TUGAS AUDIT 1

Memperkirakan Resiko Pengendalian/Pengujian Pengendalian

DOSEN PEMBIMBING :
RESTY YUSNIRMALA DEWI,SE.,M.Acc.,Ak.,CA

OLEH :

KELOMPOK 10

I KOMANG BAGUS WISNU MURTI

(A0C018047)

PROGRAM STUDI DIPLOMA III AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MATARAM
2020
 KATA PENGANTAR

Puji syukur penulis panjatkan kepada Allah SWT, pada akhirnya dapat

menyelesaikan Makalah yang berjudul “Memperkirakan Resiko Pengendalian/Pengujian

Pengendalian” ini dengan baik. Makalah ini disusun untuk memenuhi salah satu tugas mata
kuliah Auditing.
penulis menyadari bahwa dalam penulisan laporan Makalah ini terdapat

kekurangan baik dari segi materi maupun teknik penulisan. Oleh karena itu

penulis mengharapkan adanya masukan dan kritik serta saran yang membangun

untuk kekurangan yang ada.

Penulis tak henti-hentinya mengucapkan terima kasih dan semoga

Allah SWT memberikan kebaikan dan rakhmat bagi kita semua. Segala kesalahan,

keterbatasan dan kekurangan dalam bentuk apapun yang mungkin ada dalam

laporan tugas ini, penulis memohon maaf, kiranya dapat dimaklumi dengan

bijaksana.

Lembar, 16 mei 2020

Penulis
 DAFTAR ISI

Halaman Judul i

Kata Pengantar ii

Daftar Isi iii

BAB I: Pendahuluan 1

A. Latar Belakang 1
B. Rumusan Masalah 1
C. Tujuan Penulisan 2

BAB II: Pembahasan 3

A. Menilai Risiko Pengendalian/Pengujian Pengendalian 3

B. Menilai Risiko Pengendalian Dalam Suatu Lingkungan Teknologi Informasi 10
C. Dampak Dari Strategi Audit Pendahuluan 22
D. Merancang Pengujian Pengendalian 23
E. Pengujian Kepatuhan 27
F. Pertimbangan Tambahan 30

BAB III: Penutup 36

A. Kesimpulan 36

Daftar Pustaka 38
 BAB I

PENDAHULUAN

A. Latar Belakang
Penakiran risiko pengendalian merupakan suatu proses evaluasi efektivitas desain dan
operasi kebijakan dan prosedur sturtur pengendalian intern entitas. Pentingnya konsep
penaksiran risiko pengendalian yakni dalam rangka pencegahan atau pendeteksian salah
saji material di dalam laporan keuangan.
Metodologi auditor untuk memenuhi standar pekerjaan lapangan yang kedua, melibatkan
tiga aktivitas utama:

a. Memperoleh suatu pemahaman yang cukup mengenai komponen-komponen

pengendalian intern untuk merencanakan audit

b. Menilai risiko pengendalian untuk masing-masing asersi signifikan yang terdapat dalam
saldo akun, kelas transaksi, atau komponen pengungkapan dalam pelaporan keuangan.

c. Merancang pengendalian substantif untuk masing-masing asersi laporan keuangan

yang signifikan.

Definisi Penakiran risiko pengendalian mengharuskan seorang auditor agar mengetahu

dengan jelas tahap-tahap yang ditempuh oleh auditor dalam menaksir risiko dan desain
pengujian yang bersangkutan.

Oleh karena itu pentingnya Penakiran risiko dan Desain Pengujian, guna memeperlancar
tugas seorang auditor akan dibahas pada bab II makalah ini. Pertimbangan diberikan pada
perbedaan dalam metodologi untuk dua strategi audit pendahuluan. Kemudian,
memeriksa kateori pengujian audit yang dikenal sebagai pengujian pengendalian.
Kemudian diakhiri dengan penjelasan mengenai beberapa pertimbangan khusus dalam
menilai risiko pengendalian termasuk auditor internal, dikombinasikan dengan perkiraan
penilaian risiko pengendalian yang berbeda, mendokumentasikan penilaian tingkat risiko
 pengendalian, mengkomunikasikan masalah-masalahh pengendalaian intern, dan
organisasi jasa komputer.

B. Rumusan Masalah
1. Bagaimanakah langkah-langkah dalam menilai risiko pengendalian untuk asersi kelas
transaksi?
2. Bagaimanakah menilai risiko pengendalian dalam suatu lingkungan teknologi
informasi?
3. Apakah dampak dari strategi audit pendahuluan?
4. Bagaimanakah merancang pengujian pengendalian?
5. Bagaimanakah menguji kepatuhan?
6. Bagaimanakah pertimbangan tambahan dalam menilai risiko pengendalian?
C. Tujuan Penulisan
1. Untuk mengetahui langkah-langkah dalam menilai risiko pengendalian.
2. Untuk mengetahui penilaian risiko pengendalian dalam suatu lingkungan teknologi
informasi.
3. Untuk mengetahui dampak dari strategi audit pendahuluan.
4. Untuk mengetahui cara merancang pengujian pengendalian
5. Untuk metahui cara menguji kepatuhan
6. Untuk mengetahui pertimbangan tambahan dalam menilai risiko pengendalian
 BAB II

PEMBAHASAN

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi
efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji
yang material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu
auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material
dalam asersi laporan keuangan. Penilaian resiko pengendalian melibatkan pengevaluasian
terhadap efetivitas dari (1) rancangan dan (2) pengoperasian pengendalian. Menilai resiko
pengendalian juga membantu auditor dalam membuat keputusan mengenai sifat, waktu
dan cakupan dari prosedur audit. Pada dasarnya pengujian pengendalian (test of control)
menyediakan bukti sebagai bagian dari dasar yang memadai untuk mengeluarkan opini
auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam asersi
nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi, dan
banyak aktifitas pengendalian berhubungan dengan pemrosesan suatu jenis transaksi
tertentu. Oleh karena itu, adalah umum memulai dengan menilai resiko pengendalian atas
asersi kelas transaksi seperti asersi keberadaan atau keterjadian, asersi kelengkapan, dan
asersi penilaian serta alokasi untuk penjualan kredit dan penerimaan kas. Penilaian
tersebut kemudian di kombinasikan dengan tepat dalam menilai risiko pengendalian untuk
asersi saldo akun yang berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai
contoh, penilaian risiko pengendalian yang relevan untuk penjualan dan penerimaan kas di
anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk
mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual, bukan
untuk pengendalian intern secara keseluruhan, komponen pengendalian intern individual,
atau kebijakan atau prosedur individual.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi
auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh
suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi
telah dirancang dan diterapkan dalam operasi oleh manajemen entitas
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas
3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah atau
mendeteksi dan memperbaiki salah saji
4. Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan untuk
menentukan efektivitas rancangan dan pengoperasian dari pengendalian tersebut
5. Mengevaluasi bukti dan membuat penilaian

Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika

risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam proses
penilaian ini akan dibahas dalam bagian berikut.

