Penilaian Kontrol dan Pengujian Kontrol

A. Penilaian Resiko Kontrol

Penilaian Resiko Kontrol merupakan suatu proses mengevaluasi efektivitas
pengngontrolan intern suatu entitas dalam mencegah atau mendeteksi salah saji yang
material dalam laporan keuangan.
Tujuan dari menilai risiko kontrol adalah untuk membantu auditor dalam membuat
suatu pertimbangan mengenai risiko salah saji yang material dalam asersi laporan
keuangan. Risiko pengendalian, seperti komponen lain dalam model risiko audit, dinilai
dalam asersi laporan keuangan individual. Sistem akuntansi berfokus kepada pemrosesan
transaksi, dan banyak aktivitas pengendalian berhubungan dengan pemrosesan suatu
jenis transaksi tertentu.
Dalam membuat penilaian risiko kontrol untuk suatu asersi adalah penting bagi
auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah kontrol yang berhubungan
dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen
entitas.
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi
entitas,
3. Mengidentifikasikan kontrol yang diperlukan yang mungkin akan mencegah
atau mendeteksi dan memperbaiki salah saji,
4. Melaksanakan pengujian kontrol terhadap pengendalian yang diperlukan
untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian
tersebut,
5. Mengevaluasi bukti dan membuat penilaian
1) Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh
suatu pemahaman
Auditor mengidentifikasikan

pemahaman

dalam

bentuk

kuisioner

pengendalian intern yang telah dilengkapi, bagan arus, dan atau memorandum
naratif. Analisis mengenai pendokumentasian merupakan titik awal untuk menilai
risiko pengendalian. Untuk kebijakan an prosedur yang relevan dengan asersi
tertentu, auditor mempertimbangkan dengan kehati-hatian suatu jawaban dalam
komentar tertulis di dalam kuisioner dan kekuatan serta kelemahan yang dicatat

dalam bagan arus dan memorandum naratif. Biasanya bukti tersebut tidak cukup
untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah,
tetapi mungkin untuk mendukung suatu risiko pengendalian yang tinggi.
2) Mengidentifikasi salah saji potensial
Auditor perlu memahami logika bahwa system pendukung keputusan yang
terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk
menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan
tertentu. Salah saji potensial dapat diidentifikasikan untuk asersi yang
berhubungan dengan setiap kelas transaksi utama dan untuk asersi yang
berhubungan dengan setiap saldo akun yang signifikan.
3) Mengidentifikasi kontrol yang diperlukan
Seorang auditor dapat mengidentifikasi kontrol yang diperlukan yang mungkin
dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu
dengan menggunakan perangkat lunak computer yang memroses jawaban
kuisioner pengendalian intern atau dengan secara manual menggunakan daftar.
Menspesifikasikan kontrol yang diperlukan juga memerlukan pertimbangan
mengenai situasi dan penilaian. Jika volume transaksi pengeluaran kas kecil dan
pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi
bank harian secara independen dan periodic mungkin sudah cukup untuk
mengkompensasi kurangnya pengujian independen harian.
4) Melaksanakan pengujian control
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan
computer, bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan
mengamati personel klien dalam melaksanakan kontrol. Hasil dari setiap
pengujian kontrol seharusnya menyediakan bukti mengenai efektivitas dari
rancangan dan operasi dari pengendalian yang diperlukan.
5) Mengevaluasi bukti dan membuat penilaian
Menentukan tingkat risiko kontrol yang dinilai merupakan masalah
pertimbangan professional. Dengan memperhatikan sumber bukti, pengamatan
pribadi auditor secara langsung terhadap pemisahan tugas biasanya menyediakan
lebih banyak keyakinan daripada membuat pertanyaan mengenai individu. Auditor
seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu
pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika auditor

tidak hadir. Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif

maupun kualitatif.

MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI

INFORMASI
Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
1. Menilai risiko pengendalian berdasarkan pengendalian pemakai
2. Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan pengendalian
aplikasi
3.
Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada
pengendalian umum dan tindak lanjut manual
Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan
dan keakuratan dari transaksi yang diproses oleh computer. Jika terdapat prosedur semacam
itu, maka auditor dapat menguji pengendalian pemakai yang berhubungan dengan suatu
asersi secara langsung, serupa dengan pengujian pengendalian dalam struktur manual.
Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap komplektisitas
program computer.
Pengendalian Aplikasi
Dalam rangka melaksanakan strategi ini auditor seharusnya :
- Menguji pengendalian aplikasi computer
- Menguji pengendalian umum computer
- Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian
berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah
pengendalian yang terprogram beroperasi secara konsisten selama periode audit.
Pengendalian umum dan prosedur tindak lanjut
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor
untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum
dan prosedur tindak lanjut manual.
Teknik audit berbantuan computer
Meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi.
Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan

pengendalian pemrosesan terprogram. Auditor mungkin menemukan bahwa penggunaan

computer dalam pengujian pengendalian menguntungkan apabila :
1.
Bagian signifikan dari pengendalian intern terdapat dalam suatu program computer
2. Terdapat batas yang signifikan dalam jejak audit yang dapat dilihat
3. Terdapat volume catatan dalam jumlah besar untuk diuji
Simulasi parallel
Dalam simulasi parallel data perusahaan actual diproses ulang dengan menggunakan suatu
program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki
keuntungan sebagai berikut :
Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
- Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil
- Auditor dapat secara independen menjalankan pengujian
Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut
pengendalian auditor dengan program computer klien. Metode ini memiliki beberapa
kekurangan yaitu :
- Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode
- Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian yang ada dan
yang berfungsi yang diuji oleh program
- Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system
Operator computer mengetahui bahwa data pengujian sedang dijalankan, sehigga dapat
mengurangi validitas output
- Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang pengendalian
dalam aplikasi
Fasilitas pengujian integrasi
Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam system
teknologi informasi regular. Data pengujian, yang diberi kode secara khusus untuk
berhubungan dengan file master buatan, diperkenalkan ke dalam system bersamaan dengan
transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan
dalam data klien. Selain itu, modifikasi juga mungkin diperlukan dalam program klien untuk
mengakomodasi data buatan.
Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi terhadap file data
dan kesulitan dalam menyimpan data hipotesis. Modul audit ini menyediakan suatu cara bagi
auditor untuk memilih transaksi yang memiliki karakteristik penting bagi auditor.

Memberi label pada transaksi. Meliputi penempatan suatu indicator atau label pada

transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri melalui system ketika
sedang diproses.
- Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu, digunakan untuk
mencatat kejadian yang memenuhi criteria yang ditentukan auditor ketika mereka muncul
pada titik tertentu dalam system.
Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan
pengendalian manual, pengendalian yang mengambil keuntungan teknologi informasi atau
keduanya. Penting untuk (1) mempertimbangkan pengetahuan yang diperoleh dari prosedur
untuk memperoleh suatu pemahaman, (2) mengidentifikasikan salah saji potensial yang
muncul dalam asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah
atau mendeteksi dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian
pengendalian, (5) mengevaluasi bukti dan membuat penilaian.

DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

Pendekatan substantive utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen pengendalian
intern aktivitas pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat
komponen lain dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah
satu dari hal-hal :
- Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi
- Setiap pengendalian intern yang relevan mungkin tidak efektif
- Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas pengendalian intern
yang relevan
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian
pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko
pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi
biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2) pengujian
substantive yang diperlukan dengan asumsi adanya risiko pengendalian yang lebih rendah
dari biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi, yang diperlukan oleh
pendekatan substantive utama.
Tingkat risiko pengendalian yang dinilai lebih rendah

Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin
menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang
disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih
rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan
untuk memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko
pengendalian yang direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas
kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual
pada tingkat sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat
risiko pendeteksian yang lebih rendah akan sesuai.
MERANCANG PENGUJIAN PENGENDALIAN
Tujuan meliai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan
mengenai risiko salah saji material dalam asersi laporan keuangan. Pengujian untuk
memperoleh bukti semacam ini normalnya meliputi :
- Pertanyaan terhadap personel entitas yang sesuai
Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan
pengendalian
- Pengamatan atas penerapan pengendalian
- Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Jiak auditor menilai risiko pengendalian pada tingkat dibawah maksimum, maka ia perlu
melaksanakan pengujian pengendalian untuk memperoleh bukti yang cukup untuk
mendukung penilaian tersebut.

Jenis bukti. Meliputi pertanyaan, pemeriksaan dokumen atau laporan, pengamatan,

peaksanaan ulang dari pengendalian, atau teknik audit berbantuan computer.

Sumber bukti. Berhubungan dengan bagaimana auditor memperoleh bukti, auditor perlu
mempertimbangkan bahwa penerapan suatu pengendalian yang diamati mungkin tidak
dilaksanakan dengan cara yang sama ketika auditor tidak hadir

Ketepatan waktu bukti. Berhubungan dengan kapan bukti diperoleh dan bagian dari
periode audit dimana bukti diterapkan.

Keberadaan bukti lain. Hanya dengan mengajukan pertanyaan biasanya auditor tidak
akan menghasilkan bukti yang cukup untuk mendukung suatu kesimpulan mengenai
pengoperasian yang efektif dari pengendalian intern. Alternative lain mungkin mengamati
bahwa seorang programmer tidak memiliki akses untuk mengoperasikan computer.
PERTIMBANGAN TAMBAHAN
Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi tunggal

Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akunakun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus dalam
kebanyakan akun laporan laba rugi
Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi ganda
Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi
kelengkapan untuk suatu kelas transaksi yang menurunkan saldo akun berhubungan dengan
asersi berlawanan yang dipengaruhi.
Mengkombinasikan penilaikan risiko pengendalian yang berbeda
Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda,
auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu penilaian
kombinasi. Kemungkinan lain, beberapa kantor akuntan public memilih untuk menggunakan
penilaian relevan yang paling konservatif.
Mendokumentasikan penilaian tingkat risiko pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian

penilaian

risiko

pengendalian. Persyaratan tersebut adalah :

- Risiko pengendalian dinilai pada tingkat maksimum
- Risiko pengendalian dinilai pada tingkat di bawah maksimum
Mengkomunikasikan masalah pengendalian intern
Auditor diminta untuk mengidentifikasikan dan melapor pada komite audit dengan otoritas
dan tanggung jawab yang sama, kondisi tertentu yang berhubungan dengan pengendalian
intern suatu entitas yang diamati selama audit laporan keuangan.
Auditor akan secara normal mengevaluasi apakah klien memiliki pengendalian yang cukup
untuk mengatasi masalah yang diciptakan oleh risiko usaha suatu entitas. Pengendalian intern
klien seharusnya menyediakan keyakinan yang memadai bahwa salah saji dapat dicegah,
dideteksi, dan diperbaiki pada waktu yang tepat.