Menilai Risiko Pengendalian Dan Uji Pengendalian

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses
mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk
membantu auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji
yang material dalam asersi laporan keuangan. Penilaian resiko pengendalian
melibatkan pengevaluasian terhadap efetivitas dari (1) rancangan dan (2)
pengoperasian pengendalian. Menilai resiko pengendalian juga membantu auditor
dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit.
Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai
bagian dari dasar yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam
asersi nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan
transaksi, dan banyak aktifitas pengendalian berhubungan dengan pemrosesan
suatu jenis transaksi tertentu. Oleh karena itu, adalah umum memulai dengan
menilai resiko pengendalian atas asersi kelas transaksi seperti asersi keberadaan
atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi untuk
penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di kombinasikan
dengan tepat dalam menilai risiko pengendalian untuk asersi saldo akun yang
berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko
pengendalian yang relevan untuk penjualan dan penerimaan kas di anggap
memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk
mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual,
bukan untuk pengendalian intern secara keseluruhan, komponen pengendalian
intern individual, atau kebijakan atau prosedur individual.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting
bagi auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah pengendalian yang
berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi
oleh manajemen entitas
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi
entitas
3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan
mencegah atau mendeteksi dan memperbaiki salah saji
4. Melaksanakan pengujian pengendalian terhadap pengendalian yang
diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari
pengendalian tersebut
5. Mengevaluasi bukti dan membuat penilaian
Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan
ketika risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah
dalam proses penilaian ini akan dibahas dalam bagian berikut.
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures
to obtain an understanding) mengenai pengendalian intern untuk asersi laporan
keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk
kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau

memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal

untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan
pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah
saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko
salah saji material, seperti apakah pengendalian yang diperlukan untuk mencegah
atau mendeteksi dan memperbaiki salah saji telah dirancang dan ditetapkan dalam
operasi. Oleh karena itu, untuk kebijakan dan prosedur yang relevan dengan asersi
tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak,
dan Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta
kelemahan yang dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia
biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan
pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor
mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko
pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk
mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang
tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian
pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai
pengendalian intern.
2. Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang
menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner
yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu. Akan
tetapi, auditor perlu memahami logika bahwa system pendukung keputusan yang
terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk
menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan
tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan
setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap
saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi
untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam
asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam
bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang
berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:
Tabel salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian transaksi pengeluaran kas

Salah saji potensial

Suatu pengeluaran kas
dapat dibuat untuk tujuan
yang tidak diotorisasi
(keberadaan
atau
keterjadian untuk transaksi
yang valid)

Pengendalian yang diperlukan

Komputer
mencocokkan
informasi
cek
dengan
informasi yang mendukung
tanda bukti dan hutang usaha
untuk
setiap
transaksi
pengeluaran
Hanya
personel
dengan
otorisasi yang diizinkan untuk
menjalankan program dan
mneangani cek yang dicetak
dan ditandatangani komputer
Pemisahan
tugas
dalam

Pengujian pengendalian
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati individu-individu
yang menangani pengeluaran
kas dan membandingkannya
dengan daftar personel yang
memiliki otorisasi
Mengamati pemisahan tugas

Suatu tanda bukti mungkin

dibayar
dua
kali
(keberadaan
dan
keterjadian dari transaksi
yang valid)

menyetujui
tanda
bukti
(voucher) pembayaran dan
menandatangani cek
Komputer secara elektronik
membatalkan tanda bukti dan
informasi pendukung ketika
cek diterbitkan

Memberi tanda pada bukti

pembayaran dan dokumen
pendukung dengan tanda luns
ketika cek diterbitkan

Suatu
cek
dapat
diterbitkan untuk jumlah
yang salah atau dicatat
dalam jumlah yang salah
(penilaian atau alokasi)

Komputer
mencocokkan
informasi
cek
dengan
informasi yag mendukung
tanda bukti dan hutang usaha
untuk
setiap
transaksi
pengeluaran
Komputer
membandingkanjumlah cek
yang
diterbitkan
dengan
jumlah yang dicatat dalam
pengeluaran kas
Rekonsiliasi bank independen
secara periodik

Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengemati pemberian cap
kepada dokumen dan/ atau
memeriksa sampael dari
dokumen yang telah dibayar
untuk memeriksa adanya
tanda lunas
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Menggunakan teknik-teknik
audit
dengan
bantuan
komputer,
seperti
data
pengujian untuk menguji
pengendalian
aplikasi
komputer
Mengamati
kinerja
rekonsiliasi bank dan/ atau
memeriksa rekonsiliasi bank.

