2. Penilaian risiko
Istilah penilaian risiko dapat dilihat dari sisi entitas dan auditor. Entitas menilai risiko
dari sudut pandangan ancaman terhadap pencapaian tujuan entitas. Di pihak lain, auditor
menilai resiko sebagai bagian dari proses auditnya. Jika proses penilaian risiko pada entitas
yang bersangkutan (disingkat PPRE) tepat atau sesuai dengan situasi yang dihadapi entitas
itu, maka PPRE ini mendukung upaya auditor untuk menilai seberapa besar risiko salah saji
yang material dalam laporan keuangan yang di auditnya.
PPRE pada umumnya berurusan dengan hal-hal berikut:
Perubahan dalam lingkungan operasi entitas
Pejabat atau karyawan senior yang baru bergabung dengan entitas
Sistem yang baru atau yang mengalami perubahan besar-besaran
Pertumbuhan yang cepat
Teknologi baru
Model bisnis, produk, atau kegiatan baru
Restrukturisasi korporasi (termasuk akuisisi dan divestasi)
Perluasan kegiatan di luar negeri
Terbitnya pernyataan akuntansi yang baru
Hal-hal yang menjadi perhatian auditor:
Penentuan mengenai resiko yang relevan terhadap pelaporan keuangan
Penaksiran seberapa signifikan dampak risiko tersebut
Penilaian tentang seberapa besar potensi terjadinya risiko tersebut
Putusan mengenai bagaimana mengenai risiko tersebut dalam konteks auditnya
4. Aktivitas pengendalian
Kegiatan-kegiatan pengendalian adalah kebijakan dan prosedur yang memastikan
bahwa petunjuk dan arahan manajemen telah dilaksanakan. Kegiatan pengendalian dirancang
untuk menanggulangi risiko yang biasa terjadi dalam kegiatan sehari-hari yang dilakukan
perusahaan. Proses bisnis merupakan perangkat terstruktur dari kegiatan-kegiatan yang
menghasilkan output tertentu. Pengendalian proses bisnis lazimnya dapat digolongkan seperti
di bawah ini.
Dalam entitas yang lebih kecil, konsep yang mendasari kegiatan pengendalian serupa
dengan pada entitas besar, namun relevansinya bagi auditor bisa berbeda.
Banyak pengendalian berjalan secara informal dan mungkin tidak di dokumentasikan
dengan baik, bahkan mungkin tidak di dokumentasikan sama sekali.
Kegiatan pengendalian jika memang ada, berhubungan dengan siklus transaksi utama
seperti pembelian dari penjualan.
5. Pemantauan
Pemantauan dapat menilai efektifnya kinerja pengendalian internal dengan tujuan
untuk memastikan bahwa pengendalian berjalan sebagaimana seharusnya. Pemantauan
memberikan umpan balik kepada manajemen untuk mengatasi resiko. Sumber informasi
untuk pemantauan sendiri biasanya dihasilkan oleh system informasi entitas itu sendiri.
Ketika auditor mengevaluasi pemantauan atas pengendalian, ia perlu memahami :
Sumber informasi yang berkaitan dengan kegiatan pemantauan
Apa yang mendasari kesimpulan manajemen bahwa informasi tersebut cukup andal
untuk pemantauan.
Pemantauan memberikan umpan balik kepada manajemen mengenai apakah sistem
pengendalian internal yang dirancang untuk mengatasi risiko:
Efektif dalam mencapai tujuan pengendalian yang ditetapkan
Dilaksanakan dan dipahami dengan baik oleh karyawan
Digunakan dan di taati setiap hari
Dimodifikasi atau disempurnakan sesuai dengan perubahan kondisi
Kegiatan pemantauan oleh manajemen juga dapat meliputi penggunaan informasi dari
pihak eksternal yang mengindikasikan masalah atau yang menyoroti area yang memerlukan
penyempurnaan, seperti:
Keluhan dari pelanggan
Komentar dari lembaga pengatur seperti lembaga keuangan dan regulator
Komunikasi mengenai pengendalian internal dari auditor dan konsultan eksternal
Pengendalian internal pada entitas kecil tidak berpusat pada pengendalian spesifik atau
transaksi. Mengevaluasi control environment sangat berbeda dari kegiatan pengendalian yang
tradisional (traditional control activities), karena menyangkut penilaian atas perilaku, sikap,
kompetensi, dan tindakan manajemen. Penilaian terhadap hal-hal tersebut didokumentasikan
dalam memo atau dengan kuesioner.
Tidak semua pengendalian relevan bagi audit itu. Auditor hanya perlu memperhatikan
pemahaman dan evaluasi atas pengendalian yang memitigasi risio salah saji material dalam
laporan keuangan (karena kecurangan atau kesalahan). Ini berarti,
Tidak semua pengendalian relevan bagi audit itu.auditor hanya perlu memperhatikan
pemahaman dan evaluasi atas pengendalian yang memitigasi risiko salah saji yang material
dalam laporan keuangan (karena kecurangan atau kesalahan). Ini berarti, pengendalian tertentu
dapat dikeluarkan dari lingkup audit, seperti pengendalian yang:
Tidak berurusan dengan pelaporan keuangan
Sekalipun tidak ada, kemungkina terjadinya salah saji material dalam laporan keuangan
sangat kecil.