Penilaian Risiko
Pengendalian
(Assesment of
Control Risk)
DI SUSUN
OLEH :
KELOMPOK 5
1. AULIA RAHMI OLANDA
2. NUR FARIDA
KATA PENGANTAR
Syukur alhamdulilah kami ucapkan atas kehadiraan allah swt yang telah
melimpahkan rahmat dan hidayahnya sehingga kami dapat menyelesaikan makalah
tentang Penilaian Resiko Pengendalian . Salawat dan salam tak lupa kami
haturkan kepada junjungan kita nabi besar Muhammad SAW yang mana karena beliaulah
kita dapat merasakan ilmu pengetahuan.
Makalah
ini kami buat berdasarkan sumber-sumber yang ada seta memanfaatkan teknologi.
Selain itu makalah ini dibuat untuk memenuhi tugas yang telah diberikan oleh
dosen. Penyusunan makalah ini disajikan secara sistematis sehingga dapat
memudahkan pembaca untuk mempelajarinya.
Kami
ucapkan terima kasih dosen yang telah
memberikan masukan serta arahan tentang penyusunan makalah ini sehingga dapat
tersusun dengan baik. Kami menyadari bahwa tiada gading yang tak retak,
demikian pula dengan makalah ini yang masih jauh dari kesempurnaan. Kami
mengharapkan agar makalah yang telah kami buat, dapat memenuhi tugas yang telah
diberikan oleh dosen.
Pekanbaru, Oktober 2016
Penulis
BAB I
PENDAHULUAN
A. Latar
Belakang
Penakiran risiko pengendalian
merupakan suatu proses evaluasi efektivitas desain dan operasi kebijakan dan
prosedur stuktur
pengendalian intern entitas. Pentingnya konsep penaksiran risiko pengendalian
yakni dalam rangka pencegahan atau pendeteksian salah saji material di dalam
laporan keuangan.
Metodologi auditor untuk memenuhi
standar pekerjaan lapangan yang kedua, melibatkan tiga aktivitas utama:
a.
Memperoleh suatu pemahaman yang
cukup mengenai komponen-komponen pengendalian intern untuk merencanakan audit
b.
Menilai risiko pengendalian untuk
masing-masing asersi signifikan yang terdapat dalam saldo akun, kelas
transaksi, atau komponen pengungkapan dalam pelaporan keuangan.
c.
Merancang pengendalian substantif
untuk masing-masing asersi laporan keuangan yang signifikan.
Definisi
Penakiran risiko pengendalian mengharuskan seorang auditor agar mengetahu
dengan jelas tahap-tahap yang ditempuh oleh auditor dalam menaksir risiko dan
desain pengujian yang bersangkutan.
Oleh
karena itu pentingnya Penakiran risiko dan Desain Pengujian, guna memeperlancar
tugas seorang auditor akan dibahas pada bab II makalah ini. Pertimbangan
diberikan pada perbedaan dalam metodologi untuk dua strategi audit pendahuluan.
Kemudian, memeriksa kateori pengujian audit yang dikenal sebagai pengujian
pengendalian. Kemudian diakhiri dengan penjelasan mengenai beberapa
pertimbangan khusus dalam menilai risiko pengendalian termasuk auditor
internal, dikombinasikan dengan perkiraan penilaian risiko pengendalian yang
berbeda, mendokumentasikan penilaian tingkat risiko pengendalian,
mengkomunikasikan masalah-masalahh pengendalaian intern, dan organisasi jasa
komputer.
B. Rumusan
Masalah
1. Bagaimanakah
langkah-langkah dalam menilai risiko pengendalian untuk asersi kelas transaksi?
2. Bagaimanakah
menilai risiko pengendalian dalam suatu lingkungan teknologi informasi?
3. Apakah
dampak dari strategi audit pendahuluan?
4. Bagaimanakah
merancang pengujian pengendalian?
5. Bagaimanakah
menguji kepatuhan?
6. Bagaimanakah
pertimbangan tambahan dalam menilai risiko pengendalian?
C. Tujuan
Penulisan
1. Untuk
mengetahui langkah-langkah dalam menilai risiko pengendalian.
2. Untuk
mengetahui penilaian risiko pengendalian dalam suatu lingkungan teknologi
informasi.
3. Untuk
mengetahui dampak dari strategi audit pendahuluan.
4. Untuk
mengetahui cara merancang pengujian pengendalian
5. Untuk
metahui cara menguji kepatuhan
6. Untuk
mengetahui pertimbangan tambahan dalam menilai risiko pengendalian
BAB I
PEMBAHASAN
A. PENILAIAN RISIKO PENGENDALIAN (ASSESMENT OF
CONTROL RISK)
Menilai risiko pengendalian (assessing
control risk) merupakan suatu proses mengevaluasi efektivitas pengendalian
intern suatu entitas dalam mencegah atau mendeteksi salah saji yang material
dalam laporan keuangan. Sebelum melakukan penilaian pendahuluan atas
risiko pengendalian bagi setiap kelas transaksi yang material, auditor harus
memutuskan apakah entitas tersebut dapat diaudit.
Tujuan dari menilai resiko pengendalian
(assessing controlis) adalah untuk membantu auditor dalam membuat suatu pertimbangan
mengenai resiko salah saji yang material dalam asersi laporan keuangan.
Penilaian resiko pengendalian melibatkan pengevaluasian terhadap efektivitas
dari
1.
rancangan
2.
pengoperasian
pengendalian.
Menilai resiko pengendalian juga membantu
auditor dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur
audit. Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti
sebagai bagian dari dasar yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain
dalam model resiko audit, di nilai dalam asersi nilai keuangan individual.
Sistem akuntansi berfokus pada pemprosesan transaksi, dan banyak aktifitas
pengendalian berhubungan dengan pemprosesan suatu jenis transaksi tertentu.
Oleh karena itu, adalah umum memulai dengan menilai resiko pengendalian atas
asersi kelas transaksi seperti asersi keberadaan atau keterjadian, asersi
kelengkapan, dan asersi penilaian serta alokasi untuk penjualan kredit dan
penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat dalam
menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di
pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian
yang relevan untuk penjualan dan penerimaan kas di anggap memenuhi penilaian
untuk asersi saldo piutang usaha. Adalah penting untuk mengingat bahwa
penilaian risiko pengendalian di buat untuk asersi individual, bukan untuk
pengendalian intern secara keseluruhan, komponen pengendalian intern
individual, atau kebijakan atau prosedur individual.
Dalam membuat penilaian risiko pengendalian untuk
suatu asersi adalah penting bagi auditor untuk :
1. Mempertimbangkan pengetahuan yang
diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah
pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan
dalam operasi oleh manajemen entitas
Auditor melaksanakan prosedur untuk
memperoleh suatu pemahaman (procedures to obtain an understanding) mengenai
pengendalian intern untuk asersi laporan keuangan yang signifikan. Auditor
mendokumentasikan pemahaman dalam bentuk kuisioner pengendalian intern yang
telah dilengkapi, bagan arus, dan atau memorandum naratif. Analisis mengenai
pendokumentasian merupakan titik awal untuk menilai risiko pengendalian. Secara
khusus, AU 319.19 menyatakan pemahaman sebaiknya digunakan oleh auditor untuk
(1) mengidentifikasi jenis salah saji potensial dan (2) mempertimbangkan
faktor-faktor yang memengaruhi risiko salah saji material, seperti apakah
pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki
salah saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk
kebijakan dan prosedur yang relevan dengan asersi tertentu, auditor
mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan Tidak
dapat digunakan, komentar tertulis
dalam kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan
arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman
mengenai pengendalian intern, ia biasanya akan membuat pertanyaan, mengamati pelaksanaan
tugas dan pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut
auditor mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai
risiko pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk
mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang
tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian
pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai
pengendalian intern.
2. Mengidentifikasikan salah saji potensial
yang dapat muncul dalam asersi entitas
Beberapa kantor akuntan publik menggunakan
perangkat lunak komputer yang menghubungkan jawaban dari pertanyaan-pertanyaan
tertentu dalam kuesioner yang terkomputerisasi dengan salah saji potensial
untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa
system pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi
pengendalian intern dan untuk menilai salah saji potensial yang dapat muncul
dalam asersi laporan keuangan tertentu.
