5.

Menilai Resiko Pengendalian

Auditor harus memahami perancangan dan pengimplementasian
pengendalian internal untuk melakukan penilaian pendahuluan atas resiko
pengendalian sebagai bagian dari penilaian resiko salah saji yang material
secara keseluruhan. Auditor menggunakan penilaian pendahuluan atas resiko
pengendalian ini untuk merencanakan audit bagi setiap kelas kelas transaksi
yang material. Akan tetapi, dalam beberapa kasus auditor mungkin
mmengetahui bahwa difisiensi pengendalian sangat signifikan sehinngga laporan
keuangan keuangan klien tidak bisa di audit. Jadi, sebelum melakukan penilaian
pendahuluan atas resiko pengendalian bagi setiap kelas transaksi yang material,
pertama auditor harus memutuskan apakah entitas itu dapat diaudit.
Ada dua faktor utama yang menentukan auditabilitas: integritas
manajemen dan kememadaian catatan akuntansi. Jika manajemen tidak memiliki
integritas, sebagian besar auditor tidak akan menerima penugasan audit.
Catatan akuntansi merupakan sumber bukti audit yang penting bagi sebagian
besar tujuan audit. Jika catatan akuntansi defisien, bukti audit yang diperlukan
mungkin tidak tersedia. Sebagai contoh jika klien tidak menyimpan salinan faktur
penjualan dan faktur vendor, biasanya tidak praktis untuk melakukan audit.
Setelah memahami pengendalian internal, auditor dapat membuat
penilaian pedahuluan atas resiko pengendalian sebagai bagian dari
penilaian resiko salah saji yang material secara keseluruhan. Penilaian ini
merupakan ukuran ekspektasi auditor bahwa pengendalian internal akan
mencegah salah saji yang material atau mendeteksi dan mengoreksi nya jika
salah saji itu sudah terjadi.
Titik awal bagi sebgaian besar auditor adalah penilaian pengendalian
tingkat entitas.secara alami, pengendalian tingkat entitas, seperti banyak unsur
yang terkandung di lingkungan pengendalian, penilaian resiko, dan komponen
pemantauan, memiliki dampak yang luas terhadap kebanyakan jenis transaksi
utama dalam setiap siklus transaksi. Setelah menentukan bahwa pengendalian
tingkat entitas dirancang, di operasikan, auditor lalu membuat
penilaian
pendahuluan ini untuk setiap tujuan audit yang berhubungan dengan transaksi
bagi setiap jenis transaksi utama dalam masing masing siklus transaks. Auditor
juga membuat penilaian pendahuluan atas pengendalian yang mempengaruhi
tujuan audit untuk akun akun neraca serta penyajian dan pengungkapan dalam
setiap siklus.
Mengindetifikasi Tujuan Audit langkah pertama dalam penilaian adalah
mengindetifikasi tujuan audit untuk kelas transaksi, saldo akun, serta penyajian
dan pengungkapan yang akan dinilai. Hal ini dilakukan untuk kelas-kelas
transaksi dengan menerapkan tujuan audit khusus yang berhubungan dengan
transaksi yang sudah di bahas sebelumnya, yang di nyatakan dalam bentuk
umum, bagi setiap jenis transaksi utama entitas bersangkutan. Sebagai contoh
auditor menilai secara terpisah tujuan keterjadian untuk penjualan dan menilai
secara terpisah tujuan kelengkapan.
Mengindetifikasi
Pengendalian
yang
Ada
selanjutnya,
auditor
menggunakan informasi, yang telah di bahas di bagian terdahulu, mengenai

