Menilai Risiko Pengendalian Dan Uji Pengendalian

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji yang material dalam laporan keuangan.

Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material dalam asersi laporan keuangan. Penilaian resiko pengendalian melibatkan pengevaluasian terhadap efetivitas dari (1) rancangan dan (2) pengoperasian pengendalian. Menilai resiko pengendalian juga membantu auditor dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit. Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai bagian dari dasar yang memadai untuk mengeluarkan opini auditor.

Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam asersi nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi, dan banyak aktifitas pengendalian berhubungan dengan pemrosesan suatu jenis transaksi tertentu. Oleh karena itu, adalah umum memulai dengan menilai resiko pengendalian atas asersi kelas transaksi seperti asersi keberadaan atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi untuk penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat dalam menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian yang relevan untuk penjualan dan penerimaan kas di anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual, bukan untuk pengendalian intern secara keseluruhan, komponen pengendalian intern individual, atau kebijakan atau prosedur individual.

Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk :

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas

2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas 3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan

mencegah atau mendeteksi dan memperbaiki salah saji

4. Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian tersebut

5. Mengevaluasi bukti dan membuat penilaian

Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam proses penilaian ini akan dibahas dalam bagian berikut.

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman

Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures to obtain an understanding) mengenai pengendalian intern untuk asersi laporan keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan

pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material, seperti apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur yang relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan arus dan memorandum naratif.

Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai pengendalian intern.

2. Mengidentifikasi salah saji potensial

Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa system pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan tertentu. Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:

Tabel salah saji material, pengendalian yang diperlukan, dan pengujian pengendalian – transaksi pengeluaran kas

Salah saji potensial

Pengendalian yang diperlukan

Pengujian pengendalian

Suatu pengeluaran kas

dapat dibuat untuk tujuan

yang tidak diotorisasi

(keberadaan

atau

keterjadian untuk transaksi

yang valid)

Komputer

mencocokkan

informasi cek dengan

informasi yang mendukung

tanda bukti dan hutang usaha

untuk setiap transaksi

pengeluaran

Menggunakan teknik-teknik

audit dengan bantuan

komputer, seperti data

pengujian untuk menguji

pengendalian

aplikasi

komputer

Hanya personel dengan

otorisasi yang diizinkan untuk

menjalankan program dan

mneangani cek yang dicetak

dan ditandatangani komputer

Mengamati individu-individu

yang menangani pengeluaran

kas dan membandingkannya

dengan daftar personel yang

memiliki otorisasi

Pemisahan tugas dalam

menyetujui tanda bukti

(voucher) pembayaran dan

menandatangani cek

Suatu tanda bukti mungkin

dibayar

dua

kali

(keberadaan dan keterjadian

dari transaksi yang valid)

Komputer secara elektronik

membatalkan tanda bukti dan

informasi pendukung ketika

cek diterbitkan

Menggunakan teknik-teknik

audit dengan bantuan

komputer, seperti data

pengujian untuk menguji

pengendalian

aplikasi

komputer

Memberi tanda pada bukti

pembayaran dan dokumen

pendukung dengan tanda luns

ketika cek diterbitkan

Mengemati pemberian cap

kepada dokumen dan/ atau

memeriksa sampael dari

dokumen yang telah dibayar

untuk memeriksa adanya

tanda lunas

Suatu cek dapat diterbitkan

untuk jumlah yang salah

atau dicatat dalam jumlah

yang salah (penilaian atau

alokasi)

Komputer

mencocokkan

informasi cek dengan

informasi yag mendukung

tanda bukti dan hutang usaha

untuk setiap transaksi

pengeluaran

Menggunakan teknik-teknik

audit dengan bantuan

komputer, seperti data

pengujian untuk menguji

pengendalian

aplikasi

komputer

Komputer

membandingkanjumlah cek

yang diterbitkan dengan

jumlah yang dicatat dalam

pengeluaran kas

Menggunakan teknik-teknik

audit dengan bantuan

komputer, seperti data

pengujian untuk menguji

pengendalian

aplikasi

komputer

Rekonsiliasi bank independen

secara periodik

Mengamati

kinerja

rekonsiliasi bank dan/ atau

memeriksa rekonsiliasi bank.

