BAB VIII

PENETAPAN RISIKO PENGENDALIAN DAN PENGUJIAN

PENGENDALIAN
Seperti telah disebutkan pada bab yang lalu, metodologi yang digunakan
auditor untuk inernenuhi sandar pekerjaan lapangan kedua meliputi tiga kegiatan,
yaitu : (1) mendapatkan pemahaman yang cukup tentang struktur pengendalian intern
yang berlaku pada perusahaan klien untuk merencanakan audit, (2) menetapkan risiko
pengendalian untuk setiap asersi penting yang terdapat pada saldo rekening,
kelompok transaksi, dan komponen pengungkapan dalam laporan keungan, dan (3)
merancang pengujian substantif untuk setiap asersi laporan keuangan yang signifikan.
Kegiatan pertama telah diucaikan pada Bab 7. Kegiatan kedua akan dibahas pada bab
ini, dan kegiatan ketiga akan dijelaskan pada Bab 9.
Bab ini akan dimulai dengan memberikan gambaran umum tentang
metodologi untuk rnenetapkan risiko untuk kelompok transaksi. Akan dijelaskan pula
tentang perbedaan metodologi yang bisa digunakan untuk berbagai bagian audit pada
kedua strategi audit awal. Selanjutnya akan dibahas secara lebih mendalam tentang
prosedur audit yang disebut pengujian pengendalian. Pada bagian berikutnya akan
dijelaskan tentang beberapa pertimbangan khusus di dalam menetapkan risiko
pengendalian, termasuk penetapan risiko pengebdalian untuk asersi-asersi saldo
rekening yang dipengaruhi oleh satu atau beberapa kelompok transaksi, kebutuhan
untuk mendokumentasikan penetapan risiko pengendalian, dan komunikasi yang
dilakukan auditor tentang hal-hal yang berkaitan dengan struktur pengendalian intern.

PENETAPAN RISIKO PENGENDALIAN

Penetapan risiko pengendalian adalah proses penilaian tentang efektivitas
rancangan dan pengoperasian kebijakan dan prosedur struktur pengendalian intern
suatu perusahaan dalam mencegah dan mendeteksi salah saji material dalam laporan
keuangan. Risiko pengendalian ditetapkan untuk masing-masing asersi laporan
keuangan, tetapi mengingat bahwa sistern akuntansi difokuskan pada pengolahan
transaksi, dan karena banyak kegiatan pengendalian berkaitan dengan jenis-jenis
transaksi tertentu, maka auditor biasanya memulai dengan menetapkan risiko untuk
asersi-asersi kelompok transaksi seperti asersi keberadaan atau keterjadian,
kelengkapan, dan penilaian atau pengalokasian untuk transaksi-transaksi penerimaan
kas dan pengeluaran kas. Hasil penetapan resiko tersebut kemudian digabungkan
sedemikian rupa sehingga dapat ditetapkan risiko pengendalian untuk asersi-asersi
saldo cekening yang bersangkutan yang dipengaruhi oleh kelompok-kelompok
transaksi tersebut. Sebagai contoh, risiko pengendalian yang relevan untuk transaksi
penerimaan kas dan transaksi pengeluaran kas digabungkan agar dapat ditetapan
risiko untuk asersi-asersi saldo rekening kas. Perlu diingat bahwa penetapan resiko
pengendalian dilakukan untuk masing-masing asersi, bukan untuk struktur
pengendalian intern keseluruhan, masing-masing komponen struktur pengendalian,
ataupun masing-masing kebijakan atau prosedur.
Dalam menetapkan risiko pengedalian untuk suatu asersi, auditor perlu
melakukan hal-hal berikut :
 Mempertimbangkan pengetahuan yang diperoleh dari prosedur-prosedur untuk
mendapatkan pemahaman tentang apakah pengendalian yang berhubungan
dengan asersi telah dirancang dan dioperasikan oleh manajemen perusahaan.
 Menigidentifikasi salah saji potensial yang dapat terjadi dalam asersi perusahaan
 Mengidentifikasi pengendalian yang diperlukan yang diperkirakan akan mampu
untuk mencegah dan mendeteksi salah saji.
 Melakukan pengujian pengendalian terhadap pengendalian-pengendalian yang
diperlukan unuk menetapkan efektivitas rancangan dan pengoperasiannya.
 Mengevaluasi bukti dan menetapkan risiko.
Pengujian pengendalian tidak diperlukan, apabila risiko pengendalian
ditetapkan pada tingkat maksimum. Dalam uraian di bawah ini akan dijelaskan
masing-masing langkah dalam proses penetapan resiko di atas.

MEMPERTIMBANGKAN PENGETAHUAN YANG DIPEROLEH DARI

PROSEDUR-PROSEDUR UNTUK MENDAPATKAN PEMAHAMAN
Seperti telah dijelaskan pada Bab 7, auditor melaksanakan prosedur-prosedur
untuk mendapatkan pemahaman atas kebijakan dan prosedur SPI untuk asersi-asersi
laporan keuangan yang signifikan. Auditor mendokumentasikan pemahamannya
dalam bentuk daftar pertanyaan pengendalian intern, bagan alir, dan/atau
memorandum naratif. Analisis atas dokumentasi tersebut merupakan titik tolak untuk
menetapkan risiko pengendalian. Secara spesifik, SA 319 menyatakan bahwa
pemahaman digunakan oleh auditor untuk (1) mengidentifikasi jenis-jenis salah saji
potensial dan (2) mempertimbangkan faktor-faktor yang bisa mempengaruhi risiko
salah saji material, seperti apakah pengendalian yang diperlukan untuk mencegah
atau mendeteksi salah saji telah dirancang dan dioperasikan. Oleh karena itu, untuk
kebijakan dan prosedur yang relevan dengan asersi-asersi tertentu, auditor harus
mempertimbangkan dengan cermat jawaban Ya, Tidak, atau TD, serta komentar
tertulis dalam daftar pertanyaan, dan catatan mengenai kekuatan dan kelemahan
dalam bagan alir serta memorandum naratif.

MENGIDENTIFIKASI SALAH SAJI POTENSIAL

Seperti telah disebutkan pada Bab 7, dewasa ini banyak kantor akuntan publik
menggunakan perangkat lunak komputer yang menghubungkan jawaban atas
pertanyaan tertentu, langsung ke daftar pertanyaan di komputer, dan komputer akan
menunjukkan salah saji potensial untuk asersi tertentu. Dengan bantuan perangkat
komputer atau dengan menggunakan daftar pengecekan (checklist), auditor
mengidentifikasi salah saji potensial yang berkaitan dengan asersi tertentu sesuai
dengan keadaan perusahaan.
Salah saji potensial bisa diidentifikasi untuk asersi-asersi yang berkaitan
dengan masing-masing kelompok transaksi dan untuk asersi-asersi pada setiap saldo
rekening signifikan. Sebagai contoh, salah saji potensial bisa diidentifikasi untuk
asersi-asersi pengeluaran kas dan untuk dua rekening paling utama yang terpengaruh
oleh pengeluaran kas, yaitu kas dan utang dagang. Cara bagaimana salah saji dalam
asersi-asersi kelompok transaksi dapat mempengaruhi asersi-asersi saldo rekening
akan dijelaskan kemudian. Contoh salah saji potensial untuk berbagai asersi yang
berkaitan dengan transaksi pengeluaran kas dapat dilihat pada kolom 1 dalam gambar
8-1.
 Gambar 8-1
Salah Saji Potensial Pengendalian yang Diperlukan, dan Pengujian Pengendalian
pada Transaki Pengeluaran kas
Salah saji potensial Pengendalian yang diperlukan
/Asersi
Pengeluaran kas bisa Voucher pembayaran yang telah
dilakukan untuk disetujui harus dibandingkan
tujuan tertentu tanpa dengan dokumen pendukung
diotorisasi (faktur, laporan penerimaan
(keberadaan atau barang, dan order pembelian
keterjadian transaksi yang telah mendapat
yang sah persetujuan) untuk setiap
transaksi pengeluaran kas.
Pengujian Pengendalian
Pilih suatu sampel
transaksi pengeluaran kas,
dan tentukanlah apakah
voucher pembayaran telah
mendapat persetujuan dan
cocokkan dengan
dokumen pendukung
untuk setiap pengeluaran
kas.

Cek hanya boleh ditanda-tangani Observasi orang-orang

oleh orang yang ditunjuk
perusahaan.
yang bertugas
menandatangani cek/atau
bandingkan tandatangan
orang-orang tersebut
dengan contoh
tandatangan dalam arsip
perusahaan.

Pemisahan tugas antara pemberi Observasi pemisahan tugas

persetujuan pembayaran voucher
dengan penandatangan cek.

Voucher bisa Voucher pembayaran dan Observasi pemberian cap

digunakan dua kali dokkumentasi pendukung “Lunas” pada dokumen-
(keberadaan atau pembayaran harus dibubuhi cap dokumen atau periksa
keterjadian transaksi “Lunas” jika cek telah suatu sampel dokumen
yang sah) diterbitkan. yang telah dibayar dan
pastikan bahwa dokumen
tersebut telahb diberi cap
“Lunas”.
Cek bisa diterbitkan Penandatangan cek harus Observasi bagaimana
dengan jumlah yang memeriksa rincian dalam cek penandatangan cek
salah (penilaian atau dengan voucher pembayaran, melakukan pengecekan
pengalokasian) sebelum cek ditandatangani. independen tentang
 kecocokan, dan/atau
lakukan pengecekan
independen.