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin
dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu
dengan menggunakan perangkat lunak computer yang memroses jawaban kuesioner
pengendalian intern atau dengan secara manual menggunakan daftar. Kolom kedua
dalam dalam tabel diatas mengilustrasikan pengendalian potensial untuk asersi
laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus, beberapa
pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam
kasus lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan
mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi
pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara rinkasan
harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan dalam jurnal
pengeluaran kas, yang memungkinkan pendeteksian secara tepat waktu dari salah
saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan
pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank
harian secara independen dan periodik mungkin sudah cukup untuk

mengkompensasi kurangnya pengujian independen harian. Dalam situasi tertentu,

rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik
pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai
bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor
seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan
komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko
salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi
atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh
dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam
pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk kelas
transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat kepercayaan pada
manajer atau karyawan kunci dapat mengurangi efektivitas dan aktivitas
pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan informasi
mengenai berbagai jenis pengendalian yang mungkin berhubungan dengan
komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial
untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu
pemahamandan mengidentifikasi salah saji material serta pengendalian yang
diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor
dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi,
meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian
dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan
auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk
memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik
bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya,
harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari
pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer,
bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati
personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian
pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan
dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan
menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa
komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan
pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian
terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan
jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang
akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit
tertulis untuk pengujian pengendalian yang terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan
pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh
pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang
berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan
masalah pertimbangan professional. AU 319.64 menyarankan agar auditor
mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti
lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat
pertimbangan tersebut.

Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas

pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga
auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk
melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan
memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung terhadap
pemisahan tugas biasanya menyediakan lebih banyak keyakinan daripada membuat
pertanyaan
mengenai
individu.
Namun
demikian,
auditor
seharusnya
mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian
mungkin tidak dilaksanakan dengan cara yang sama ketika auditor tidak hadir.
Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor seharusanya
mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian
pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan.
Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian
aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti
mengenai apakah program melaksanakan pengedalian secara efektif. Untuk
menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap
rancangan dan pengoperasian pengendalian umum komputer selama periode audit
umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram
dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai
efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika buktibukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan
menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat
menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam
laporan pengecualian,
tapi
pertanyaan auditor
mengenai
orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan
dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya
akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang
mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif.
Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor
sering kali menggunakan petunjuk pengendalian menegnai frekuensi penyimpangan
yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk presentase, dari
pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti,
terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau
mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif (seperti,
terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak akan
mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu
diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam
menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut,
dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang
direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang
akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu
rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak
melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu
audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi,
pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya
diperlukan, sehingga menghasilkan audit yang tidak efisien.
B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI
INFORMASI

1. Strategi untuk melaksanakan pengujian pengendalian

Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :

Menilai risiko pengendalian berdasarkan pengendalian pemakai

Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan

pengendalian aplikasi

Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan

pada pengendalian umum dan tindak lanjut manual

a) Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji
kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer. Sebagai
contoh, manajer yang mengenal denagn baik transaksi yang berada dalam
otoritasnya mungkin menunjau suatu daftar pembelian yang dibebankan ke dalam
akun mereka. Alternatif lain, seorang individu dalam suatu departemen pemakai
dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen
sumber yang mendukung transaksi. Meskipun kedua pengendalian ini dapat
mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir
dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan
suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi dan
diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian
pemakai yang berhubungan dengan suatu asersi secara langsung, serupa dengan
pengujian pengendalian dalam struktur manual. Keunggulan dari strategi ini adalah
tidak diperlukannya pengujian terhadap komplektisitas program komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang
menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi
tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut
mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan
auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah.
Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai
risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi
komputer.Dalam rangka melaksanakan strategi ini auditor seharusnya :
1. Menguji pengendalian aplikasi computer
2. Menguji pengendalian umum computer
3. Menguji tindak lanjut
pengendalian aplikasi

manual

untuk

pengecualian

yang

dicatat

oleh

Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian

pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk
menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama
periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan
auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas
pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji
pengendalian umum, biasanya auditor akan mempelajari efektivitas rancangan dan
menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat membuat
kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan
pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan
yang melaksanakan prosedur tindak lanjut manual.