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu dengan menggunakan perangkat lunak computer yang memroses jawaban kuesioner pengendalian intern atau dengan secara manual menggunakan daftar. Kolom kedua dalam dalam tabel diatas mengilustrasikan pengendalian potensial untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus, beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam kasus lain, suatu pengendalian tunggal dapat diaplikasikan .

Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara rinkasan harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya pengujian independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.

Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial untuk asersi tertentu.

Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu pemahamandan mengidentifikasi salah saji material serta pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari pengendalian yang diperlukan.

4. Melaksanakan pengujian pengendalian

Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas. Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang terencana.

5. Mengevaluasi bukti dan membuat penilaian

Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan masalah pertimbangan professional. AU 319.64 menyarankan agar auditor mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat pertimbangan tersebut. Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan daripada membuat pertanyaan mengenai individu. Namun demikian, auditor seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin tidak

dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian pengendalian umum komputer selama periode audit umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram dioperasikan secara konsisten selama periode audit.

Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk ditindaklanjuti.

Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif. Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor sering kali menggunakan petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai.

Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti, terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga menghasilkan audit yang tidak efisien.

B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI INFORMASI

1. Strategi untuk melaksanakan pengujian pengendalian

Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :  Menilai risiko pengendalian berdasarkan pengendalian pemakai

 Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan pengendalian aplikasi

 Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada pengendalian umum dan tindak lanjut manual

a) Pengendalian pemakai

Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer. Sebagai contoh, manajer yang mengenal denagn baik transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar pembelian

yang dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen sumber yang mendukung transaksi. Meskipun kedua pengendalian ini dapat mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi dan diperbaiki.

Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian pemakai yang berhubungan dengan suatu asersi secara langsung, serupa dengan pengujian pengendalian dalam struktur manual. Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap komplektisitas program komputer.

b) Pengendalian Aplikasi.

Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi komputer.Dalam rangka melaksanakan strategi ini auditor seharusnya :

1. Menguji pengendalian aplikasi computer 2. Menguji pengendalian umum computer

3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian aplikasi

Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama periode audit.

c) Pengendalian umum dan prosedur tindak lanjutan

Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji pengendalian umum, biasanya auditor akan mempelajari efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat membuat kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan yang melaksanakan prosedur tindak lanjut manual.

2. Teknik audit berbantuan komputer

TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan pengendalian pemrosesan terprogram.

Teknik audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk

1. Simulasi pararel, 2. Pengujian data,

3. Fasilitas pengujian terintegrasi, dan

a) Simulasi parallel

Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan suatu program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki keuntungan sebagai berikut :

1. Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan menulusurinya ke dokumen sumber dan persetujuan

2. Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil. 3. Auditor dapat secara independen menjalankan pengujian

Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan guna menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang berada diluar kapasitas perangkat lunak komputer.

b) Data pengujian

Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut pengendalian auditor dengan program computer klien. Metode ini memiliki beberapa kekurangan yaitu :

 Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode

 Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian yang ada dan yang berfungsi yang diuji oleh program

 Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system

 Operator computer mengetahui bahwa data pengujian sedang dijalankan, sehigga dapat mengurangi validitas output

 Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang pengendalian dalam aplikasi

c) Fasilitas pengujian integrasi

Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam system teknologi informasi regular. Data pengujian, yang diberi kode secara khusus untuk berhubungan dengan file master buatan, diperkenalkan ke dalam system bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data klien. Selain itu, modifikasi juga mungkin diperlukan dalam program klien untuk mengakomodasi data buatan.

d) Pemantauan yang berkelanjutan terhadap system OLRT

Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki karakteristik penting bagi auditor.

1. Memberi label pada transaksi. Meliputi penempatan suatu indicator atau label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri melalui system ketika sedang diproses.

2. Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu, digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan auditor ketika mereka muncul pada titik tertentu dalam system.

