TUGAS

MAKALAH MEMPERKIRAKAN RESIKO PENGENDALIAN/PENGUJIAN

PENGENDALIAN

NAMA :

MOH. JAKFAR MAJID

A0C018069

PROGRAM STUDI DIPLOMA III AKUNTANSI

FAKULTAS EKONOMI dan BISNIS
UNIVERSITAS MATARAM
 KATA PENGANTAR

Puji syukur penulis panjatkan kehadirat Tuhan Yang Maha Esa atas berkat dan
bimbingan-Nyalah sehingga makalah ini dapat terselesaikan dengan baik dan tepat pada
waktunya .
Makalah yang berjudul “Menilai Risiko Pengendalian dan Uji Pengendalian” ini dibuat
dengan maksud untuk memenuhi tugas Pengauditan 1.
Penulis menyampaikan rasa terima kasih kepada beberapa pihak yang telah membantu
penyelesaian tugas ini, diantaranya:
1. Pembimbing/dosen Pengauditan 1 yang telah memberikan pengarahan demi
kesempurnaan tugas ini.
2. Orang tua penulis yang telah memberikan dukungan moril maupun materil bagi penulis.
3. Pihak-pihak lain yang tidak sempat penulis tuliskan satu per satu, yang telah membantu
penulis dalam penyelesaian tugas ini.

Namun demikian, penulis menyadari bahwa tulisan ini jauh dari kesempurnaan maka
penulis memohon maaf jika terdapat kata-kata yang kurang menyenangkan di hati para
pembaca. Oleh karena itu, penulis mengharapkan berbagai saran yang bersifat membangun
demi kesempurnaan tulisan ini dimasa mendatang.

Semoga makalah ini dapat memberi manfaat bagi pembaca umumnya dan penulis
khususnya.
 DAFTAR ISI

Halaman Judul i

Kata Pengantar ii

Daftar Isi iii

BAB I: Pendahuluan 1

A. Latar Belakang 1
B. Rumusan Masalah 1
C. Tujuan Penulisan 2

BAB II: Pembahasan 3

A. Menilai Risiko Pengendalian/Pengujian Pengendalian 3

B. Menilai Risiko Pengendalian Dalam Suatu Lingkungan Teknologi Informasi 10
C. Dampak Dari Strategi Audit Pendahuluan 22
D. Merancang Pengujian Pengendalian 23
E. Pengujian Kepatuhan 27
F. Pertimbangan Tambahan 30

BAB III: Penutup 36

A. Kesimpulan 36

Daftar Pustaka 38
 BAB I

PENDAHULUAN

A. Latar Belakang
Penakiran risiko pengendalian merupakan suatu proses evaluasi efektivitas
desain dan operasi kebijakan dan prosedur sturtur pengendalian intern entitas.
Pentingnya konsep penaksiran risiko pengendalian yakni dalam rangka pencegahan
atau pendeteksian salah saji material di dalam laporan keuangan.
Metodologi auditor untuk memenuhi standar pekerjaan lapangan yang kedua,
melibatkan tiga aktivitas utama:

a. Memperoleh suatu pemahaman yang cukup mengenai komponen-komponen

pengendalian intern untuk merencanakan audit

b. Menilai risiko pengendalian untuk masing-masing asersi signifikan yang

terdapat dalam saldo akun, kelas transaksi, atau komponen pengungkapan
dalam pelaporan keuangan.

c. Merancang pengendalian substantif untuk masing-masing asersi laporan

keuangan yang signifikan.

Definisi Penakiran risiko pengendalian mengharuskan seorang auditor agar

mengetahu dengan jelas tahap-tahap yang ditempuh oleh auditor dalam menaksir
risiko dan desain pengujian yang bersangkutan.