Salah saji potensial dapat
diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas transaksi
utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang
signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi untuk
asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam
asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam
bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang
berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:
|
Salah
saji potensial
|
Pengendalian
yang diperlukan
|
Pengujian
pengendalian
|
|
Suatu
pengeluaran kas dapat dibuat untuk tujuan yang tidak diotorisasi (keberadaan
atau keterjadian untuk transaksi yang valid)
|
Komputer
mencocokkan informasi cek dengan informasi yang mendukung tanda bukti dan
hutang usaha untuk setiap transaksi pengeluaran
|
Menggunakan
teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk
menguji pengendalian aplikasi komputer
|
|
Hanya
personel dengan otorisasi yang diizinkan untuk menjalankan program dan
menangani cek yang dicetak dan ditandatangani komputer
|
Mengamati
individu-individu yang menangani pengeluaran kas dan membandingkannya dengan
daftar personel yang memiliki otorisasi
|
|
Pemisahan
tugas dalam menyetujui tanda bukti (voucher) pembayaran dan menandatangani
cek
|
Mengamati
pemisahan tugas
|
|
Suatu
tanda bukti mungkin dibayar dua kali (keberadaan dan keterjadian dari
transaksi yang valid)
|
Komputer
secara elektronik membatalkan tanda bukti dan informasi pendukung ketika cek
diterbitkan
|
Menggunakan
teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk
menguji pengendalian aplikasi komputer
|
|
Memberi
tanda pada bukti pembayaran dan dokumen pendukung dengan tanda luns ketika
cek diterbitkan
|
Mengemati
pemberian cap kepada dokumen dan/ atau memeriksa sampael dari dokumen yang
telah dibayar untuk memeriksa adanya tanda lunas
|
|
Suatu
cek dapat diterbitkan untuk jumlah yang salah atau dicatat dalam jumlah yang
salah (penilaian atau alokasi)
|
Komputer
mencocokkan informasi cek dengan informasi yag mendukung tanda bukti dan
hutang usaha untuk setiap transaksi pengeluaran
|
Menggunakan
teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk
menguji pengendalian aplikasi komputer
|
|
Komputer
membandingkanjumlah cek yang diterbitkan dengan jumlah yang dicatat dalam
pengeluaran kas
|
Menggunakan
teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk
menguji pengendalian aplikasi komputer
|
|
Rekonsiliasi
bank independen secara periodik
|
Mengamati
kinerja rekonsiliasi bank dan/ atau memeriksa rekonsiliasi bank.
|
Tabel 1: salah saji material, pengendalian
yang diperlukan, dan pengujian pengendalian – transaksi pengeluaran kas
3. Mengidentifikasikan pengendalian yang
diperlukan yang mungkin akan mencegah atau mendeteksi dan memperbaiki salah
saji
Seorang auditor dapat mengidentifikasi
pengendalian yang diperlukan yang mungkin dapat mencegah atau mendeteksi dan
memperbaiki salah saji potensial tertentu dengan menggunakan perangkat lunak
computer yang memroses jawaban kuesioner pengendalian intern atau dengan secara
manual menggunakan daftar. Kolom kedua dalam dalam tabel diatas
mengilustrasikan pengendalian potensial untuk asersi laporan keuangan tertentu.
Perhatikan bahwa dalam beberapa kasus, beberapa pengendalian dapat berkaitan
dengan suatu salah saji potensial tertentu. Dalam kasus lain, suatu
pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang
diperlukan juga memerlukan pertimbangan mengenai situasi dan penilaian. Sebagai
contoh, jika terdapat volume transaksi pengeluaran kas yang tinggi, maka
pemeriksaan independen antara antara rinkasan harian dari cek-cek yang
disetujui untuk diterbitkan dengan pemasukan dalam jurnal pengeluaran kas, yang
memungkinkan pendeteksian secara tepat waktu dari salah saji, mungkin
diperlukan. Jika volume transaksi pengeluaran kas kecil dan pendeteksian yang
tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara
independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya
pengujian independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat
dianggap sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan
dalam tabel 1 diatas, baik pengendalian aplikasi maupun pengendalian manual,
dapat diklasifikasika sebagai bagian dari komponen aktivitas pengendalian dari
pengendalian internal. Auditor seharusnya menyadari bahwa beberapa pengendalian
yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan
mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan
beberapa kelas transaksi atau saldo akun. Sebagai contoh, kompetensi dan
kepercayaan yang dapat diperoleh dari manajer-manajer tertentu, dan jawaban
juga karyawan yang terlibat dalam pemrosesan transaksi pengeluaran kas, dapat
mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya, kurangnya
kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat
mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu,
auditor harus mengasimilasikan informasi mengenai berbagai jenis pengendalian
yang mungkin berhubungan dengan komponen pengendalian intern dalam
mempertimbangkan risiko salah saji potensial untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh
dari prosedur utuk memperoleh suatu pemahamandan mengidentifikasi salah saji
material serta pengendalian yang diperlukan untuk mencegah atau mendeteksi dan
memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko
pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai
rancangan pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu
hanya memungkinkan auditor untuk menilai risiko pengendalian pada tingkat
maksimium. Untuk memperoleh suatu penilaian risiko pengendalian dibawah
maksimum, baik bersamaan dengam memperoleh suatu pemahaman maupun lagkah
selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan operasis
dari pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan
dan pengoperasian dari pengendalian tersebut
Pengujian yang dideskripsikan termasuk
teknik audit dengan bantuan computer, bukti pendokumentasian inspeksi,
pertanyaan terhadap personel, dan mengamati personel klien dalam melaksanakan
pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan bukti
mengenai efektivitas dari rancangan dan operasi dari pengendalian yang
diperlukan. Sebagai contoh, dengan menggunakan teknik audit dengan bantuan
komputer untuk menguji bahwa komputer membandingkan jumlah cek yang diterbitkan
dengan pemasukan dan pengeluaran kas, auditor memperoleh bukti mengenai
efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan
dilaksanakan, auditor mempertimbangkan jenis bukti yang tersedia dan biaya
pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih,
auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian
pengendalian yang terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian
untuk asersi laporan keuangan didasarkan pada pengevaluasian bukti yang
diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai pengendalian
intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat
risiko pengendalian yang dinilai merupakan masalah pertimbangan professional.
AU 319.64 menyarankan agar auditor mempertimbangkan jenis bukti, sumber bukti,
batas watu dan keberadaan dari bukti lain yang berhubugan dengan penilaian
risiko pengendalian ketika membuat pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari
rancangan dan pengoperasian aktivitas pengendalian yang dilaksanakan oleh suatu
komputer mungkin tidak ada hingga auditor dapat memilih untuk menggunakan
teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan
pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan
pribadi auditor secara langsung terhadap pemisahan tugas biasanya menyediakan
lebih banyak keyakinan daripada membuat pertanyaan mengenai individu. Namun
demikian, auditor seharusnya mempertimbangkan bahwa penerapan yang diamati dari
suatu pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika
auditor tidak hadir. Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor seharusanya
mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian pengendalian
berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan. Sebagai
contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian
aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai
apakah program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan,
auditor dapat melaksanakan pengujian pengendalian terhadap rancangan dan
pengoperasian pengendalian umum komputer selama periode audit umntuk memperoleh
bukti mengenai apakah aktivitas pengendalian terprogram dioperasikan secara
konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti
mendukung kesimpulan yang sama mengenai efektivitas suatu pengendalian, tingkat
keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung beberapa
kesimpulan yang berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit dengan bantuan
komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian secara
tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan
dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya
akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang mengidentifikasi
transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik
pertimbangan kuantitatif maupun kualitatif. Dalam menarik suatu kesimpulan
mengenai efektivitas pengendalian intern, auditor sering kali menggunakan
petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi,
yang biasanya diekspresikan dalam bentuk presentase, dari pelaksanaan suatu
pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif
(seperti, terdapat 10% risiko bahwa pengendalian yang relevan tidak akan
mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara
kualitatif (seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang
relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji
tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan
faktor kritis dalam menentukan tingkat risiko detetksi yang dapat diterima
untuk asersi tersebut, dimana pada akhirnya akan mempengaruhi tingkat pengujian
substantif yang direncanakan termasuk sifat, waktu, luas, dan penentuan staf
pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko
penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu
tinggi dan auditor mungkin tidak melaksanakan pengujian substantif yang
mencukupi, yang akan menghasilkan suatu audit yang tidak efektf. Sebaliknya,
jika risiko pengendalian ditetapkan terlalu tinggi, pengujian substantif yang
dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga
menghasilkan audit yang tidak efisien.