3. Menilai pengendalian teknologi informasi

Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan pengendalian manual, pengendalian yang mengambil keuntungan teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki

salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat penilaian.

Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur pengendalian manual dan komputer terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi SIK).

a) Pengendalian Umum SIK

Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi:

a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi aktivitas SIK, yang mencakup:

(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.

(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan, pemrograman, dan operasi komputer).

b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk menciptakan pengendalian atas:

(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem yang direvisi. (2) Perubahan terhadap sistem aplikasi.

(3) Akses terhadap dokumentasi sistem.

(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.

c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk memberikan keyakinan memadai bahwa:

(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.

(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi. (3) Hanya program yang telah diotorisasi yang digunakan.

(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.

d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui proses otorisasi semestinya, termasuk:

(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.

(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi karyawan yang telah mendapatkan otorisasi.

e. Pengendalian terhadap entry data dan program-didesain untuk memberikan keyakinan bahwa: (1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam sistem.

(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi. Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan pengolahan SIK. Hal ini meliputi:

a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.

b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau penghancuran data baik yang disengaja maupun yang tidak disengaja.

c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi bencana.

b) Pengendalian Aplikasi SIK

Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat, dan tepat waktu.

Pengendalian aplikasi mencakup:

a. Pengendalian atas masukan-didesain untuk memberikan keyakinan memadai bahwa:

1. Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan komputer. 2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan

dicatat dalam file data komputer.

3. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya. 4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali

secara tepat waktu.

b. Pengendalian atas pengolahan dan file data komputer-didesain untuk memberikan keyakinan memadai bahwa

1. Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer.

2. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya. 3. Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.

c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan memadai bahwa:

(1) Hasil pengolahan adalah cermat.

(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapatkan otor (3) Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan oton semestinya. d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line

(1) Pengendalian masukan pada sistem on-line-didesain untuk memberikan key bahwa: - Transaksi di-entry ke terminal yang semestinya.

- Data di-entry dengan cermat.

- Data di-entry ke periode akuntansi yang semestinya.

- Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai transaks' sah (valid). - Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.

- Transaksi tidak di-entry lebih dari sekali.

- Data yang di-entry tidak hilang selama masa transmisi berlangsung.

- Transaksi yang tidak berotorisasi tidak di-entry selama transmisi berlangsung.

(2) Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan keyakinan bahwa: (i) Hasil penghitungan telah diprogram dengan benar.

(ii) Logika yang digunakan dalam proses pengolahan adalah benar. (iii) File yang digunakan dalam proses pengolahan adalah benar. (iv) Record yang digunakan dalam proses pengolahan adalah benar.

(v) Operator telah memasukkan data ke komputer console yang semestinya. (vi) Tabel yang digunakan selama proses pengolahan adalah benar.

(vii) Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya. (viii) Data yang tidak sah tidak digunakan dalam proses pengolahan.

(ix) Proses pengolahan tidak menggunakan program dengan versi yang salah.

(x) Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan kebijakan manajemen entitas.

(xi) Data masukan yang diolah adalah data yang berotorisasi.

(3) Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa: (i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.

(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi. (iii) Keluaran didistribusikan ke personel yang berotorisasi.

Tabel dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial serta pengendalian yang diperlukan untuk pengendalian umum dan pengendalian aplikasi.