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh

suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures to
obtain an understanding) mengenai pengendalian intern untuk asersi laporan
keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk
kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau
memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal
untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan pemahaman
sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial
dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material,
seperti apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan
memperbaiki salah saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu,
 untuk kebijakan dan prosedur yang relevan dengan asersi tertentu, auditor
mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan Tidak dapat
digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta kelemahan yang
dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia
biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian,
serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor mungkin akan
memperoleh bukti yang akan mengizinkannya untuk menilai risiko pengendalian
dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk mengizinkan auditor
menilai risiko pengendalian pada tingkat yang rendah, tapi bukti tersebut mungkin
cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor mungkin akan
merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan
sementara memperoleh suatu pemahaman mengenai pengendalian intern.

2. Mengidentifikasi salah saji potensial

Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang
menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang
terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu. Akan tetapi,
auditor perlu memahami logika bahwa system pendukung keputusan yang
terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk
menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan
tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan
setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo
akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi untuk
asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam asersi
kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam bagian
sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang berkaitan
dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:

Salah saji potensial Pengendalian yang Pengujian pengendalian

diperlukan
Suatu pengeluaran kas Komputer mencocokkan Menggunakan teknik-
dapat dibuat untuk informasi cek dengan teknik audit dengan
tujuan yang tidak informasi yang mendukung bantuan komputer, seperti
diotorisasi (keberadaan tanda bukti dan hutang data pengujian untuk
atau keterjadian untuk usaha untuk setiap menguji pengendalian
transaksi yang valid) transaksi pengeluaran aplikasi komputer
Hanya personel dengan Mengamati individu-
otorisasi yang diizinkan individu yang menangani
untuk menjalankan pengeluaran kas dan
program dan mneangani membandingkannya
cek yang dicetak dan dengan daftar personel
ditandatangani komputer yang memiliki otorisasi
Pemisahan tugas dalam Mengamati pemisahan
menyetujui tanda bukti tugas
(voucher) pembayaran dan
menandatangani cek
Suatu tanda bukti Komputer secara elektronik Menggunakan teknik-
mungkin dibayar dua membatalkan tanda bukti teknik audit dengan
kali (keberadaan dan dan informasi pendukung bantuan komputer, seperti
keterjadian dari ketika cek diterbitkan data pengujian untuk
transaksi yang valid) menguji pengendalian
aplikasi komputer
Memberi tanda pada bukti Mengemati pemberian
pembayaran dan dokumen cap kepada dokumen dan/
pendukung dengan tanda atau memeriksa sampael
luns ketika cek diterbitkan dari dokumen yang telah
 dibayar untuk memeriksa
adanya tanda lunas
Suatu cek dapat Komputer mencocokkan Menggunakan teknik-
diterbitkan untuk informasi cek dengan teknik audit dengan
jumlah yang salah atau informasi yag mendukung bantuan komputer, seperti
dicatat dalam jumlah tanda bukti dan hutang data pengujian untuk
yang salah (penilaian usaha untuk setiap menguji pengendalian
atau alokasi) transaksi pengeluaran aplikasi komputer
Komputer Menggunakan teknik-
membandingkanjumlah cek teknik audit dengan
yang diterbitkan dengan bantuan komputer, seperti
jumlah yang dicatat dalam data pengujian untuk
pengeluaran kas menguji pengendalian
aplikasi komputer
Rekonsiliasi bank Mengamati kinerja
independen secara rekonsiliasi bank dan/ atau
periodik memeriksa rekonsiliasi
bank.
Tabel 1: salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian – transaksi pengeluaran kas

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin
dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu
dengan menggunakan perangkat lunak computer yang memroses jawaban kuesioner
pengendalian intern atau dengan secara manual menggunakan daftar. Kolom kedua
dalam dalam tabel diatas mengilustrasikan pengendalian potensial untuk asersi
laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus, beberapa
pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam kasus
lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan
mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi
pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara rinkasan
harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan dalam jurnal
pengeluaran kas, yang memungkinkan pendeteksian secara tepat waktu dari salah saji,
mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan pendeteksian
yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara
independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya
pengujian independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap
sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian
aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari
komponen aktivitas pengendalian dari pengendalian internal. Auditor seharusnya
menyadari bahwa beberapa pengendalian yang berkaitan dengan komponen
pengendalian intern lain dapat secara simultan mempengaruhi risiko salah saji
potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi atau saldo
akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari
manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam
pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk kelas
transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat kepercayaan pada
manajer atau karyawan kunci dapat mengurangi efektivitas dan aktivitas pengendalian
lainnya. Oleh karena itu, auditor harus mengasimilasikan informasi mengenai berbagai
jenis pengendalian yang mungkin berhubungan dengan komponen pengendalian
intern dalam mempertimbangkan risiko salah saji potensial untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu
pemahamandan mengidentifikasi salah saji material serta pengendalian yang
diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor
dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi, meskipun
memilki pemahaman yang lengkap mengenai rancangan pengendalian dan apakah
 sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan auditor untuk
menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu
penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam
memperoleh suatu pemahaman maupun lagkah selanjutnya, harus diperoleh bukti
mengenai efektivitas rancangan dan operasis dari pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti
pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel
klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian
seharusnya menyediakan bukti mengenai efektivitas dari rancangan dan operasi dari
pengendalian yang diperlukan. Sebagai contoh, dengan menggunakan teknik audit
dengan bantuan komputer untuk menguji bahwa komputer membandingkan jumlah
cek yang diterbitkan dengan pemasukan dan pengeluaran kas, auditor memperoleh
bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan
jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan
dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit tertulis
untuk pengujian pengendalian yang terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan
pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh
pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang
berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan
masalah pertimbangan professional. AU 319.64 menyarankan agar auditor
mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti
lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat
pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas
pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga
auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk
melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan
memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung terhadap
pemisahan tugas biasanya menyediakan lebih banyak keyakinan daripada membuat
pertanyaan mengenai individu. Namun demikian, auditor seharusnya
mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin
tidak dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika
mengevaluasi batas waktu Pengujian pengendalian,a auditor seharusanya
mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian pengendalian
berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan. Sebagai contoh,
auditor dapat menguji operasi dari suatu proseddur pengendalian aplikasi komputer
pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah program
melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat
melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian
pengendalian umum komputer selama periode audit umntuk memperoleh bukti
mengenai apakah aktivitas pengendalian terprogram dioperasikan secara konsisten
selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai
efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-
bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan
menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat menunjukkan
bahwa komputer telah melaporkan pengecualian secara tepat dalam laporan
pengecualian, tapi pertanyaan auditor mengenai orang yang mneindaklanjuti laporan
pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman prosedur
pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan
yang diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk
ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif.
Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor
 sering kali menggunakan petunjuk pengendalian menegnai frekuensi penyimpangan
yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk presentase, dari
pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti,
terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau
mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif (seperti,
terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak akan
mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu diketahui
bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam menentukan
tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya
akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat,
waktu, luas, dan penentuan staf pada pengujian yang akan dilaksanakan untuk
melengkapi audit. Jika risiko penegndalian dinilai terlalu rendah, risiko deteksi mungkin
ditetapkan terlalu tinggi dan auditor mungkin tidak melaksanakan pengujian substantif
yang mencukupi, yang akan menghasilkan suatu audit yang tidak efektf. Sebaliknya,
jika risiko pengendalian ditetapkan terlalu tinggi, pengujian substantif yang dilakukan
mungkin lebih banyak dari sebenarnya diperlukan, sehingga menghasilkan audit yang
tidak efisien. 