Langkah keempat, yaitu melaksanakan pengujian
pengendalian, tidak diperlukan ketika risiko pengendalian dinilai berada pada
tingkat maksimum.
B. MENILAI RISIKO PENGENDALIAN DALAM
SUATU LINGKUNGAN TEKNOLOGI INFORMASI
1.
Strategi untuk melaksanakan
pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko
pengendalian adalah :
a. Menilai risiko pengendalian
berdasarkan pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur
manual untuk menguji kelengkapan dan keakuratan dari transaksi yang diproses
oleh komputer. Sebagai contoh, manajer yang mengenal denagn baik transaksi yang
berada dalam otoritasnya mungkin menunjau suatu daftar pembelian yang
dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu
departemen pemakai dapat membandingkan output yang dihasilkan oelh komputer
dengan dokumen sumber yang mendukung transaksi. Meskipun kedua pengendalian ini
dapat mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir
dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan
suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi
dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat
menguji pengendalian pemakai yang berhubungan dengan suatu asersi secara
langsung, serupa dengan pengujian pengendalian dalam struktur manual.
Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap
komplektisitas program komputer.
b. Merencanakan suatu penilaian risiko
pengendalian yang rendah berdasarkan pengendalian aplikasi
Banyak perusahaan memiliki beberapa tingkatan
pengendalian manajemen yang menyediakan suatu tingkat peninjauan transaksi yang
lebih tinggi yang menjadi tanggungjawab mereka. Namun demikian, pengendalian
manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup sehingga
memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat
yang rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi
untuk menilai risiko pengendalian pada tingkat yang rendah berdasarkan
pengendalian aplikasi komputer.Dalam rangka melaksanakan strategi ini auditor
seharusnya :
1.
Menguji pengendalian aplikasi
computer
2.
Menguji pengendalian umum computer
3.
Menguji tindak lanjut manual untuk
pengecualian yang dicatat oleh pengendalian aplikasi
Untuk
meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian
pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk
menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama
periode audit.
c. Merencanakan suatu penilaian risiko
pengendalian yang tinggi berdasarkan pada pengendalian umum dan tindak lanjut
manual
Internal
Control Audit Guide menyajikan suatu strategi audit yang memungkinkan
auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas
pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji
pengendalian umum, biasanya auditor akan
mempelajari efektivitas rancangan dan menguji pengendalian aplikasi.
Sebagai tambahan, auditor dapat membuat kesimpulan mengenai efektivitas
pengendalian aplikasi dan mengidentifikasikan pengecualian menlalui pengajuan
pertanyaan kepada individu yang berpengetahuan yang melaksanakan prosedur tindak lanjut manual.
2.
Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara
langsung menguji pengendalian aplikasi. Pengujian ini digunakan secara
ekstensif dalam menguji rutinitas validasi pemasukan dan pengendalian
pemrosesan terprogram.
Menurut IAPI (SPAP seksi 327.8-16) faktor-faktor yang
harus dipertimbangkan dalam penggunaan Teknik audit Berbantuan Komputer adalah:
a. Pengetahuan,
keahlian, dan pengalaman komputer yang dimiliki oleh auditor.
b.
Tersedianya TABK dan fasilitas komputer yang sesuai.
Auditor harus mempertimbangkan tersedianya TABK,
kesesuaian fasilitas komputer dan sistem akuntansi serta file
berbasis
komputer yang diperlukan. Auditor dapat merencanakan untuk menggunakan
fasilitas komputer yang lain bila penggunaan TABK atas komputer entitas dianggap tidak ekonomis atau tidak
praktis untuk dilakukan-sebagai contoh, karena adanya ketidaksesuaian antara program paket yang digunakan oleh auditor dengan
komputer entitas.
Kerja sama dari karyawan entitas dapat diperoleh
untuk menyediakan fasilitas pengolahan pada waktu yang tepat, untuk membantu seperti
memuat dan menjalankanTABK. Ke dalam sistem entitas, dan menyediakan copy
file data dalam format
yang dikehendaki oleh auditor.
c.
Ketidakpraktisan
pengujian manual.
Banyak sistem akuntansi terkomputerisasi dalam
melaksanakan tugas tertentu tidak menghasilkan bukti yang dapat dilihat. Dalam
keadaan ini, tidaklah praktis bagi auditor untuk melakukan pengujian secara
manual. Tidak adanya bukti yang dapat dilihat dapat terjadi pada berbagai tahap
proses akuntansi-seperti:
ü Dokumen masukan dapat tidak ada bila order penjualan
dimasukkan ke dalam system secara
on-line. Di samping
itu, transaksi akuntansi, seperti perhitungan potongan harga dan bunga, dapat dipicu dengan program komputer tanpa
otorisasi yang dapat dilihat untuk
setiap transaksi secara individual.
ü
Sistem dapat tidak menghasilkan jejak audit (audit trail) yang dapat dilihat untuk transaksi yang diolah
melalui komputer. Surat penyerahan barang dan faktur dari pemasok dapat ditandingkan dengan
suatu program komputer. Di samping itu, prosedur pengendalian program, seperti
pengecekan batas kredit pelanggan, dapat menyediakan bukti yang dapat dilihat hanya atas
dasar penyimpangan. Dalam hal ini, tidak terdapat bukti yang dapat dilihat bahwa
semua transaksi telah diolah.
ü Laporan keluaran
dapat tidak diproduksi oleh sistem. Sebagai tambahan, suatu laporan tercetak
dapat hanya berisi total ringkasan sementara rincian yang mendukung laporan tersebut tetap
ditahan dalam file komputer.
d.
Efektivitas dan efisiensi
Efektivitas dan efisiensi prosedur audit dapat
ditingkatkan melalui penggunaan TABK dalam memperoleh dan mengevaluasi bukti
audit-seperti:
ü Beberapa transaksi dapat diuji lebih efektif untuk
tingkat biaya yang sama dengan menggunakan
komputer untuk memeriksa semua atau lebih banyak transaksi dibandingkan
dengan jika dilaksanakan secara manual.
ü Dalam penerapan prosedur analitik, transaksi atau saldo
akun dapat di-review dan
dicetak laporannya untuk
pos-pos yang tidak biasa dengan cara yang lebih efisien dengan menggunakan komputer bila dibandingkan dengan cara manual.
ü Penggunaan
TABK dapat membuat prosedur pengujian substantif tambahan lebih efisien daripada jika auditor meletakkan kepercayaan atas
pengendalian dan pengujian pengendalian
yang
bersangkutan.
Masalah yang berhubungan dengan efisiensi yang
perlu dipertimbangkan oleh auditor meliputi:
ü
Waktu
untuk merencanakan, merancang, melaksanakan, dan mengevaluasi TABK.
ü
Jam asisten dan review
teknis.
ü
Perancangan dan pencetakan formulir (seperti konfirmasi).
ü
Pencatatan masukan ke dalam sistem komputer dan
verifikasinya.
ü
Waktu pemakaian komputer.
Dalam mengevaluasi efektivitas dan efisiensi suatu
TABK, auditor dapat mempertimbangkan daur hidup aplikasi TABK. Perencanaan
mula-mula, perancangan, dan pengembangan suatu TABK biasanya akan memberikan manfaat
terhadap audit periode berikutnya.
e.
Saat pelaksanaan.
File
komputer
tertentu, seperti file transaksi rinci,
seringkali ditahan hanya untuk jangka waktu pendek, dan mungkin tidak
disediakan dalam bentuk yang dapat dibaca oleh mesin pada saat diperlukan oleh
auditor. Jadi, auditor akan memerlukan pengaturan untuk mempertahankan
data yang dibutuhkannya, atau is dapat mengubah saat pekerjaannya memerlukan data tersebut.