Transaksi Semua transaksi pembayaran Tanyakan tentang metode

pengeluaran kas dilakukan dengan menggunakan untuk melakukan
mungkin tidak cek. pengeluaran kas, dan
dicatat (kelngkapan) periksa buku cek.
atau bisa juga dicatat
dengan jumlah yang Semua cek harus bernomor Periksa buku cek untuk
salah (penilaian atau tercetak dan memastikan bahwa semua
pengalokasian). dipertanggungjawabkan. cek telah bernomor
tercetak dan periksa urutan
pemakainnya dengan
membandingkannya pada
register cek atau jurnal
pengeluaran kas.

Cek yang belum digunakan Observasi penanganan dan

harus disimpan pada tempat penyimpanan cek.
yang aman.

Pengecekan secara independen Observasi pelaksanaan

antara ikhtisar cek yang pengecekan independent
diterbitkan dengan penjurnalan dan.atau lakukan
ke pengeluaran kas. pengecekan independent.

Rekonsiliasi bank periodic Observasi pembuatan

secara independen. rekonsiliasi bank dan atau
pemeriksaan rekonsiliasi
bank.

MENGIDENTIFIKASI PENGENDALIANYANG DIPERLUKAN

Auditor bisa mengidentifikasi pengendalian yang diperlukan yang
diperkirakan bisa mencegah atau mendeteksi salah saji potensial tertentu, baik dengan
menggunakan perangkat lunak komputer ataupun secara manual, yaitu dengan
menggunakan daftar pengecekan. Kolom 2 dalam Gambar 8-1 menunjukkan daftar
tentang hal-hal tersebut. Namun perlu diperhatikan bahwa dalam keadaan tertentu,
suatu salah saji potensial tertentu bisa berkaitan dengan beberapa pengendalian, tetapi
dalam situasi yang lain hanya berkaitan dengan satu pengeridalian saja. Selain itu,
satu pengendalian bisa berkaitan dengan lebih dan satu jenis salah saji potensial.
Sebagai contoh, pengendalian melalui rekonsiliasi bank independen secara periodik
seperti nampak pada bads paling bawah kolom kedua) bisa mendeteksi adanya cek
yang tidak dicatat (asersi kelengkapan) atau cek dibuat dengan jumlah rupiah yang
benar, tetapi dicatat dalam jurnal pengeluaran kas dengan jumlah rupiah yang salah
(asersi penilaian atau pengalokasian).
Cobalah bandingkan informasi yang terdapat pacla kolom kedua dan ketiga
dalam Gambar 8-1 dengan pertanyaan-pertanyaan yang terdapat pada Gambar 7- 3.
Ilustrasi ini memberikan gambaran bagaimana daftar pertanyaan yang dibuat oleh
seorang staf yang baru bekerja di sebuah kantor akuntan, bisa dikembangkan oleh staf
yang lebih berpengalaman dengan memasukkan analisis lanjutan mengenai salah saji
potensial dan pengendalian yang diperlukan. Perlu diperhatikan bahwa pertanyaan-
pertanyaan pada Gambar 7-3 tidak harus nampak dengan urutan yang sama pada
kolom pengendalian yang diperlukan dalam gambar 8-1, karena beberapa
pengendalian berkaitan dengan lebih dan satu asensi. Pertimbangan mengenai salah
saji potensial dan pengendalian yang diperlukan seperti nampak pada Gambar 8-1
juga bergunia di dalam menganalisis bagan alir untuk mengidentifikasi kekuatan dan
kelemahan.
Penetapan pengendalian yang diperlukan harus dilakukan dengan
memperhatikan keadaan dan pertimbangan-pertimbangan lain. Sebagai contoh,
apabila volume transaksi pengeluaran kas cukup tinggi, maka pengecekan independen
mengenai kecocokan antara ikhtisar cek yang dikeluarkan harian dengan ayat-ayat
jurnal pengeluaran kas yang memungkinkan terdeteksinya kesalahan dengan segera
menjadi cukup penting. Namun apabila volume transaksi pengeluaran kas tidak
begitu banyak dan deteksi kesalahan segera tidak begitu penting, maka rekonsiliasi
bank independen secara periodik sudah dipandang cukup. Dalam situasi seperti itu,
rekonsiliasi bank disebut sebagai pengendalian pengganti.
Pengendalian yang diperlukan seperti nampak pada Gambar 8-1, bisa juga
dikelompokkan dengan dikaitkan pada komponen aktivitas pengendalian dan struktur
pengendalian intern. Harus diingat bahwa kebijakan dan prosedur pengendalian
tertentu yang benkaitan dengan komponen-komponen SPI lainnya bisa secara
bersamaan mempengaruhi risiko salah saji material dalam asersi-asersi yang
berkaitan dengan beberapa kelompok transaksi atau saldo rekening. Sebagai contoh,
kompetensi dan kejujuran manajer-manajer tertentu, serta orang-orang yang terlibat
dalam pengolahan transaksi pengeluaran kas, dapat berpengaruh atas setiap asersi
untuk kelompok transaksi tersebut. Ketiadaan kompetensi dan kejujuran pada para
manajer dan pegawal bisa mengurangi keefektifan aktivitas pengendalian lainnya.
Oleh karena itu, auditor harus menyatukan berbagai macam kemungkinan kebijakan
dan prosedur pengendalian yang berkaitan dengan setiap komponen SPI dalam
mempertimbangkan risiko salah saji potensial dalam suatu asersi tertentu. Konsep
tersebut secara grafis bisa dinyatakan sebagai berikut :
Kebijakan dan Prosedur Penetapan
Pengendalian yang Relevan Risiko Pengendalian

Lingkungan pengendalian
Penetapan risiko
Informasi dan komunikasi Setiap asersi
Aktivitas pengendalian
Pemonitoran

Berdasarkan pengetahuan yang diperoleh dari prosedur-prosedur untuk

mendapatkan pemahaman dan pengidentifikasian salah saji potensial dan
pengendalian yang diperlukan untuk mencegah atau mendeteksi salah saji tersebut,
auditor bisa mulai membuat suatu perkiraan risiko pengendalian awal. Namun
demikian, meskipun auditor telah mendapatkan pemahaman yang culcup baik
mengenai rancangan pengendalian maupun pengoperasiannya, namun hal itu hanya
memberi kemungkinan bagi auditor untuk menetapkan risiko pengendalian untuk
suatu asersi pada tingkat maksimum. Untuk mencapai penetapan risiko pengendalian
di bawah maksimum, auditor harus melakukan pengujian pengendalian untuk
mendapatkan bukti tentang efektivitas dan rancangan dan pengoperasian
pengendalian yang diperlukan.

MELAKUKAN PENGUJIAN PENGENDALIAN

 Kolom tiga pada Gambar 8-1 menunjukkan daftar kemungkinan pengujian
pengendalian untuk setiap pengendalian yang diperlukan yang telah ditetapkan pada
kolom dua. Pengujian tersebut meliputi pemilihan suatu sampel dan inspeksi atas
dokumen-dokumen yang bersangkutan, pengajuan pertanyaan pada personil klien,
mengobservasi personil klien dalam melaksanakan prosedur pengendalian, dan
melakukan ulang pengendalian tertentu. Hasil dan setiap pengujian pengendalian
harus memberi bukti tentang efektivitas rancangan dan/atau pengoperasian
pengendalian yang diperlukan. Sebagai contoh, dengan membandingkan tanda tangan
otorisasi dalam suatu dokumen dengan contoh tanda tangan yang dimiliki auditor dan
klien, dapat diperoleh bukti mengenai efektivitas pengendalian berupa pemberian
otorisasi secara tepat yang bertujuan agar pemberian otorisasi hanya bisa dilakukan
oleh personil yang ditunjuk perusahaan.
Dalam menetapkan pengujian yang akan dilakukan, auditor harus
mempertimbangkan jenis bukti yang dihasilkan dan biaya untuk melaksanakan
pengujian tersebut. Apabila pengujian yang akan dilakukan telah dipilih, auditor
biasanya menyusun program audit tertulis yang formal untuk merencanakan
pengujian pengendalian. Pembahasan lebih lanjut mengenai pengujian pengendalian
akan diberikan pada bagian lain bab ini.