B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI INFORMASI

1. Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
a. Menilai risiko pengendalian berdasarkan pengendalian pemakai
b. Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan
pengendalian aplikasi
c. Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada
pengendalian umum dan tindak lanjut manual

a) Pengendalian pemakai
 Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji
kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer. Sebagai
contoh, manajer yang mengenal denagn baik transaksi yang berada dalam
otoritasnya mungkin menunjau suatu daftar pembelian yang dibebankan ke dalam
akun mereka. Alternatif lain, seorang individu dalam suatu departemen pemakai
dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen
sumber yang mendukung transaksi. Meskipun kedua pengendalian ini dapat
mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir
dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan
suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi dan
diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian
pemakai yang berhubungan dengan suatu asersi secara langsung, serupa dengan
pengujian pengendalian dalam struktur manual. Keunggulan dari strategi ini adalah
tidak diperlukannya pengujian terhadap komplektisitas program komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang
menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi
tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut
mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan
auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah.
Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai
risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi
komputer.Dalam rangka melaksanakan strategi ini auditor seharusnya :
1. Menguji pengendalian aplikasi computer
2. Menguji pengendalian umum computer
3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh
pengendalian aplikasi
 Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian
pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk
menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama
periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan
auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas
pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji
pengendalian umum, biasanya auditor akan mempelajari efektivitas rancangan dan
menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat membuat
kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan
pengecualian menlalui pengajuan pertanyaan kepada individu yang
berpengetahuan yang melaksanakan prosedur tindak lanjut manual.
2. Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian
aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi
pemasukan dan pengendalian pemrosesan terprogram.
Menurut IAPI (SPAP seksi 327.8-16) faktor-faktor yang harus dipertimbangkan dalam
penggunaan Teknik audit Berbantuan Komputer adalah:
a. Pengetahuan, keahlian, dan pengalaman komputer yang dimiliki oleh auditor.
b. Tersedianya TABK dan fasilitas komputer yang sesuai.
Auditor harus mempertimbangkan tersedianya TABK, kesesuaian fasilitas komputer dan
sistem akuntansi serta file berbasis komputer yang diperlukan. Auditor dapat
merencanakan untuk menggunakan fasilitas komputer yang lain bila penggunaan TABK
atas komputer entitas dianggap tidak ekonomis atau tidak praktis untuk dilakukan-
sebagai contoh, karena adanya ketidaksesuaian antara program paket yang
digunakan oleh auditor dengan komputer entitas.
Kerja sama dari karyawan entitas dapat diperoleh untuk menyediakan fasilitas
pengolahan pada waktu yang tepat, untuk membantu seperti memuat dan
 menjalankanTABK. Ke dalam sistem entitas, dan menyediakan copy file data dalam
format yang dikehendaki oleh auditor.
c. Ketidakpraktisan pengujian manual.
Banyak sistem akuntansi terkomputerisasi dalam melaksanakan tugas tertentu tidak
menghasilkan bukti yang dapat dilihat. Dalam keadaan ini, tidaklah praktis bagi
auditor untuk melakukan pengujian secara manual. Tidak adanya bukti yang
dapat dilihat dapat terjadi pada berbagai tahap proses akuntansi-seperti:
a) Dokumen masukan dapat tidak ada bila order penjualan dimasukkan ke dalam
system secara on-line. Di samping itu, transaksi akuntansi, seperti perhitungan
potongan harga dan bunga, dapat dipicu dengan program komputer tanpa
otorisasi yang dapat dilihat untuk setiap transaksi secara individual.
b) Sistem dapat tidak menghasilkan jejak audit (audit trail) yang dapat dilihat
untuk transaksi yang diolah melalui komputer. Surat penyerahan barang
dan faktur dari pemasok dapat ditandingkan dengan suatu program
komputer. Di samping itu, prosedur pengendalian program, seperti
pengecekan batas kredit pelanggan, dapat menyediakan bukti yang dapat dilihat
hanya atas dasar penyimpangan. Dalam hal ini, tidak terdapat bukti yang
dapat dilihat bahwa semua transaksi telah diolah.
c) Laporan keluaran dapat tidak diproduksi oleh sistem. Sebagai tambahan, suatu
laporan tercetak dapat hanya berisi total ringkasan sementara rincian yang
mendukung laporan tersebut tetap ditahan dalam file komputer.
d. Efektivitas dan efisiensi
Efektivitas dan efisiensi prosedur audit dapat ditingkatkan melalui penggunaan TABK
dalam memperoleh dan mengevaluasi bukti audit-seperti:
a) Beberapa transaksi dapat diuji lebih efektif untuk tingkat biaya yang sama
dengan menggunakan komputer untuk memeriksa semua atau lebih
banyak transaksi dibandingkan dengan jika dilaksanakan secara manual.
b) Dalam penerapan prosedur analitik, transaksi atau saldo akun dapat di-review
dan dicetak laporannya untuk pos-pos yang tidak biasa dengan cara yang
 lebih efisien dengan menggunakan komputer bila dibandingkan dengan cara
manual.
c) Penggunaan TABK dapat membuat prosedur pengujian substantif tambahan
lebih efisien daripada jika auditor meletakkan kepercayaan atas
pengendalian dan pengujian pengendalian yang bersangkutan.
Masalah yang berhubungan dengan efisiensi yang perlu dipertimbangkan oleh
auditor meliputi:
a) Waktu untuk merencanakan, merancang, melaksanakan, dan mengevaluasi
TABK.
b) Jam asisten dan review teknis.
c) Perancangan dan pencetakan formulir (seperti konfirmasi).
d) Pencatatan masukan ke dalam sistem komputer dan verifikasinya. d. Waktu
pemakaian komputer.
Dalam mengevaluasi efekti vitas dan efisiensi suatu TABK, auditor dapat
mempertimbangkan daur hidup aplikasi TABK. Perencanaan mula-mula,
perancangan, dan pengembangan suatu TABK biasanya akan memberikan
manfaat terhadap audit periode berikutnya.
e. Saat pelaksanaan.
File komputer tertentu, seperti file transaksi rinci, seringkali ditahan hanya untuk
jangka waktu pendek, dan mungkin tidak disediakan dalam bentuk yang dapat
dibaca oleh mesin pada saat diperlukan oleh auditor. Jadi, auditor akan
memerlukan pengaturan untuk mempertahankan data yang dibutuhkannya, atau
is dapat mengubah saat pekerjaannya memerlukan data tersebut.
Jika waktu yang tersedia untuk melaksanakan audit terbatas, auditor dapat
merencanakan.penggunaan TABK karena program tersebut akan dapat memenuhi
persyaratan waktu lebih baik dibandingkan dengan prosedur lain.
Dalam SPAP seksi 327.7 diungkapkan bahwa TABK dapat digunakan dalam
pelaksanaan berbagai prosedur audit berikut ini:
a. Pengujian rincian transaksi dan saldo-seperti, penggunaan perangkat lunak audit
untuk menguji semua (suatu sampel) transaksi dalam file komputer.
b. Prosedur review analiti k-seperti , penggunaan perangkat lunak audit
untuk mengidentifikasi unsur atau fluktuasi yang tidak biasa.
c. Pengujian pengendalian (test of control) atas pengendalian umum sistem
informasi komputer-seperti, penggunaan data uji untuk menguji prosedur akses
ke perpustakaan program (program libraries).
d. Pengujian pengendalian atas pengendalian aplikasi sistem informasi komputer
-seperti, penggunaan data uji untuk menguji berfungsinya prosedur yang telah
diprogram.
e. Mengakses file, yaitu kemampuan untuk membaca file yang berbeda record-nya dan
berbeda formatnya.
f. Mengelompokkan data berdasarkan kriteria tertentu.
g. Mengorganisasi file, seperti menyortasi dan menggabungkan.
h. Membuat laporan, mengedit dan memformat keluaran.
i. Membuat persamaan dengan operasi rasional (AND; OR; =; < >; <; >; IF).