Jika waktu yang tersedia untuk melaksanakan audit
terbatas, auditor dapat merencanakan.penggunaan TABK karena program tersebut akan
dapat memenuhi persyaratan waktu lebih baik dibandingkan dengan prosedur lain.
Dalam SPAP seksi 327.7 diungkapkan bahwa
TABK
dapat digunakan dalam pelaksanaan berbagai prosedur audit berikut ini:
a.
Pengujian rincian transaksi dan saldo-seperti, penggunaan
perangkat lunak audit untuk menguji semua (suatu sampel) transaksi dalam file komputer.
b. Prosedur review analitik-seperti, penggunaan perangkat lunak audit
untuk mengidentifikasi
unsur atau fluktuasi yang tidak biasa.
c.
Pengujian pengendalian (test
of control) atas pengendalian umum sistem informasi komputer-seperti, penggunaan data uji untuk
menguji prosedur akses ke perpustakaan program (program
libraries).
d.
Pengujian pengendalian atas pengendalian aplikasi sistem
informasi komputer -seperti, penggunaan data uji untuk menguji berfungsinya prosedur
yang telah diprogram.
e.
Mengakses file, yaitu kemampuan
untuk membaca file yang berbeda record-nya dan berbeda formatnya.
f.
Mengelompokkan data berdasarkan kriteria tertentu.
g. Mengorganisasi file, seperti menyortasi dan menggabungkan.
h. Membuat laporan,
mengedit dan memformat keluaran.
i.
Membuat
persamaan dengan operasi rasional (AND; OR; =; < >; <; >; IF).
Teknik
audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian
dari pengendalian aplikasi terprogram tertentu termasuk (1) simulasi pararel,
(2) pengujian data, (3) fasilitas pengujian terintegrasi, dan (4) pemantauan
yang berkelanjutan atas sistem real-time online.
a)
Simulasi paralel
Dalam simulasi paralel data perusahaan actual diproses
ulang dengan menggunakan suatu program perangkat lunak yang dikendalikan oleh
auditor. Pendekatan ini memiliki keuntungan sebagai berikut :
ü Karena
digunakan data riil,maka auditor dapat memeriksa transaksi dengan menulusurinya
ke dokumen sumber dan persetujuan
ü Ukuran
sampel dapat dikembangkan dengan biaya tambahan yang relative kecil.
ü Auditor
dapat secara independen menjalankan pengujian
Jika auditor
memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan
guna menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi
aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang berada
diluar kapasitas perangkat lunak komputer.
b)
Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh
auditor dan diproses menurut pengendalian auditor dengan program computer
klien. Metode ini memiliki beberapa kekurangan yaitu :
ü Program
klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode
ü Metode yang
digunakan adalah suatu pengujian dimana hanya pengendalian yang ada dan yang
berfungsi yang diuji oleh program
ü Tidak
terdapat pemeriksaan dokumentasi secara actual diproses oleh system
ü Operator
computer mengetahui bahwa data pengujian sedang dijalankan, sehigga dapat
mengurangi validitas output
ü Lingkup
pengujian terbatas pada imajinasi auditor dan pengetahuan tentang pengendalian
dalam aplikasi
c)
Fasilitas pengujian integrasi
Pendekatan ini membutuhkan pembentukan suatu subsistem
yang kecil dalam system teknologi informasi regular. Data pengujian, yang
diberi kode secara khusus untuk berhubungan dengan file master buatan,
diperkenalkan ke dalam system bersamaan dengan transaksi actual. Metode ITF
memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data
klien. Selain itu, modifikasi juga mungkin diperlukan dalam program klien untuk
mengakomodasi data buatan.
d)
Pemantauan yang berkelanjutan
terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh
auditor karena kontaminasi terhadap file data dan kesulitan dalam menyimpan
data hipotesis. Modul audit ini menyediakan suatu cara bagi auditor untuk
memilih transaksi yang memiliki karakteristik penting bagi auditor.
ü Memberi
label pada transaksi. Meliputi penempatan suatu indicator atau label pada
transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri melalui
system ketika sedang diproses.
ü Log audit.
Adalah suatu catatan mengenai aktivitas pemrosesan tertentu, digunakan untuk
mencatat kejadian yang memenuhi criteria yang ditentukan auditor ketika mereka
muncul pada titik tertentu dalam system.
3.
Menilai pengendalian teknologi
informasi
Proses untuk menilai risiko pengendalian adalah sama
baik ketika klien menggunakan pengendalian manual, pengendalian yang mengambil
keuntungan teknologi informasi atau keduanya. Penting untuk (1)
mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh
suatu pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam
asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah atau
mendeteksi dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian
pengendalian, (5) mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang dapat
membantu pencapaian tujuan
pengendalian intern secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur
pengendalian manual dan komputer
terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan SIK
(pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen
aplikasi SIK).
a)
Pengendalian Umum SIK
Tujuan pengendalian
umum (general control)
SIK adalah untuk membuat
rerangka pengendalian menyeluruh
atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai
bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai.
Pengendalian umum meliputi:
a. Pengendalian
organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi aktivitas SIK, yang mencakup:
(1)
Kebijakan dan prosedur yang berkaitan dengan fungsi
pengendalian.
(2)
Pemisahan
semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap
pengembangan dan pemeliharaan sistem aplikasi-didesain untuk memberikan
keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara yang efisien
dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk
menciptakan pengendalian atas:
(1)
Pengujian, perubahan, implementasi, dan dokumentasi sistem
baru atau sistem yang direvisi.
(2)
Perubahan terhadap sistem aplikasi.
(3)
Akses terhadap dokumentasi sistem.
(4)
Pemerolehan
sistem aplikasi dan listing program
dari pihak ketiga.
c. Pengendalian terhadap
operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk memberikan
keyakinan memadai bahwa:
(1)
Sistem digunakan hanya untuk tujuan yang telah
diotorisasi.
(2) Akses ke operasi
komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi.
(3) Hanya program yang
telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi
dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain
untuk memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau
dikembangkan dengan cara yang efisien dan
melalui proses otorisasi semestinya, termasuk:
(1)
Otorisasi, pengesahan, pengujian, implementasi, dan
dokumentasi perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.
(2)
Pembatasan akses terhadap perangkat lunak dan dokumentasi
sistem hanya bagi karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk memberikan
keyakinan bahwa:
(1)
Struktur otorisasi telah ditetapkan atas transaksi yang
dimasukkan ke dalam sistem.
(2)
Akses
ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang
memberikan kontribusi terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program
komputer di lokasi di luar perusahaan.
b.
Prosedur pemulihan untuk digunakan jika terjadi
pencurian, kerugian, atau penghancuran data baik yang disengaja maupun yang tidak
disengaja.
c.
Penyediaan pengolahan di lokasi di luar perusahaan dalam
hal terjadi bencana.
b)
Pengendalian Aplikasi SIK
Tujuan pengendalian
aplikasi (application
control) SIK adalah untuk
menetapkan prosedur
pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat,
serta diolah seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi mencakup:
a. Pengendalian atas masukan-didesain untuk memberikan
keyakinan memadai bahwa:
(1) Transaksi diotorisasi sebagaimana
semestinya sebelum diolah dengan komputer.
(2)
Transaksi diubah dengan cermat ke dalam bentuk yang
dapat dibaca mesin dan dicatat dalam file data komputer.
(3)
Transaksi tidak hilang, ditambah, digandakan, atau diubah
tidak semestinya.
(4)
Transaksi yang keliru ditolak, dikoreksi, dan jika perlu,
dimasukkan kembali secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk memberikan keyakinan memadai bahwa
(1)
Transaksi, termasuk transaksi yang
dipicu melalui sistem, diolah semestinya oleh komputer.
(2)
Transaksi tidak hilang, ditambah, digandakan, atau diubah
tidak semestinya.
(3)
Kekeliruan pengolahan diidentifikasi dan dikoreksi secara
tepat waktu.
c. Pengendalian
atas keluaran-didesain untuk memberikan keyakinan memadai bahwa:
(1)
Hasil pengolahan adalah cermat.
(2) Akses terhadap
keluaran dibatasi hanya bagi karyawan yang telah mendapatkan otor
(3) Keluaran disediakan secara tepat waktu
bagi karyawan yang mendapatkan oton semestinya.
d.