Oleh karena itu pentingnya Penakiran risiko dan Desain Pengujian, guna
memeperlancar tugas seorang auditor akan dibahas pada bab II makalah ini.
Pertimbangan diberikan pada perbedaan dalam metodologi untuk dua strategi audit
pendahuluan. Kemudian, memeriksa kateori pengujian audit yang dikenal sebagai
pengujian pengendalian. Kemudian diakhiri dengan penjelasan mengenai beberapa
pertimbangan khusus dalam menilai risiko pengendalian termasuk auditor internal,
dikombinasikan dengan perkiraan penilaian risiko pengendalian yang berbeda,
mendokumentasikan penilaian tingkat risiko pengendalian, mengkomunikasikan
masalah-masalahh pengendalaian intern, dan organisasi jasa komputer.
B. Rumusan Masalah
1. Bagaimanakah langkah-langkah dalam menilai risiko pengendalian untuk
asersi kelas transaksi?
2. Bagaimanakah menilai risiko pengendalian dalam suatu lingkungan
teknologi informasi?
3. Apakah dampak dari strategi audit pendahuluan?
4. Bagaimanakah merancang pengujian pengendalian?
5. Bagaimanakah menguji kepatuhan?
6. Bagaimanakah pertimbangan tambahan dalam menilai risiko pengendalian?
C. Tujuan Penulisan
1. Untuk mengetahui langkah-langkah dalam menilai risiko pengendalian.
2. Untuk mengetahui penilaian risiko pengendalian dalam suatu lingkungan
teknologi informasi.
3. Untuk mengetahui dampak dari strategi audit pendahuluan.
4. Untuk mengetahui cara merancang pengujian pengendalian
5. Untuk metahui cara menguji kepatuhan
6. Untuk mengetahui pertimbangan tambahan dalam menilai risiko
pengendalian
 BAB II

PEMBAHASAN

A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses
mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk
membantu auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji
yang material dalam asersi laporan keuangan. Penilaian resiko pengendalian
melibatkan pengevaluasian terhadap efetivitas dari (1) rancangan dan (2)
pengoperasian pengendalian. Menilai resiko pengendalian juga membantu auditor
dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit.
Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai
bagian dari dasar yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di
nilai dalam asersi nilai keuangan individual. Sistem akuntansi berfokus pada
pemrosesan transaksi, dan banyak aktifitas pengendalian berhubungan dengan
pemrosesan suatu jenis transaksi tertentu. Oleh karena itu, adalah umum memulai
dengan menilai resiko pengendalian atas asersi kelas transaksi seperti asersi
keberadaan atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi
untuk penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di
kombinasikan dengan tepat dalam menilai risiko pengendalian untuk asersi saldo
akun yang berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai contoh,
penilaian risiko pengendalian yang relevan untuk penjualan dan penerimaan kas di
anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk
mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual,
bukan untuk pengendalian intern secara keseluruhan, komponen pengendalian
intern individual, atau kebijakan atau prosedur individual.
 Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah
penting bagi auditor untuk :
1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah pengendalian yang
berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi
oleh manajemen entitas
2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi
entitas
3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan
mencegah atau mendeteksi dan memperbaiki salah saji
4. Melaksanakan pengujian pengendalian terhadap pengendalian yang
diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari
pengendalian tersebut
5. Mengevaluasi bukti dan membuat penilaian

Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak

diperlukan ketika risiko pengendalian dinilai berada pada tingkat maksimum. Setiap
langkah dalam proses penilaian ini akan dibahas dalam bagian berikut.

