Makalah Menilai Risiko Pengendalian Dan

Makalah Pengauditan 1
MENILAI RISIKO PENGENDALIAN DAN UJI PENGENDALIAN
OLEH:
KELOMPOK 9
ANDI FACHRUR RIJAL A311 12 291
MAXYANUS TARUK LOBO’ A311 12 296
JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS HASANUDDIN
2014
KATA PENGANTAR
Puji syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa atas berkat dan
bimbingan-Nyalah sehingga makalah ini dapat terselesaikan dengan baik dan tepat pada
waktunya .
Makalah yang berjudul “Menilai Risiko Pengendalian dan Uji Pengendalian” ini dibuat
dengan maksud untuk memenuhi tugas Pengauditan 1.
Penulis menyampaikan rasa terima kasih kepada beberapa pihak yang telah
membantu penyelesaian tugas ini, diantaranya:
1. Pembimbing/dosen Pengauditan 1 yang telah memberikan pengarahan demi
kesempurnaan tugas ini.
2. Orang tua penulis yang telah memberikan dukungan moril maupun materil bagi penulis.
3. Pihak-pihak lain yang tidak sempat penulis tuliskan satu per satu, yang telah membantu
penulis dalam penyelesaian tugas ini.
Namun demikian, penulis menyadari bahwa tulisan ini jauh dari kesempurnaan maka
penulis memohon maaf jika terdapat kata-kata yang kurang menyenangkan di hati para
pembaca. Oleh karena itu, penulis mengharapkan berbagai saran yang bersifat
membangun demi kesempurnaan tulisan ini dimasa mendatang.
Semoga makalah ini dapat memberi manfaat bagi pembaca umumnya dan penulis
khususnya.
Makassar, November 2014
Penulis
Menilai Risiko Pengendalian/Uji Pengendalian | ii

DAFTAR ISI
Halaman Judul i
Kata Pengantar ii
Daftar Isi iii
BAB I: Pendahuluan 1
A. Latar Belakang 1
B. Rumusan Masalah 1
C. Tujuan Penulisan 2
BAB II: Pembahasan 3
A. Menilai Risiko Pengendalian/Pengujian Pengendalian 3

B. Menilai Risiko Pengendalian Dalam Suatu Lingkungan Teknologi Informasi 10
C. Dampak Dari Strategi Audit Pendahuluan 22
D. Merancang Pengujian Pengendalian 23
E. Pengujian Kepatuhan 27
F. Pertimbangan Tambahan 30
BAB III: Penutup 36
A. Kesimpulan 36
Daftar Pustaka 38
Menilai Risiko Pengendalian/Uji Pengendalian | iii

BAB I
PENDAHULUAN
A. Latar Belakang
Penakiran risiko pengendalian merupakan suatu proses evaluasi efektivitas desain dan
operasi kebijakan dan prosedur sturtur pengendalian intern entitas. Pentingnya konsep
penaksiran risiko pengendalian yakni dalam rangka pencegahan atau pendeteksian
salah saji material di dalam laporan keuangan.
Metodologi auditor untuk memenuhi standar pekerjaan lapangan yang kedua,
melibatkan tiga aktivitas utama:
a. Memperoleh suatu pemahaman yang cukup mengenai komponen-komponen

pengendalian intern untuk merencanakan audit
b. Menilai risiko pengendalian untuk masing-masing asersi signifikan yang terdapat
dalam saldo akun, kelas transaksi, atau komponen pengungkapan dalam pelaporan
keuangan.
c. Merancang pengendalian substantif untuk masing-masing asersi laporan keuangan
yang signifikan.
Definisi Penakiran risiko pengendalian mengharuskan seorang auditor agar mengetahu

dengan jelas tahap-tahap yang ditempuh oleh auditor dalam menaksir risiko dan desain
pengujian yang bersangkutan.
Oleh karena itu pentingnya Penakiran risiko dan Desain Pengujian, guna
memeperlancar tugas seorang auditor akan dibahas pada bab II makalah ini.
Pertimbangan diberikan pada perbedaan dalam metodologi untuk dua strategi audit
pendahuluan. Kemudian, memeriksa kateori pengujian audit yang dikenal sebagai
pengujian pengendalian. Kemudian diakhiri dengan penjelasan mengenai beberapa
pertimbangan khusus dalam menilai risiko pengendalian termasuk auditor internal,
dikombinasikan dengan perkiraan penilaian risiko pengendalian yang berbeda,
mendokumentasikan penilaian tingkat risiko pengendalian, mengkomunikasikan
masalah-masalahh pengendalaian intern, dan organisasi jasa komputer.
B. Rumusan Masalah
1. Bagaimanakah langkah-langkah dalam menilai risiko pengendalian untuk asersi
kelas transaksi?
2. Bagaimanakah menilai risiko pengendalian dalam suatu lingkungan teknologi
informasi?
Menilai Risiko Pengendalian/Uji Pengendalian | 1

3. Apakah dampak dari strategi audit pendahuluan?
4. Bagaimanakah merancang pengujian pengendalian?
5. Bagaimanakah menguji kepatuhan?
6. Bagaimanakah pertimbangan tambahan dalam menilai risiko pengendalian?
C. Tujuan Penulisan
1. Untuk mengetahui langkah-langkah dalam menilai risiko pengendalian.
2. Untuk mengetahui penilaian risiko pengendalian dalam suatu lingkungan teknologi
informasi.
3. Untuk mengetahui dampak dari strategi audit pendahuluan.
4. Untuk mengetahui cara merancang pengujian pengendalian
5. Untuk metahui cara menguji kepatuhan
6. Untuk mengetahui pertimbangan tambahan dalam menilai risiko pengendalian

BAB II
PEMBAHASAN
A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses
mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu
auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material
dalam asersi laporan keuangan. Penilaian resiko pengendalian melibatkan
pengevaluasian terhadap efetivitas dari (1) rancangan dan (2) pengoperasian
pengendalian. Menilai resiko pengendalian juga membantu auditor dalam membuat
keputusan mengenai sifat, waktu dan cakupan dari prosedur audit. Pada dasarnya
pengujian pengendalian (test of control) menyediakan bukti sebagai bagian dari dasar
yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam
asersi nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi,
dan banyak aktifitas pengendalian berhubungan dengan pemrosesan suatu jenis
transaksi tertentu. Oleh karena itu, adalah umum memulai dengan menilai resiko
pengendalian atas asersi kelas transaksi seperti asersi keberadaan atau keterjadian,
asersi kelengkapan, dan asersi penilaian serta alokasi untuk penjualan kredit dan
penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat dalam
menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di
pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian yang
relevan untuk penjualan dan penerimaan kas di anggap memenuhi penilaian untuk
asersi saldo piutang usaha. Adalah penting untuk mengingat bahwa penilaian risiko
pengendalian di buat untuk asersi individual, bukan untuk pengendalian intern secara
keseluruhan, komponen pengendalian intern individual, atau kebijakan atau prosedur
individual.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi
auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh
suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan
asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas
3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah
atau mendeteksi dan memperbaiki salah saji

4. Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan
untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian
tersebut
5. Mengevaluasi bukti dan membuat penilaian
Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika

risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam
proses penilaian ini akan dibahas dalam bagian berikut.
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh

suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures
to obtain an understanding) mengenai pengendalian intern untuk asersi laporan
keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk
kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau
memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal
untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan
pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis
salah saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi
risiko salah saji material, seperti apakah pengendalian yang diperlukan untuk
mencegah atau mendeteksi dan memperbaiki salah saji telah dirancang dan
ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur yang
relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-
hati jawaban Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam
kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan arus dan
memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia
biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan
pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor
mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko
pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk
mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang
tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian
pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai
pengendalian intern.

2. Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang
menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner
yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu.
Akan tetapi, auditor perlu memahami logika bahwa system pendukung keputusan
yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan
untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan
keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan
setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap
saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi
untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji
dalam asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan
dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi
yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom
dbawah:
Salah saji potensial Pengendalian yang Pengujian pengendalian

diperlukan
Suatu pengeluaran kas Komputer mencocokkan Menggunakan teknik-
dapat dibuat untuk informasi cek dengan teknik audit dengan
tujuan yang tidak informasi yang mendukung bantuan komputer, seperti
diotorisasi (keberadaan tanda bukti dan hutang data pengujian untuk
atau keterjadian untuk usaha untuk setiap menguji pengendalian
transaksi yang valid) transaksi pengeluaran aplikasi komputer
Hanya personel dengan Mengamati individu-
otorisasi yang diizinkan individu yang menangani
untuk menjalankan pengeluaran kas dan
program dan mneangani membandingkannya
cek yang dicetak dan dengan daftar personel
ditandatangani komputer yang memiliki otorisasi
Pemisahan tugas dalam Mengamati pemisahan
menyetujui tanda bukti tugas
(voucher) pembayaran dan
menandatangani cek
Suatu tanda bukti Komputer secara elektronik Menggunakan teknik-

mungkin dibayar dua membatalkan tanda bukti teknik audit dengan
kali (keberadaan dan dan informasi pendukung bantuan komputer, seperti
keterjadian dari ketika cek diterbitkan data pengujian untuk
transaksi yang valid) menguji pengendalian
aplikasi komputer
Memberi tanda pada bukti Mengemati pemberian cap
pembayaran dan dokumen kepada dokumen dan/
pendukung dengan tanda atau memeriksa sampael
luns ketika cek diterbitkan dari dokumen yang telah
dibayar untuk memeriksa
adanya tanda lunas
Suatu cek dapat Komputer mencocokkan Menggunakan teknik-
diterbitkan untuk jumlah informasi cek dengan teknik audit dengan
yang salah atau dicatat informasi yag mendukung bantuan komputer, seperti
dalam jumlah yang tanda bukti dan hutang data pengujian untuk
salah (penilaian atau usaha untuk setiap menguji pengendalian
alokasi) transaksi pengeluaran aplikasi komputer
Komputer Menggunakan teknik-
membandingkanjumlah cek teknik audit dengan
yang diterbitkan dengan bantuan komputer, seperti
jumlah yang dicatat dalam data pengujian untuk
pengeluaran kas menguji pengendalian
aplikasi komputer
Rekonsiliasi bank Mengamati kinerja
independen secara rekonsiliasi bank dan/ atau
periodik memeriksa rekonsiliasi
bank.
Tabel 1: salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian – transaksi pengeluaran kas
3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang
mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial
tertentu dengan menggunakan perangkat lunak computer yang memroses jawaban
kuesioner pengendalian intern atau dengan secara manual menggunakan daftar.
Kolom kedua dalam dalam tabel diatas mengilustrasikan pengendalian potensial

untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus,
beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu.
Dalam kasus lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan
mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi
pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara
rinkasan harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan
dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat
waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas
kecil dan pendeteksian yang tepat waktu dari salah saji tidak penting, maka
rekonsiliasi bank harian secara independen dan periodik mungkin sudah cukup
untuk mengkompensasi kurangnya pengujian independen harian. Dalam situasi
tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik
pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai
bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor
seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan
komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko
salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi
atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat
diperoleh dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat
dalam pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk
kelas transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat
kepercayaan pada manajer atau karyawan kunci dapat mengurangi efektivitas dan
aktivitas pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan
informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan
dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji
potensial untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu
pemahamandan mengidentifikasi salah saji material serta pengendalian yang
diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor
dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi,
meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian
dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan
auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk
memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik
bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya,

harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari
pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer,
bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati
personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian
pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan
dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan
menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa
komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan
pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian
terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan
jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang
akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit
tertulis untuk pengujian pengendalian yang terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan
pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh
pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang
berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan
masalah pertimbangan professional. AU 319.64 menyarankan agar auditor
mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti
lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat
pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas
pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga
auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk
melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan
memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung
terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan
daripada membuat pertanyaan mengenai individu. Namun demikian, auditor
seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu
pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika auditor
tidak hadir. Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor
seharusanya mempertimangkan bahwa bukti yang diperoleh oleh beberapa
pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit

diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur
pengendalian aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh
bukti mengenai apakah program melaksanakan pengedalian secara efektif. Untuk
menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap
rancangan dan pengoperasian pengendalian umum komputer selama periode audit
umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram
dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai
efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-
bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan
menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat
menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam
laporan pengecualian, tapi pertanyaan auditor mengenai orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan
dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya
akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang
mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif.
Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor
sering kali menggunakan petunjuk pengendalian menegnai frekuensi
penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk
presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti,
terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau
mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif
(seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak
akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu
diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam
menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut,
dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang
direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang
akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu
rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak
melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan
suatu audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu
tinggi, pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya
diperlukan, sehingga menghasilkan audit yang tidak efisien.