2. Teknik audit berbantuan komputer

TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian
aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi
pemasukan dan pengendalian pemrosesan terprogram.
Teknik audit berbantuan komputer penting yang digunakan untuk
pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk

menguji

1. Simulasi pararel,
2. Pengujian data,
3. Fasilitas pengujian terintegrasi, dan
4. Pemantauan yang berkelanjutan atas sistem real-time online.
a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan
suatu program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini
memiliki keuntungan sebagai berikut :
1. Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
2. Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative
kecil.
3. Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris
diberikan guna menentukan bahwa data yang terpilih untuk simulasi mewakili
transaksi aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang
berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses
menurut pengendalian auditor dengan program computer klien. Metode ini memiliki
beberapa kekurangan yaitu :

Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang
periode

Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian

yang ada dan yang berfungsi yang diuji oleh program

Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system

Operator computer mengetahui bahwa data pengujian sedang dijalankan,

sehigga dapat mengurangi validitas output

Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang

pengendalian dalam aplikasi

c) Fasilitas pengujian integrasi

Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam
system teknologi informasi regular. Data pengujian, yang diberi kode secara khusus
untuk berhubungan dengan file master buatan, diperkenalkan ke dalam system
bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko
potensial terjadinya kekeliruan dalam data klien. Selain itu, modifikasi juga mungkin
diperlukan dalam program klien untuk mengakomodasi data buatan.
d) Pemantauan yang berkelanjutan terhadap system OLRT

Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi
terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini
menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki
karakteristik penting bagi auditor.
1. Memberi label pada transaksi. Meliputi penempatan suatu indicator atau
label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat
ditelusuri melalui system ketika sedang diproses.
2. Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu,
digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan
auditor ketika mereka muncul pada titik tertentu dalam system.
3. Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien
menggunakan pengendalian manual, pengendalian yang mengambil keuntungan
teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan
pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman,
(2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3)
mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi
dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5)
mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan
komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara
keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain
dalam program komputer. Prosedur pengendalian manual dan komputer terdiri atas
pengendalian menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian
umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka
pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat
keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat
tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka
organisasi aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi
masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain
untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara
dalam suatu cara yang efisien dan melalui proses otorisasi semestinya. Pengendalian
ini juga didesain untuk menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem
yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi
sistem dan untuk memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat
otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.

d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan

keyakinan memadai bahwa perangkat lunak sistem diperoleh atau dikembangkan
dengan cara yang efisien dan melalui proses otorisasi semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat
lunak sistem baru dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi
karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk memberikan
keyakinan bahwa:
(1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam
sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah
mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap
kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau
penghancuran data baik yang disengaja maupun yang tidak disengaja.
c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi bencana.
b) Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan
prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan
memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah
seluruhnya, dengan cermat, dan tepat waktu.
Pengendalian aplikasi mencakup:
a. Pengendalian atas masukan-didesain untuk memberikan keyakinan
memadai bahwa:
1. Transaksi diotorisasi
komputer.

sebagaimana

semestinya

sebelum

diolah

dengan

2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin
dan dicatat dalam file data komputer.
3. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali
secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk
memberikan keyakinan memadai bahwa
1. Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya
oleh komputer.
2. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
3. Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.
c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Hasil pengolahan adalah cermat.
(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapatkan
otor
(3) Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan oton
semestinya.

d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line

(1) Pengendalian masukan pada sistem on-line-didesain untuk memberikan key
bahwa:
- Transaksi di-entry ke terminal yang semestinya.
- Data di-entry dengan cermat.
- Data di-entry ke periode akuntansi yang semestinya.
- Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai transaks' sah
(valid).
- Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.
- Transaksi tidak di-entry lebih dari sekali.
- Data yang di-entry tidak hilang selama masa transmisi berlangsung.
- Transaksi yang tidak berotorisasi tidak di-entry selama transmisi berlangsung.
(2) Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan
keyakinan bahwa:
(i) Hasil penghitungan telah diprogram dengan benar.
(ii) Logika yang digunakan dalam proses pengolahan adalah benar.
(iii) File yang digunakan dalam proses pengolahan adalah benar.
(iv) Record yang digunakan dalam proses pengolahan adalah benar.
(v) Operator telah memasukkan data ke komputer console yang semestinya.
(vi) Tabel yang digunakan selama proses pengolahan adalah benar.
(vii) Selama proses pengolahan telah digunakan standar operasi (default) yang
semestinya.
(viii) Data yang tidak sah tidak digunakan dalam proses pengolahan.
(ix) Proses pengolahan tidak menggunakan program dengan versi yang salah.
(x) Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai
dengan kebijakan manajemen entitas.
(xi) Data masukan yang diolah adalah data yang berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk
keyakinan bahwa:
(i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang berotorisasi.

memberikan

Tabel dan 3 masing-masing menunjukkan contoh-contoh salah saji

potensial serta pengendalian yang diperlukan untuk pengendalian umum
dan pengendalian aplikasi.