Pengendalian masukan, pengolahan, dan
keluaran dalam sistem on-line
(1) Pengendalian
masukan pada sistem on-line-didesain untuk memberikan
key bahwa:
-
Transaksi di-entry ke terminal yang
semestinya.
-
Data
di-entry dengan cermat.
-
Data
di-entry
ke periode akuntansi yang
semestinya.
-
Data yang di-entry telah
diklasifikasikan dengan benar dan pada nilai transaks' sah (valid).
-
Data yang tidak sah (invalid)
tidak
di-entry pada saat
transmisi.
-
Transaksi
tidak di-entry
lebih dari sekali.
-
Data yang di-entry tidak hilang
selama masa transmisi berlangsung.
-
Transaksi
yang tidak berotorisasi tidak di-entry selama transmisi berlangsung.
(2)
Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan
keyakinan bahwa:
(i)
Hasil penghitungan telah diprogram dengan benar.
(ii)
Logika yang digunakan dalam proses pengolahan adalah
benar.
(iii) File yang digunakan dalam proses pengolahan adalah benar.
(iv)
Record yang digunakan dalam proses pengolahan
adalah benar.
(v)
Operator telah memasukkan data ke komputer console yang semestinya.
(vi)
Tabel yang digunakan selama proses pengolahan adalah
benar.
(vii)
Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya.
(viii)
Data yang tidak sah tidak digunakan dalam proses pengolahan.
(ix)
Proses pengolahan tidak menggunakan program dengan versi
yang salah.
(x)
Hasil penghitungan yang dilakukan secara otomatis oleh
program adalah sesuai dengan kebijakan manajemen entitas.
(xi)
Data masukan yang diolah adalah data yang berotorisasi.
(3)
Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa:
(i)
Keluaran yang diterima oleh entitas adalah tepat dan
lengkap.
(ii)
Keluaran yang diterima oleh entitas adalah
terklasifikasi.
(iii)
Keluaran didistribusikan ke personel yang berotorisasi.
Tabel 2 dan 3 masing-masing menunjukkan contoh-contoh
salah saji potensial serta pengendalian yang diperlukan untuk pengendalian umum
dan pengendalian aplikasi.
|
Salah saji
potensial
|
Pengendalian
yang diperlukan
|
Kemungkinan pengujian pengendalian
|
|
PENGENDALIAN
ORGANISASI DAN OPERASI
|
|
Operator
komputer dapat memodifikasi program ke dalam pengendalian terprogram
|
Pemisahan tugas dalam teknologi informasi untuk
pemrograman komputer dan pengoperasian komputer
|
Mengamati
pemisahan tugas dalam teknologi informasi
|
|
Personel
teknologi informasi dapt memulai dan memproses transaksi tanpa otorisasi
|
Pemisahan tugas antar departemen pemakai dan
teknologi informasi untuk memulai dan memproses transaksi
|
Mengamati
pemisahan tugas antara departemen pemakai dan pemrosesan data elektronik
|
|
PENGENDALIAN
PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
|
|
Rancangan
sistem mungkin tidak memenuhi kebutuhan departemen pemakai atau auditor
|
Partisipasi personel dari departemen pemakai dan
audit internal dalam merancang dan menyetujui sistem baru
|
Pertanyaan
mengenai partisipan yang terlibat dalam perancangan sistem baru, memeriksa
bukti untuk persetujuan sistem baru
|
|
Perubahan
program yang tidak diotorisasi dapat menghasilkan kekeliruan pemrosesan yang
tidak diantisipasi
|
Pemeriksaan intern mengenai otorisasi yang tepat,
pengujian dan pendokumentasian dari perubahan program sebelum
pengimplementasian
|
Memeriksa
bukti verifikasi intern; menelusuri perubahan program ke dokumentasi yang
mendukung
|
|
PENGENDALIAN
PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
|
|
Kerusakan
peralatan dapat menghasilkan kekeliruan pemrosesan
|
Pengendalian perangkat keras dan perangkat lunak
sistem untuk mendeteksi kerusakan
|
Memeriksa
spesifikasi perangkat keras dan lunak sistem
|
|
Perubahan
yang tidak diotorisasi dalam perangkat lunak sistem dapat menghasilkan
kekeliruan pemrosesan
|
Persetujuan dan pendokumentasian dari semua
perubahan.
|
Memeriksa
bukti dan persetujuan pendokumentasian perubahan.
|
|
PENGENDALIAN
AKSES
|
|
Pemakai
tanpa otorisasi dapat memeperoleh akses terhadap peralatab teknologi
informasi
|
Keamanan fisik dan fasilitas teknologi informasi;
tinjauan manajemen mengenai laporan penggunaan.
|
Memeriksa
pengaturan keamanan dan laporan penggunaan
|
|
Arsip data
dan program dapat diperbarui oelh pemakai yang tidak memiliki otorisasi
|
Penggunaan perpusatakaan, pustakawan, dan log untuk
membatasi dan mengawasi pemakaian
|
Memeriksa
fasilitas dan log
|
|
PENGENDALIAN
DATA DAN PROSEDUR
|
|
Kekeliruan
dapat terjadi dalam memasukkan atau memproses data dan mendistribusikan
keluaran
|
Penggunaan kelompok pengendalian data yang
bertanggungjawab untuk memelihara pengendalian terhadap data masukan,
pemrosesan dan output.
|
Mengamati
pengopersian kelompok pegendalian data
|
|
Kontinuitas
pengoperasian dapat terganggu oleh suatu bencana seperti kebakaran atau banjir
|
Rencana kontijensi termasuk pengaturan untuk
penggunaan fasilitas cadangan
|
Memeriksa
rencana kontijensi
|
|
Arsip data
dan program dapat rusak atau hilang
|
Penyimpanan arsip cadangan dan program off premise;
ketentuan untuk rekonstruksi arsip data
|
Memeriksa fasilitas
penyimpanan; mengevalusasi kemampuan rekonstruksi arsip
|
Tabel 2:
pertimbangan penilaian risiko pengendalian untuk pengendalian umum pemrosesan
data elektronik (EDP)
|
Salah saji
potensial
|
Pengedalian
yang diperlukan
|
Kemungkinan pengujian pengendalian
|
|
PENGENDALIAN
INPUT
|
|
Data untuk
transaksi yang tidak diotorisasi dapat diserahkan untuk diproses
|
Otorisasi dan persetujuan data dari departemen
pemakai; pengendalian aplikasi membandingkan data dengan otorisasi sebelumnya
|
Memeriksa
dokumen sumber dan untuk membuktikan persetujuan; pengujian aplikasi,
pengendalian dengan CAATs, dan mneguji tindak lanjut manual
|
|
Data yang
valid dapat secara tidak benar dikonversikan dalam bentuk yang dapat dibaca
oleh mesin
|
Pemeriksaan; komputer, total pengendalian
|
Mengamati
verifikasi data prosedur, menggunakan CAATs untuk menguji rutinitas dan
menguji tindak lanjut manual; memeriksa rekonsiliasi total pengendalian.
|
|
Kekeliruan
pada dokumen sumber tidak dapat diperbaiki dan diserahkan ulang
|
Pemeliharaan dari log kekeliruan; pengembalian
kepada departemen pengguna untuk diperbaiki; tindak lanjut manual
|
Memeriksa
log dan bukti tindak lanjut.
|
|
PENGENDALIAN
PEMROSESAN
|
|
Arsip yang
salah mungkin diproses dan diperarui
|
Penggunaan label arsip eksternal dan internal
|
Mengamati
penggunaan label arsip eksternal; memeriksa pendokumentasian label arsip
internal
|
|
Data
mungkin hilang, ditambahkan, digandakan, atau diubah selam pemrosesan
|
Penggunaan total pengendalian, batasan dan
pengujian, pengujian urutan
|
Memeriksa
bukti pengendalian rekonsiliasi total, menggunakan CAAT untuk menguji
pengendalian komputer dan menguji tindak lanjut manual
|
|
PENGENDALIAN
OUTPUT
|
|
Output
mungkin tidak benar
|
Rekonsiliasi total oleh kelompok pengendalian data
atau departemen pengguna
|
Memeriksa
bukti rekonsiliasi
|
|
Output
mungkin didistribusikan kepada pemakai yang tidak memiliki otorisasi
|
Penggunaan lembar pengendalian distribusi laporan;
monitoring kelompok pengendalian data.
|
Memeriksa
lembar pengendalian pendistribusian laporan, mengamati monitoring kelompok
pengendalian data.
|
Tabel 3:
pertimbangan penilaian risiko pengendalian untuk pengendalian aplikasi komputer
C.