MENGEVALUASI BUKTI DAN MENETAPKAN RISIKO

Penetapan akhir risiko pengendalian untuk asersi-asensi laporan keuangan
didasarkan pada evaluasi atas bukti yang diperoleh dan (1) prosedur-prosedur untuk
mendapatkan pemahaman tentang kebijakan dan prosedur SPI, dan (2) pengujian
pengendalian yang bersangkutan. Berdasarkan sifat prosedur yang dilakukan,
informasi bisa diperoleh dalam berbagai bentuk kombinasi bukti, seperti dokumen,
bukti elektronis, perhitungan, bukti lisan, atau bukti fisik. Apabila berbagai tipe bukti
di atas mendukung kesimpulan yang sama tentang efektivitas suatu pengendalian,
maka tingkat keyakinannya akan semakin besar. Sebaliknya apabila bukti-bukti
tersebut memberikan kesimpulan yang berbeda, maka keyakinannya berkurang.
Sebagai contoh, paraf seorang personil yang secara konsistensi nampak dalam
dokumen menunjukkan pelaksanaan prosedur penigersdalian, tetapi hasil wawancana
auditor dengan orang yang memberi paraf tersebut menunjukkan bahwa dia tidak
memahami prosedur pengendalian yang dilakukannya. Bukti lisan yang terakhir ini
telah menyebabkan turunnya keyakinan yang diperoleh dari inspeksi atas panaf pada
dokumen.
Penilaian bukti menyangkut baik pertimbangan kuantitas maupun kualitas.
Dalam merumuskan kesimpulan tentang efektivitas kebijakan dan prosedur
pengendalian, auditor sening menggunakan pedoman tentang frekuensi deviasi yang
bisa diterima (biasanya dinyatakan dalam persentase) dan ketepatan pelaksanaan
pengendalian. Apabila hasil pengujian membawa auditor pada kesimpulan bahwa
frekuensi deviasi kurang dari atau sama dengan tingkat yang bisa diterima, maka
pengoperasian pengendalian dipandang efektif. Apabila disimpulkan bahwa frekuensi
deviasi melebihi tingkat yang bisa diterima, maka pengendalian dipandang tidak
efektif. Sebelum mengakhiri kesimpulan ini, auditor harus juga mempertimbangkan
penyebab terjadinya deviasi. Sebagai contoh, kelebihan deviasi yang semata-mata
disebabkan oleh adanya pergantian karyawan di masa libur atau cuti, mempunyai
makna lebih serius dibandingkan dengan kelebihan deviasi yang disebabkan oleh
kanyawan yang kurang berpengalaman. Selain itu dalam pengambilan kesimpulan
tentang efektivitas perlu diperhatikan apakah deviasi atau penyimpangan timbul
karena kekeliruan yang tithk disengaja atau karena adanya ketidakberesan. Bukti
yang berkakan dengan adanya satu ketidakbenesan bisa lebih penting bagi auditor
dibandingkan dengan beberapa deviasi yang timbul karena kekeliruan.
Sepenti telah disebutkan pada Bab 6, penetapan risiko pengendalian bisa
dinyatakan secana kuantitatif (seperti misalnya: 40% risiko bahwa pengendalian yang
relevan tidak akan bisa mencegah atau mendeteksi jenis salah saji tertentu), atau
dinyatakan secara kualitatif (seperti misalnya: risiko bahwa pengendalian yang
relevan tidak akan bisa mencegah atau mendeteksi jenis salah saji tertentu adalah
rendah, moderat, atau tinggi), juga perlu diingat bahwa penetapan risiko pengendalian
untuk suatu asersi adalah faktor kritis dalam menetapkan tingkat risiko deteksi yang
bisa diterima untuk asersi tersebut, yang nantinya akan berpengaruh pada tingkat
pengujian substantif yang direncanakan, termasuk tentang sifat, saat, dan luasnya
pengujian yang akan dilaksanakan untuk menyelesaikan audit. Apabila risiko
pengendalian diperhitungkan terlalu rendah, maka risiko deteksi bisa ditetapkan telalu
tinggi dan auditor tidak bisa melakukan pengujian substantif yang memadai yang
berakibat audit menjadi tidak efektif. Sebaliknya, apabila risiko pengendalian
diperhitungkan terlalu tinggi, maka pengujian substantif akan dilakukan lebih banyak
daripada yang diperlukan, sehingga mengakibatkan audit menjadi tidak efisien.

PENGARUH DARI STRATEGI AUDIT AWAL

Apapun strategi awal audit yang dipilih oleh auditor untuk bagian audit
tertentu, auditor harus mengidentifikasi jenis-jenis salah saji potensial dalam asersi-
asersi. Namun demikian, cara auditor mempertimbangkan faktor-faktor yang
mempengaruhi risiko salah saji dan menetapkan risiko, bisa berheda-beda dalam
berbagai hal, tergantung pada strategi audit yang dipilih. Gambar 8-2 melukiskan
pokok-pokok perbedaan dalam kedua pendekatan di dalam memenuhi standar
pekerjaan lapangan kedua.

Pendekatan Tingkat Risiko Pengendalian Ditetapkan Maksimum

Pada Bab 6 dan Bab 7 telah dijelaskan bahwa prosedur untuk mendapatkan
pemahaman tentang kebijakan dan produser struktur pengendalian intern yang
relevan dan pendokumentasian pemahaman akan kurang ekstensif apabila auditor
memilih untuk menggunakan pendekatan tingkat risiko pengendalian ditetapkan
maksimum. Oleh karena itu, dengan menggunakan pendekatan ini auditor tidak perlu
melakukan prosedur-prosedur yang ditujukan pada aktivitas-aktivitas pengendalian
dalam SPI. Begitu pula tingkat pemahaman dan pendokumentasian untuk keempat
komponen SPI lainnya tidak begitu ekstensif.
Sejumlah perbedaan nampak pada sebagian dari Gambar 8-2 yaitu di bagian
yang bertanda Tetapkan Risiko Pengendalian. Pertama, seperti diterangkan pada Bab
6, salah satu komponen dan strategi dengan pendekatan tingkat risiko pengendalian
ditempkan maksimum untuk asersi-asersi adalah meretapkan tingkat risiko
pengendalian direncanaan pada tingkat maksimun atau tinggi. Hal ini didasarkan pada
asumsi yang berkaitan dengan salah satu hal di bawah ini :
 Tidak ada kebijakan dan prosedur signifikan yang berkaitan dengan asersi.
  Kebijakan dan prosedur pengendalian yang relevan diperkiran tidak efektif.
 Upaya untuk mendaparkan bukti untuk mengevaluasi efektivitas kebijakan
dan prosedur yang relevan ridak akan efisien.
Aliran keputusan dalam pendekatan risiko pengendalian ditetapkan
maksimum pada Gambar 8-2 menunjukkan bahwa terhadap asumsi ini auditor
mempertanyakannya lebih dahulu, dan memutuskan apakah asumsi terpenuhi atau
akan berubah dan mencari tambahan pembuktian. Simbol keputusan pertama.
 Gambar 8-2
Metodologi untuk Memenuhi Standar Pekerjaan Lapangan Kedua
AKTIVITAS PENDEKATAN TINGKAT PENDEKATAN TINGKAT
AUDIT RISIKO RISIKO PENGENDALIAN
PENGENDALIAN DITETAPKAN LEBIH
DITETAPAN MAKSIMUM RENDAH

Mendapatkan dan Mendapatkan dan

MENDAPATKAN DAN mendokumentasikan pemahaman mendokumentasikan pemahaman
MENDOKUMENTASIKAN tentang kebijakan dari prosedur tentang kebijakan dan prosedur yang
PEMAHAMAN yang relevan yang berkaitan relevan yang berkaitan dengan 5
dengan 4 komponen SPI : komponen SPI : lingkungan
(Bab 7) …………
lingkungan pengendalian, pengendalian, perhitungan resiko,
perhitungan resiko, informasi dan informasi dan komunikasi, dan
komunikasi, dan pemonitoran pemonitoran (perhatikan
(perhatikan perancangannya dan perancangannya dan apakah benar-
apakah benar-benar dilaksanakan. benar dilaksanakan.

Apakah Prosedur yang

dilaksanakan untuk Apakah
PENETAPAN RISIKO mendapatkan Pemahaman
Tidak Tidak mendukung
PENGENDALIAN pemahaman mencakup
Pengujian strategi audit
(Bab 8) ………… yang
Pengendalian
berbarangan direncanakan

Ya
Ya

Melakukan Menetapkan resiko Melakukan penetapan

penetapan awal pengendalian pada awal resiko
tingkat maksimum pengendalian
berdasarkan bukti yang
diperoleh tentang
afektifitas operasi

Melakukan
pengujian
pengendalian Merencanakan dan
melaksanakan pengujian
Apakah Prosedur
pengendalian untuk
yang dilaksanakan
mendukung penetapan
untuk mendapatkan Ya resiko pengendalian
pemahaman
yang lebih rendah
mencakup Pengujian
Melakukan Pengendalian
Penetapan akhir berbarangan
Melakukan penetapan
akhir berdasarkan bukti
yang diperoleh
Tidak

Mendokumentasikan Dokumentasikan Dokumentasikan Dokumentasikan

penetapan penetapan resiko penetapan resiko penetapan resiko
pengendalian pengendalian dan dasar pengendalian dan dasar
penetapannya penetapannya

Apakah tingkat Apakah tingkat

resiko pengendalian risiko pengendalian
ditetapkan Tidak Tidak ditetapkan
mendukung tingkat mendukung tingkat
pengujian substantif pengujian substantif
direncanakan direncanakan