Salah saji potensial

Pengendalian

yang

diperlukan

Kemungkinan pengujian

pengendalian

PENGENDALIAN ORGANISASI DAN OPERASI

Operator komputer dapat

memodifikasi program ke

dalam

pengendalian

terprogram

Pemisahan tugas dalam

teknologi informasi untuk

pemrograman komputer

dan

pengoperasian

komputer

Mengamati pemisahan

tugas dalam teknologi

informasi

Personel

teknologi

informasi dapt memulai

dan memproses transaksi

tanpa otorisasi

Pemisahan tugas antar

departemen pemakai dan

teknologi informasi untuk

memulai dan memproses

transaksi

Mengamati pemisahan

tugas antara departemen

pemakai dan pemrosesan

data elektronik

PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN

Rancangan

sistem

mungkin tidak memenuhi

kebutuhan departemen

pemakai atau auditor

Partisipasi personel dari

departemen pemakai dan

audit internal dalam

merancang dan menyetujui

sistem baru

Pertanyaan

mengenai

partisipan yang terlibat

dalam perancangan sistem

baru, memeriksa bukti

untuk persetujuan sistem

baru

Perubahan program yang

tidak diotorisasi dapat

menghasilkan kekeliruan

pemrosesan yang tidak

diantisipasi

Pemeriksaan

intern

mengenai otorisasi yang

tepat, pengujian dan

pendokumentasian dari

perubahan

program

sebelum

pengimplementasian

Memeriksa bukti verifikasi

intern;

menelusuri

perubahan program ke

dokumentasi

yang

mendukung

PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM

Kerusakan peralatan dapat

menghasilkan kekeliruan

pemrosesan

Pengendalian perangkat

keras dan perangkat lunak

sistem untuk mendeteksi

kerusakan

Memeriksa spesifikasi

perangkat keras dan lunak

sistem

Perubahan yang tidak

diotorisasi

dalam

perangkat lunak sistem

dapat

menghasilkan

kekeliruan pemrosesan

Persetujuan

dan

pendokumentasian dari

semua perubahan.

Memeriksa bukti dan

persetujuan

pendokumentasian

perubahan.

PENGENDALIAN AKSES

Pemakai tanpa otorisasi

dapat memeperoleh akses

terhadap

peralatab

teknologi informasi

Keamanan fisik dan

fasilitas

teknologi

informasi;

tinjauan

manajemen mengenai

laporan penggunaan.

Memeriksa pengaturan

keamanan dan laporan

penggunaan

Arsip data dan program

dapat diperbarui oelh

pemakai yang tidak

memiliki otorisasi

Penggunaan

perpusatakaan,

pustakawan, dan log untuk

membatasi dan mengawasi

pemakaian

Memeriksa fasilitas dan

log

PENGENDALIAN DATA DAN PROSEDUR

Kekeliruan dapat terjadi

dalam memasukkan atau

memproses data dan

mendistribusikan keluaran

Penggunaan kelompok

pengendalian data yang

bertanggungjawab untuk

memelihara pengendalian

terhadap data masukan,

pemrosesan dan output.

Mengamati pengopersian

kelompok pegendalian

data

Kontinuitas

pengoperasian

dapat

terganggu oleh suatu

bencana seperti kebakaran

atau banjir

Rencana

kontijensi

termasuk pengaturan untuk

penggunaan

fasilitas

cadangan

Memeriksa

rencana

kontijensi

Arsip data dan program

dapat rusak atau hilang

Penyimpanan

arsip

cadangan dan program off

premise; ketentuan untuk

rekonstruksi arsip data

Memeriksa

fasilitas

penyimpanan;

mengevalusasi

kemampuan rekonstruksi

arsip

Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian umum pemrosesan data elektronik (EDP)

Salah saji potensial

Pengedalian

yang

diperlukan

Kemungkinan pengujian

pengendalian

PENGENDALIAN INPUT

Data untuk transaksi yang

tidak diotorisasi dapat

diserahkan untuk diproses

Otorisasi dan persetujuan

data dari departemen

pemakai; pengendalian

aplikasi membandingkan

Memeriksa

dokumen

sumber dan untuk

membuktikan persetujuan;

pengujian

aplikasi,

data dengan otorisasi

sebelumnya

pengendalian

dengan

CAATs, dan mneguji

tindak lanjut manual

Data yang valid dapat

secara tidak benar

dikonversikan

dalam

bentuk yang dapat dibaca

oleh mesin

Pemeriksaan; komputer,

total pengendalian

Mengamati verifikasi data

prosedur, menggunakan

CAATs untuk menguji

rutinitas dan menguji

tindak lanjut manual;

memeriksa rekonsiliasi

total pengendalian.