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk

memperoleh suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman
(procedures to obtain an understanding) mengenai pengendalian intern untuk
asersi laporan keuangan yang signifikan. Auditor mendokumentasikan
pemahaman dalam bentuk kuisioner pengendalian intern yang telah dilengkapi,
bagan arus, dan atau memorandum naratif. Analisis mengenai
pendokumentasian merupakan titik awal untuk menilai risiko pengendalian.
Secara khusus, AU 319.19 menyatakan pemahaman sebaiknya digunakan oleh
auditor untuk (1) mengidentifikasi jenis salah saji potensial dan (2)
mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material,
seperti apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi
 dan memperbaiki salah saji telah dirancang dan ditetapkan dalam operasi. Oleh
karena itu, untuk kebijakan dan prosedur yang relevan dengan asersi tertentu,
auditor mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan
Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta
kelemahan yang dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian
intern, ia biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas
dan pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut
auditor mungkin akan memperoleh bukti yang akan mengizinkannya untuk
menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut tidak
cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat
yang rendah, tapi bukti tersebut mungkin cukup untuk mendukung suatu
risikopengendalian yang tinggi. Auditor mungkin akan merasa bebas untuk
menempatkan suatu penilaian pada bukti yang dikumpulkan sementara
memperoleh suatu pemahaman mengenai pengendalian intern.
2. Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer
yang menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam
kuesioner yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi
tertentu. Akan tetapi, auditor perlu memahami logika bahwa system pendukung
keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian
intern dan untuk menilai salah saji potensial yang dapat muncul dalam asersi
laporan keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang
berhubungan dengan setiap kelas transaksi utama dan untuk asersi yang
berhubungan dengan setiap saldo akun yang signifikan. Sebagai contoh, salah
saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan hutang
usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi
asersi saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji
potensial untuk beberapa asersi yang berkaitan dengan transaksi pengeluaran
kas ditunjukkan dalam kolom dbawah:
Salah saji potensial Pengendalian yang Pengujian pengendalian
diperlukan
Suatu pengeluaran Komputer mencocokkan Menggunakan teknik-
kas dapat dibuat informasi cek dengan teknik audit dengan
untuk tujuan yang informasi yang bantuan komputer,
tidak diotorisasi mendukung tanda bukti seperti data pengujian
(keberadaan atau dan hutang usaha untuk untuk menguji
keterjadian untuk setiap transaksi pengendalian aplikasi
transaksi yang valid) pengeluaran komputer
Hanya personel dengan Mengamati individu-
otorisasi yang diizinkan individu yang menangani
untuk menjalankan pengeluaran kas dan
program dan mneangani membandingkannya
cek yang dicetak dan dengan daftar personel
ditandatangani komputer yang memiliki otorisasi
Pemisahan tugas dalam Mengamati pemisahan
menyetujui tanda bukti tugas
(voucher) pembayaran dan
menandatangani cek
Suatu tanda bukti Komputer secara Menggunakan teknik-
mungkin dibayar dua elektronik membatalkan teknik audit dengan
kali (keberadaan dan tanda bukti dan informasi bantuan komputer,
keterjadian dari pendukung ketika cek seperti data pengujian
transaksi yang valid) diterbitkan untuk menguji
pengendalian aplikasi
komputer
Memberi tanda pada bukti Mengemati pemberian
pembayaran dan dokumen cap kepada dokumen
pendukung dengan tanda dan/ atau memeriksa
luns ketika cek diterbitkan sampael dari dokumen
yang telah dibayar untuk
 memeriksa adanya tanda
lunas
Suatu cek dapat Komputer mencocokkan Menggunakan teknik-
diterbitkan untuk informasi cek dengan teknik audit dengan
jumlah yang salah informasi yag mendukung bantuan komputer,
atau dicatat dalam tanda bukti dan hutang seperti data pengujian
jumlah yang salah usaha untuk setiap untuk menguji
(penilaian atau transaksi pengeluaran pengendalian aplikasi
alokasi) komputer
Komputer Menggunakan teknik-
membandingkanjumlah teknik audit dengan
cek yang diterbitkan bantuan komputer,
dengan jumlah yang seperti data pengujian
dicatat dalam pengeluaran untuk menguji
kas pengendalian aplikasi
komputer
Rekonsiliasi bank Mengamati kinerja
independen secara rekonsiliasi bank dan/
periodik atau memeriksa
rekonsiliasi bank.
Tabel 1: salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian – transaksi pengeluaran kas