Merevisi
tingkat
pengujian
substantif
Ya direncanakan Ya

MERANCANG PENGUJIAN Merancang pengujian

Merancang pengujian
SUBSTANTIF substantif yang eksternal
substantif yang lebih sedikit,
untuk pendekatan tingkat
(Bab 8) …………. risiko pengendalian
untuk pendekatan tingkat
risiko pengendalian
ditetapkan maksimum
ditetapkan lebih rendah
(gambar belah-ketupat) mengajukan pertanyaan apakah suatu pengujian pengendalian
telah dilakukan bersamaan dengan penggunaan prosedur-prosedur untuk
mendapatkan pemahaman. Contoh penggunaan prosedur bersamaan dengan
pengujian pengendalian ialah review penelusuran jejak transaksi seperti dijelaskan
pada Bab 7. Dalam review tersebut auditor menelusur jejak transaksi yang dipandang
mewakili dan suatu kelompok transaksi melalui sensua tahap pengolahan dengan
maksud untuk memastikan pemahaman yang diperolehnya melalui daftar pertanyaan
atau bagan alir.
Apabila pengujian pengendalian bersamaan tidak dilakukan, maka auditor
harus menetapkan risiko pada tingkat maksimum dan mendokumentasikan
kesimpulan tersebut dalam kertas kerja, sebab hanya melalui pengujian pengendalian
bisa diperoleh bukti bahwa pengendalian cukup efektif untuk menurunkan risiko pada
tingkat di bawah maksimum. Akan tetapi jika satu atau lebih pengujian pengendalian
bersamaan sudah dilakukan pada tahap mendapatkan pemahaman, namun hanya
memberikan pembuktian yang terbatas tentang efektivitas pengendalian, auditor bisa
menetapkan risiko pengendalian awal sedikit di bawah maksimum atau tinggi. Dalam
hal demikian, auditor dimungkinkan untuk mengubah strategi audit menjadi strategi
dengan pendekatan tingkat risiko pengendalian ditetapkan lebih rendah.
Dalam membuat keputusan untuk mengubah atau tidak mengubah strategi
audit, harus dipertimbangkan kemungkinan memperoleh bukti secara efisien guna
mendukung penetapan risiko pengendalian lebih rendah (moderat atau rendah). Untuk
bisa dikatakan efisien, maka gabungan biaya untuk (1) pengujian pengendalian
tambahan dan (2) pengujian substantif yang telah menjadi berkurang sebagai akibat
penetapan risiko pengendalian lebih rendah, harus lebih rendah daripada biaya untuk
melaksanakan pengujian substantif yang lebih banyak sebagai akibat digunakannya
pendekatan tingkat risiko pengendalian ditetapkan maksimum. Keputusan ini
tercermin dalam simbol keputusan kedua pada kolom pendekatan mengutamakan
pengujian substantif. Jawaban “Ya” (garis putus-putus ke arab kanan dan simbol)
menunjukkan perubahan strategi menjadi strategi dengan pendekatan tingkat risiko
pengendalian ditetapkan lebih rendah. Apabila diambil keputusan untuk tidak
mengubah strategi, maka penetapan risiko pengendalian sedikit di bawah maksimum
atau tinggi, dan dasar untuk penetapan tersebut, harus didokumentasikan.
Simbol keputusan terakhir pada kolom pendekatan tingkat risiko pengendalian
ditetapkan maksimum mengharuskan auditor untuk mempertimbangkan apakah
penetapan tingkat risiko pengendalian sesungguhnya mendukung tingkat pengujian
substantif direncanakan. Apabila tidak mendukung, maka auditor harus melakukan
revisi atas tingkat pengujian substantif direncanakan. Sebagai contoh, pada awalnya
auditor telah menetapkan tingkat risiko pengendalian direncanakan pada tingkat
maksimum, yang berakibat pengujian substantif direncanakan pada tingkat paling
tinggi. Akan tetapi apabila bukti yang diperoleh dan pengujian pengendalian
bersamaan mendukung penetapan risiko pengendalian sesungguhnya sedikit di bawah
maksimum atau tinggi, maka perlu dilakukan revisi atas tingkat pengujian substantif
direncanakan menjadi sedikit lebih rendah. Selanjutnya auditor melangkah pada
pembuatan rancangan rinci pengujian substantif pada tingkat yang sesuai.

Pendekatan Tingkat Risiko Pengendalian Ditetapkan Lebih Rendah

Di muka telah dijelaskan bahwa pada pendekatan ini, diperlukan pemahaman
dan pendokumentasian kebijakan dan prosedur pengendalian yang relevan secara
ekstensif untuk kelima komponen SPI untuk mendukung rencana risiko pengendalian
ditetapkan pada tingkat moderat atau rendah untuk suatu asersi. Ada kemungkinan
berdasarkan bukti yang diperoleh dari prosedur-prosedur untuk mendapatkan
pemahaman, auditor menemukan satu atau lebih kondisi yang semula tidak
diharapkan dari tiga kondisi yang disebutkan pada halaman.... Dalam situasi
demikian, auditor akan lebih tepat untuk mengubah strategi auditnya menjadi strategi
dengan pendekatan tingkat risiko pengendalian ditetapkan maksimum. Dalam
Gambar 8-2, hal ini dicerminkan dengan garis berbelok ke kiri dengan tulisan
“Tidak” yang merupakan perubahan dari simbol keputusan pertama pada kolom
pendekatan tingkat risiko pengendalian ditetapkan lebih rendah.
Apabila auditor akan melanjutkan dengan pendekatan tingkat risiko
pengendalian ditetapkan lebih rendah, maka auditor harus merancang dan
melaksanakan tambahan pengujian pengendalian yang diperlukan untuk mendapatkan
bukti yang dibutuhkan untuk mendukung penetapan tingkat risiko pengendalian
direncanakan yang moderat atau rendah. Bukti yang diperoleh dari pengujian
pengendalian ini kemudian dievaluasi untuk rnencapai penetapan risiko pengendalian
akhir atau sesungguhnya (final or actual assessment of control risk). Penetapan akhir
dan dasar untuk penetapan tersebut kemudian didokumentasikan dalam kertas kerja.
Simbol keputusan terakhir pada kolom pendekatan tingkat risiko pengendalian
ditetapkan lebih rendah dalam Gambar 8-2 mengharuskan auditor untuk
mempertimbangkan apakah penetapan tingkat risiko pengendalian sesungguhnya
mendukung tingkat pengujian substantif direncanakan, dan apabila tidak, auditor
harus merevisi tingkat pengujian substantif direncanakan. Sebagai contoh, pada
awalnya auditor telah menetapkan penetapan tingkat risiko pengendalian
direncanakan pada tingkat rendah, yang berakibat tingkat pengujian substantif
direncanakan paling rendah. Akan tetapi apabila bukti yang diperoleh dan pengujian
pengendalian menunjukkan bahwa penetapan tingkat risiko pengendalian yang
sesungguhnya adalah moderat, maka akan lebih tepat apabila auditor merevisi tingkat
pengujian substantif direncanakan ke tingkat yang lebih tinggi. Atau apabila
bertentangan dengan harapan semula, ternyata bahwa pengendalian sangat tidak
efektif yang berakibat bahwa penetapan risiko pengendalian akhir adalah tinggi atau
maksimum, maka auditor harus merevisi tingkat risiko pengujian substansif
direncanakan untuk mencerminkan perubahan menjadi pendekatan tingkat risiko
pengendalian ditetapkan maksimum. Hal ini dicerminkan dengan garis terputus-putus
berbelok miring ke arah kiri dan kotak tingkat pengujian substantif direncanakan
setelah direvisi pada bagian bawah Gambar 8-2. Semua proses yang diuraikan di atas,
diakhiri dengan perancang pengujian substantif rinci sesuai dengan keadaan.
PENGUJIAN PENGENDALIAN
Seperti telah dijelaskan di atas, pengujian pengendalian adalah prosedur
pengauditan yang dilakukan untuk menetapkan efektivitas perancangan dan/atau
pengoperasian kebijakan dan prosedur struktur pengendalian. Pengujian pengendalian
yang berkaitan dengan perancangan dimaksudkan untuk menilai apakah kebijakan
atau prosedur telah dirancang dengan baik untuk mencegah atau mendeteksi salah saji
material pada suatu asersi laporan keuangan tertentu. Sebagai contoh, auditor
menyimpulkan bahwa rencana manajemen untuk menyimpan persediaan dalam
gudang terkunci akan dapat mencegah atau mengurangi secara signifikan risiko salah
saji dalam asersi keberadaan atau keterjadian untuk persediaan.
Pengujian pengendalian yang menyangkut efektivitas pengoperasian
dimaksudkan untuk menilai apakah kebijakan dan prosedur pengendalian sungguh-
sungguh berjalan. Dalam contoh persediaan di atas, observasi untuk memastikan
bahwa persediaan benar-benar disimpan dalam gudang, merupakan pengujian atas
efektivitas pengoperasian. Pengujian pengendalian yang berkaitan dengan efektivitas
pengoperasian berfokus pada tiga pertanyaan :
 Bagaimanakah penerapan pengendalian yang sesungguhnya?
 Apakah penerapan dilakukan secara konsisten sepanjang tahun?
 Oleh siapa pengendalian dikerjakan?
Suatu kebijakan atau prosedur pengendallan dikatakan berjalan secara efektif
apabila pengendalian tersebut telah diterapkan secara tepat dan konsisten sepanjang
tahun, oleh orang atau orang-orang yang diberi kewenangan untuk itu. Sebaliknya
kegagalan untuk menerapkan secara tepat dan konsisten, atau penerapan dilakukan
oleh orang yang tidak berwenang, menunjukkan bahwa pengoperasian tidak efektif.
Kegagalan semacam itu disebut deviasi atau perkecualian. Dalam hal ini tidak
digunakan istilah kekeliruan, karena kegagalan dalam pelaksanaan kegiatan ini baru
mungkin menjadi kekeliruan dalam catatan akuntansi. Sebagai contoh, kegagalan
karyawan kedua untuk memeriksa ketelitian faktur penjualan secara independen
merupakan suatu deviasi atau perkecualian, tetapi dokumen masih bisa benar jika
karyawan pertama telah mengerjakan faktur tersebut dengan benar.
 Pengujian pengendalian bisa dilakukan atas pengendalian-pengendalian yang
berkaitan dengan kelompok transaksi yang utama dan/atau saldo rekening pengujian
harus dilakukan hanya atas pengendalian yang dipandang relevan oleh auditor dalam
mencegah atau mendeteksi salah saji material dalam asersi laporan keuangan.
Pengujian pengendalian bisa dilakukan selama berlangsungnya perencanaan
audit dan selama pelaksanaan perkerjaan-pekerjaan interim. Seperti telah dijelaskan
di atas, pengujian pengendalian juga bisa dilakukan pada pelaksanaan strategi audit
manapun.