DAMPAK DARI STRATEGI AUDIT
PENDAHULUAN
1.
Pendekatan substantif utama
Pendekatan ini tidak memerlukan
perluasan prosedur sehingga komponen pengendalian intern aktivitas
pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat komponen lain
dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah satu
dari hal-hal :
a.
Tidak terdapat pengendalian intern
signifikan yang berkaitan dengan asersi
b.
Setiap pengendalian intern yang
relevan mungkin tidak efektif
c.
Tidak efisien untuk memperoleh bukti
guna mengevaluasi efektivitas pengendalian intern yang relevan
Jika diperoleh
bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian
pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal
dari risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam
hal biaya, kombinasi biaya dalam melaksanakan (1) pengujian pengendalian
tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi adanya
risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian
substantive yang lebih tinggi, yang diperlukan oleh pendekatan substantive
utama.
2.
Tingkat risiko pengendalian yang
dinilai lebih rendah
Berdasarkan bukti dari prosedur
untuk memperoleh suatu pemahaman, auditor mungkin menemukan bahwa berlawanan
dengan ekspektasi, satu atau lebih dari ketiga kondisi yang disebutkan dalam
bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan
pendekatan tingkat risiko pengendalian yang dinilai lebih rendah, auditor akan
merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk
memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko
pengendalian yang direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian
tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika bukti
pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada
tingkat sedang, maka revisi dari pengujian substantive untuk mendukung sautu
tingkat risiko pendeteksian yang lebih rendah akan sesuai.
D. MERANCANG
PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian
adalah membantu auditor dalam membuat pertimbangan mengenai risiko salah saji
material dalam asersi laporan keuangan. Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas
dari rancangan maupun efektivitas dari pengoperasian pengujian pengendalian.
Pengujian
pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu
pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2)
konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa
pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk memperoleh
bukti semacam ini normalnya meliputi:
1.
Pertanyaan terhadap
personel entitas yang sesuai
2.
Pemeriksaan
dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan
pengendalian
3.
Pengamatan atas
penerapan pengendalian
4.
Pelaksanaan
ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian
terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan
menggunakan teknik audit berbbantuan komputer/CAAT. Pengguna dapat menyediakan
bukti mengenai baik rancangan yang efektif maupun pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di
bawah tingkatan maksimum, ia harus
memperoleh bukti audit yang cukup untuk mendukung tingkat risiko pengendalian
taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko
pengendalian taksiran merupakan
masalah pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan kepada auditor pada waktu mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber,
ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat
keyakinan yang dapat diberikan oleh
bukti audit.
a) Tipe
Bukti Audit
Sifat
pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe
bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi
peng tersebut. Untuk beberapa pengendalian, dokumentasi
desain atau operasinya mungkin ada Dalam hal
tersebut, auditor dapat memutuskan untuk melakukan inspeksi terhadap dokumentasi
untuk mendapatkan bukti audit tentang efektivitas desain atau operasinya.
Namun, untuk
pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan. Misalnya, dokumentasi mengenai desain
atau operasi mungkin tidak ada untuk beberapa faktor
lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau
untuk beberapa tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang
dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau operasi dapat diperoleh
dengan melakukan pengamatan atau
dengan menggunakan teknik audit berbantuan komputer untuk melaksanakan
ulang,pengendalian yang relevan
b) Sumber
Bukti Audit
Pada umumnya,
bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh langsung oleh auditor, misalnya dengan
jalan pengamatan, memberikan keyakinan
yang lebih besar daripada bukti audit yang diperoleh secara tidak langsung atau
dengan
mengambil kesimpulan, misalnya dari permintaan keterangan. Sebagai contoh,
bukti audit mengenai pemisahan fungsi yang
semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang menerapkan
prosedur pengendalian, biasanya memberikan
keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus
mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin
tidak dilaksanakan dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan
meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup untuk mendukung kesimpulan tentang
efektivitas desain dan operasi pengendalian
tertentu. Apabila auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi
risiko pengendalian pada tingkat yang
lebih rendah, biasanya is perlu melakukan pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan
mengenai efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan
Waktu Bukti Audit
Ketepatan
waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan bagian dari masa audit yang l
ersangkutan. Dalam mengevaluasi tingkat keyakinan yang
diberikan oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas
pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu, pada saat prosedur tersebut diterapkan
oleh auditor. Sebagai akibatnya,
bukti audit tersebut mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa yang tidak
termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin
memutuskan untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk
seluruh masa yang diaudit. Sebagai
contoh, untuk aktivitas pengendalian yang dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan
pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah
program tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang
diarahkan terhadap desain dan
operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan program komputer tersebut selama masa
yang diaudit, untuk mendapatkan bukti apakah aktivitas pengendalian yang sudah
diprogramkan bekerja secara konsisten selama masa yang diaudit.
Bukti audit
tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit sebelumnya, dapat dipertimbangkan oleh auditor
dalam menaksir risiko pengendalian
untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor harus mempertimbangkan
pentingnya asersi yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit sebelumnya,
tingkat efektivitas desain dan
operasi pengendalian tersebut yang dievaluasi, hasil pengujian atas
pengendalian yang digunakan dalam melakukan evaluasi,
dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari
pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus
memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit
mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya.
Pada waktu
mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus mendapatkan bukti audit dari audit sekarang
mengenai apakah telah terjadi perubahan
dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai
perubahan tersebut, bersama-sama
dengan pertimbangan mengenai hal yang diuraikan dalam paragraf terdahulu mendukung
penambahan atau pengurangan bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain
dan operasi yang harus diperoleh dalam periode
sekarang.
Pada waktu
auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama masa interim, is harus menentukan
bukti audit tambahan apa yang harus
diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut, auditor
harus mempertimbangkan pentingnya
asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas desain dan
operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian yang digunakan dalam membuat
evaluasi terhadap lamanya waktu
yang masih tersisa dan bukti audit mengenai desain dan operasi yang mungkin diperoleh
dari pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor harus
mendapatkan bukti audit tentang sifat dan
lingkup perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel, yang
terjadi setelah masa interim
d) Keterkaitan
Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari
berbagai tipe bukti audit yang ada
kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe
bukti audit saja mungkin tidak cukup untuk
mengevaluasi efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan
pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya; auditor mungkin mengamati bahwa
pemrogram tidak diberi wewenang mengoperasikan komputer. Karena
pengamatan hanya berkaitan dengan waktu kegiatan
tersebut dilakukan, auditor harus melengkapi pengamatannya dengan permintaan keterangan
mengenai seringnya atau dalam hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang
lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan
bagaimana usaha tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang
diberikan oleh bukti audit, auditor
harus mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan
komunikasi, dan pemantauan. Walaupun salah satu komponen pengendalian intern
mungkin mempengaruhi sifat, saat, dan
lingkup pengujian substantif untuk asersi laporan keuangan tertentu, auditor
harus mempertimbangkan bukti audit
untuk masing-masing komponen dalam hubungannya dengan bukti audit mengenai
komponen lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung
kesimpulan yang sama mengenai
desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai
tipe bukti audit mengakibatkan kesimpulan
yang berbeda mengenai desain dan operasi pengendalian keyakinan yang diberikan
oleh bukti audit tersebut akan berkurang. Misalnya, berdasarkan bukti audit
bahwa lingkungan pengendalian
adalah efektif, auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi prosedur
pengendalian tertentu, auditor mendapatkan bukti audit
bahwa prosedur pengendalian tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan
pengendalian antara lain dengan menerapkan
prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa
lingkungan pengendalian tidak efektif dapat
berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya, lingkungan pengendalian yang
tampaknya memungkinkan perubahan yang
tidak diotorisasi dalam program komputer dapat mengurangi keyakinan yang
diberikan oleh bukti audit yang
diperoleh dari evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan untuk
mendapatkan bukti audit tambahan mengenai desain dan operasi program tersebut selama masa yang diaudit. Misalnya,
auditor mungkin meminta dan mengawasi satu copy program dan mempergunakan
teknik audit berbantuan komputer untuk
membandingkan copy tersebut dengan program yang dipakai perusahaan untuk
memproses data.