B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI
INFORMASI
1. Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
a. Menilai risiko pengendalian berdasarkan pengendalian pemakai
b. Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan
pengendalian aplikasi
c. Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan
pada pengendalian umum dan tindak lanjut manual
a) Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji
kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer.
Sebagai contoh, manajer yang mengenal denagn baik transaksi yang berada
dalam otoritasnya mungkin menunjau suatu daftar pembelian yang dibebankan
ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen
pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan
dokumen sumber yang mendukung transaksi. Meskipun kedua pengendalian ini
dapat mendeteksi dan memperbaiki salah saji, namun opengendalian yang
terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin
menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji
telah dideteksi dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian
pemakai yang berhubungan dengan suatu asersi secara langsung, serupa
dengan pengujian pengendalian dalam struktur manual. Keunggulan dari strategi
ini adalah tidak diperlukannya pengujian terhadap komplektisitas program
komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang
menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi
tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut
mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan
auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah.
Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai
risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian
aplikasi komputer.Dalam rangka melaksanakan strategi ini auditor seharusnya :
1. Menguji pengendalian aplikasi computer

2. Menguji pengendalian umum computer
3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh
pengendalian aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian
pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut
untuk menguji apakah pengendalian yang terprogram beroperasi secara
konsisten selama periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang
memungkinkan auditor untuk menyelesaikan tugas ini berdasarkan bukti
mengenai efektivitas pengendalian umum dan prosedur tindak lanjut manual.
Ketika menguji pengendalian umum, biasanya auditor akan mempelajari
efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan,
auditor dapat membuat kesimpulan mengenai efektivitas pengendalian aplikasi
dan mengidentifikasikan pengecualian menlalui pengajuan pertanyaan kepada
individu yang berpengetahuan yang melaksanakan prosedur tindak lanjut
manual.
2. Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian
aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi
pemasukan dan pengendalian pemrosesan terprogram.
Menurut IAPI (SPAP seksi 327.8-16) faktor-faktor yang harus dipertimbangkan
dalam penggunaan Teknik audit Berbantuan Komputer adalah:
a. Pengetahuan, keahlian, dan pengalaman komputer yang dimiliki oleh auditor.
b. Tersedianya TABK dan fasilitas komputer yang sesuai.
Auditor harus mempertimbangkan tersedianya TABK, kesesuaian fasilitas komputer
dan sistem akuntansi serta file berbasis komputer yang diperlukan. Auditor dapat
merencanakan untuk menggunakan fasilitas komputer yang lain bila penggunaan
TABK atas komputer entitas dianggap tidak ekonomis atau tidak praktis untuk
dilakukan-sebagai contoh, karena adanya ketidaksesuaian antara program paket
yang digunakan oleh auditor dengan komputer entitas.
Kerja sama dari karyawan entitas dapat diperoleh untuk menyediakan fasilitas
pengolahan pada waktu yang tepat, untuk membantu seperti memuat dan
menjalankanTABK. Ke dalam sistem entitas, dan menyediakan copy file data
dalam format yang dikehendaki oleh auditor.
c. Ketidakpraktisan pengujian manual.

Banyak sistem akuntansi terkomputerisasi dalam melaksanakan tugas tertentu
tidak menghasilkan bukti yang dapat dilihat. Dalam keadaan ini, tidaklah
praktis bagi auditor untuk melakukan pengujian secara manual. Tidak adanya
bukti yang dapat dilihat dapat terjadi pada berbagai tahap proses akuntansi-
seperti:
a) Dokumen masukan dapat tidak ada bila order penjualan dimasukkan ke
dalam system secara on-line. Di samping itu, transaksi akuntansi, seperti
perhitungan potongan harga dan bunga, dapat dipicu dengan program
komputer tanpa otorisasi yang dapat dilihat untuk setiap transaksi secara
individual.
b) Sistem dapat tidak menghasilkan jejak audit (audit trail) yang dapat dilihat
untuk transaksi yang diolah melalui komputer. Surat penyerahan
barang dan faktur dari pemasok dapat ditandingkan dengan suatu
program komputer. Di samping itu, prosedur pengendalian program,
seperti pengecekan batas kredit pelanggan, dapat menyediakan bukti yang
dapat dilihat hanya atas dasar penyimpangan. Dalam hal ini, tidak terdapat
bukti yang dapat dilihat bahwa semua transaksi telah diolah.
c) Laporan keluaran dapat tidak diproduksi oleh sistem. Sebagai tambahan,
suatu laporan tercetak dapat hanya berisi total ringkasan sementara rincian
yang mendukung laporan tersebut tetap ditahan dalam file komputer.
d. Efektivitas dan efisiensi
Efektivitas dan efisiensi prosedur audit dapat ditingkatkan melalui penggunaan
TABK dalam memperoleh dan mengevaluasi bukti audit-seperti:
a) Beberapa transaksi dapat diuji lebih efektif untuk tingkat biaya yang
sama dengan menggunakan komputer untuk memeriksa semua atau
lebih banyak transaksi dibandingkan dengan jika dilaksanakan secara
manual.
b) Dalam penerapan prosedur analitik, transaksi atau saldo akun dapat di-
review dan dicetak laporannya untuk pos-pos yang tidak biasa dengan
cara yang lebih efisien dengan menggunakan komputer bila
dibandingkan dengan cara manual.
c) Penggunaan TABK dapat membuat prosedur pengujian substantif tambahan
lebih efisien daripada jika auditor meletakkan kepercayaan atas
pengendalian dan pengujian pengendalian yang bersangkutan.
Masalah yang berhubungan dengan efisiensi yang perlu dipertimbangkan
oleh auditor meliputi:

a) Waktu untuk merencanakan, merancang, melaksanakan, dan
mengevaluasi TABK.
b) Jam asisten dan review teknis.
c) Perancangan dan pencetakan formulir (seperti konfirmasi).
d) Pencatatan masukan ke dalam sistem komputer dan verifikasinya. d.
Waktu pemakaian komputer.
Dalam mengevaluasi efektivitas dan efisiensi suatu TABK, auditor
dapat mempertimbangkan daur hidup aplikasi TABK. Perencanaan mula-mula,
perancangan, dan pengembangan suatu TABK biasanya akan memberikan
manfaat terhadap audit periode berikutnya.
e. Saat pelaksanaan.
File komputer tertentu, seperti file transaksi rinci, seringkali ditahan hanya
untuk jangka waktu pendek, dan mungkin tidak disediakan dalam bentuk yang
dapat dibaca oleh mesin pada saat diperlukan oleh auditor. Jadi, auditor akan
memerlukan pengaturan untuk mempertahankan data yang dibutuhkannya,
atau is dapat mengubah saat pekerjaannya memerlukan data tersebut.
Jika waktu yang tersedia untuk melaksanakan audit terbatas, auditor dapat
merencanakan.penggunaan TABK karena program tersebut akan dapat memenuhi
persyaratan waktu lebih baik dibandingkan dengan prosedur lain.
Dalam SPAP seksi 327.7 diungkapkan bahwa TABK dapat digunakan dalam
pelaksanaan berbagai prosedur audit berikut ini:
a. Pengujian rincian transaksi dan saldo-seperti, penggunaan perangkat lunak
audit untuk menguji semua (suatu sampel) transaksi dalam file komputer.
b. Prosedur review analitik-seperti, penggunaan perangkat lunak audit
untuk mengidentifikasi unsur atau fluktuasi yang tidak biasa.
c. Pengujian pengendalian (test of control) atas pengendalian umum sistem
informasi komputer-seperti, penggunaan data uji untuk menguji prosedur
akses ke perpustakaan program (program libraries).
d. Pengujian pengendalian atas pengendalian aplikasi sistem informasi komputer
-seperti, penggunaan data uji untuk menguji berfungsinya prosedur yang telah
diprogram.
e. Mengakses file, yaitu kemampuan untuk membaca file yang berbeda record-nya
dan berbeda formatnya.
f. Mengelompokkan data berdasarkan kriteria tertentu.
g. Mengorganisasi file, seperti menyortasi dan menggabungkan.
h. Membuat laporan, mengedit dan memformat keluaran.
i. Membuat persamaan dengan operasi rasional (AND; OR; =; < >; <; >; IF).