Teknik audit berbantuan komputer penting yang digunakan untuk menguji

pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk (1) simulasi
pararel, (2) pengujian data, (3) fasilitas pengujian terintegrasi, dan (4) pemantauan yang
berkelanjutan atas sistem real-time online.
a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan
suatu program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini
memiliki keuntungan sebagai berikut :
1) Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan
menulusurinya ke dokumen sumber dan persetujuan
2) Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative
kecil.
 3) Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian
haris diberikan guna menentukan bahwa data yang terpilih untuk simulasi mewakili
transaksi aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang
berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses
menurut pengendalian auditor dengan program computer klien. Metode ini
memiliki beberapa kekurangan yaitu :
4) Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode
5) Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian
yang ada dan yang berfungsi yang diuji oleh program
6) Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system
7) Operator computer mengetahui bahwa data pengujian sedang dijalankan,
sehigga dapat mengurangi validitas output
8) Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang
pengendalian dalam aplikasi
c) Fasilitas pengujian integrasi
Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam
system teknologi informasi regular. Data pengujian, yang diberi kode secara khusus
untuk berhubungan dengan file master buatan, diperkenalkan ke dalam system
bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko
potensial terjadinya kekeliruan dalam data klien. Selain itu, modifikasi juga mungkin
diperlukan dalam program klien untuk mengakomodasi data buatan.
d) Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi
terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini
menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki
karakteristik penting bagi auditor.
 1) Memberi label pada transaksi. Meliputi penempatan suatu indicator atau label
pada transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri
melalui system ketika sedang diproses.
2) Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu,
digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan
auditor ketika mereka muncul pada titik tertentu dalam system.
3. Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan
pengendalian manual, pengendalian yang mengambil keuntungan teknologi informasi
atau keduanya. Penting untuk (1) mempertimbangkan pengetahuan yang diperoleh dari
prosedur untuk memperoleh suatu pemahaman, (2) mengidentifikasikan salah saji
potensial yang muncul dalam asersi, (3) mengidentifikasi pengendalian yang diperlukan
untuk mencegah atau mendeteksi dan memperbaiki salah saji tersebut, (4)
melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan
komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara
keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain dalam
program komputer. Prosedur pengendalian manual dan komputer terdiri atas
pengendalian menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian
umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka
pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat
keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat
tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan
rerangka organisasi aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
 (2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan
transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-
didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan
dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi
semestinya. Pengendalian ini juga didesain untuk menciptakan pengendalian
atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau
sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan
operasi sistem dan untuk memberikan keyakinan memadai bahwa:
(1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah
mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan
keyakinan memadai bahwa perangkat lunak sistem diperoleh atau
dikembangkan dengan cara yang efisien dan melalui proses otorisasi
semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi
perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem
hanya bagi karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk
memberikan keyakinan bahwa:
 (1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke
dalam sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah
mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap
kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau
penghancuran data baik yang disengaja maupun yang tidak disengaja.
c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi
bencana.
b) Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan
prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan
memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah
seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi mencakup:
a. Pengendalian atas masukan-didesain untuk memberikan keyakinan memadai
bahwa:
(1) Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan
komputer.
(2) Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin
dan dicatat dalam file data komputer.
(3) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(4) Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan
kembali secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk
memberikan keyakinan memadai bahwa
 (1) Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya
oleh komputer.
(2) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(3) Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.
c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan memadai
bahwa:
(1) Hasil pengolahan adalah cermat.
(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah
mendapatkan otor
(3) Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan
oton semestinya.
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
(1) Pengendalian masukan pada sistem on-line-didesain untuk memberikan
key bahwa:
- Transaksi di-entry ke terminal yang semestinya.
- Data di-entry dengan cermat.
- Data di-entry ke periode akuntansi yang semestinya.
- Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai
transaks' sah (valid).
- Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.
- Transaksi tidak di-entry lebih dari sekali.
- Data yang di-entry tidak hilang selama masa transmisi berlangsung.
- Transaksi yang tidak berotorisasi tidak di-entry selama transmisi
berlangsung.
(2) Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan
keyakinan bahwa:
(i) Hasil penghitungan telah diprogram dengan benar.
 (ii) Logika yang digunakan dalam proses pengolahan adalah
benar.
(iii) File yang digunakan dalam proses pengolahan adalah benar.
(iv) Record yang digunakan dalam proses pengolahan adalah
benar.
(v) Operator telah memasukkan data ke komputer console yang
semestinya.
(vi) Tabel yang digunakan selama proses pengolahan adalah
benar.
(vii) Selama proses pengolahan telah digunakan standar
operasi (default) yang semestinya.
(viii) Data yang tidak sah tidak digunakan dalam proses
pengolahan.
(ix) Proses pengolahan tidak menggunakan program dengan versi
yang salah.
(x) Hasil penghitungan yang dilakukan secara otomatis oleh
program adalah sesuai dengan kebijakan manajemen entitas.
(xi) Data masukan yang diolah adalah data yang berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk memberikan
keyakinan bahwa:
(i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii) Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang berotorisasi.
Tabel 2 dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial serta
pengendalian yang diperlukan untuk pengendalian umum dan pengendalian aplikasi.
Salah saji potensial Pengendalian yang Kemungkinan pengujian
diperlukan pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat Pemisahan tugas dalam Mengamati pemisahan
memodifikasi program ke teknologi informasi untuk tugas dalam teknologi
dalam pengendalian pemrograman komputer informasi
terprogram dan pengoperasian
komputer
Personel teknologi Pemisahan tugas antar Mengamati pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses transaksi teknologi informasi untuk pemakai dan pemrosesan
tanpa otorisasi memulai dan memproses data elektronik
transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
Rancangan sistem Partisipasi personel dari Pertanyaan mengenai
mungkin tidak memenuhi departemen pemakai dan partisipan yang terlibat
kebutuhan departemen audit internal dalam dalam perancangan sistem
pemakai atau auditor merancang dan baru, memeriksa bukti
menyetujui sistem baru untuk persetujuan sistem
baru
Perubahan program yang Pemeriksaan intern Memeriksa bukti verifikasi
tidak diotorisasi dapat mengenai otorisasi yang intern; menelusuri
menghasilkan kekeliruan tepat, pengujian dan perubahan program ke
pemrosesan yang tidak pendokumentasian dari dokumentasi yang
diantisipasi perubahan program mendukung
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan Pengendalian perangkat Memeriksa spesifikasi
dapat menghasilkan keras dan perangkat lunak perangkat keras dan lunak
kekeliruan pemrosesan sistem untuk mendeteksi sistem
 kerusakan
Perubahan yang tidak Persetujuan dan Memeriksa bukti dan
diotorisasi dalam pendokumentasian dari persetujuan
perangkat lunak sistem semua perubahan. pendokumentasian
dapat menghasilkan perubahan.
kekeliruan pemrosesan
PENGENDALIAN AKSES
Pemakai tanpa otorisasi Keamanan fisik dan Memeriksa pengaturan
dapat memeperoleh fasilitas teknologi keamanan dan laporan
akses terhadap peralatab informasi; tinjauan penggunaan
teknologi informasi manajemen mengenai
laporan penggunaan.
Arsip data dan program Penggunaan Memeriksa fasilitas dan
dapat diperbarui oelh perpusatakaan, log
pemakai yang tidak pustakawan, dan log
memiliki otorisasi untuk membatasi dan
mengawasi pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan kelompok Mengamati pengopersian
dalam memasukkan atau pengendalian data yang kelompok pegendalian
memproses data dan bertanggungjawab untuk data
mendistribusikan memelihara pengendalian
keluaran terhadap data masukan,
pemrosesan dan output.
Kontinuitas Rencana kontijensi Memeriksa rencana
pengoperasian dapat termasuk pengaturan kontijensi
terganggu oleh suatu untuk penggunaan fasilitas
bencana seperti cadangan
kebakaran atau banjir
Arsip data dan program Penyimpanan arsip Memeriksa fasilitas
dapat rusak atau hilang cadangan dan program off penyimpanan;
premise; ketentuan untuk mengevalusasi
 rekonstruksi arsip data kemampuan rekonstruksi
arsip
Tabel 2: pertimbangan penilaian risiko pengendalian untuk pengendalian umum
pemrosesan data elektronik (EDP)

Salah saji potensial Pengedalian yang Kemungkinan pengujian

diperlukan pengendalian
PENGENDALIAN INPUT
Data untuk transaksi yang Otorisasi dan persetujuan Memeriksa dokumen
tidak diotorisasi dapat data dari departemen sumber dan untuk
diserahkan untuk pemakai; pengendalian membuktikan persetujuan;
diproses aplikasi membandingkan pengujian aplikasi,
data dengan otorisasi pengendalian dengan
sebelumnya CAATs, dan mneguji tindak
lanjut manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi data
secara tidak benar total pengendalian prosedur, menggunakan
dikonversikan dalam CAATs untuk menguji
bentuk yang dapat dibaca rutinitas dan menguji
oleh mesin tindak lanjut manual;
memeriksa rekonsiliasi
total pengendalian.
Kekeliruan pada dokumen Pemeliharaan dari log Memeriksa log dan bukti
sumber tidak dapat kekeliruan; pengembalian tindak lanjut.
diperbaiki dan diserahkan kepada departemen
ulang pengguna untuk
diperbaiki; tindak lanjut
 manual
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin Penggunaan label arsip Mengamati penggunaan
diproses dan diperarui eksternal dan internal label arsip eksternal;
memeriksa
pendokumentasian label
arsip internal
Data mungkin hilang, Penggunaan total Memeriksa bukti
ditambahkan, pengendalian, batasan pengendalian rekonsiliasi
digandakan, atau diubah dan pengujian, pengujian total, menggunakan CAAT
selam pemrosesan urutan untuk menguji
pengendalian komputer
dan menguji tindak lanjut
manual
PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa bukti
benar kelompok pengendalian rekonsiliasi
data atau departemen
pengguna
Output mungkin Penggunaan lembar Memeriksa lembar
didistribusikan kepada pengendalian distribusi pengendalian
pemakai yang tidak laporan; monitoring pendistribusian laporan,
memiliki otorisasi kelompok pengendalian mengamati monitoring
data. kelompok pengendalian
data.
Tabel 3: pertimbangan penilaian risiko pengendalian untuk pengendalian aplikasi
komputer