PENGUJIAN PENGENDALIAN BERBARENGAN

Pengujian pengendalian berbarengan adalah pengujian pengendalian yang
dilakukan auditor bersamaan dengan kegiatan untuk mendapatan pemahaman.
Pengujian ini dilakukan baik jika auditor menggunakan strategi dengan pendekatan
tingkat risiko pengendalian ditetapkan maksimum, maupun jika ia menggunakan
pendekatan tingkat risiko pengendalian ditetapkan lebih rendah. Pengujian
pengendalian berbarengan terdiri dari prosedur-prosedur untuk mendapatkan
pemahaman ynng sekaligus juga bisa menjadi bukti rentang keefektivan suatu
kebijakan atau prosedur pengendalian. Sebagai contoh, auditor mungkin mengajukan
pertanyaan tentang ada tidaknya sistem anggaran dalam upaya mendapatkan
pemahaman. Pada saat yang bersamaan, pengajuan pertanyaan tentang frekuensi
laporan anggaran dan sifat tindak lanjur manajemen atas selisih anggaran, akan
memberi kemungkinan bagi auditor untuk menilai efektivitas pengoperasian sistem
anggaran. Pengujian pengendalian berbarengan biasanya akan sarat menghemat
biaya, dan bisa mengurangi pengujian pengendalian tambahan yang diperlukan
kemudian.
Pengujian pengendalian berbarengan bisa terjadi sebagai hasil sampingan dan
upaya auditor dalam mendaparkan pemahaman, atau bisa juga sengaja direncanakan.
Bukti dari pengujian pengendalian berbarengan biasanya hanya akan mendukung
penetapan tingkat risiko pengendalian sedikit di bawah maksimum atau tinggi.
Sebagai contoh, karena pengujian pengendalian berbarengan dilakukan selama
perencanaan audit, maka tidak dengan sendirinya menjadi bukti tentang ketepatan dan
konsistensi penerapan kebijakan atau prosedur pengendalian oleh pegawai yang
berwenang sepanjang periode yang diaudit.

PENGUJIAN PENGENDALIAN TAMBAHAN ATAU PENGUJIAN

PENGENDALIAN DIRENCANAKAN
Pengujian pengendalian ini dilakukan selama pekerjaan lapangan dan
diharapkan akan menghasilkan bukti tentang ketepatan dan konsistensi penerapan
suatu kebijakan atau prosedur pengendalian sepanjang tahun yang diperiksa.
Biasanya pengujian ini tidak dilakukan pada pendekatan tingkat risiko pengendalian
ditetapkan maksimum. Akan tetapi apabila berdasarkan hasil pengujian pengendalian
berbarengan terdapat pertanda baik, maka auditor bisa memutuskan untuk berpindah
dan pendekatan tingkat risiko pengendalian ditetapkan maksimum ke pendekatan
tingkat risiko pengendalian ditetapkan lebih rendah. Dalam keadaan seperti itu,
pengujian biasanya disebut pengujian pengendalian tambahan. Hal tersebut dilakukan
hanya apabila auditor berkeyakinan akan dapat diperoleh bukti tambahan untuk bisa
menurunkan penetapan risiko pengendalian awal dan manfaatnya diperkirakan akan
lebih besar dari biaya yang harus dikeluarkan.
Apabila pengujian ini dilakukan sebagai bagian dan strategi awal dengan
pendekatan tingkat risiko pengendalian ditetapkan lebih rendah, maka pengujian ini
disebut pengujian pengendalian direncanakan. Hal ini dilakukan untuk mendukung
tingkat risiko pengendalian direncanakan awal (yaitu moderat atau rendah) serta
tingkat pengujian substantif direncanakan yang bersangkutan.

PERANCANGAN PENGUJIAN PENGENDALIAN

Selain perlu memilih antara pengujian pengendalian bersamaan dan pengujian
pengendalian tambahan atau direncanakan untuk asersiasersi tertentu, auditor juga
perlu melakukan pemilihan jenis prosedur yang akan dilakukan dalam pengujian, dan
menetapkan saat serta luasnya pengujian.
Jenis Pengujian
Beberapa jenis pengujian pengendalian yang dapat dipilih auditor adalah
sebagai berikut :
 Pengajuan pertanyaan berkaitan dengan pelaksanaan tugas-tugas personil
perusahaan.
 Observasi pelaksanaan tugas para personil.
 Inspeksi atas dokumen-dokumen dan laporan-laporan yang menunjukkan
pelaksanaan pengendalian.
 Pengerjaan-ulang (reperform) pengendalian oleh auditor.
Tiga prosedur yang disebut pertama, dilakukan juga oleh auditor dalam
nendapatkan pemahaman tentang SPI, sedangkan prosedur keempat yaitu pengerjaan-
ulang (reperformance) tidak digunakan pada saat itu.
Dalam melakukan pengujian, auditor memilih prosedur-prosedur yang akan
rnenghasilkan bukti yang paling bisa dipercaya tentang efektivitas kebijakan dan
prosedur pengendalian. Tidak ada satupun pengujian pengendalian yang selalu bisa
diterapkan dan sama efektifnya dalam memperoleh bukti.
Pengajuan pertanyaan dirancang untuk menetapkan (1) pemahaman para
pegawai tentang tugas-tugasnya, (2) kinerja masing-masing pegawai dalam
melaksanakan tugasnya, dan (3) frekuensi, penyebab, dan sifat penyimpangan.
Jawaban yang tidak memuaskan dan seorang pegawai menunjukkan adanya
penetapan suatu pengendalian yang tidak tepat. Obervasi atas pelaksanaan tugas para
pegawai akan memberikan bukti yang serupa. Sebaiknya prosedur ini dilakukan tanpa
sepengetahuan pegawai, atau dilakukan secara mendadak. Prosedur pengajuan
pertanyaan dan observasi biasanya berguna dalam mendapatkan bukti tentang
prosedur pengendalian yang berkaitan dengan pembagian tugas.
Inspeksi atas dokumen dan catatan bisa ditecapkan apabila terdapat alur
pelaksanaan transaksi, misalnya dalam bentuk pembubuhan tandatangan dan
pencanturnan cap yang menunjukkan apakah pengendalian telah dilaksanakan dan
siapa yang melaksanakannya. Setiap dokumen atau catatan yang tidak menunjukkan
pelaksanaan hal-hal tersebut adalah penyimpangan, walaupun dokumen tersebut telah
dikerjakan dengan benar.
Sementara kalangan berpendapat bahwa pengerjaan-ulang suatu pengendalian
oleh auditor memberikan bukti yang paling baik mengenai efektivitas. Sebagai
contoh, misalkan prosedur pengendalian berupa pengecekan independen
mengharuskan adanya orang kedua di bagian pembuatan faktur untuk melakukan
verifikasi secara independen mengenai kebenaran harga jual per unit dalam semua
faktur penjualan dengan cara membandingkannya pada daftar harga yang telah
ditetapkan perusahaan. Hal ku dilakukan petugas yang bersangkutan dengan
mencantumkan parafnya pada salah satu salinan faktur untuk menunjukkan bahwa
pengecekan telah dilakukannya. Untuk menguji prosedur pengendalian di atas dengan
melakukan pengerjaan-ulang, auditor membandingkan harga jual pada faktur dengan
daftar harga yang ditetapkan perusahaan. Dalam ilustrasi di atas, terdapat dua
kemungkinan penyimpangan dan pengendalian, yaitu: (1) faktur telah dibubuhi paraf
petugas, tetapi harga yang tercantum dalam faktur tidak cocok dengan harga menurut
daftar harga yang ditetapkan perusahaan, dan (2) faktur tidak dibubuhi paraf petugas.
Dari contoh di atas, terlihat bahwa pengerjaan-ulang secara manual merupakan
prosedur yang lebih mahal biayanya dibandingkan dengan inspeksi atas faktur untuk
membuktikan pengerjaan yang dilakukan personil klien. Namun demikian,
pemakaian teknik audit berbantuan komputer untuk pengejaan-ulang sangat
menghemat biaya.
Auditor bisa menggunakan pengujian pengendalian untuk mendapat beberapa
bukti sekaligus. Sebagai contoh, inspeksi atas dokumen bisa memberi bukti bahwa
pengendalian telah dilakukan dan mengidentifikasi orang yang melakukan hal itu.
Dengan mengerjakan-ulang, auditor dapat menetapkan baik tidaknya personil klien
dalam melakukan hal tersebut. Auditor dapat juga menetapkan baik-buruknya
pengendalian melalui observasi dan pengajuan pertanyaan.