Salah saji potensial

Pengendalian
yang Kemungkinan pengujian
diperlukan
pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat Pemisahan tugas dalam Mengamati
pemisahan
memodifikasi program ke teknologi informasi untuk tugas dalam teknologi
dalam
pengendalian pemrograman
komputer informasi
terprogram
dan
pengoperasian
komputer
Personel
teknologi Pemisahan tugas antar Mengamati
pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses transaksi teknologi informasi untuk pemakai dan pemrosesan
tanpa otorisasi
memulai dan memproses data elektronik
transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN

Rancangan
sistem
mungkin tidak memenuhi
kebutuhan
departemen
pemakai atau auditor

Perubahan program yang

tidak diotorisasi dapat
menghasilkan kekeliruan
pemrosesan yang tidak
diantisipasi

Partisipasi personel dari

departemen pemakai dan
audit
internal
dalam
merancang dan menyetujui
sistem baru

Pertanyaan
mengenai
partisipan yang terlibat
dalam perancangan sistem
baru, memeriksa bukti
untuk persetujuan sistem
baru
Memeriksa bukti verifikasi
intern;
menelusuri
perubahan program ke
dokumentasi
yang
mendukung

Pemeriksaan
intern
mengenai otorisasi yang
tepat,
pengujian
dan
pendokumentasian
dari
perubahan
program
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan dapat Pengendalian
perangkat Memeriksa
spesifikasi
menghasilkan kekeliruan keras dan perangkat lunak perangkat keras dan lunak
pemrosesan
sistem untuk mendeteksi sistem
kerusakan
Perubahan yang tidak Persetujuan
dan Memeriksa bukti dan
diotorisasi
dalam pendokumentasian
dari persetujuan
perangkat lunak sistem semua perubahan.
pendokumentasian
dapat
menghasilkan
perubahan.
kekeliruan pemrosesan
PENGENDALIAN AKSES
Pemakai tanpa otorisasi Keamanan
fisik
dan Memeriksa
pengaturan
dapat memeperoleh akses fasilitas
teknologi keamanan dan laporan
terhadap
peralatab informasi;
tinjauan penggunaan
teknologi informasi
manajemen
mengenai
laporan penggunaan.
Arsip data dan program Penggunaan
Memeriksa fasilitas dan
dapat diperbarui oelh perpusatakaan,
log
pemakai
yang
tidak pustakawan, dan log untuk
memiliki otorisasi
membatasi dan mengawasi
pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan
kelompok Mengamati pengopersian
dalam memasukkan atau pengendalian data yang kelompok
pegendalian
memproses data dan bertanggungjawab untuk data
mendistribusikan keluaran memelihara pengendalian
terhadap data masukan,
pemrosesan dan output.
Kontinuitas
Rencana
kontijensi Memeriksa
rencana
pengoperasian
dapat termasuk pengaturan untuk kontijensi
terganggu oleh suatu penggunaan
fasilitas
bencana seperti kebakaran cadangan
atau banjir

Arsip data dan program Penyimpanan

arsip
dapat rusak atau hilang
cadangan dan program off
premise; ketentuan untuk
rekonstruksi arsip data

Memeriksa
fasilitas
penyimpanan;
mengevalusasi
kemampuan rekonstruksi
arsip

Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian

umum pemrosesan data elektronik (EDP)

Salah saji potensial

Pengedalian
diperlukan

yang Kemungkinan pengujian

pengendalian

PENGENDALIAN INPUT
Data untuk transaksi yang Otorisasi dan persetujuan
tidak diotorisasi dapat data dari departemen
diserahkan untuk diproses pemakai;
pengendalian
aplikasi membandingkan
data dengan otorisasi
sebelumnya