perolehan dan pendokumentasian pemahaman atas pengendalian internal untuk

mengindentifikasi pengendalian yang berperan dalam mencapai tujuan audit
yang berhubungan dengan transaksi. Salah satu cara yang dapat di tempuh
auditor untuk melakukan hal ini adalah mengidentifikasi pengendalian guna
memenuhi setiap tujuan. Sebagai contoh, auditor dapat menggunakan
pengetahuan tentang sistem klien untuk mengidentifikasi pengendalian yang
mungkin akan mencegah kekeliruan atau kecurangan dalam tujuan audit
keterjadian yang berhubungan dengan transaksi. Auditor juga akan terbantu jika
menggunakan kelima aktivitas pengendalian (pemisahan tugas, otorisasi yang
tepat, dokumen dan catatan yang memadai, pengendalian fisik atas aset dan
catatan, serta pemeriksaan independen atas kinerja) sebagai pengingat
pengendalian.
Menghubungkan Pengenddalian dengan Tujuan Audit yang Terkait setiap
pengendalian akan memenuhi satu atau lebih tujuan audit yang terkait. Dalam
hal ini auditor menggunakan matriks resiko pengendalian. Matriks resiko
pengendalian yang serupa akan di lengkapi untuk tujuan audit yang
berhubungan dengaan saldo serta yang berhubungan dengan penyajian yang
pengunkapan.
Menidentifikasi dan Mengevaluasi Defisiensi Pengendalian, Defisiensi
yang signifikan, dan Kelemahan yang Material auditor harus mengevaluasi
apakah pengendalian kunci tidak di terapkan dalam perancangan pengendalian
internal atas pelaporan keuangan sebagai bagian dari mengevaluasi resiko
pengendalian dan kemungkinan salah saji laporan keungan. Standard auditing
mendefinisikan tiga tingkat yang tidak di terapkan nya pengendalian internal:
1. Defisiensi Pengendalian (control deficiency) terjadi jika perancangan
atau pelaksaan pengendalian tidak memungkinkan karyawan perusahaan
mencegah atau mendeteksi salah saji secara tepat waktu. Defisiensi
Perancangan terjadi jika pengendalian yang di perlukan tidak ada atau
tidak di rancang dengan baik. Defisiensi Operasi terjadi jika pengendalian
yang di rancang dengan baik tidak berjalan seperti yang dirancang, atau
jika orang melaksanakan pengendalian tidak memiliki kualifikasi atau
kewenangan yang memadai.
2. Defisiensi yang Signifikan (significant deficiency) terjadi jika ada satu
atau lebih defisiensi pengendalian yang jauh lebih kecil ketimbang
kelemahan yang material (di bawah yang di tetapkan), tetapi cukup
penting di perhatikan oleh pihak yyang bertanggung jawab mengawasi
pelaporan keuangan perusahaan.
3. Kelemahan yang Material (material weakness) terjadi jika defisiensi
yang signifikan secara sendiri atau bersama sama dengan defisiensi yang
signifikan lainnya, mengakibatkan kemungkinannya lebih dari kecil bahwa
pengendalian internal tidak akan mencegah atau mendeteksi salah saji
yang material dalam laporan keuangan secara tepat waktu.
Pendekatan 5 langkah dapat digunakan mengidentifikasi defiensi, defiensi yang
signifikan, dan kelemahan material:

1. Mengidentifikasi pengendalian yang ada. Karena defiensi dan kelemahan

material adalah tidak diterapkan nya pengendalian yang memadai,
pertama auditor harus mengetahui pengedalian mana saja yang ada.
2. Mengidentifikasi tidak diterapkan nya pengendalian kunci. Koesioner
pengendalian internal, bagan arus, dan penelusuran adalah sarana yang
berguna untuk mengidentifikasi di mana saja pengendalian itu tidak ada
sehingga kemungkinan terjadinya salah saji meningkat.
3. Mempertimbangkan
kemungkinan
pengendalian
pengimbang.
Pengendalian pengimbang (compensating control) adalah pengendalian
yang diterapkan di suatu tempat dalam sistem mengoffset tidak di
terapkan nya pengedalian kunci.
4. Memusutuskan apakah ada definisi yang signifikan atau kelemahan yang
material. Kemungkinan salah saji serta materialitasnya digunakan untuk
mengevaluasi apakah ada defisiensi yang signifikan atau kelemahan yang
material.
5. Menentukan salah saji yang potensial yang bisa dihasilkan. Langkah ini
dimaksudkan untuk mengidentifikasi salah saji spesifik yang mungkin
diakibatkan oleh defisiensi yang sinifikan atau kelemahan yang material.
Menghubungkan defisiensi yang signifikan dan kelemahan yang
material dengan tujuan audit terkait. Sama seperti untuk pengendalian,
setiap defisiensi yang signifikan atau kelemahan material dapat diterapkan pada
satu atau lebih tujuan audit yang terkait.
Menilai Resiko Pengendalian untuk Setiap tujuan audit yang terkait.
Setelah pengendalian, defisiensi yang signifikan, dan kelemahan material di
identifikasi serta dihubungkan dengan tujuan audit yang berkaitan dengan
transaksi, auditor dapat menilai resiko pengendalian untuk tujuan audit yang
berkaitan dengan transaksi. Inilah keputusan yang penting dalam evaluasi
pengendalian internal.
Sebagai bagian dari pemahaman atas pengendalian internal dan penilain resiko
pengendalian, auditor di haruskan untuk mengomunikasikan masalah masalah
tertentu dengan puhak memikul tanggung jawab tata kelola. Informasi ini dan
rekomendasi lain tentang juga sering di komonikasikan kepada manajemen.
Komunikasi dengan Pihak yang Memikul Tanggung jawab Tata Kelola.
Auditor harus menyampaikan defisiensi signifikan dan kelemahan yang material
secara tertulis kepada pihak yang memikul tanggung jawab tata kelola begitu
auditor mengetahui keberadaan nya. Komunikasi ini biasanya di tujukan kepada
komite audit dan manajemen. Komunikasi tepat waktu dapat memberi
manajemen kesempatan untuk menangani defisiensi pengedalian sebelum
laporan manajemen mengenai pengendalian internal harus di keluarkan. Karena
itu, komunikasi ini harus dilakukan paling lambat 60 hari setelah laporan audit di
keluarkan.
Surat Manajemen. Selain masalah tersebut, auditor sering kali juga
mengidentifikasi hal-hal yang berkaitan dengan pengendalian internal yang tidak
begitu penting, serta kesempatan bagi klien untuk memperbaiki operasi. Hal-hal