Saat Fengujian
Saat pengujian pengendalian berhubungan dengan kapan auditor melakukan
pengujian dan dengan bagian periode akuntansi mana pengujian itu bersangkutan.
Pengujian pengendalian tambahan dilakukan pada periode intenm, yang mungkin bisa
terjadi beberapa bulan sebelum akhir tahun yang diperiksa. Oleh karena itu pengujian
ini hanya memberi pembuktian mengenai efektivitas pengendalian dari awal tahun
sampai saat pengendalian dilakukan. Namun demikian, auditor diharuskan oleh
standar audit untuk mendapatkan bukti tentang efektivitas untuk keseluruhan masa
yang dicakup oleh laporan keuangan.
Kebutuhan untuk melakukan pengujian pengendalian tambahan kemudian di
tahun yang diaudit, tergantung pada pentingnya faktor-faktor yang sama seperti
dikemukakan di atas untuk menggunakan bukti dan audit tahun yang lalu. Dalam hal
ini, panjangnya masa yang tersisa dan ada tidaknya perubahan signifikan dalam
pengendalian setelah pengujian interim harus dipertimbangkan. Apabila telah terjadi
perubahan signifikan, auditor harus melakukan revisi atas pemahamannya tentang
struktur pengendalian intern dan mempertimbangkan untuk (1) melakukan pengujian
pengendalian atas kebijakan atau prosedur yang berubah, atau (2) melakukan
pengujian substantif lebih banyak selama waktu yang tersisa setelah pengupan
interim.

Luas Pengujian
Pengujian pengendalian yang lebih ekstensif biasanya akan menghasilkan
bukti yang lebih banyak pula tentang efektivitas pengoperasian kebijakan atau
prosedur pengendalian dibandingkan dengan pengujian yang kurang ekstensif.
Sebagai contoh, dalam hal pengajuan pertanyaan, apabila auditor mengajukan
pertanyaan kepada beberapa orang mengenai prosedur pengendalian yang sama, akan
menghasilkan bukti lebih banyak dibandingkan dengan mengajukan hanya kepada
satu orang. Demikian pula, melakukan observasi tentang pemberian persetujuan
kredit terhadap semua karyawan di bagian kredit, akan memberi keyakinan yang
lebih baik tentang pelaksanaan prosedur pengendalian yang diperlukan, dibandingkan
dengan observasi yang hanya dilakukan pada satu orang karyawan.
Ada dua kelemahan yang harus disadari sehubungan dengan bukti yang
diperoleh dan observasi, yaitu: (1) pegawai bisa melakukan pengendalian secara
berbeda apabila Ia tidak sedang diobservasi, dan (2) bukti yang diperoleh hanya bisa
diterapkan pada masa observasi dilakukan. Kelemahan ini bisa dikurangi dengan cara
melakukan observasi terhadap personil pada berbagai saat yang berbeda.
Luas pengujian pengendalian dipengaruhi langsung oleh tingkat risiko
pengendalian yang direncanakan auditor. Pengujian yang lebih ekstensif diperlukan
untuk tingkat risiko pengendalman rendah dibandingkan dengan tingkat risiko
pengendalian moderat. Luasnya pengujian tambahan juga akan dipengaruhi oleh
tujuan pemakaian bukti tentang efektivitas dan audit sebelumnya. Untuk
mengevaluasi relevansi bukti tersebut terhadap audit tahun beqalan, auditor harus
mempertimbangkan :
 Signifikan tidaknya asersi yang terkait.
 Kebijakan dan prosedur SPI spesifik yang dievaluasi selama audit yang lalu.
 Tingkat efektivitas dan rancangan dan pengoperasian kebijakan atau prosedur
yang dievaluasi.
 Hasil pengujian pengenclalian yang digunakan untuk membuat evaluasi.
Di dalam mempertimbangkan bukti tersebut, auditor harus menyadari bahwa
semakin panjang interval waktu sejak pelaksanaan pengujian pengendalian, semakin
kecil keyakinan yang diberikannya. Selain itu, sebelum menggunakan bukti dan
periode sebelumnya, auditor harus memastikan ada tidaknya perubahan signifikan
dalam rancangan dan pengoperasian kebijakan atau prosedur pengendalian sejak
pengujian sebelumnya. Sebagai contoh, mungkin telah terjadi pergantian personil
kunci atau terjadi perubahan program komputer yang digunakan untuk mengolah
kelompok transaksi-transaksi utama. Apabila telah terjadi perubahan signifikan, maka
bukti yang dipecoleh dari audit sebelumnya akan memberi bukti yang kurang berarti
untuk audit tahun berjalan. Pertimbangan-pertimbangan di atas bisa menyebabkan
pertambahan atau pengurangan dalam jumlah pengujian pada tahun berjalan.

PROGRAM AUDIT UNTUK PENGUJIAN PENGENDALIAN

Keputusan auditor tentang sifat, saat, dan luas pengujian pengendalian harus
didokumentasikan dalam suatu program audit dan kertas kerja yang bersangkutan.
Contoh program audit dapat dilihat pada Gambar 8-3. Program audit berisi daftar
prosedur-prosedur yang akan digunakan dalam melaksanakan pengujian tentang
asersi-asersi tertentu, dan menyediakan kolom untuk menunjukkan (l) referensi silang
ke kertas kerja yang berisi dokumentasi hasil pengujian, (2) siapa ya melakukan
pengujian, dan (3) tanggal pengujian diselesaikan. Rincian yang berhubungan dengan
luas dan saat pengujian bisa dicantumkan dalam program audit, atau pada kolom
referensi-silang kertas kerja. Pembuatan kertas kerja yang menunjukkan rincian
sampel dan basil pengujian pengendalian akan dibahas pada Bab 10 yang
menguraikan tentang sampel atribut dalam pengujiln pengendalian.
Perlu diingat bahwa pengujian yang didaftar secara formal dalam program
audit dalam Gambar 8-3, diambil dan daftar pengujian pengembalian yang mungkin
dilakukan dalam Gambar 8-1 di muka. Namun dalam program audit ini sebagian
pengujian telah dipecah dan sebagian lainnya digabung agar pelaksanaan pengujian
dapat dilakukan secara lebih efisien.

Gambar 8-3
Contoh Progran Audit untuk Pengujian Pengendalian (Sebagian)
Dibuat Oleh : ……………..Tanggal……………
Direview oleh : ……….…..Tanggal …….……..
Referensi Asersi/Pengujian Pengendalian Auditor Tanggal
Kertas Kerja
Keberadaan atau Keterjadian
1. Pilih suatu sampel transaksi pengeluaran kas dari
jurnal pengeluaran kas dan tentukan ada tidaknya :
a. Pencocokan antara cek yang diterbitkan
dengan voucher yang telah diotorisasi.
b. Pencocokan antara voucher yang telah
diotorisasi dengan dokumen pendukung.
2. Bandingkan tanda tangan pada cek dengan contoh
tandatangan pejabat yang berwenang menandatangani
cek.
3. Inspirasi voucher pembayaran dan dokumen
pendukung-nya dari (1) di atas untuk memastikan bahwa
voucher dan dokumen-dokumen tersebut telah dicap
“Lunas”.
4. Observasi pemisahan tugas antara pemberian
persetujuan pada voucher pembayaran dengan
penandatangan cek.

Kelengkapan
5. Periksa pemakaian dan pertanggungjawaban atas cek
bernomor urut tercetak dan periksa urutan nomor cek
dalam jurnal pengeluaran kas
 6. Observasi penanganan dan penyimpanan cek yang
belum digunakan.

Penilaian atau pengalokasian

7. Atas transaksi-transaksi yang dipilih dalam (1) di
atas, periksalah ada tidaknya verifikasi secara independent
mengenai kecocokan antara rincian dalam cek dengan
voucher pendukung pembayaran, dan ujilah dengan
pengerjaan ulang.
8. Pilihlah suatu sampel tanggal-tanggal dan periksalah
ada tidaknya pengecekan independent antara ikhtisah cek
yang diterbitkan harian dengan jurnal ke jurnal
pengeluaran kas, dan ujilah dengan pengerjaan ulang.
9. Indpeksi rekonsiliasi bank independe (Catatan :
Langkah 8 dan 9 memberi bukti tentang kelengkapan).

PENGGUNAAN AUDITOR INTERN DALAM PENGUJIAN

PENGENDALIAN
Perusahaan-perusahaan besar pada umumnya mempekerjakan auditor intern.
Apabila klien memiliki fungsi audit intern, maka auditor bias : (1) mengkoordinasi
pekerjaan auditnya dengan auditor intern, dan/atau (2) menggunakan auditor intern
untuk memberi bantuan langsung dalam audit.

Mengkoordinasi Audit dengan Auditor Intern

Dalam uraian di atas telah disinggung bahwa auditor intern biasanya
memonitor kebijakan atau prosedur SPI pada setiap divisi atau cabang sebagai bagian
dan tugas rutinnya. Pemonitoran juga dilakukan melalui review periodik. Dalam hal
demikian, auditor bisa mengkoordinasi pekerjaan dengan auditor intern untuk
mengurangi jumlah lokasi perusahaan yang akan diperiksa, walaupun auditor tetap
melakukan pengujian pengendalian di lokasi-lokasi tersebut. Koordinasi pekerjaan
dengan auditor intern, akan lebih efisien bagi auditor apabila dilakukan dengan cara-
cara berikut: (1) melakukan pertemuan periodik dengan auditor intern, (2) mereview
jadwal kegiatan auditor intern, (3) mendapatkan akses pada kertas kerja yang dibuat
auditor intern, dan (4) mereview laporan auditor intern.
Apabila terdapat koordinasi pekerjaan, auditor harus mengevaluasi kualitas
dan efektivitas pekerjaan auditor intern. Dalam melakukan evaluasi, auditor harus
menguji pekerjaan auditor intern dan menetapkan apakah :
 Lingkup pekerjaan sesual untuk memenuhi tujuan.
 Program audit memadai.
 Kertas kerja telah cukup mendokumentasi pekerjaan yang dilakukan, termasuk
bukti tentang supervisi dan review.
 Kesimpulan telah diambil dengan tepat sesuai dengan keadaannya.
 Laporan konsisten dengan pekerjaan yang dilakukan.

