitas pengguna diketahui ada di dalam laporan tipe 1 atau tipe 2 dan tidak diimplementasikan di entitas pengguna; dan
11 SA 265, “Pengomunikasian Defisiensi dalam Pengendalian Internal kepada
Pihak yang Bertanggungjawab atas Tata Kelola dan Manajemen,” paragraf 9–10.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
• Pengendalian yang mungkin diperlukan di organisasi jasa yang tampaknya tidak diimplementasikan atau tidak secara spesifik dicakup oleh laporan tipe 2.
laporan tipe 1 dan tipe 2 yang tidak memasukkan Jasa Organisasi Subjasa (Ref: Para. 18)
A40. Jika suatu organisasi jasa menggunakan suatu organisasi subjasa, laporan auditor jasa dapat memasukkan atau tidak memasukkan tujuan pengendalian yang relevan di organisasi subjasa dan pengendalian yang terkait di dalam penjelasan tentang sistem organisasi jasa dan di dalam ruang lingkup perikatan auditor jasa. Kedua metode pelaporan ini dikenal sebagai metode inklusif dan metode carve-out. Jika laporan tipe 1 atau tipe 2 tidak memasukkan pengendalian di organisasi subjasa, dan jasa yang disediakan oleh organisasi subjasa relevan terhadap audit atas laporan keuangan entitas pengguna, auditor pengguna diwajibkan untuk memenuhi ketentuan Standar Audit (“SA”) untuk organisasi subjasa. Sifat dan luas pekerjaan yang dilaksanakan oleh auditor pengguna yang berkaitan dengan jasa yang diberikan oleh organisasi subjasa tergantung pada sifat dan signifikansi jasa tersebut bagi entitas pengguna dan relevansi jasa-jasa tersebut terhadap audit. Penerapan ketentuan di paragraf 9 membantu auditor pengguna dalam menentukan dampak organisasi subjasa, serta sifat dan luas pekerjaan yang dilaksanakan. Kecurangan, Ketidakpatuhan terhadap peraturan perundang-undangan dan Kesalahan penyajian yang tidak dikoreksi yang Berkaitan dengan aktivitas di Organisasi Jasa (Ref: Para. 19) A41. Berdasarkan ketentuan dalam kontrak dengan entitas
pengguna, organisasi jasa mungkin diwajibkan untuk mengungkapkan kepada entitas pengguna tentang kecurangan, ketidakpatuhan terhadap peraturan perundang-undangan atau kesalahan penyajian yang tidak dikoreksi yang diakibatkan oleh manajemen atau karyawan organisasi jasa. Seperti yang dijelaskan dalam paragraf 19, auditor pengguna meminta keterangan tentang manajemen entitas pengguna berkaitan dengan apakah organisasi jasa telah melaporkan hal tersebut dan mengevaluasi apakah hal-hal yang dilaporkan oleh organisasi jasa memengaruhi sifat, saat dan luas prosedur audit lebih lanjut auditor pengguna.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
Dalam kondisi tertentu, auditor pengguna dapat meminta informasi tambahan untuk melakukan pengevaluasian ini, dan dapat pula meminta entitas pengguna untuk menghubungi organisasi jasa dalam rangka memperoleh informasi yang dibutuhkan.
pelaporan oleh auditor pengguna (Ref: Para. 20)
A42. Ketika seorang auditor pengguna tidak dapat memperoleh bukti audit yang cukup dan tepat yang terkait dengan jasa yang disediakan oleh organisasi jasa dan bukti audit tersebut relevan terhadap audit atas laporan keuangan entitas pengguna, maka terjadilah suatu pembatasan atas ruang lingkup audit. Hal ini mungkin terjadi ketika:
• Auditor pengguna tidak dapat memperoleh pemahaman memadai tentang jasa yang disediakan oleh organisasi jasa dan tidak memiliki basis untuk mengidentifikasi dan menilai risiko kesalahan penyajian material;
• Suatu penilaian risiko yang dilakukan oleh auditor pengguna mencakup harapan bahwa pengendalian di organisasi jasa beroperasi secara efektif dan auditor pengguna tidak dapat memperoleh bukti audit yang cukup dan tepat tentang efektivitas operasi pengendalian tersebut; atau
• Bukti audit yang cukup dan tepat hanya tersedia dari catatan yang dipelihara oleh organisasi jasa, dan auditor pengguna tidak dapat memperoleh akses langsung ke catatan tersebut.
Apakah opini yang dinyatakan oleh auditor pengguna berupa opini wajar dengan pengecualian atau opini tidak menyatakan pendapat tergantung pada kesimpulan auditor pengguna tentang apakah dampak yang mungkin ada pada laporan keuangan bersifat material atau pervasif.
Pengacuan ke Hasil Pekerjaan Auditor Jasa (Ref: Para. 21–22)
A43. Dalam beberapa kasus, peraturan perundang-undangan mungkin mengharuskan suatu pengacuan ke pekerjaan auditor jasa dalam laporan auditor pengguna, sebagai contoh, untuk tujuan transparansi dalam sektor publik. Dalam situasi tersebut, auditor pengguna mungkin membutuhkan persetujuan dari auditor jasa sebelum membuat pengacuan tersebut.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42
A44. Fakta bahwa suatu entitas pengguna menggunakan suatu organisasi jasa tidak mengubah tanggung jawab auditor pengguna menurut SA untuk memperoleh bukti audit yang cukup dan tepat untuk menjadi basis yang mendukung opini auditor pengguna. Oleh karena itu, auditor pengguna tidak membuat pengacuan ke laporan auditor jasa sebagai basis, sebagian, untuk opini auditor pengguna atas laporan keuangan entitas pengguna. Namun, ketika auditor pengguna menyatakan suatu opini modifikasian karena suatu opini modifikasian dalam laporan auditor jasa, auditor pengguna tidak dihalangi dari pengacuan ke laporan auditor pengguna jika pengacuan tersebut membantu dalam menjelaskan alasan opini modifikasian auditor pengguna. Dalam kondisi ini, auditor pengguna mungkin memerlukan izin dari auditor jasa sebelum melakukan pengacuan tersebut.