Teknik audit berbantuan komputer penting yang digunakan untuk menguji
pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk (1) simulasi
pararel, (2) pengujian data, (3) fasilitas pengujian terintegrasi, dan (4) pemantauan
yang berkelanjutan atas sistem real-time online.
a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan
menggunakan suatu program perangkat lunak yang dikendalikan oleh auditor.
Pendekatan ini memiliki keuntungan sebagai berikut :
1) Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
2) Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative
kecil.
3) Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian
haris diberikan guna menentukan bahwa data yang terpilih untuk simulasi
mewakili transaksi aktual klien. Juga bahwa sistem klien dapat melakukan
operasi yang berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses
menurut pengendalian auditor dengan program computer klien. Metode ini
memiliki beberapa kekurangan yaitu :
4) Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang
periode
5) Metode yang digunakan adalah suatu pengujian dimana hanya
pengendalian yang ada dan yang berfungsi yang diuji oleh program
6) Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh
system
7) Operator computer mengetahui bahwa data pengujian sedang dijalankan,
sehigga dapat mengurangi validitas output
8) Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang
pengendalian dalam aplikasi
c) Fasilitas pengujian integrasi
Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam
system teknologi informasi regular. Data pengujian, yang diberi kode secara
khusus untuk berhubungan dengan file master buatan, diperkenalkan ke dalam
system bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan

yaitu, risiko potensial terjadinya kekeliruan dalam data klien. Selain itu,
modifikasi juga mungkin diperlukan dalam program klien untuk mengakomodasi
data buatan.
d) Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi
terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini
menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki
karakteristik penting bagi auditor.
1) Memberi label pada transaksi. Meliputi penempatan suatu indicator atau
label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat
ditelusuri melalui system ketika sedang diproses.
2) Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu,
digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan
auditor ketika mereka muncul pada titik tertentu dalam system.
3. Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien
menggunakan pengendalian manual, pengendalian yang mengambil keuntungan
teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan
pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman,
(2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3)
mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi
dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5)
mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan
komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara
keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain
dalam program komputer. Prosedur pengendalian manual dan komputer terdiri
atas pengendalian menyeluruh yang berdampak terhadap lingkungan SIK
(pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi
(pengen aplikasi SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat
rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan
tingkat keyakinan memadai bahwa tujuan pengendalian intern secara
keseluruhan dapat tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan
rerangka organisasi aktivitas SIK, yang mencakup:

(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan
transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem
aplikasi-didesain untuk memberikan keyakinan memadai bahwa sistem
dikembangkan dan dipelihara dalam suatu cara yang efisien dan melalui
proses otorisasi semestinya. Pengendalian ini juga didesain untuk
menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru
atau sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan
operasi sistem dan untuk memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah
mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain untuk
memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh
atau dikembangkan dengan cara yang efisien dan melalui proses otorisasi
semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi
perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi
sistem hanya bagi karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk
memberikan keyakinan bahwa:
(1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke
dalam sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah
mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi
terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.

b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau
penghancuran data baik yang disengaja maupun yang tidak disengaja.
c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi
bencana.
b) Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan
prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan
keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta
diolah seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi
mencakup:
a. Pengendalian atas masukan-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan
komputer.
(2) Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca
mesin dan dicatat dalam file data komputer.
(3) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(4) Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan
kembali secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk
memberikan keyakinan memadai bahwa
(1) Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah
semestinya oleh komputer.
(2) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(3) Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.
c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Hasil pengolahan adalah cermat.
(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah
mendapatkan otor
(3) Keluaran disediakan secara tepat waktu bagi karyawan yang
mendapatkan oton semestinya.
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
(1) Pengendalian masukan pada sistem on-line-didesain untuk
memberikan key bahwa:

- Transaksi di-entry ke terminal yang semestinya.
- Data di-entry dengan cermat.
- Data di-entry ke periode akuntansi yang semestinya.
- Data yang di-entry telah diklasifikasikan dengan benar dan pada
nilai transaks' sah (valid).
- Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.
- Transaksi tidak di-entry lebih dari sekali.
- Data yang di-entry tidak hilang selama masa transmisi
berlangsung.
- Transaksi yang tidak berotorisasi tidak di-entry selama transmisi
berlangsung.
(2) Pengendalian pengolahan pada sistem on-line--didesain untuk
(i) Hasil penghitungan telah diprogram dengan benar.
(ii) Logika yang digunakan dalam proses pengolahan adalah benar.
(iii) File yang digunakan dalam proses pengolahan adalah benar.
(iv) Record yang digunakan dalam proses pengolahan adalah benar.
(v) Operator telah memasukkan data ke komputer console yang
semestinya.
(vi) Tabel yang digunakan selama proses pengolahan adalah benar.
(vii) Selama proses pengolahan telah digunakan standar operasi
(default) yang semestinya.
(viii) Data yang tidak sah tidak digunakan dalam proses pengolahan.
(ix) Proses pengolahan tidak menggunakan program dengan versi
yang salah.
(x) Hasil penghitungan yang dilakukan secara otomatis oleh program
adalah sesuai dengan kebijakan manajemen entitas.
(xi) Data masukan yang diolah adalah data yang berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk
(i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang berotorisasi.
Tabel 2 dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial serta
pengendalian yang diperlukan untuk pengendalian umum dan pengendalian
aplikasi.