Diperbantukan Langsung
Auditor bisa meminta auditor intern untuk diperbantukan langsung dalam
melakukan pengujian pengendalian. Apahila hal ini terjadi, PSA No. 33,
Pertimbangan Auditor Atas Fungsi Audit lntern Dalam Suatu Audit Atas Laporan
Keuangan (SA 322.27) menyatakan bahwa auditor harus :
 Mempertimbangkan kompetensi dan obyektivitas auditor intern, dan mengawasi,
mereview dan mengevaluasi, serta menguji pekerjaan yang dilakukan oleh auditor
intern.
 Memberitahu auditor intern mengenai tanggung jawab auditor intern tersebut,
tujuan prosedur yang dilakukanoleh auditor intern, serta hal- hal yang mungkin
berdampak terhadap sifat, saat, dan luasnyapengujian.
 Memberitahu auditor intern bahwa semua masalah akuntansi dan auditing yang
signifikan yang ditemukan selama audit harus diberitahukan kepada auditor.

PENGUJIAN BERTUJUAN GANDA

Pada kebanyakan audit, pengujian pengendalian tambahan terutama dilakukan
pada periode interim, dan pengujian substantif terutama dilakukan selama pekerjaan
akhir tahun. Namun standar audit memberi kemungkinan untuk melakukan pengujian
substantifatas rincian transaksi untuk mendeteksi kekeliruan dalam rekening selama
periode interim. Jika hal ini terjadi, maka auditor bisa secara bersamaan melakukan
pengujian pengendalian atas transaksi yang sama. Sebagai contoh, auditor memeriksa
faktur penjualan untuk memastikan ada tidaknya tandatangan pegawai yang
berwenang yang bertugas untuk melakukan verifikasi ketelitian dokumen secara
independen. Pada saat yang sama auditor juga melakukan pemeriksaan mengenai
ketelitian jumlah rupiah dalam faktur-faktur tersebut.
Jenis pengujian seperti ini disebut pengujian bertujuan ganda. Apabila jenis
pengujian seperti ini dilakukan, maka auditor harus melaksanakannya secara hati-hati
dalam merancang pengujian untuk meyakinkan bahwa bukti diperoleh baik tentang
efektivitas pengendalian, maupun tentang kekeliruan jumlah rupiah dalam rekening.
Selain itu, auditor harus cermat dalam mengevaluasi bukti yang diperoleh. Pengujian
bertujuan ganda sering dilakukan oleh kantor akuntan publik karena akan lebih hemat
bila pengujian dilakukan serentak, dibandingkan dengan pengujian tersendiri.

PERTIMBANGAN-PERTIMBANGAN LAIN
Seperti telah dijelaskan pada bagian awal bab I, pada umumnya auditor
pertama-tama menetapkan risiko pengendalian yang berhubungan dengan kelompok
transaksi, seperti misalnya transaksi penerimaan kas atau transaksi pengeluaran kas.
Tingkat risiko yang sama kemudian digunakan untuk menetapkan risiko pengendalian
untuk asersi-asersi saldo rekening yang signifikan sehingga dapat ditentukan tingkat
pengujian substantif yang direncanakan untuk saldo-saldo rekening secara tepat dan
pengujian substantif spesifik dapat dirancang. Proses ini akan diuraikan dalam uraian
di bawah ini. Pertama-tama akan dibahas tentang rekening-rekening yang hanva
dipengaruhi oleh satu kelompok transaksi, kemudian akan dibahas tentang rekening-
rekening yang dipengaruhi oleh berbagai kelompok transaksi.

PENETAPAN RISIKO PENGENDALIAN UNTUK ASERSI-ASERSI SALDO

REKENING YANG HANYA DIPENGARUHI OLEH SATU KELOMPOK
TRANSAKSI
Risiko pengendalian untuk asersi-asersi saldo rekening hanya dipengaruhi
oleh satu kelompok transaksi. ditentukan lagsung oleh tingkat risiko asersi yang sama
dan kelompok transaksi yang mempengaruhinya. Hal ini berlaku untuk kebanyakan
rekening-rekening rugi-laba (rekening-rekening pendapatan dan biaya). Sebagai
contoh, penjualan bertamhah (dikredit) karena adanya transaksi penjualan dalam
siklus pendapatan, dan rekening biaya bertambah (didebet) karena adanya transaksi
pembelian dalam siklus pengeluaran. Dalam hal ini tingkat risiko pengendalian untuk
setiap asersi saldo rekening akan ditetapkan sama dengan tingkat risiko pengendalian
untuk asersi yang sama dan kelompok transaksi yang mempengaruhinya. Sebagai
contoh, risiko pengendalian yang ditetapkan untuk asersi keberadaan atau keterjadian
untuk saldo rekening penjualan akan sama dengan risiko pengendalian yang
diretapkan unruk asersi keberadaan atau keterjadian pada transaksi penjualan.
Demikian pula, risiko pengendalian yang ditetapkan untuk asersi penilaian atau
pengalokasian untuk kebanyakan rekening biaya akan sama dengan risiko yang
ditetapkan untuk asersi penilaian atau pengalokasian pada transaksi pembelian.

PENETAPAN RISIKO PENGENDALIAN UNTUK ASERSI-ASERSI SALDO

REKENING YANG DIPENGARUHI OLEH BERBAGAI KELOMPOK
TRANSAKSI
Rekening-rekening yang dipengaruhi secara signiflkan oleh lebih dari satu
kelompok transaksi pada umumnya terdiri dan rekening-rekening neraca (aktiva,
kewajiban dan modal). Sebagai contoh, saldo kas bertambah dengan adanya transaksi
penerimaan kas dalam siklus pendapatan dan berkurang dengan adanya transaksi
pengeluaran kas dalam siklus pengeluaran. Untuk rekening-rekening yang saldonya
dipengaruhi oleh lebih dan satu kelompok transaksi semacam itu, penetapan risiko
pengendalian untuk asersi-asersi saldo rekening tersebut harus mempertimbangkan
risiko pengendalian yang relevan dan setiap kelompok transaksi yang secara
signifikan mempengaruhi saldo. Dengan demikian penetapan risiko pengendalian
untuk asersi penilaian atau pengalokasian untuk saldo kas misalnya, harus didasarkan
pada penetapan risiko pengendalian untuk asersi penilaian atau pengalokasian
transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu rekening yang saldonya dipengaruhi oleh lebih dari satu
kelompok transaksi, penetapan risiko pengendalian untuk suatu asersi saldo rekening
tersebut didasarkan pada penetapan risiko pengendalian untuk asersi yang sama yang
berkaitan dengan masing-masing kelompok transaksi yang mempengaruhi saldo
rekening dengan satu perkecualian. Perkecualian tersebut adalah: “Penetapan risiko
pengendalian untuk asersi-asersi keberadaan atau keterjadian dan kelengkapan untuk
 suatu kelompok transaksi yang rnenyebabkan berkurangnya suatu saldo rekening
berhubungan dengan asersi sebaliknya untuk saldo rekening yang terpengaruh”.
Hubungan yang mungkin tidak diharapkan ini dapat dilihat pada tabulasi berikut,
yang menggambarkan penetapan risiko pengendalian yang relevan atas asensi-asersi
kelompok transaksi yang digunakan dalam menetapkan risiko pengendalian untuk
asersi-asersi keberadaan atau keterjadian dan kelengkapan untuk saldo kas.
Asersi Saldo Kas yang Risiko Penetapan Rsiko Pengendalian
Pengendaliannya akan yang Relevan untuk Kelompok-
Ditetapkan kelompok Transaksi yang
mempengaruhi Saldo Kas Penjelasan

Keberadaan atau keterjadian Apabila sejumlah penerima-

penerimaan kas yang
menyebabkan bertambahnya saldo
Keberadaan atau
keterjadian
Kelengkapan pengeluaran kas yang
menyebabkan berkurangnya saldo
an kas yang telah dicatat
tidak terjadi, maka sebagian
dari saldo kas tidak ada.
Apabila sejumlah
pengeluaran kas tidak
dicatat, maka sebagian dari
saldo kas sudah tidak ada.