Memeriksa
dokumen
sumber
dan
untuk
membuktikan persetujuan;
pengujian
aplikasi,
pengendalian
dengan
CAATs,
dan
mneguji
tindak lanjut manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi data
secara
tidak
benar total pengendalian
prosedur,
menggunakan
dikonversikan
dalam
CAATs untuk menguji
bentuk yang dapat dibaca
rutinitas
dan
menguji
oleh mesin
tindak
lanjut
manual;
memeriksa
rekonsiliasi
total pengendalian.
Kekeliruan pada dokumen Pemeliharaan dari log Memeriksa log dan bukti
sumber
tidak
dapat kekeliruan; pengembalian tindak lanjut.
diperbaiki dan diserahkan kepada
departemen
ulang
pengguna
untuk
diperbaiki; tindak lanjut
manual
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin Penggunaan label arsip Mengamati
penggunaan
diproses dan diperarui
eksternal dan internal
label
arsip
eksternal;
memeriksa
pendokumentasian
label
arsip internal
Data mungkin hilang, Penggunaan
total Memeriksa
bukti
ditambahkan, digandakan, pengendalian, batasan dan pengendalian rekonsiliasi
atau
diubah
selam pengujian,
pengujian total, menggunakan CAAT
pemrosesan
urutan
untuk
menguji
pengendalian
komputer
dan menguji tindak lanjut
manual
PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa
bukti
benar
kelompok
pengendalian rekonsiliasi

data atau departemen

pengguna
Output
mungkin Penggunaan
lembar
didistribusikan
kepada pengendalian
distribusi
pemakai
yang
tidak laporan;
monitoring
memiliki otorisasi
kelompok
pengendalian
data.

Memeriksa
lembar
pengendalian
pendistribusian
laporan,
mengamati
monitoring
kelompok
pengendalian
data.

Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian

aplikasi komputer
C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN
1. Pendekatan substantif utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen
pengendalian
intern
aktivitas
pengendalian.
Tingkat
pemahaman
dan
pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin
juga lebih sempit. Asumsi adanya salah satu dari hal-hal :

Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi

Setiap pengendalian intern yang relevan mungkin tidak efektif

Tidak efisien untuk memperoleh

pengendalian intern yang relevan

bukti

guna

mengevaluasi

efektivitas

Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian
pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari
risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya,
kombinasi biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2)
pengujian substantive yang diperlukan dengan asumsi adanya risiko pengendalian
yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive yang lebih
tinggi, yang diperlukan oleh pendekatan substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor
mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari
ketiga kondisi yang disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai
lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan
yang diperlukan untuk memperoleh bukti yang diperlukan guna mendukung
penilaian tingkat risiko pengendalian yang direncanakan pada tingkat sedang atau
rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam
kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko
pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive
untuk mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat
pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan.
Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari
rancangan maupun efektivitas dari pengoperasian pengujian pengendalian.

Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari

suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2)
konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa
pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk
memperoleh bukti semacam ini normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan
pelaksanaan pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian
terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan
menggunakan teknik audit berbbantuan komputer/CAAT. Pengguna dapat
menyediakan bukti mengenai baik rancangan yang efektif maupun pengopersaian
pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah
tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk
mendukung tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup
untuk mendukung tingkat risiko pengendalian taksiran merupakan masalah
pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan
kepada auditor pada waktu mengembangkan tingkat risiko pengendalian taksiran.
Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan
dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang
dapat diberikan oleh bukti audit.
a) Tipe Bukti Audit
Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe
bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng
tersebut. Untuk beberapa pengendalian, dokumentasi desain atau operasinya
mungkin ada Dalam hal tersebut, auditor dapat memutuskan untuk melakukan
inspeksi terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas
desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau
tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak
ada untuk beberapa faktor lingkungan pengendalian, seperti penetapan wewenang
dan tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian, seperti
mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang dilakukan
dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau
operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan
teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang
relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian
yang diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan,
memberikan keyakinan yang lebih besar daripada bukti audit yang diperoleh secara
tidak langsung atau dengan mengambil kesimpulan, misalnya dari permintaan
keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang
semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi
atas orang yang menerapkan prosedur pengendalian, biasanya memberikan
keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan
tentang orang tersebut. Namun, auditor harus mempertimbangkan, bahwa