tersebut juga harus di komunikasikan kepada klien. Bentuk komunikas sering kali
merupkan surat terpisahuntuk tujuan itu, yang disebut surat manajemen
(management letter).

6. Pengujian Pengendalian
Pengujian pengendalian merupakan prosedur untuk menguji efektifitas
pengendalian dalam mendukung penilaian resiko pengendalian yang lebih
rendah. Jika hasil pengujian mendukung perancangan dan pelaksanaan
pengendalian seperti yang di harapkan, auditor akan menggunakan penialai
resiko yang sama dengan penilaian pendahuluan. Akan tetapi, jika pengujian
pengendalian itu menunjukan bahwa pengendalian tidak berjalan efektif,
penilaian resiko harus di pertimbangkan kembali
Auditor mungkin akan menggunakan empat jenis prosedur untuk mendukung
keefektifan pelaksanaan pengendalian internal. Keempat jenis prosedur berikut
adalah sebagai berikut:
1. Mengajukan pertanyaan kepadapersonil klien yang tepat. Walaupun
pengajuan pertanyaan bukan merupakan sumber bukti yang paling andal
tentang pelaksanaan pengendalian yang efektif, prosedur ini masih
sesuai.
2. Memeriksa dokumen, catatan, dan laporan. Banyak pengendalian yang
meninggalkan jejak yang jelas berupa bukti dokumenteryang dapat
digunakan untuk menguji pengendalian.
3. Mengamati aktifitas yang terkait dengan pengendalian. Beberapa
pengendalian tidak meninggalkan jejak bukti, yang berarti dimkemudian
hari tidak memeriksa bukti bahwa pengendalian itu telah dilaksanakan
4. Melaksanakan kembali prosedur klien. Ada juga aktifitas yang terkait
dengan pengendalian yang memiliki dokumen dan catatan, tetapi isinya
tidak mencukupi untuk mengakomodasi tujuan auditor menilai apakah
pengendalian telah berjalan secara efektif
Seberapa luas pengujian yang di tetapkan tergantung pada penilain atas resiko
pengendalian. Jika menginginkan resiko pengendalian yang dinilai lebih rendah,
auditor akan menerapkan pengujian pengendalian yang lebih ekstensif, baik
dalam hal jumlah pengendalian yang diuji maupun luas pengujian untuk setiap
pengendalian.
Mengandalkan Bukti dari Audit Tahun Sebelumnya. Apabila auditor
berencana menggunakan bukti tentang efektivitas pelaksanaan pengendalian
internal yang diperoleh dalam audit terdahulu, standard auditing mengharuskan
auditor untuk menguji keefektifitan pengendalian itu paling sedikit tuga tahun.
Menguji Pengendalian yang Berhubungan dengan Resiko yang
Signifikan. Resiko yang di yakini auditor membutuhkan pertimbangan khusus.
Apabila prosedur penilaian resiko yang dilakukan auditor mengidentifikasi resiko
yang signifikan, auditor di haruskan menguji efektifitas pelaksanaan
pengendalian yang mengurangi resiko tersebut dalam audit tahun berjalan.