C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

1. Pendekatan substantif utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen
pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan
 pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin juga
lebih sempit. Asumsi adanya salah satu dari hal-hal :
a. Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi
b. Setiap pengendalian intern yang relevan mungkin tidak efektif
c. Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas pengendalian
intern yang relevan
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian
pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari
risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya,
kombinasi biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2)
pengujian substantive yang diperlukan dengan asumsi adanya risiko pengendalian yang
lebih rendah dari biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi,
yang diperlukan oleh pendekatan substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor
mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga
kondisi yang disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai
lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan yang
diperlukan untuk memperoleh bukti yang diperlukan guna mendukung penilaian tingkat
risiko pengendalian yang direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam
kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko
pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive untuk
mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat
pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk
mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari rancangan maupun
efektivitas dari pengoperasian pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu
pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi
ketika pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian
diterapkan. AU 319.53 menyatakan bahwa pengujian untuk memperoleh bukti semacam ini
normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan
pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor

Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian

terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan
teknik audit berbbantuan komputer/CAAT. Pengguna dapat menyediakan bukti mengenai
baik rancangan yang efektif maupun pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah
tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung
tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung
tingkat risiko pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti
audit sangat bervariasi dalam memberikan keyakinan kepada auditor pada waktu
mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber, ketepatan
waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju,
semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit.

a) Tipe Bukti Audit

Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti
audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut.
Untuk beberapa pengendalian, dokumentasi desain atau operasinya mungkin ada
 Dalam hal tersebut, auditor dapat memutuskan untuk melakukan inspeksi
terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas desain atau
operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau
tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada
untuk beberapa faktor lingkungan pengendalian, seperti penetapan wewenang dan
tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian, seperti mengenai
pemisahan tugas atau beberapa aktivitas pengendalian yang dilakukan dengan
komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau operasi
dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan
teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang
relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang
diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan
keyakinan yang lebih besar daripada bukti audit yang diperoleh secara tidak langsung
atau dengan mengambil kesimpulan, misalnya dari permintaan keterangan. Sebagai
contoh, bukti audit mengenai pemisahan fungsi yang semestinya, yang diperoleh auditor
dengan pengamatan langsung secara pribadi atas orang yang menerapkan prosedur
pengendalian, biasanya memberikan keyakinan lebih besar daripada yang diperoleh
melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus
mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak
dilaksanakan dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit
yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan operasi
pengendalian tertentu. Apabila auditor menentukan bahwa prosedur pengendalian atas
asersi tertentu dapat berpengaruh signifikan dalam mengurangi risiko pengendalian
pada tingkat yang lebih rendah, biasanya is perlu melakukan pengujian tambahan
 untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan mengenai
efektivitas desain dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan
hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi
tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus memperhatikan bahwa
bukti audit yang diperoleh dengan beberapa pengujian atas pengendalian, misalnya
dengan pengamatan, hanya tepat untuk waktu tertentu, pada saat prosedur tersebut
diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut mungkin tidak cukup
untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa yang tidak
termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan
untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat
memberikan bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk
aktivitas pengendalian yang dilakukan dengan program komputer, auditor mungkin
menguji pelaksanaan pengendalian pada satu waktu tertentu untuk mendapatkan
bukti apakah program tersebut melakukan pengendalian secara efektif. Kemudian
auditor dapat melakukan pengujian atas pengendalian yang diarahkan terhadap desain
dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi dan
penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan
bukti apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten
selama masa yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada
audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko
pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit seperti
itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya asersi yang
bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit sebelumnya,
tingkat efektivitas desain dan operasi pengendalian tersebut yang dievaluasi, hasil
pengujian atas pengendalian yang digunakan dalam melakukan evaluasi, dan bukti
audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif
 yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa
semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk
mendapatkan bukti audit mengenai risiko pengendalian, semakin kurang keyakinan yang
dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya
auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah
terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur
dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai perubahan
tersebut, bersama-sama dengan pertimbangan mengenai hal yang diuraikan dalam
paragraf terdahulu mendukung penambahan atau pengurangan bukti audit tambahan
yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain dan operasi
yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi
pengendalian selama masa interim, is harus menentukan bukti audit tambahan apa
yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut,
auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian
khusus yang dievaluasi selama masa interim, tingkat efektivitas desain dan operasi
pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian yang digunakan
dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti audit
mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang
dilakukan dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat
dan lingkup perubahan signifikan dalam pengendalian intern, termasuk perubahan
kebijakan, prosedur dan personel, yang terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit
yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang
diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin
tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian. Untuk
mendapatkan bukti audit memadai, auditor dapat melakukan pengujian pengendalian
yang berkaitan dengan pengendalian tersebut. Misalnya; auditor mungkin mengamati
bahwa pemrogram tidak diberi wewenang mengoperasikan komputer. Karena
pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus
melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau
dalam hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin
memeriksa dokumentasi yang lalu, yang pemrogram mencoba mengoperasikan
komputer, untuk menentukan bagaimana usaha tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit,
auditor harus mempertimbangkan keterkaitan lingkungan pengendalian perusahaan,
penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, dan
pemantauan. Walaupun salah satu komponen pengendalian intern mungkin
mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan
keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masing-masing
komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam
mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama
mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti
audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti audit
mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi pengendalian
keyakinan yang diberikan oleh bukti audit tersebut akan berkurang. Misalnya, berdasarkan
bukti audit bahwa lingkungan pengendalian adalah efektif, auditor mungkin mengurangi
jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi
prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur
pengendalian tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan
mengenai lingkungan pengendalian antara lain dengan menerapkan prosedur audit
pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak
efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk asersi
tertentu. Misalnya, lingkungan pengendalian yang tampaknya memungkinkan
 perubahan yang tidak diotorisasi dalam program komputer dapat mengurangi keyakinan
yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas efektivitas program pada
suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan untuk mendapatkan bukti
audit tambahan mengenai desain dan operasi program tersebut selama masa yang
diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy program dan
mempergunakan teknik audit berbantuan komputer untuk membandingkan copy
tersebut dengan program yang dipakai perusahaan untuk memproses data.

Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko
pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat,
dan lingkup pengujian pengendalian lain yang sudah direncanakan untuk menaksir
risiko pengendalian. Di samping itu, mungkin ada informasi yang masuk ke dalam
perhatian auditor sebagai hasil pelaksanaan pengujian substantif atau dari sumber lain
selama melakukan audit, yang sangat berbeda dengan informasi yang dijadikan dasar untuk
perencanaan pengujian pengendalian dalam menaksir risiko pengendalian. Sebagai
contoh, luasnya salah saji yang ditemukan auditor ketika melakukan pengujian
substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko
pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang
prosedur substantif yang direncanakan,yang berdasarkan atas pertimbangan baru
mengenai tingkat risiko pengendalian taksiran untuk seluruh atau sebagian asersi
laporan keuangan.