penerapan pengendalian yang diamati, mungkin tidak dilaksanakan dengan cara

yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti
audit yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan
operasi pengendalian tertentu. Apabila auditor menentukan bahwa prosedur
pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi
risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan
pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung
kesimpulan mengenai efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan
hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam
mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus
memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas
pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu,
pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit
tersebut mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi
pengendalian untuk masa yang tidak termasuk dalam pengujian tersebut. Dalam hal
demikian, auditor mungkin memutuskan untuk menambah pengujian dengan
pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk
seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang
dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan
pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah program
tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan
pengujian atas pengendalian yang diarahkan terhadap desain dan operasi aktivitas
pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan
program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti
apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten
selama masa yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada
audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko
pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit
seperti itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya
asersi yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit
sebelumnya, tingkat efektivitas desain dan operasi pengendalian tersebut yang
dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan
evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari
pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus
memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian
pengendalian untuk mendapatkan bukti audit mengenai risiko pengendalian,
semakin kurang keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya
auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah
terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan,
prosedur dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai
perubahan tersebut, bersama-sama dengan pertimbangan mengenai hal yang
diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan
bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai
efektivitas desain dan operasi yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi
pengendalian selama masa interim, is harus menentukan bukti audit tambahan apa

yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut,
auditor harus mempertimbangkan pentingnya asersi yang bersangkutan,
pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas
desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian
pengendalian yang digunakan dalam membuat evaluasi terhadap lamanya waktu
yang masih tersisa dan bukti audit mengenai desain dan operasi yang mungkin
diperoleh dari pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor
harus mendapatkan bukti audit tentang sifat dan lingkup perubahan signifikan dalam
pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel, yang
terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit
yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan
yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti audit saja
mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi
pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan
pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya;
auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang
mengoperasikan komputer. Karena pengamatan hanya berkaitan dengan waktu
kegiatan tersebut dilakukan, auditor harus melengkapi pengamatannya dengan
permintaan keterangan mengenai seringnya atau dalam hal apa pemrogram dapat
melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang lalu,
yang pemrogram mencoba mengoperasikan komputer, untuk menentukan
bagaimana usaha tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti
audit, auditor harus mempertimbangkan keterkaitan lingkungan pengendalian
perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi,
dan pemantauan. Walaupun salah satu komponen pengendalian intern mungkin
mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan
keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masingmasing komponen dalam hubungannya dengan bukti audit mengenai komponen
lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama
mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh
bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti audit
mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi
pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan berkurang.
Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif,
auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun,
apabila dalam mengevaluasi prosedur pengendalian tertentu, auditor mendapatkan
bukti audit bahwa prosedur pengendalian tersebut tidak efektif, ia mungkin
mengevaluasi ulang kesimpulan mengenai lingkungan pengendalian antara lain
dengan menerapkan prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak
efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk
asersi tertentu. Misalnya, lingkungan pengendalian yang tampaknya memungkinkan
perubahan yang tidak diotorisasi dalam program komputer dapat mengurangi
keyakinan yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas
efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat
memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan
operasi program tersebut selama masa yang diaudit. Misalnya, auditor mungkin
meminta dan mengawasi satu copy program dan mempergunakan teknik audit

berbantuan komputer untuk membandingkan copy tersebut dengan program yang

dipakai perusahaan untuk memproses data.
Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir
risiko pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah
sifat saat, dan lingkup pengujian pengendalian lain yang sudah direncanakan untuk
menaksir risiko pengendalian. Di samping itu, mungkin ada informasi yang masuk ke
dalam perhatian auditor sebagai hasil pelaksanaan pengujian substantif atau dari
sumber lain selama melakukan audit, yang sangat berbeda dengan informasi yang
dijadikan dasar untuk perencanaan pengujian pengendalian dalam menaksir risiko
pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor ketika
melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai
tingkat risiko pengendalian taksiran. Dalam hal ini, auditor mungkin perlu
mengevaluasi ulang prosedur substantif yang direncanakan,yang berdasarkan atas
pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk seluruh
atau sebagian asersi laporan keuangan.
E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur
pemahaman atas struktur pengendalian intern dan pengujian pengendalian (test of
controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur
pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi
tentang desain struktur pengendalian intern dan informasi apakah desain tersebut
dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan
auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern
dalam mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini desebut
dengan pengujian pengendalian (test of controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua
macam pengendalian:
1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.
Untuk menentukan apakah informasi mengenai struktur pengendalian yang
dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam pengujian
:
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi
tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih
transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur
pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai
sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari
piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian
internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi
penerima cek disetor oleh fungsi penerima kas ke bank.
Pengujian transaksi tersebut dapat berupa :

Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan

surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat.
Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi
penerima surat dan cek ke fungsi penerima kas serta pengiriman surat
pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.

Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati

endorsement atas setiap cek oleh pejabat yang berwenang, memastikan
bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan

rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat
oleh fungsi penerima surat.

Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak

melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari
piutang disetor seleruhnya ke bank dengan segera.

Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam

kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.

b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.

Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih
transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur
pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai
sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari
piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian
internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak
dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi
penerima cek disetor oleh fungsi penerima kas ke bank.
Pengujian transaksi tersebut dapat berupa :

Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan

surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat.
Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi
penerima surat dan cek ke fungsi penerima kas serta pengiriman surat
pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.

Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati

endorsement atas setiap cek oleh pejabat yang berwenang, memastikan
bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan
rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat
oleh fungsi penerima surat.

Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak

melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari
piutang disetor seleruhnya ke bank dengan segera.

Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam

kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.

Dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian terhadap

transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan akuntansi.
Dalam hal ini auditor harus memilih transaksi tertentu kemudian mengikuti
pelaksanaanya (reperforming) sejak awal sampai selesai, melalui dokumen-dokumen
yang dibuat dalam transaksi tersebut dan pencatatannya dalam catatan akuntansi.
Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar dilaksanakan
sesuai dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor
memeriksa surat permintaan pembelian, surat penawaran harga, surat order
pembelian, laporan penerimaan barang dan bukti kas keluar. Informasi yang perlu
diperiksa di sini adalah tanda tangan otorisasi pejabat yang berwenang, untuk
membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar
dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak hanya
berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian intern,
namun auditor juga berkepentingan terhadap tingkat kepatuhan klien terhadap

pengendalian intern. Dalam pengujian tingkat kepatuhan klien terhadap

pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut ini :

Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen

pendukungnya (surat order pembelian, laporan penerimaan barang, dan
faktur dari pemasok) serta tanda tangan pejabat yang berwenang baik dalam
bukti kas keluar maupun dokumen pendukungnya. Tujuan pengujian ini adalah
untukmendapat kepastian transaksi pembelian telah diotorasi oleh pejabatpejabat berwenang.

Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang

merupakan kombinasi antara pengujian yang tujuannya untuk menilai
efektivitas pengendalian intern (pengujian pengendalian) dan pengujian yang
tujuannya menilai kewajaran informasi yang disajikan dalam laporan
keuangan (pengujian substantif).

F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang
berkenaan dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas.
Penilaian tersebut kemudian digunakan untuk menilai risiko pengendalian asersi
saldo akun yang signifikan sehingga kesesuaian dari tingkat pengujian substantif
yang direncanakan untuk saldo akun dapat ditentukan, dan pengujian substantif
khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk akunakun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akunakun yang dipengaruhi oleh kelas transaksi ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi
oleh suatu kelas transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan
kepada akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini
merupakan kasus dalam kebanyakan akun laporan laba rugi. Sebagai contoh,
penjualan meningkat oleh kredit untuk transksi penjualan dalam siklus pendapatan,
dan banyak akun beban meningkat dengan mendebet transaksi pembelian dalam
siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk
setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk
asersi kelas transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian atas
asersi keberadaan atau keterjadian untuk saldo akun penjualan seharusnya sama
dengan penilaian risiko pengendalian atas asersi keberadaan atau keterjadian untuk
transaksi penjualan. Demikian pula, penilaian risiko pengendalian atas asersi
pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban harus
sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi
oleh suatu kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas
transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas
dalam siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam
siklus pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi
saldo akun memerlukan pertimbangan atas penilaian risiko pengendalian yang
relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi neraca.
Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi
untuk saldo kas didasarkan pada penilaian risiko pengendalian untuk asersi penilaian
atau alokasi baik untuk transaksi penerimaan kas maupun transaksi pengeluaran
kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko
pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada penilaian
risiko pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas

transaksi dipengaruhi saldo akun tersebut, dengan satu pengecualian utama.

Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi
kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan
dengan asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan
hubungan yang tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini
menunjukkan penilaian risiko pengendalian yang relevan dengan asersi kelas
transaksi yang digunakan untuk menilai risiko pengendalian dari asersi keberadaan
atau keterjadian dan asersi kelengkapan untuk saldo kas.
Tabel Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

Asersi Saldo Kas di Penilaian Risko Pengendalian Penjelasan

mana
Risiko yang Relevan untuk Kelas
Pengendalian Dinilai
Transaksi yang Mempengaruhi
Saldo Kas
Keberadaan
Kejadian

atau Keberadaan atau keterjaidan dari Jika beberapa penerimaan

penerimaan kas meningkatkan kas yang tercatat tidak
risiko.
terjadi, sebagian dari saldo
kas tidak ada.