Audit atas laporan keuangan adalah suatu proses
kumulatif; ketika auditor menaksir risiko pengendalian,
informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup pengujian pengendalian lain yang
sudah direncanakan untuk menaksir risiko pengendalian. Di samping itu, mungkin ada
informasi yang masuk ke dalam perhatian auditor sebagai hasil pelaksanaan pengujian substantif
atau dari sumber lain selama melakukan audit,
yang sangat berbeda dengan informasi yang dijadikan dasar untuk perencanaan
pengujian pengendalian dalam menaksir
risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan
auditor ketika melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko
pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif yang
direncanakan,yang berdasarkan atas
pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk seluruh
atau sebagian asersi laporan
keuangan.
E.
PENGUJIAN KEPATUHAN
Dalam
memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas
struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan
prosedur pemahaman struktur pengendalian intern dengan cara mengumpulkan
informasi tentang desain struktur pengendalian intern dan informasi apakah
desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga
mengharuskan auditor melakukan pengujian terhadap efektivitas struktur
pengendalian intern dalam mencapai tujuan tertentu yang telah ditetapkan.
Pengujian ini desebut dengan pengujian pengendalian (test of controls).
Untuk menguji kepatuhan terhadapa pengendalian intern,
auditor melakukan dua macam pengendalian:
1. Pengujian adanya kepatuhan terhadap
struktur pengendalian intern.
Untuk menentukan apakah informasi mengenai struktur pengendalian yang
dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam pengujian
:
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi
tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur
strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut
dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan
kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian
internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh
fungsi penerima cek disetor oleh fungsi penerima kas ke bank. Pengujian transaksi
tersebut dapat berupa :
a. Pengamatan (mungkin bersifat mendadak)
terhadap penerimaan cek dan surat pemberitahuan dari debitur yang dilakukan
oleh fungsi penerima surat. Auditor mengamati pembuatan daftar surat
pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima kas serta
pengiriman surat pemberitahuan dan daftar surat pemberitahuan ke fungsi
pencatat piutang.
b. Pengamatan terhadap pembuatan bukti setor
bank. Auditor mengamati endorsement atas setiap cek oleh pejabat yang
berwenang, memastikan bahwa jumlah cek yang diterima disetor segera ke bank
dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat
pemberitahuan yang dibuat oleh fungsi penerima surat.
c. Pengamatan penyetoran cek ke bank. Dalam
hal tertentu auditor tidak melakuakn pengamatan penyetotan cek ke bank, namun
menempuh konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima
dari piutang disetor seleruhnya ke bank dengan segera.
d. Pemeriksaan atas pencatatan penerimaan kas
dari debitur tersebut ke dalam kartu pitang debitur yang bersangkutan dan ke
dalam jurnal penerimaan kas.
b) Pengujian transaksi tertentu yang telah
terjadi dan telah dicatat.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur
strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut
dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan
kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan
pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur
pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai dengan
cek disetor oleh fungsi penerima cek disetor oleh fungsi penerima kas ke bank. Pengujian transaksi
tersebut dapat berupa :
a.
Pengamatan
(mungkin bersifat mendadak) terhadap penerimaan cek dan surat pemberitahuan
dari debitur yang dilakukan oleh fungsi penerima surat. Auditor mengamati
pembuatan daftar surat pemberitahuan oleh fungsi penerima surat dan cek ke
fungsi penerima kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b.
Pengamatan
terhadap pembuatan bukti setor bank. Auditor mengamati endorsement atas setiap
cek oleh pejabat yang berwenang, memastikan bahwa jumlah cek yang diterima
disetor segera ke bank dengan melakukan rekonsiliasi bukti setor bank dengan
daftar surat pemberitahuan yang dibuat oleh fungsi penerima surat.
c.
Pengamatan
penyetoran cek ke bank. Dalam hal tertentu auditor tidak melakuakn pengamatan
penyetotan cek ke bank, namun menempuh konfirmasi ke bank untuk memastikan
bahwa jumlah kas yang diterima dari piutang disetor seleruhnya ke bank dengan
segera.
d.
Pemeriksaan
atas pencatatan penerimaan kas dari debitur tersebut ke dalam kartu pitang
debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.
dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian
terhadap transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan
akuntansi. Dalam hal ini auditor harus memilih transaksi tertentu kemudian
mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai, melalui
dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya dalam
catatan akuntansi. Sebagai contoh untuk menyelidiki apah sistem pembelian
benar-benar dilaksanakan sesuai dengan yang tercantum dalam Buku Panduan Sistem
Akuntansi, auditor memeriksa surat permintaan pembelian, surat penawaran harga,
surat order pembelian, laporan penerimaan barang dan bukti kas keluar.
Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat
yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah ditetapkan
benar-benar dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap
struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak
hanya berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian
intern, namun auditor juga berkepentingan terhadap tingkat kepatuhan klien
terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan klien terhadap
pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut
ini :
a)
Mengambil
sampel bukti kas masuk dan memeriksa kelengkapan dokumen pendukungnya (surat
order pembelian, laporan penerimaan barang, dan faktur dari pemasok) serta
tanda tangan pejabat yang berwenang baik dalam bukti kas keluar maupun dokumen
pendukungnya. Tujuan pengujian ini adalah untukmendapat kepastian transaksi
pembelian telah diotorasi oleh pejabat-pejabat berwenang.
b) Melaksanakan pengujian bertujuan ganda (dual-purpose
test), yang merupakan kombinasi antara pengujian yang tujuannya untuk menilai
efektivitas pengendalian intern (pengujian pengendalian) dan pengujian yang
tujuannya menilai kewajaran informasi yang disajikan dalam laporan keuangan
(pengujian substantif).
F.
PERTIMBANGAN
TAMBAHAN
Auditor secara
khusus pertama kali menilai risiko pengendalian untuk asersi yang berkenaan
dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas. Penilaian tersebut kemudian
digunakan untuk menilai risiko pengendalian asersi saldo akun yang signifikan
sehingga kesesuaian dari tingkat pengujian substantif yang direncanakan untuk
saldo akun dapat ditentukan, dan pengujian substantif khusus dapat dirancang.
Proses dipertimbangkan selanjutnya, pertama untuk akun-akun yang dipengaruhi
oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun yang
dipengaruhi oleh kelas transaksi ganda.
1.
Menilai
risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi tunggal
Proses menilai
risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akun-akun
yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus
dalam kebanyakan akun laporan laba rugi. Sebagai contoh, penjualan meningkat
oleh kredit untuk transksi penjualan dalam siklus pendapatan, dan banyak akun
beban meningkat dengan mendebet transaksi pembelian dalam siklus pengeluaran.
Dalam kasus ini, penilaian risiko pengendalian auditor untuk setiap asersi
saldo akun adalah sama dengan penilaian risiko pengendalian untuk asersi kelas transaksi
yang sama. Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan
atau keterjadian untuk saldo akun penjualan seharusnya sama dengan penilaian
risiko pengendalian atas asersi keberadaan atau keterjadian untuk transaksi
penjualan. Demikian pula, penilaian risiko pengendalian atas asersi
pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban harus
sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2.
Menilai
risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi ganda
Banyak akun
neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas transaksi.
Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam
siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam siklus
pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi
saldo akun memerlukan pertimbangan atas penilaian risiko pengendalian yang
relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi
neraca. Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian
atau alokasi untuk saldo kas didasarkan pada penilaian risiko pengendalian
untuk asersi penilaian atau alokasi baik untuk transaksi penerimaan kas maupun
transaksi pengeluaran kas.
Untuk suatu akun
yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko pengendalian
untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko
pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas transaksi
dipengaruhi saldo akun tersebut, dengan satu pengecualian utama. Penilaian
risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi
kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan
dengan asersi berlawanan yang dipengaruhi.