E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman
atas struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam
pelaksanaan standar tersebut, auditor melaksanakan prosedur pemahaman struktur
pengendalian intern dengan cara mengumpulkan informasi tentang desain struktur
pengendalian intern dan informasi apakah desain tersebut dilaksanakan. Di samping itu,
pelaksanaan standar tersebut juga mengharuskan auditor melakukan pengujian
terhadap efektivitas struktur pengendalian intern dalam mencapai tujuan tertentu yang
telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of
controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua
macam pengendalian:

1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.

Untuk menentukan apakah informasi mengenai struktur pengendalian yang
dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam
pengujian :
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-
unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi
tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi
penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya
kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-
unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat
sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi
penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :
a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan
surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima
surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh
fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman
surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat
piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati
endorsement atas setiap cek oleh pejabat yang berwenang, memastikan
bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan
rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang
dibuat oleh fungsi penerima surat.
 c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak
melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari
piutang disetor seleruhnya ke bank dengan segera.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke
dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal
penerimaan kas.
b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat
memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-
unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi
tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi
penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya
kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-
unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat
sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi
penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :

a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan

surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima
surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh
fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman
surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat
piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati
endorsement atas setiap cek oleh pejabat yang berwenang, memastikan
bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan
rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang
dibuat oleh fungsi penerima surat.
 c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak
melakuakn pengamatan penyetotan cek ke bank, namun menempuh
konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari
piutang disetor seleruhnya ke bank dengan segera.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke
dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal
penerimaan kas.

dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian

terhadap transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan
akuntansi. Dalam hal ini auditor harus memilih transaksi tertentu kemudian
mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai, melalui
dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya
dalam catatan akuntansi. Sebagai contoh untuk menyelidiki apah sistem
pembelian benar-benar dilaksanakan sesuai dengan yang tercantum dalam
Buku Panduan Sistem Akuntansi, auditor memeriksa surat permintaan
pembelian, surat penawaran harga, surat order pembelian, laporan
penerimaan barang dan bukti kas keluar. Informasi yang perlu diperiksa di sini
adalah tanda tangan otorisasi pejabat yang berwenang, untuk membuktikan
apakah sistem otorisasi yang telah ditetapkan benar-benar dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak
hanya berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian
intern, namun auditor juga berkepentingan terhadap tingkat kepatuhan klien
terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan klien
terhadap pengendalian intern pembelian, auditor dapat menempuh prosedur
audit berikut ini :

a) Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen

pendukungnya (surat order pembelian, laporan penerimaan barang, dan
 faktur dari pemasok) serta tanda tangan pejabat yang berwenang baik
dalam bukti kas keluar maupun dokumen pendukungnya. Tujuan pengujian
ini adalah untukmendapat kepastian transaksi pembelian telah diotorasi
oleh pejabat-pejabat berwenang.

b) Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang

merupakan kombinasi antara pengujian yang tujuannya untuk menilai
efektivitas pengendalian intern (pengujian pengendalian) dan pengujian
yang tujuannya menilai kewajaran informasi yang disajikan dalam laporan
keuangan (pengujian substantif).

F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang
berkenaan dengan kelas transaksi seperti penerimaan kas dan pengeluaran kas. Penilaian
tersebut kemudian digunakan untuk menilai risiko pengendalian asersi saldo akun yang
signifikan sehingga kesesuaian dari tingkat pengujian substantif yang direncanakan untuk
saldo akun dapat ditentukan, dan pengujian substantif khusus dapat dirancang. Proses
dipertimbangkan selanjutnya, pertama untuk akun-akun yang dipengaruhi oleh suatu kelas
transaksi tunggal dan kemudian untuk akun-akun yang dipengaruhi oleh kelas transaksi
ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada
akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan
kasus dalam kebanyakan akun laporan laba rugi. Sebagai contoh, penjualan meningkat
oleh kredit untuk transksi penjualan dalam siklus pendapatan, dan banyak akun beban
meningkat dengan mendebet transaksi pembelian dalam siklus pengeluaran. Dalam
kasus ini, penilaian risiko pengendalian auditor untuk setiap asersi saldo akun adalah
sama dengan penilaian risiko pengendalian untuk asersi kelas transaksi yang sama.
 Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan atau keterjadian
untuk saldo akun penjualan seharusnya sama dengan penilaian risiko pengendalian atas
asersi keberadaan atau keterjadian untuk transaksi penjualan. Demikian pula, penilaian
risiko pengendalian atas asersi pengendalian atas asersi penilaian atau alokasi untuk
kebanyakan beban harus sama dengan asersi penilaian atau alokasi untuk transaksi
pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas
transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam
siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam siklus
pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi saldo akun
memerlukan pertimbangan atas penilaian risiko pengendalian yang relevan untuk
setiap kelas transaksi yang secara signifikan mempengaruhi neraca. Oleh karena itu,
penilaian risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas
didasarkan pada penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik
untuk transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko
pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko
pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas transaksi
dipengaruhi saldo akun tersebut, dengan satu pengecualian utama. Penilaian risiko
pengendalian untuk asersi keberadaan atau keterjadian dan asersi kelengkapan untuk
satu kelas transaksi yang menurunkan saldo akun berhubungan dengan asersi
berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan hubungan yang tidak
diharapkan, diilustrasikan dalam Gambar 1. gambar ini menunjukkan penilaian risiko
pengendalian yang relevan dengan asersi kelas transaksi yang digunakan untuk menilai
risiko pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan
untuk saldo kas.

Asersi Saldo Kas di Penilaian Risko Pengendalian Penjelasan

 mana Risiko yang Relevan untuk Kelas
Pengendalian Dinilai Transaksi yang
Mempengaruhi Saldo Kas

Keberadaan atau Keberadaan atau keterjaidan Jika beberapa

Kejadian dari penerimaan kas penerimaan kas yang
meningkatkan risiko. tercatat tidak terjadi,
sebagian dari saldo kas
tidak ada.

Keberadaan atau keterjadian Jika beberapa

pengeluaran kas yang pengeluaran kas yang
menurunkan saldo. tercatat tidak muncul,
saldo kas tidak lengkap.