Kelengkapan penerimaan kas yang Apabila sejumlah penerima

menyebabkan bertambahnya saldo
Kelengkapan
Keberadaan atau keterjadian
pengeluaran kas yang
menyebabkan berkurangnya saldo
-an kas tidak dicatat, maka
saldo kas tidak lengkap.
Apabila sejumlah pengeluar
-an kas yang telah dicatat
terjadi, maka saldo kas tidak
lengkap.

lkhtisar hubungan antara asensi-asersi saldo rekening dan asersi-asersi kelompok

transaksi disajikan pada gambar 8-4.
Gambar 8-4
Ikhtisar HulunEan Antara Asersi-asersi Saldo Rekening dengan Asersi-asersi Kelompok Trarnaksi

Asersi-asersi untuk kelompok Keberadaan Penilaian Penyajian

Hak dan
transaksi yang menyebabkan atau Kelengkapan Atau atau
Kewajiban
bertambahnya saldo rekening keterjadian Pengalokasian Pengungkapan

Keberadaan Penilaian Penyajian

Hak dan
Asersi-asersi saldo rekening atau Kelengkapan Atau atau
Kewajiban
keterjadian Pengalokasian Pengungkapan

Asersi-asersi untuk kelompok Keberadaan Penilaian Penyajian

Hak dan
transaksi yang menyebabkan atau Kelengkapan Atau atau
Kewajiban
berkurangnya saldo rekening keterjadian Pengalokasian Pengungkapan
PENGGABUNGAN PENETAPAN RISIKO PENGENDALIAN YANG
BERBEDA
Kembali ke contoh yang lalu, misalkan dalam rangka menetapkan risiko
pengendalian asersi keberadaan atau keterjadian untuk saldo kas, dalam kertas kerja
yang dibuat auditor yang berisi pemahamannya tentang sebagia’’ dari struktur
pengendalian intern dan hasil pengujian pengendalian, ditetapkan risiko pengendalian
sebagai benikut:
Penetapan
Asersi resiko pengendalian
Keberadaan atau keterhadian penerimaan kas kelengkapan Rendah
pengeluaran kas. moderat

Apabila penetapan risiko pengendalian untuk asersi-asersi kelornpok transaksi

yang relevan berbeda-beda, auditor harus mempertimbangkan bobot signifIkansi dan
setiap risiko asersi yang ditetapkannya, sehingga bisa ditetapkan risiko gabungan.
Dalam praktik, banyak kantor akuntan publik memilih untuk menetapkan risiko yang
paling konservatif (paling tinggi). Apabila pendekatan tersebut diterapkan pada
contoh di atas, maka auditor akan menetapkan risiko pengendalian untuk asersi
keberadaan atau keterjadian yang moderat untuk Saldo kas. Demikian pula, apabila
auditor menetapkan risiko pengendalian atas asersi penilaian atau pengalokasian
untuk transaksi penerimaan kas pada tingkat moderat dan untuk pengeluaran kas pada
tingkat tinggi, maka risiko pengendalian untuk asersi penilaian atau pengalokasian
untuk saldo kas akan menjadi tinggi (dipilih yang paling tinggi).
Setelah tingkat risiko pengendalian untuk asersi saldo rekening ditetapkan,
maka hasil penetapan tersebut harus dibandingkan dengan tingkat risiko pengendalian
yang direncanakan. Apabila tingkat yang direncanakan memperoleh dukungan, maka
auditor bisa melangkah ke perancangan pengujian substantif herdasarkan tingkat
peugujian substantif yang direncanakan. Apabila tingkat risiko pengendalian
direncanakan tidak didukung, maka tingkat pengujian substantif direncanakan harus
direvisi sebelum auditor merancang pengujian substantif.
MENDOKUMENTASIKAN PENETAPAN TINGKAT RISIKO
PENGENDALIAN
Kriteria auditor harus berisi dokumentasi tentang penetapan risiko
pcngendalian. Pedoman untuk mendokumentasikan dalam kertas kerja adalah
sebagai berikut :
Risiko Pengendalian Maksimum Hanya kesipulan
Yang perlu didokumentasikan
Risiko Pengendalian di bawah Maksimum Dasar penetapan harus
didokumentasikan

SA 319 tidak memberi contoh atau pedoman mengenai bentuk

pendokumentasian. Dalam praktik, para auditor pada umumnya menggunakan
memorandum berisi uraian yang disusun berdasarkan asersi laporan keuangan.
Contoh pendekatan ini dapat dilihat dalam Gambar 8-5 yang berisi contoh
mendokumentasikan penetapan risiko pengendalian untuk beberapa asersi transaksi
penjualan.
Perlu diperhatikan bahwa dalam contoh tersebut dasar penetapan di bawah
maksimum untuk asersi kelengkapan diberikan dalam bentuk uraian, sedangkan
untuk asersi hak dan kewajiban yang penetapannya dilakukan atas dasar maksimum
hanya menyebutkan kesimpulannya saja
Gambar 8-5
Pendokunentasian Penetapan Risiko Pengendalian (sebagian)
Klien PT. Merdeka TANGGAL NERACA 30-09-2000
Dikerjakan oleh : BPJ Tanggal 14-5-2000 Di-review oleh : AHJ Tanggal 28-5-2000
Penetapan risiko pengendalian untuk transaksi penjualan

KELENGKAPAN
Kebijakan dan prosedur struktur pengendalian intern klien tentang
kelengkapan terutama merujuk pada daftar dokumen-dokurnen penjualan yang tidak
Iengkap (unmatched), yang seharusnya terdiri dan order penjualan, dokumen
pengiriman barang, slip pengepakan, dan faktur penjualan. Berdasarkan pembicaraan
dengan personil bagian piutang pada tanggal 11-5-2000 dan dengan beberapa personil
bagian pengiriman di Semarang dan Cirebon, masing-masing pada tanggal 18-4-2000
dan 8-5-2000, biasanya diperlukan waktu dua minggu sejak order penjualan diberikan
hingga pengiriman dilakukan. Namun demikian, jarang tejadi suatu dokumen
pengiriman atau slip pengepakan berada dalam laporan dokumen belum lengkap lebih
dari dua hari. Hal ini didukung oleh hasil pemeriksaan atas laporan dokumen belum
lengkap pada tanggal-tanggal tertentu (lihat kertas kerja XX-4-2). Dari basil
pemeriksaan tersebut nampak bahwa waktu terlama suatu laporan pengiriman barang
atau slip pengepakan berstatus belum lengkap adalah dua hari Transaksi-transaksi
yang dipilih secara acak dari laporan tersebut ditelusuri ke dokumen pendukung dan
tidak ditemukan pengecualian.
Berdasarkan hasil pemeriksaan alas bukti-bukti, dilengkapi dengan hasil
pembicaraan dengan personil piutang dan pengiriman, serta observasi, maka risiko
pengendalian ditetapkan sedikit di bawah maksimum.
KOMUNIKASI MASALAH YANG BERHUBUNGAN DENGAN STRUKTUR
PENGENDALIAN INTERN
Auditor harus mengidentifikasi dan melaporkan kepada komite audit, atau
personil perusahaan lainnya yang memiliki otoritas dan tanggungjawab setara,
tentang kondisi-kondisi tertentu yang berkaitan dengan struktur pengendalian intern
yang diobservasi selama audit atas laporan keuangan. PSA 35, Komunikasi Masalah
yang Berhubungan dengan Struktur Pengendalian Intern (SA 325.02) merumuskan
apa yang dimaksud dengan kondisi yang dapat dilaporkan sebagai berikut:

Kekurangan yang material dalam rancangan atau pelaksanaan struktur

pengendalian intern, yang berakibat buruk terhadap kemampuan organisasi
tersebut dalam mencatat, mengolah, mengikhtisarkan, dan melaporkan data
keuangan yang konsisten dengan asersi manajemen dalam laporan keuangan.

Kondisi yang dapat dilaporkan bisa berupa suatu jumlah yang mencerminkan
kelemahan material dalam pengendalian intern. SA 325.15 merumuskan kelemahan
material sebagai berikut:
Suatu kelemahan yang material pada struktur pengendalian intern
merupakan kondisi yang dapat dilaporkan, yang rancangan atau pelaksanaan
unsur struktur pengendalian intern tertentu tidak mengurangi risiko sampai
 tingkat yang relatif rendah sebingga salah saji dalam jumlah yang mungkin
material dalam hubungannya dengan laporan keuangan yang diaudit biso
teijadi dan tidak bisa dideteksi secara tepat waktu oleh pegawai dalam
pelaksanaan normal tugas yang diberikan.

Walaupun tidak merupakan keharusan, dalam melakukan komunikasi dengan

komite audit, auditor bisa secara terpisah mengidentifikasi kondisi-kondisi yang perlu
dilaporkan yang merupakan kelemahan material. Penjelasan lebih tentang
komunikasi masalah yang berhubungan dengan struktur pengendalian intern
akan diuraikan dalam Buku II dalam rangka memba) penyelesaian audit.
RINGKASAN
Metodologi untuk penetapan risiko pengendalian untuk kelompok-kelompok
transaksi tertentu dan asersi-asersi saldo rekening merupakan bagian yang sangat
penting dalam suatu audit laporan keuangan. Metodologi tersebut meliputi
pengidentifikasian salah saji potensial dan pengendalian yang diperlukan. Penilaian
bukti dan prosedur-prosedur untuk mendapatkan pemahaman atas kebijakan dan
prosedur pengendalian yang relevan serta dari pengujian pengendalian, penetapan dan
pendokumentasian, dan pembandingan tingkat risiko pengendalian ditetapkan
sesungguhnya dengan tingkat risiko direncanakan untuk menentukan apakah tingkat
pengujian substantif direncanakan harus direvisi sebelum merancang pengujian
substantif untuk asersi-asersi tertentu. Prosesnya bisa agak sedikit berbeda,
tergantung apakah auditor akan menerapkan pendekatan tingkat risiko pengedalian
ditetapkan maksimum atau pendekatan tingkat risiko pengendalian ditetapkan lebih
rendah. Penetapan risiko pengendalian yang tepat sangat vital pengaruhnya terhadap
efektivitas dan efisiensi audit. Kondisi-kondisi tertentu yang harus dilaporkan yang
ditemukan dalam proses penetapan risiko pengendalian harus dilaporkan kepada
komite audit atau kepada manajemen tingkat yang sesuai.