Menguji Kurang dari Seluruh Periode Audit. PCAOB standard 5

mengharuskan auditor melaksanakan pengujian pengendalian yang memadai
untuk menentukan apakah pengendalian itu berjalan efektif pada akhir tahun.
Karena itu, waktu pelaksanaan pengujian pengendalian oleh auditor akan
tergantung pada sifat pengendalian dan kapan perusahaan menggunakannya.

MEMUTUSKAN
RESIKO
DETEKSI
YANG
DI
RENCANAKAN
DAN
MERANCANG PENGUJIAN SUBSTANTIF
Auditor menggunakan penilaian resiko pengendalian dan hasil pengujian
pengendalian untuk menentukan resiko deteksi yang direncanakan serta
pengujian substantive terkait untuk audit atas laporan keuangan. Auditor
melakukannya dengan menghubungkan penilaian resiko pengendalian dengan
tujuan audit yang berkaitan dengan saldo untuk akun-akun yang di pengaruhi
oleh jenis transaksi utama, serta dengan empat tujuan audit pennyajian dan
pengungkapan.
7. PELAPORAN PENGENDALIAN INTERNAL MENURUT SECTION 404
Lingkup laporan auditor mengenai pengendalian internal terbatas pada
perolehan kepastian yang layak bahwa kelemahan yang material dalam
pengendalian internal telah teridentifikas. Jadi, audit tiddak dirancang untiuik
mendeteksi defisiensi pengendalian internal secara individual,atau secara
agregat, lebih ringan ketimbang yang material.
Pendapat Wajar Tanpa Pengecualian (unqualified opinion). Auditor akan
mengeluarkan pendapat wajar tanpa pengecualian mengenai pengendalian
internal atas pelaporan keuangan apabila dua kondisi berikut berlaku:
1. Tidak ada kelemahan material yang teridentifikasi
2. Tidak ada pembatasan atass ruang lingkup pekerjaan auditor.
Pendapat Wajar dengan Pengecualian atau Menolak Memberikan
Pendapat (qualified or disclaimer of opinion) pembatasan ruang lingkup
mengharuskan auditor untuk meyatakan pendapat mengenai pengendalian
internal atas pelaporan keuangan.
8. Mengevaluasi, Melaporkan, Dan Menguji Pengendalian Internal Untuk
Perusahaan Nonpublik
Miskonsepsi yang umum menyangkut perusahaan nonpublik adalah bahwa dapat
di terima bahwa banyak perusahaan itu pasti kecil dan tidak secanggih
perusahaan public.
Bagian berikut akan mengidentifikasi dan membahas perbedaan paling penting
dalam mengevaluasi, melaporkan, dan menguji pengendalian internal untuk
perusahaan nonpublik.
1. Persayratan pelaporan. Dalam audit perusahaan nonpublik, tidak ada
persyaratan untuk mengaudit pengendalian internal atas pelaporan
keuangan.
2. Luas pengendalian internal yang di isyaratkan. Manajemen , dan bukan
auditor, yang bertanggung jawab untuk mentepkan pengendalian internal

yang memadai dalam perusahaan non public. Persis seperti perusahaan

manajemen untuk perusahaan public.
3. Luas pemahaman yang diperlukan. Standard auditing mengharuskan
auditor memiliki pemahaman yang mencukupi tentang pengendalian
internal untuk menilai resiko pengendalian.
4. Menilai resiko pengendalian. Perbedaan paling dalam menilai resiko
pengendalian
perusahaan
nonpuublik
adalah
penilaian
resiko
pengendalian padda tingkat maksimum untuk satu atau semua tujuan
yang berkaitan dengan pengendalian apabila pengendalian internal untuk
tujuan itu tidak ada atau tidak efektif.
5. Luas pengujian pengendalian yang diperlukan. Auditor tidak akan
melakukan pengujian pengendalian apabila menilai resiko pengendalian
pada tingkat maksimum akibat tidak memadai pengendalian.