Kekeliruan pada dokumen

sumber tidak dapat

diperbaiki dan diserahkan

ulang

Pemeliharaan dari log

kekeliruan; pengembalian

kepada

departemen

pengguna

untuk

diperbaiki; tindak lanjut

manual

Memeriksa log dan bukti

tindak lanjut.

PENGENDALIAN PEMROSESAN

Arsip yang salah mungkin

diproses dan diperarui

Penggunaan label arsip

eksternal dan internal

Mengamati penggunaan

label arsip eksternal;

memeriksa

pendokumentasian label

arsip internal

Data mungkin hilang,

ditambahkan, digandakan,

atau diubah selam

pemrosesan

Penggunaan

total

pengendalian, batasan dan

pengujian,

pengujian

urutan

Memeriksa

bukti

pengendalian rekonsiliasi

total, menggunakan CAAT

untuk

menguji

pengendalian komputer

dan menguji tindak lanjut

manual

PENGENDALIAN OUTPUT

Output mungkin tidak

benar

Rekonsiliasi total oleh

kelompok pengendalian

data atau departemen

pengguna

Memeriksa

bukti

rekonsiliasi

Output

mungkin

didistribusikan kepada

pemakai yang tidak

memiliki otorisasi

Penggunaan

lembar

pengendalian distribusi

laporan;

monitoring

kelompok pengendalian

data.

Memeriksa

lembar

pengendalian

pendistribusian laporan,

mengamati monitoring

kelompok pengendalian

data.

Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian aplikasi komputer

1. Pendekatan substantif utama

Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah satu dari hal-hal :

 Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi

 Setiap pengendalian intern yang relevan mungkin tidak efektif

 Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas pengendalian intern yang relevan

Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi, yang diperlukan oleh pendekatan substantive utama.

2. Tingkat risiko pengendalian yang dinilai lebih rendah

Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang disebutkan dalam bagian sebelumnya bersinggungan.

Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko pengendalian yang direncanakan pada tingkat sedang atau rendah.

Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai.

D. MERANCANG PENGUJIAN PENGENDALIAN

Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari rancangan maupun efektivitas dari pengoperasian pengujian pengendalian.

Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk memperoleh bukti semacam ini normalnya meliputi:

1. Pertanyaan terhadap personel entitas yang sesuai

2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan pengendalian

3. Pengamatan atas penerapan pengendalian

4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor

Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan teknik audit berbbantuan

komputer/CAAT. Pengguna dapat menyediakan bukti mengenai baik rancangan yang efektif maupun pengopersaian pengendalian.

Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan kepada auditor pada waktu mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit.

a) Tipe Bukti Audit

Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut. Untuk beberapa pengendalian, dokumentasi desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas desain atau operasinya.

Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada untuk beberapa faktor lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan

b) Sumber Bukti Audit

Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan keyakinan yang lebih besar daripada bukti audit yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan, misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang menerapkan prosedur pengendalian, biasanya memberikan keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak dilaksanakan dengan cara yang sama, jika auditor tidak hadir.

Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan operasi pengendalian tertentu. Apabila auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan mengenai efektivitas desain dan operasi pengendalian tersebut.

c) Ketepatan Waktu Bukti Audit

Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu, pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa yang tidak termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan

untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang diarahkan terhadap desain dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama masa yang diaudit.

Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan operasi pengendalian tersebut yang dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya.

Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan pertimbangan mengenai hal yang diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain dan operasi yang harus diperoleh dalam periode sekarang.

Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama masa interim, is harus menentukan bukti audit tambahan apa yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel, yang terjadi setelah masa interim

d) Keterkaitan Bukti Audit

Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya; auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang mengoperasikan komputer. Karena pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan bagaimana usaha tersebut dicegah atau dideteksi

Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit, auditor harus mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Walaupun salah satu komponen pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masing-masing komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu.

Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti audit mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif, auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan pengendalian antara lain dengan menerapkan prosedur audit pada lokasi tambahan.

Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya, lingkungan pengendalian yang tampaknya memungkinkan perubahan yang tidak diotorisasi dalam program komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy program dan mempergunakan teknik audit berbantuan komputer untuk membandingkan copy tersebut dengan program yang dipakai perusahaan untuk memproses data.

Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup pengujian pengendalian lain yang sudah direncanakan untuk menaksir risiko pengendalian. Di samping itu, mungkin ada informasi yang masuk ke dalam perhatian auditor sebagai hasil pelaksanaan pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam menaksir risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor ketika melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk seluruh atau sebagian asersi laporan keuangan.

E. PENGUJIAN KEPATUHAN

Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi tentang desain struktur pengendalian intern dan informasi apakah desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of controls).

Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua macam pengendalian:

Untuk menentukan apakah informasi mengenai struktur pengendalian yang dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam pengujian :

a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.

Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi penerima kas ke bank.

Pengujian transaksi tersebut dapat berupa :

 Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.

 Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi penerima surat.

 Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor seleruhnya ke bank dengan segera.

 Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas. b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.

Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi penerima kas ke bank.

Pengujian transaksi tersebut dapat berupa :

 Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.

 Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi penerima surat.

 Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor seleruhnya ke bank dengan segera.

 Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.

Dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian terhadap transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan akuntansi. Dalam hal ini auditor harus memilih transaksi tertentu kemudian mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai, melalui dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya dalam catatan akuntansi. Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar dilaksanakan sesuai dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor memeriksa surat permintaan pembelian, surat penawaran harga, surat order pembelian, laporan penerimaan barang dan bukti kas keluar. Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar dilaksanakan.

2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.

Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak hanya berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian intern, namun auditor juga berkepentingan terhadap tingkat kepatuhan klien terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan klien terhadap pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut ini :

 Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen pendukungnya (surat order pembelian, laporan penerimaan barang, dan faktur dari pemasok) serta tanda tangan pejabat yang berwenang baik dalam bukti kas keluar maupun dokumen pendukungnya. Tujuan pengujian ini adalah untukmendapat kepastian transaksi pembelian telah diotorasi oleh pejabat-pejabat berwenang.

 Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang merupakan kombinasi antara pengujian yang tujuannya untuk menilai efektivitas pengendalian intern (pengujian pengendalian) dan pengujian yang tujuannya menilai kewajaran informasi yang disajikan dalam laporan keuangan (pengujian substantif).

F. PERTIMBANGAN TAMBAHAN

Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang berkenaan dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas. Penilaian tersebut kemudian digunakan untuk menilai risiko pengendalian asersi saldo akun yang signifikan sehingga kesesuaian dari tingkat pengujian substantif yang direncanakan untuk saldo akun dapat ditentukan, dan pengujian substantif khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun yang dipengaruhi oleh kelas transaksi ganda.

1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi tunggal

Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus dalam kebanyakan akun laporan laba rugi. Sebagai contoh, penjualan meningkat oleh kredit untuk transksi penjualan dalam siklus pendapatan, dan banyak akun beban meningkat dengan mendebet transaksi pembelian dalam siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk asersi kelas

transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan atau keterjadian untuk saldo akun penjualan seharusnya sama dengan penilaian risiko pengendalian atas asersi keberadaan atau keterjadian untuk transaksi penjualan. Demikian pula, penilaian risiko pengendalian atas asersi pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban harus sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.

2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi ganda

Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam siklus pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi saldo akun memerlukan pertimbangan atas penilaian risiko pengendalian yang relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi neraca. Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas didasarkan pada penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik untuk transaksi penerimaan kas maupun transaksi pengeluaran kas.

Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas transaksi dipengaruhi saldo akun tersebut, dengan satu pengecualian utama. Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan dengan asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan hubungan yang tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini menunjukkan penilaian risiko pengendalian yang relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan untuk saldo kas.

Tabel Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

Asersi Saldo Kas di mana

Risiko

Pengendalian

Dinilai

Penilaian Risko Pengendalian

yang Relevan untuk Kelas

Transaksi yang Mempengaruhi

Saldo Kas

Penjelasan

Keberadaan atau Kejadian Keberadaan atau keterjaidan dari

penerimaan kas meningkatkan

risiko.