Hal ini, yang mungkin merupakan hubungan yang tidak diharapkan, diilustrasikan
dalam Gambar 1. gambar ini menunjukkan penilaian risiko pengendalian yang
relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko
pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan
untuk saldo kas.
|
Asersi Saldo Kas di mana Risiko Pengendalian
Dinilai
|
Penilaian Risko Pengendalian yang Relevan untuk
Kelas Transaksi yang Mempengaruhi Saldo Kas
|
Penjelasan
|
|
Keberadaan atau Kejadian
|
Keberadaan atau keterjaidan dari penerimaan kas
meningkatkan risiko.
|
Jika beberapa penerimaan kas yang tercatat tidak
terjadi, sebagian dari saldo kas tidak ada.
|
|
Keberadaan atau keterjadian pengeluaran kas yang
menurunkan saldo.
|
Jika beberapa pengeluaran kas yang tercatat
tidak muncul, saldo kas tidak lengkap.
|
|
Kelengkapan
|
Kelengkapan dari pengeluaran kas yang menurunkan
saldo.
|
Jika beberapa pengeluaran kas tidak dicatat,
bagian dari saldo kas tidak ada lagi
|
|
Kelengkapan dari penerimaan kas yang
meningkatkan saldo.
|
Jika beberapa penerimaan kas tidak dicatat,
saldo kas tidak lengkap
|
Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas
3.
Mengkombinasikan
Penilaian Risiko Pengendalian Yang Berbeda
Dengan merujuk
contoh sebelumnya, misalkan auditor memperoleh penilaian risiko pengendalian
berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya mengenai
bagian pengendalian intern yang relevan berdasarkan pengujian pengendalian:
|
Asersi
|
Penilaian Risiko Pengendalian
|
|
Keberadaan atau keterjadian dan penerimaan kas
|
Rendah
|
|
Kelengkapan dari penerimaan kas
|
Sedang
|
Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang
relevan berbeda, auditor dapat menimbang signifikansi dari setiap penilaian
guna mencapai suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor
akuntan publik memilih untuk menggunakan penilaian relevan yang paling konservatif
(paling tinggi). Demikian pula halnya jika penilaian risiko pengendalian
auditor atas asersi penilaian atau alokasi untuk transaksi penerimaan kas dan
pengeluaran kas masing-masing berada pada tingkat sedang atau tinggi, maka
risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas akan
tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan,
seharusnya risiko pengendalian tersebut dibandingkan dengan penilaian tingkat
risiko pengendalian yang direncanakan.
Ketika tingkat yang direncanakan didukung, auditor dapat melanjutkan untuk
merancang pengujian substantif berdasarkan strategi audit pendahuluan. Jika
tingkat risiko pengendalian yang direncanakan untuk dinilai tidak didukung
tingkat pengujian substantif yang direncanakan dan pengujian audit yang
berhubungan seharusnya direvisi untuk
memperoleh tingkat risiko audit yng diinginkan.
4.
Mendokumentasikan
Penilaian Tingkat Risiko Pengendalian
Kertas kerja
auditor seharusnya memasukkan pendokumentasian penilaian risiko pengendalian (documentation of the controls risk assesment).
Persyaratan tersebut adalah sebagai berikut :
a. Risiko pengendalian dinilai pada tingkat maksimum : Hanya
kesimpulan ini yang diperlukan untuk didokumentasikan.
b. Risiko pengendalian dinilai pada tingkat dibawah maksimum
: dasar untuk penilaian harus didokumentasikan.
AU 319
tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk pendokumentasian.
Dalam praktik, suatu pendekatan umum adalah dengan menggunakan memorandum
naratif yang diorganisasikan oleh asersi laporan keuangan. Pendekatan ini
diilustrasikan dalam gambar 10-10, yang mendokumentasikan penilaian risiko pengendalian
untuk asersi transaksi penjualan yang terpilih.perhatikan bahwa dasar untuk
penilaian di bawah maksimum untuk asersi kelengkapan telah diberikan, di mana
hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat maksimum,
seperti ditunjukkan untuk asersi hak dan kewajiban.
5.
Mengkomunikasikan
Masalah Pengendalian Intern
Auditor
diminta untuk mengidentifikasi dan melapor kepada komite audit, atau personel
entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi tertentu
yang berhubungan dengan pengendalian intern suatu entitas yang diamati selama
audit laporan keuangan. AU 325, Communication
of Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78)
mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition)
sebagai berikut :
… masalah-masalah yang menarik perhatian auditor yang,
dalam pertimbangannya, seharusnya dikomunikasikan dengan komite audit karena
menyajikan kekurangan yang signifikan dalam rancangan dan pengoperasian
pengendalian intern yang dapat secara berlawanan mempengaruhi kemampuan
organisasi untuk mencatat, memproses, meringkas, dan melaporkan data keuangan
secara konsisten dengan asersi manajemen dalam laporan keuangan.
Suatu kondisi
yang dapat dilaporkan dapat begitu besar sehingga membentuk kelemahan material
dalam pengendalian intern. AU 325.15 mendefinisikan suatu kelemahan material
(material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan
dan pengoperasian dari satu atau lebih komponen pengendalian intern tidak dapat
mengurangi tingkat risiko salah saji sampai ke tingkat yang rendah karena
kekeliruan atau kecurangan di mana jumlah yang material dalam hubungannya
dengan laporan keuangan yang sedang diaudit dapat muncul dan tidak dapat dideteksi selama satu periode
secara tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan
fungsi yang ditugaskan kepadanya.
Seorang
auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan
kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam
komunikasinya kepada komite audit.
Pengkomunikasian
masalah-masalah yang berhubungan dengan pengendalian intern adalah suatu produk
penting yang menggunakan pengetahuan yang diperoleh auditor selama audit
laporan keuangan. Auditor akan secara normal mengevaluasi apakah klien memiliki
pengendalian yang cukup untuk mengatasi masalah yang diciptakan oleh risiko
usaha suatu entitas. Sebagai contoh, dalam usaha untuk mengelola sistem
persediaan just-in-time, klien mungkin merancang suatu sistem yang menggunakan
pertukaran data elektronik untuk mengkomunikasikan kuantitas persedian kepada
penjual dan memesan barang ketika persediaan berada di bawah tingkat yang telah
ditentukan. Pengendalian intern klien seharusnya menyediakan keyakinan yang
memadai bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu
yang tepat. Manajemen dan komite audit tertarik pada hasil evaluasi auditor
tentang kualitas sistem pengendalian intern mereka.
BAB III
PENUTUP
Menilai
risiko pengendalian (assessing control risk) merupakan suatu proses
mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan. Dalam membuat
penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor
untuk: (1) Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan
asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas; (2)
Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi
entitas; (3) Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan
mencegah atau mendeteksi dan memperbaiki salah saji; (4) Melaksanakan pengujian
pengendalian terhadap pengendalian yang diperlukan untuk menentukan efektivitas
rancangan dan pengoperasian dari pengendalian tersebut; (5) Mengevaluasi bukti
dan membuat penilaian.
Dalam
menilai risiko pengendalian dalam suatu lingkungan TI terdapat tiga hal yang
penting yaitu: (1) strategi untuk melaksanakan pengujian pengendalian; (2)
Teknik audit berbantuan komputer; (3) Menilai pengendalian teknologi informasi.
Dampak dari
strategi audit pendahuluan dapat diketahui dari pendekatan substantif dan juga
tingkat risiko pengendalian yang dinilai lebih rendah.
Tipe bukti, sumber, ketepatan waktu, dan keberadaan
bukti lain yang berhubungan dengan
kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit.
Untuk menguji kepatuhan terhadap pengendalian intern,
auditor dapat melakuan dua macam pengendalian yaitu: pengujian adanya kepatuha
terhadap struktur pengendalian intern; dan pengujian tingkat kepatuhan terhadap
struktur pengendalian intern.
Pertimbangan
tambahan dalam menilai risiko pengendalaian adalah: (1) Menilai risiko pengendalian untuk asersi saldo akun yang
dipengaruhi oleh suatu kelas transaksi tunggal;
(2) Menilai risiko pengendalian
untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi ganda;
(3) Mengkombinasikan Penilaian
Risiko Pengendalian Yang Berbeda; (4) Mendokumentasikan Penilaian Tingkat Risiko Pengendalian;
(5) Mengkomunikasikan Masalah
Pengendalian Intern.