Keberadaan atau keterjadian Jika beberapa pengeluaran

pengeluaran
kas
yang kas yang tercatat tidak
menurunkan saldo.
muncul, saldo kas tidak
lengkap.

Kelengkapan

Kelengkapan dari pengeluaran

kas yang menurunkan saldo.
Jika beberapa pengeluaran
kas tidak dicatat, bagian dari
saldo kas tidak ada lagi

Kelengkapan dari penerimaan

kas yang meningkatkan saldo.
Jika beberapa penerimaan
kas tidak dicatat, saldo kas
tidak lengkap

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko
pengendalian berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya
mengenai bagian pengendalian intern yang relevan berdasarkan pengujian
pengendalian:

Asersi

Penilaian Risiko
Pengendalian

Keberadaan atau keterjadian dan penerimaan kas

Rendah

Kelengkapan dari penerimaan kas

Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan
berbeda, auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai
suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor akuntan publik
memilih untuk menggunakan penilaian relevan yang paling konservatif (paling
tinggi). Demikian pula halnya jika penilaian risiko pengendalian auditor atas asersi
penilaian atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas masingmasing berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas
asersi penilaian atau alokasi untuk saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya
risiko pengendalian tersebut dibandingkan dengan penilaian tingkat risiko
pengendalian yang direncanakan. Ketika tingkat yang direncanakan didukung,
auditor dapat melanjutkan untuk merancang pengujian substantif berdasarkan
strategi audit pendahuluan. Jika tingkat risiko pengendalian yang direncanakan untuk
dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan pengujian
audit yang berhubungan seharusnya direvisi untuk memperoleh tingkat risiko audit
yng diinginkan.
4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko
pengendalian (documentation of the controls risk assesment). Persyaratan tersebut
adalah sebagai berikut :

Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini

yang diperlukan untuk didokumentasikan.

Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk

penilaian harus didokumentasikan.

AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk

pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan
menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan
keuangan.
Pendekatan
ini
diilustrasikan
dalam
gambar
10-10,
yang
mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan
yang terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk
asersi kelengkapan telah diberikan, di mana hanya kesimpulan yang dinyatakan
ketika penilaian berada pada tingkat maksimum, seperti ditunjukkan untuk asersi
hak dan kewajiban.
5. Mengkomunikasikan Masalah Pengendalian Intern
Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau
personel entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi
tertentu yang berhubungan dengan pengendalian intern suatu entitas yang diamati
selama audit laporan keuangan. AU 325, Communication of Internal Control Related
Matters Noted in a Audit (SAS 60 dan SAS 78) mendefinisikan suatu kondisi yang
dapat dilaporkan (Reportable condition) sebagai berikut :
masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya,
seharusnya dikomunikasikan dengan komite audit karena menyajikan kekurangan
yang signifikan dalam rancangan dan pengoperasian pengendalian intern yang
dapat secara berlawanan mempengaruhi kemampuan organisasi untuk mencatat,

memproses, meringkas, dan melaporkan data keuangan secara konsisten dengan

asersi manajemen dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk
kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan suatu
kelemahan material (material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari
satu atau lebih komponen pengendalian intern tidak dapat mengurangi tingkat risiko
salah saji sampai ke tingkat yang rendah karena kekeliruan atau kecurangan di mana
jumlah yang material dalam hubungannya dengan laporan keuangan yang sedang
diaudit dapat muncul dan tidak dapat dideteksi selama satu periode secara tepat
waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi yang
ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan
kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam
komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern
adalah suatu produk penting yang menggunakan pengetahuan yang diperoleh
auditor selama audit laporan keuangan. Auditor akan secara normal mengevaluasi
apakah klien memiliki pengendalian yang cukup untuk mengatasi masalah yang
diciptakan oleh risiko usaha suatu entitas. Sebagai contoh, dalam usaha untuk
mengelola sistem persediaan just-in-time, klien mungkin merancang suatu sistem
yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas
persedian kepada penjual dan memesan barang ketika persediaan berada di bawah
tingkat yang telah ditentukan. Pengendalian intern klien seharusnya menyediakan
keyakinan yang memadai bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki
pada waktu yang tepat. Manajemen dan komite audit tertarik pada hasil evaluasi
auditor tentang kualitas sistem pengendalian intern mereka.