Jika beberapa penerimaan kas

yang tercatat tidak terjadi,

sebagian dari saldo kas tidak

ada.

Keberadaan atau keterjadian

pengeluaran

kas

yang

menurunkan saldo.

Jika beberapa pengeluaran

kas yang tercatat tidak

muncul, saldo kas tidak

lengkap.

Kelengkapan

Kelengkapan dari pengeluaran

kas yang menurunkan saldo.

Jika beberapa pengeluaran

kas tidak dicatat, bagian dari

saldo kas tidak ada lagi

Kelengkapan dari penerimaan kas

yang meningkatkan saldo.

Jika beberapa penerimaan kas

tidak dicatat, saldo kas tidak

lengkap

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko pengendalian berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya mengenai bagian pengendalian intern yang relevan berdasarkan pengujian pengendalian:

Asersi

Penilaian Risiko

Pengendalian

Keberadaan atau keterjadian dan penerimaan kas

Rendah

Kelengkapan dari penerimaan kas

Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda, auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor akuntan publik memilih untuk menggunakan penilaian relevan yang paling konservatif (paling tinggi). Demikian pula halnya jika penilaian risiko pengendalian auditor atas asersi penilaian atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas masing-masing berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas akan tinggi.

Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya risiko pengendalian tersebut dibandingkan dengan penilaian tingkat risiko pengendalian yang direncanakan. Ketika tingkat yang direncanakan didukung, auditor dapat melanjutkan untuk merancang pengujian substantif berdasarkan strategi audit pendahuluan. Jika tingkat risiko pengendalian yang direncanakan untuk dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan pengujian audit yang berhubungan seharusnya direvisi untuk memperoleh tingkat risiko audit yng diinginkan.

4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian

Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko pengendalian (documentation of the controls risk assesment). Persyaratan tersebut adalah sebagai berikut :

 Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini yang diperlukan untuk didokumentasikan.

 Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk penilaian harus didokumentasikan.

AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10, yang mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan yang terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk asersi kelengkapan telah diberikan, di mana hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat maksimum, seperti ditunjukkan untuk asersi hak dan kewajiban.

5. Mengkomunikasikan Masalah Pengendalian Intern

Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau personel entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi tertentu yang berhubungan dengan pengendalian intern suatu entitas yang diamati selama audit laporan keuangan. AU 325, Communication of Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78) mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition) sebagai berikut :

… masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya, seharusnya dikomunikasikan dengan komite audit karena menyajikan kekurangan yang signifikan dalam rancangan dan pengoperasian pengendalian intern yang dapat secara berlawanan mempengaruhi kemampuan organisasi untuk mencatat, memproses, meringkas, dan melaporkan data keuangan secara konsisten dengan asersi manajemen dalam laporan keuangan.

Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan suatu kelemahan material (material weakness) sebagai :

...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari satu atau lebih komponen pengendalian intern tidak dapat mengurangi tingkat risiko salah saji sampai ke tingkat yang rendah karena kekeliruan atau kecurangan di mana jumlah yang material dalam hubungannya dengan laporan keuangan yang sedang diaudit dapat muncul dan tidak dapat dideteksi selama satu periode secara tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi yang ditugaskan kepadanya.

Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam komunikasinya kepada komite audit. Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern adalah suatu produk penting yang menggunakan pengetahuan yang diperoleh auditor selama audit laporan keuangan. Auditor akan secara normal mengevaluasi apakah klien memiliki pengendalian yang cukup untuk mengatasi masalah yang diciptakan oleh risiko usaha suatu entitas. Sebagai contoh, dalam usaha untuk mengelola sistem persediaan just-in-time, klien mungkin merancang suatu sistem yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas persedian kepada penjual dan memesan barang ketika persediaan berada di bawah tingkat yang telah ditentukan. Pengendalian intern klien seharusnya menyediakan keyakinan yang memadai bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen dan komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem pengendalian intern mereka.