Salah saji potensial Pengendalian yang Kemungkinan pengujian
diperlukan pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat Pemisahan tugas dalam Mengamati pemisahan
memodifikasi program ke teknologi informasi untuk tugas dalam teknologi
dalam pengendalian pemrograman komputer informasi
terprogram dan pengoperasian
komputer
Personel teknologi Pemisahan tugas antar Mengamati pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses transaksi teknologi informasi untuk pemakai dan pemrosesan
tanpa otorisasi memulai dan memproses data elektronik
transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
Rancangan sistem Partisipasi personel dari Pertanyaan mengenai
mungkin tidak memenuhi departemen pemakai dan partisipan yang terlibat
kebutuhan departemen audit internal dalam dalam perancangan
pemakai atau auditor merancang dan sistem baru, memeriksa
menyetujui sistem baru bukti untuk persetujuan
sistem baru
Perubahan program yang Pemeriksaan intern Memeriksa bukti verifikasi
tidak diotorisasi dapat mengenai otorisasi yang intern; menelusuri
menghasilkan kekeliruan tepat, pengujian dan perubahan program ke
pemrosesan yang tidak pendokumentasian dari dokumentasi yang
diantisipasi perubahan program mendukung
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan Pengendalian perangkat Memeriksa spesifikasi
dapat menghasilkan keras dan perangkat lunak perangkat keras dan lunak
kekeliruan pemrosesan sistem untuk mendeteksi sistem
kerusakan
Perubahan yang tidak Persetujuan dan Memeriksa bukti dan
diotorisasi dalam pendokumentasian dari persetujuan
perangkat lunak sistem semua perubahan. pendokumentasian
dapat menghasilkan perubahan.

kekeliruan pemrosesan
PENGENDALIAN AKSES
Pemakai tanpa otorisasi Keamanan fisik dan Memeriksa pengaturan
dapat memeperoleh fasilitas teknologi keamanan dan laporan
akses terhadap peralatab informasi; tinjauan penggunaan
teknologi informasi manajemen mengenai
laporan penggunaan.
Arsip data dan program Penggunaan Memeriksa fasilitas dan
dapat diperbarui oelh perpusatakaan, log
pemakai yang tidak pustakawan, dan log untuk
memiliki otorisasi membatasi dan
mengawasi pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan kelompok Mengamati pengopersian
dalam memasukkan atau pengendalian data yang kelompok pegendalian
memproses data dan bertanggungjawab untuk data
mendistribusikan memelihara pengendalian
keluaran terhadap data masukan,
pemrosesan dan output.
Kontinuitas Rencana kontijensi Memeriksa rencana
pengoperasian dapat termasuk pengaturan kontijensi
terganggu oleh suatu untuk penggunaan fasilitas
bencana seperti cadangan
kebakaran atau banjir
Arsip data dan program Penyimpanan arsip Memeriksa fasilitas
dapat rusak atau hilang cadangan dan program off penyimpanan;
premise; ketentuan untuk mengevalusasi
rekonstruksi arsip data kemampuan rekonstruksi
arsip
Tabel 2: pertimbangan penilaian risiko pengendalian untuk pengendalian
umum pemrosesan data elektronik (EDP)

Salah saji potensial Pengedalian yang Kemungkinan pengujian
diperlukan pengendalian
PENGENDALIAN INPUT
Data untuk transaksi yang Otorisasi dan persetujuan Memeriksa dokumen
tidak diotorisasi dapat data dari departemen sumber dan untuk
diserahkan untuk pemakai; pengendalian membuktikan persetujuan;
diproses aplikasi membandingkan pengujian aplikasi,
data dengan otorisasi pengendalian dengan
sebelumnya CAATs, dan mneguji
tindak lanjut manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi data
secara tidak benar total pengendalian prosedur, menggunakan
dikonversikan dalam CAATs untuk menguji
bentuk yang dapat dibaca rutinitas dan menguji
oleh mesin tindak lanjut manual;
memeriksa rekonsiliasi
total pengendalian.
Kekeliruan pada Pemeliharaan dari log Memeriksa log dan bukti
dokumen sumber tidak kekeliruan; pengembalian tindak lanjut.
dapat diperbaiki dan kepada departemen
diserahkan ulang pengguna untuk
diperbaiki; tindak lanjut
manual
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin Penggunaan label arsip Mengamati penggunaan
diproses dan diperarui eksternal dan internal label arsip eksternal;
memeriksa
pendokumentasian label
arsip internal
Data mungkin hilang, Penggunaan total Memeriksa bukti
ditambahkan, pengendalian, batasan pengendalian rekonsiliasi
digandakan, atau diubah dan pengujian, pengujian total, menggunakan CAAT
selam pemrosesan urutan untuk menguji
pengendalian komputer
dan menguji tindak lanjut
manual

PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa bukti
benar kelompok pengendalian rekonsiliasi
data atau departemen
pengguna
Output mungkin Penggunaan lembar Memeriksa lembar
didistribusikan kepada pengendalian distribusi pengendalian
pemakai yang tidak laporan; monitoring pendistribusian laporan,
memiliki otorisasi kelompok pengendalian mengamati monitoring
data. kelompok pengendalian
data.
Tabel 3: pertimbangan penilaian risiko pengendalian untuk pengendalian
aplikasi komputer
C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

1. Pendekatan substantif utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen
pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan
pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin
juga lebih sempit. Asumsi adanya salah satu dari hal-hal :
a. Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi
b. Setiap pengendalian intern yang relevan mungkin tidak efektif
c. Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas
pengendalian intern yang relevan
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan
pengoperasian pengendalian intern untuk suatu asersi, auditor dapat membuat
penilaian awal dari risiko pengendalian sedikit dibawah tingkat maksimum. Agar
efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1) pengujian
pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan
asumsi adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan
tingkat pengujian substantive yang lebih tinggi, yang diperlukan oleh pendekatan
substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor
mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari
ketiga kondisi yang disebutkan dalam bagian sebelumnya bersinggungan.

Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai
lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan
yang diperlukan untuk memperoleh bukti yang diperlukan guna mendukung
penilaian tingkat risiko pengendalian yang direncanakan pada tingkat sedang atau
rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam
kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko
pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive
untuk mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat
pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk
mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari rancangan
maupun efektivitas dari pengoperasian pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari
suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2)
konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa
pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk memperoleh
bukti semacam ini normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan
pelaksanaan pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian

terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan
menggunakan teknik audit berbbantuan komputer/CAAT. Pengguna dapat menyediakan
bukti mengenai baik rancangan yang efektif maupun pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah
tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung
tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup untuk
mendukung tingkat risiko pengendalian taksiran merupakan masalah pertimbangan
auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan kepada auditor
pada waktu mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber,
ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang

dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti
audit.
a) Tipe Bukti Audit

Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe
bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng
tersebut. Untuk beberapa pengendalian, dokumentasi desain atau operasinya
mungkin ada Dalam hal tersebut, auditor dapat memutuskan untuk melakukan
inspeksi terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas
desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia
atau tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin
tidak ada untuk beberapa faktor lingkungan pengendalian, seperti penetapan
wewenang dan tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian,
seperti mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang
dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas
desain atau operasi dapat diperoleh dengan melakukan pengamatan atau
dengan menggunakan teknik audit berbantuan komputer untuk melaksanakan
ulang,pengendalian yang relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian
yang diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan,
memberikan keyakinan yang lebih besar daripada bukti audit yang diperoleh
secara tidak langsung atau dengan mengambil kesimpulan, misalnya dari
permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang
semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi
atas orang yang menerapkan prosedur pengendalian, biasanya memberikan
keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan
tentang orang tersebut. Namun, auditor harus mempertimbangkan, bahwa
penerapan pengendalian yang diamati, mungkin tidak dilaksanakan dengan cara
yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti
audit yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan
operasi pengendalian tertentu. Apabila auditor menentukan bahwa prosedur
pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi
risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan

pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung
kesimpulan mengenai efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan
hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam
mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus
memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas
pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu, pada
saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut
mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi
pengendalian untuk masa yang tidak termasuk dalam pengujian tersebut. Dalam hal
demikian, auditor mungkin memutuskan untuk menambah pengujian dengan
pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk
seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang
dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan
pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah program
tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan
pengujian atas pengendalian yang diarahkan terhadap desain dan operasi aktivitas
pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan
program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti
apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten
selama masa yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada
audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko
pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit
seperti itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya asersi
yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit
sebelumnya, tingkat efektivitas desain dan operasi pengendalian tersebut yang
dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan
evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari
pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus
memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian
pengendalian untuk mendapatkan bukti audit mengenai risiko pengendalian, semakin
kurang keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya
auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah
terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur

dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai perubahan
tersebut, bersama-sama dengan pertimbangan mengenai hal yang diuraikan
dalam paragraf terdahulu mendukung penambahan atau pengurangan bukti audit
tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas
desain dan operasi yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi
pengendalian selama masa interim, is harus menentukan bukti audit tambahan
apa yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan
tersebut, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan,
pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas desain
dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian
yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih
tersisa dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari
pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor harus
mendapatkan bukti audit tentang sifat dan lingkup perubahan signifikan dalam
pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel,
yang terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti
audit yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat
keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti
audit saja mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi
pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan
pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya;
auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang
mengoperasikan komputer. Karena pengamatan hanya berkaitan dengan waktu
kegiatan tersebut dilakukan, auditor harus melengkapi pengamatannya dengan
permintaan keterangan mengenai seringnya atau dalam hal apa pemrogram dapat
melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang lalu,
yang pemrogram mencoba mengoperasikan komputer, untuk menentukan
bagaimana usaha tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti
audit, auditor harus mempertimbangkan keterkaitan lingkungan pengendalian
perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi,
dan pemantauan. Walaupun salah satu komponen pengendalian intern mungkin
mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan
keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masing-

masing komponen dalam hubungannya dengan bukti audit mengenai komponen
lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang
sama mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan
oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti
audit mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi
pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan berkurang.
Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif,
auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun,
apabila dalam mengevaluasi prosedur pengendalian tertentu, auditor
mendapatkan bukti audit bahwa prosedur pengendalian tersebut tidak efektif, ia
mungkin mengevaluasi ulang kesimpulan mengenai lingkungan pengendalian
antara lain dengan menerapkan prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian
tidak efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk
asersi tertentu. Misalnya, lingkungan pengendalian yang tampaknya
memungkinkan perubahan yang tidak diotorisasi dalam program komputer dapat
mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas
efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan
untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program
tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan
mengawasi satu copy program dan mempergunakan teknik audit berbantuan
komputer untuk membandingkan copy tersebut dengan program yang dipakai
perusahaan untuk memproses data.
Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir
risiko pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah
sifat saat, dan lingkup pengujian pengendalian lain yang sudah direncanakan
untuk menaksir risiko pengendalian. Di samping itu, mungkin ada informasi yang
masuk ke dalam perhatian auditor sebagai hasil pelaksanaan pengujian substantif
atau dari sumber lain selama melakukan audit, yang sangat berbeda dengan informasi
yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam menaksir
risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor
ketika melakukan pengujian substantif, mungkin mengubah pertimbangannya
mengenai tingkat risiko pengendalian taksiran. Dalam hal ini, auditor mungkin
perlu mengevaluasi ulang prosedur substantif yang direncanakan,yang berdasarkan
atas pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk
seluruh atau sebagian asersi laporan keuangan.

E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur
pemahaman atas struktur pengendalian intern dan pengujian pengendalian (test of
controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur
pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi
tentang desain struktur pengendalian intern dan informasi apakah desain tersebut
dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan
auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam
mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan
pengujian pengendalian (test of controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua
macam pengendalian:
1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.

Untuk menentukan apakah informasi mengenai struktur pengendalian yang
dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam
pengujian :
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-
unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi
tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi
penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya
kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-
unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima
surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh
fungsi penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :
a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek
dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi
penerima surat. Auditor mengamati pembuatan daftar surat
pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima
kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati
endorsement atas setiap cek oleh pejabat yang berwenang,
memastikan bahwa jumlah cek yang diterima disetor segera ke bank

dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat
pemberitahuan yang dibuat oleh fungsi penerima surat.
c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak
melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima
dari piutang disetor seleruhnya ke bank dengan segera.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke
dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal
penerimaan kas.
b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-
unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi
tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi
penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya
kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-
unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima
surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh
fungsi penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :
a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek

dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi
penerima surat. Auditor mengamati pembuatan daftar surat
pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima
kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati
endorsement atas setiap cek oleh pejabat yang berwenang,
memastikan bahwa jumlah cek yang diterima disetor segera ke bank
dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat
pemberitahuan yang dibuat oleh fungsi penerima surat.
c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak
melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima
dari piutang disetor seleruhnya ke bank dengan segera.

d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke
dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal
penerimaan kas.
dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian

terhadap transaksi tertentu yang telah terjadi dan telah dicatat dalam
catatan akuntansi. Dalam hal ini auditor harus memilih transaksi tertentu
kemudian mengikuti pelaksanaanya (reperforming) sejak awal sampai
selesai, melalui dokumen-dokumen yang dibuat dalam transaksi tersebut
dan pencatatannya dalam catatan akuntansi. Sebagai contoh untuk
menyelidiki apah sistem pembelian benar-benar dilaksanakan sesuai
dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor
memeriksa surat permintaan pembelian, surat penawaran harga, surat
order pembelian, laporan penerimaan barang dan bukti kas keluar.
Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat
yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah
ditetapkan benar-benar dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak
hanya berkepentingan terhadap eksistensi unsur-unsur struktur
pengendalian intern, namun auditor juga berkepentingan terhadap tingkat
kepatuhan klien terhadap pengendalian intern. Dalam pengujian tingkat
kepatuhan klien terhadap pengendalian intern pembelian, auditor dapat
menempuh prosedur audit berikut ini :
a) Mengambil sampel bukti kas masuk dan memeriksa kelengkapan

dokumen pendukungnya (surat order pembelian, laporan penerimaan
barang, dan faktur dari pemasok) serta tanda tangan pejabat yang
berwenang baik dalam bukti kas keluar maupun dokumen
pendukungnya. Tujuan pengujian ini adalah untukmendapat kepastian
transaksi pembelian telah diotorasi oleh pejabat-pejabat berwenang.
b) Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang
merupakan kombinasi antara pengujian yang tujuannya untuk menilai
efektivitas pengendalian intern (pengujian pengendalian) dan pengujian
yang tujuannya menilai kewajaran informasi yang disajikan dalam
laporan keuangan (pengujian substantif).