Kelengkapan Kelengkapan dari

pengeluaran kas yang Jika beberapa
menurunkan saldo. pengeluaran kas tidak
dicatat, bagian dari saldo
kas tidak ada lagi

Kelengkapan dari
penerimaan kas yang Jika beberapa
meningkatkan saldo. penerimaan kas tidak
dicatat, saldo kas tidak
lengkap

Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

 Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko
pengendalian berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya
mengenai bagian pengendalian intern yang relevan berdasarkan pengujian
pengendalian:

Asersi Penilaian Risiko

Pengendalian

Keberadaan atau keterjadian dan penerimaan kas Rendah

Kelengkapan dari penerimaan kas Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda,
auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu
penilaian kombinasi. Kemungkinan lain, beberapa kantor akuntan publik memilih untuk
menggunakan penilaian relevan yang paling konservatif (paling tinggi). Demikian pula
halnya jika penilaian risiko pengendalian auditor atas asersi penilaian atau alokasi untuk
transaksi penerimaan kas dan pengeluaran kas masing-masing berada pada tingkat
sedang atau tinggi, maka risiko pengendalian atas asersi penilaian atau alokasi untuk
saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya risiko
pengendalian tersebut dibandingkan dengan penilaian tingkat risiko pengendalian yang
direncanakan. Ketika tingkat yang direncanakan didukung, auditor dapat melanjutkan
untuk merancang pengujian substantif berdasarkan strategi audit pendahuluan. Jika
tingkat risiko pengendalian yang direncanakan untuk dinilai tidak didukung tingkat
pengujian substantif yang direncanakan dan pengujian audit yang berhubungan
seharusnya direvisi untuk memperoleh tingkat risiko audit yng diinginkan.

4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian

Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko
pengendalian (documentation of the controls risk assesment). Persyaratan tersebut
adalah sebagai berikut :
 a. Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini yang
diperlukan untuk didokumentasikan.
b. Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk
penilaian harus didokumentasikan.

AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk

pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan
menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan keuangan.
Pendekatan ini diilustrasikan dalam gambar 10-10, yang mendokumentasikan penilaian
risiko pengendalian untuk asersi transaksi penjualan yang terpilih.perhatikan bahwa
dasar untuk penilaian di bawah maksimum untuk asersi kelengkapan telah diberikan, di
mana hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat
maksimum, seperti ditunjukkan untuk asersi hak dan kewajiban.

5. Mengkomunikasikan Masalah Pengendalian Intern

Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau
personel entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi tertentu
yang berhubungan dengan pengendalian intern suatu entitas yang diamati selama audit
laporan keuangan. AU 325, Communication of Internal Control Related Matters Noted
in a Audit (SAS 60 dan SAS 78) mendefinisikan suatu kondisi yang dapat dilaporkan
(Reportable condition) sebagai berikut :
… masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya,
seharusnya dikomunikasikan dengan komite audit karena menyajikan kekurangan yang
signifikan dalam rancangan dan pengoperasian pengendalian intern yang dapat secara
berlawanan mempengaruhi kemampuan organisasi untuk mencatat, memproses,
meringkas, dan melaporkan data keuangan secara konsisten dengan asersi manajemen
dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk
kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan suatu
kelemahan material (material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari satu
atau lebih komponen pengendalian intern tidak dapat mengurangi tingkat risiko salah
saji sampai ke tingkat yang rendah karena kekeliruan atau kecurangan di mana jumlah
yang material dalam hubungannya dengan laporan keuangan yang sedang diaudit
dapat muncul dan tidak dapat dideteksi selama satu periode secara tepat waktu oleh
karyawan dalam cara yang normal untuk melaksanakan fungsi yang ditugaskan
kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan
kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam komunikasinya
kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern
adalah suatu produk penting yang menggunakan pengetahuan yang diperoleh auditor
selama audit laporan keuangan. Auditor akan secara normal mengevaluasi apakah klien
memiliki pengendalian yang cukup untuk mengatasi masalah yang diciptakan oleh risiko
usaha suatu entitas. Sebagai contoh, dalam usaha untuk mengelola sistem persediaan
just-in-time, klien mungkin merancang suatu sistem yang menggunakan pertukaran
data elektronik untuk mengkomunikasikan kuantitas persedian kepada penjual dan
memesan barang ketika persediaan berada di bawah tingkat yang telah ditentukan.
Pengendalian intern klien seharusnya menyediakan keyakinan yang memadai bahwa
salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen
dan komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem
pengendalian intern mereka.
 BAB III

PENUTUP

A. Kesimpulan

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi
efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji
yang material dalam laporan keuangan. Dalam membuat penilaian risiko pengendalian
untuk suatu asersi adalah penting bagi auditor untuk: (1) Mempertimbangkan pengetahuan
yang diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah
pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan dalam
operasi oleh manajemen entitas; (2) Mengidentifikasikan salah saji potensial yang dapat
muncul dalam asersi entitas; (3) Mengidentifikasikan pengendalian yang diperlukan yang
mungkin akan mencegah atau mendeteksi dan memperbaiki salah saji; (4) Melaksanakan
pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan
efektivitas rancangan dan pengoperasian dari pengendalian tersebut; (5) Mengevaluasi
bukti dan membuat penilaian.

Dalam menilai risiko pengendalian dalam suatu lingkungan TI terdapat tiga hal yang
penting yaitu: (1) strategi untuk melaksanakan pengujian pengendalian; (2) Teknik audit
berbantuan komputer; (3) Menilai pengendalian teknologi informasi.

Dampak dari strategi audit pendahuluan dapat diketahui dari pendekatan substantif dan
juga tingkat risiko pengendalian yang dinilai lebih rendah.

Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan
kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan
oleh bukti audit.

Untuk menguji kepatuhan terhadap pengendalian intern, auditor dapat melakuan dua
macam pengendalian yaitu: pengujian adanya kepatuha terhadap struktur pengendalian
intern; dan pengujian tingkat kepatuhan terhadap struktur pengendalian intern.

Pertimbangan tambahan dalam menilai risiko pengendalaian adalah: (1) Menilai risiko
pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi tunggal;
(2) Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi ganda; (3) Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda; (4)
Mendokumentasikan Penilaian Tingkat Risiko Pengendalian; (5) Mengkomunikasikan
Masalah Pengendalian Intern.
 DAFTAR PUSTAKA

Boynton, William C., Johnson, Raymond N., dan Kell, Walter G. 2003. Modern Auditing. Jakarta:
Erlangga.

Farahaul. 2012. Audit Menilai Risiko Pengendalian: Uji Pengendalian. (Online) (http://farah-
aul.blogspot.com/2012/10/audit-menilai-risiko-pengendalian-uji.html. Diakses pada
tanggal 30 Oktober 2014)

IAPI. 2011. Standar Profesi Akuntan Publik. Jakarta: Penerbit Salemba Empat.

Kurniawati, Efi. 2012. Menilai Risiko Pengendalian. (Online) (http://yuukichan-

lovelypink.blogspot.com/2012/10/menilai-risiko-pengendalian.html. Diakses Pada tanggal
30 Oktober 2014)

Mulyadi., Puradiredja, Kanaka. 1998. Auditing. Jakarta: Penerbit Salemba Empat.