F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang
berkenaan dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas.
Penilaian tersebut kemudian digunakan untuk menilai risiko pengendalian asersi saldo
akun yang signifikan sehingga kesesuaian dari tingkat pengujian substantif yang
direncanakan untuk saldo akun dapat ditentukan, dan pengujian substantif khusus
dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk akun-akun yang
dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun yang
dipengaruhi oleh kelas transaksi ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu
kelas transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan
kepada akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini
merupakan kasus dalam kebanyakan akun laporan laba rugi. Sebagai contoh,
penjualan meningkat oleh kredit untuk transksi penjualan dalam siklus pendapatan,
dan banyak akun beban meningkat dengan mendebet transaksi pembelian dalam
siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk
setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk
asersi kelas transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian
atas asersi keberadaan atau keterjadian untuk saldo akun penjualan seharusnya
sama dengan penilaian risiko pengendalian atas asersi keberadaan atau keterjadian
untuk transaksi penjualan. Demikian pula, penilaian risiko pengendalian atas asersi
pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban harus
sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu
kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas
transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas
dalam siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam
siklus pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi
saldo akun memerlukan pertimbangan atas penilaian risiko pengendalian yang
relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi neraca.
Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi
untuk saldo kas didasarkan pada penilaian risiko pengendalian untuk asersi
penilaian atau alokasi baik untuk transaksi penerimaan kas maupun transaksi
pengeluaran kas.

Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko
pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada penilaian
risiko pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas
transaksi dipengaruhi saldo akun tersebut, dengan satu pengecualian utama.
Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi
kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan
dengan asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan
hubungan yang tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini
menunjukkan penilaian risiko pengendalian yang relevan dengan asersi kelas
transaksi yang digunakan untuk menilai risiko pengendalian dari asersi keberadaan
atau keterjadian dan asersi kelengkapan untuk saldo kas.
Asersi Saldo Kas di Penilaian Risko Penjelasan

mana Risiko Pengendalian yang Relevan
Pengendalian Dinilai untuk Kelas Transaksi yang
Mempengaruhi Saldo Kas
Keberadaan atau Keberadaan atau keterjaidan Jika beberapa
Kejadian dari penerimaan kas penerimaan kas yang
meningkatkan risiko. tercatat tidak terjadi,
sebagian dari saldo kas
tidak ada.
Keberadaan atau keterjadian Jika beberapa
pengeluaran kas yang pengeluaran kas yang
menurunkan saldo. tercatat tidak muncul,
saldo kas tidak lengkap.
Kelengkapan Kelengkapan dari

pengeluaran kas yang Jika beberapa
menurunkan saldo. pengeluaran kas tidak
dicatat, bagian dari saldo
kas tidak ada lagi

Kelengkapan dari
penerimaan kas yang Jika beberapa
meningkatkan saldo. penerimaan kas tidak
dicatat, saldo kas tidak
lengkap
Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas
3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko
pengendalian berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya
mengenai bagian pengendalian intern yang relevan berdasarkan pengujian
pengendalian:
Asersi Penilaian Risiko

Pengendalian
Keberadaan atau keterjadian dan penerimaan kas Rendah
Kelengkapan dari penerimaan kas Sedang
Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan
berbeda, auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai
suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor akuntan publik
memilih untuk menggunakan penilaian relevan yang paling konservatif (paling tinggi).
Demikian pula halnya jika penilaian risiko pengendalian auditor atas asersi penilaian
atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas masing-masing
berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas asersi
penilaian atau alokasi untuk saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya
risiko pengendalian tersebut dibandingkan dengan penilaian tingkat risiko
pengendalian yang direncanakan. Ketika tingkat yang direncanakan didukung,
auditor dapat melanjutkan untuk merancang pengujian substantif berdasarkan
strategi audit pendahuluan. Jika tingkat risiko pengendalian yang direncanakan untuk
dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan pengujian
audit yang berhubungan seharusnya direvisi untuk memperoleh tingkat risiko audit
yng diinginkan.

4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko
pengendalian (documentation of the controls risk assesment). Persyaratan tersebut
adalah sebagai berikut :
a. Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini
yang diperlukan untuk didokumentasikan.
b. Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk
penilaian harus didokumentasikan.
AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk

pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan
menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan
keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10, yang
mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan
yang terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk
asersi kelengkapan telah diberikan, di mana hanya kesimpulan yang dinyatakan
ketika penilaian berada pada tingkat maksimum, seperti ditunjukkan untuk asersi hak
dan kewajiban.
5. Mengkomunikasikan Masalah Pengendalian Intern

Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau
personel entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi
tertentu yang berhubungan dengan pengendalian intern suatu entitas yang diamati
selama audit laporan keuangan. AU 325, Communication of Internal Control Related
Matters Noted in a Audit (SAS 60 dan SAS 78) mendefinisikan suatu kondisi yang
dapat dilaporkan (Reportable condition) sebagai berikut :
… masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya,
seharusnya dikomunikasikan dengan komite audit karena menyajikan kekurangan
yang signifikan dalam rancangan dan pengoperasian pengendalian intern yang
dapat secara berlawanan mempengaruhi kemampuan organisasi untuk mencatat,
memproses, meringkas, dan melaporkan data keuangan secara konsisten dengan
asersi manajemen dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk
kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan suatu
kelemahan material (material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari
satu atau lebih komponen pengendalian intern tidak dapat mengurangi tingkat risiko
salah saji sampai ke tingkat yang rendah karena kekeliruan atau kecurangan di

mana jumlah yang material dalam hubungannya dengan laporan keuangan yang
sedang diaudit dapat muncul dan tidak dapat dideteksi selama satu periode secara
tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi
yang ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan
kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam
komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian
intern adalah suatu produk penting yang menggunakan pengetahuan yang diperoleh
auditor selama audit laporan keuangan. Auditor akan secara normal mengevaluasi
apakah klien memiliki pengendalian yang cukup untuk mengatasi masalah yang
diciptakan oleh risiko usaha suatu entitas. Sebagai contoh, dalam usaha untuk
mengelola sistem persediaan just-in-time, klien mungkin merancang suatu sistem
yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas
persedian kepada penjual dan memesan barang ketika persediaan berada di bawah
tingkat yang telah ditentukan. Pengendalian intern klien seharusnya menyediakan
keyakinan yang memadai bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki
pada waktu yang tepat. Manajemen dan komite audit tertarik pada hasil evaluasi
auditor tentang kualitas sistem pengendalian intern mereka.

BAB III
PENUTUP
A. Kesimpulan
Menilai risiko pengendalian (assessing control risk) merupakan suatu proses

mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan. Dalam membuat
penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk: (1)
Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh
suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi
telah dirancang dan diterapkan dalam operasi oleh manajemen entitas; (2)
Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas; (3)
Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah atau
mendeteksi dan memperbaiki salah saji; (4) Melaksanakan pengujian pengendalian
terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan dan
pengoperasian dari pengendalian tersebut; (5) Mengevaluasi bukti dan membuat
penilaian.
Dalam menilai risiko pengendalian dalam suatu lingkungan TI terdapat tiga hal yang
penting yaitu: (1) strategi untuk melaksanakan pengujian pengendalian; (2) Teknik audit
berbantuan komputer; (3) Menilai pengendalian teknologi informasi.
Dampak dari strategi audit pendahuluan dapat diketahui dari pendekatan substantif dan
juga tingkat risiko pengendalian yang dinilai lebih rendah.
Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan
dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang
dapat diberikan oleh bukti audit.
Untuk menguji kepatuhan terhadap pengendalian intern, auditor dapat melakuan dua
macam pengendalian yaitu: pengujian adanya kepatuha terhadap struktur
pengendalian intern; dan pengujian tingkat kepatuhan terhadap struktur pengendalian
intern.
Pertimbangan tambahan dalam menilai risiko pengendalaian adalah: (1) Menilai risiko
pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi
tunggal; (2) Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh

suatu kelas transaksi ganda; (3) Mengkombinasikan Penilaian Risiko Pengendalian
Yang Berbeda; (4) Mendokumentasikan Penilaian Tingkat Risiko Pengendalian; (5)
Mengkomunikasikan Masalah Pengendalian Intern.

DAFTAR PUSTAKA
Boynton, William C., Johnson, Raymond N., dan Kell, Walter G. 2003. Modern Auditing.
Jakarta: Erlangga.
Farahaul. 2012. Audit Menilai Risiko Pengendalian: Uji Pengendalian. (Online) (http://farah-
aul.blogspot.com/2012/10/audit-menilai-risiko-pengendalian-uji.html. Diakses pada
tanggal 30 Oktober 2014)
IAPI. 2011. Standar Profesi Akuntan Publik. Jakarta: Penerbit Salemba Empat.
Kurniawati, Efi. 2012. Menilai Risiko Pengendalian. (Online) (http://yuukichan-

lovelypink.blogspot.com/2012/10/menilai-risiko-pengendalian.html. Diakses Pada
tanggal 30 Oktober 2014)
Mulyadi., Puradiredja, Kanaka. 1998. Auditing. Jakarta: Penerbit Salemba Empat.

Makalah Menilai Risiko Pengendalian Dan

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Makalah Menilai Risiko Pengendalian Dan

Diunggah oleh

Hak Cipta:

Format Tersedia

Makalah Pengauditan 1

MENILAI RISIKO PENGENDALIAN DAN UJI PENGENDALIAN

ANDI FACHRUR RIJAL A311 12 291

MAXYANUS TARUK LOBO’ A311 12 296

FAKULTAS EKONOMI DAN BISNIS

Makassar, November 2014

Menilai Risiko Pengendalian/Uji Pengendalian | ii

Daftar Isi iii

BAB II: Pembahasan 3

A. Menilai Risiko Pengendalian/Pengujian Pengendalian 3

BAB III: Penutup 36

Menilai Risiko Pengendalian/Uji Pengendalian | iii

a. Memperoleh suatu pemahaman yang cukup mengenai komponen-komponen

Definisi Penakiran risiko pengendalian mengharuskan seorang auditor agar mengetahu

Menilai Risiko Pengendalian/Uji Pengendalian | 1

Menilai Risiko Pengendalian/Uji Pengendalian | 2

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai Risiko Pengendalian/Uji Pengendalian | 3

Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh

Menilai Risiko Pengendalian/Uji Pengendalian | 4

Salah saji potensial Pengendalian yang Pengujian pengendalian

Menilai Risiko Pengendalian/Uji Pengendalian | 5

3. Mengidentifikasi pengendalian yang diperlukan.

Menilai Risiko Pengendalian/Uji Pengendalian | 6

Menilai Risiko Pengendalian/Uji Pengendalian | 7

Menilai Risiko Pengendalian/Uji Pengendalian | 8

Menilai Risiko Pengendalian/Uji Pengendalian | 9

Menilai Risiko Pengendalian/Uji Pengendalian | 10

Menilai Risiko Pengendalian/Uji Pengendalian | 11

Menilai Risiko Pengendalian/Uji Pengendalian | 12

Menilai Risiko Pengendalian/Uji Pengendalian | 13

Menilai Risiko Pengendalian/Uji Pengendalian | 14

Menilai Risiko Pengendalian/Uji Pengendalian | 15

Menilai Risiko Pengendalian/Uji Pengendalian | 16

Menilai Risiko Pengendalian/Uji Pengendalian | 17

Menilai Risiko Pengendalian/Uji Pengendalian | 18

Menilai Risiko Pengendalian/Uji Pengendalian | 19

Menilai Risiko Pengendalian/Uji Pengendalian | 20

Menilai Risiko Pengendalian/Uji Pengendalian | 21

C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

Menilai Risiko Pengendalian/Uji Pengendalian | 22

Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian

Menilai Risiko Pengendalian/Uji Pengendalian | 23

a) Tipe Bukti Audit

Menilai Risiko Pengendalian/Uji Pengendalian | 24

Menilai Risiko Pengendalian/Uji Pengendalian | 25

Menilai Risiko Pengendalian/Uji Pengendalian | 26

Menilai Risiko Pengendalian/Uji Pengendalian | 27

1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.

Menilai Risiko Pengendalian/Uji Pengendalian | 28

a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek

Menilai Risiko Pengendalian/Uji Pengendalian | 29

dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian

a) Mengambil sampel bukti kas masuk dan memeriksa kelengkapan

Menilai Risiko Pengendalian/Uji Pengendalian | 30

Menilai Risiko Pengendalian/Uji Pengendalian | 31

Asersi Saldo Kas di Penilaian Risko Penjelasan

Kelengkapan Kelengkapan dari

Menilai Risiko Pengendalian/Uji Pengendalian | 32

Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Asersi Penilaian Risiko