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan
yang mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji
potensial tertentu dengan menggunakan perangkat lunak computer yang
memroses jawaban kuesioner pengendalian intern atau dengan secara manual
menggunakan daftar. Kolom kedua dalam dalam tabel diatas mengilustrasikan
pengendalian potensial untuk asersi laporan keuangan tertentu. Perhatikan
bahwa dalam beberapa kasus, beberapa pengendalian dapat berkaitan dengan
suatu salah saji potensial tertentu. Dalam kasus lain, suatu pengendalian
tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan
pertimbangan mengenai situasi dan penilaian. Sebagai contoh, jika terdapat
volume transaksi pengeluaran kas yang tinggi, maka pemeriksaan independen
antara antara rinkasan harian dari cek-cek yang disetujui untuk diterbitkan
dengan pemasukan dalam jurnal pengeluaran kas, yang memungkinkan
pendeteksian secara tepat waktu dari salah saji, mungkin diperlukan. Jika
volume transaksi pengeluaran kas kecil dan pendeteksian yang tepat waktu dari
salah saji tidak penting, maka rekonsiliasi bank harian secara independen dan
periodik mungkin sudah cukup untuk mengkompensasi kurangnya pengujian
independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap
sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik
pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika
sebagai bagian dari komponen aktivitas pengendalian dari pengendalian
internal. Auditor seharusnya menyadari bahwa beberapa pengendalian yang
berkaitan dengan komponen pengendalian intern lain dapat secara simultan
mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan
beberapa kelas transaksi atau saldo akun. Sebagai contoh, kompetensi dan
kepercayaan yang dapat diperoleh dari manajer-manajer tertentu, dan jawaban
juga karyawan yang terlibat dalam pemrosesan transaksi pengeluaran kas,
dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya,
kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan
kunci dapat mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh
karena itu, auditor harus mengasimilasikan informasi mengenai berbagai jenis
pengendalian yang mungkin berhubungan dengan komponen pengendalian
intern dalam mempertimbangkan risiko salah saji potensial untuk asersi
tertentu.
 Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh
suatu pemahamandan mengidentifikasi salah saji material serta pengendalian
yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji,
auditor dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan
tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan
pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya
memungkinkan auditor untuk menilai risiko pengendalian pada tingkat
maksimium. Untuk memperoleh suatu penilaian risiko pengendalian dibawah
maksimum, baik bersamaan dengam memperoleh suatu pemahaman maupun
lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan
operasis dari pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan
computer, bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan
mengamati personel klien dalam melaksanakan pengendalian. Hasil dari setiap
pengujian pengendalian seharusnya menyediakan bukti mengenai efektivitas
dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai contoh,
dengan menggunakan teknik audit dengan bantuan komputer untuk menguji
bahwa komputer membandingkan jumlah cek yang diterbitkan dengan
pemasukan dan pengeluaran kas, auditor memperoleh bukti mengenai
efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor
mempertimbangkan jenis bukti yang tersedia dan biaya pelaksanaan pengujian.
Ketika pengujian yang akan dilaksanakan telah dipilih, auditor biasaya
menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang
terencana.

5. Mengevaluasi bukti dan membuat penilaian

Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan
didasarkan pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk
memperoleh pemahaman mengenai pengendalian intern, dan (2) pengujia
pengendalian yang berhubungan. Menentukan tingkat risiko pengendalian yang
dinilai merupakan masalah pertimbangan professional. AU 319.64
menyarankan agar auditor mempertimbangkan jenis bukti, sumber bukti, batas
watu dan keberadaan dari bukti lain yang berhubugan dengan penilaian risiko
pengendalian ketika membuat pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian
aktivitas pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak
ada hingga auditor dapat memilih untuk menggunakan teknik dengan bantuan
komputer untuk melaksanakan ulang (reform) penerapan pengendalian yang
relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor
secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak
keyakinan daripada membuat pertanyaan mengenai individu. Namun demikian,
auditor seharusnya mempertimbangkan bahwa penerapan yang diamati dari
suatu pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika
auditor tidak hadir. Ketika mengevaluasi batas waktu Pengujian
pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang
diperoleh oleh beberapa pengujian pengendalian berkaitan hanya dengan titik
waktu dimana prosedur audit diterapkan. Sebagai contoh, auditor dapat
menguji operasi dari suatu proseddur pengendalian aplikasi komputer pada
suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah program
melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor
dapat melaksanakan pengujian pengendalian terhadap rancangan dan
pengoperasian pengendalian umum komputer selama periode audit umntuk
memperoleh bukti mengenai apakah aktivitas pengendalian terprogram
dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama
mengenai efektivitas suatu pengendalian, tingkat keyakinan meningkat.
Sebaliknya, jika bukti-bukti yang ada mendukung beberapa kesimpulan yang
berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit dengan
bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan
pengecualian secara tepat dalam laporan pengecualian, tapi pertanyaan auditor
mengenai orang yang mneindaklanjuti laporan pengecualian menunjukkan
bahwa terdapat kekurangan dalam pemahaman prosedur pengendalian yang
 diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang diperoleh
dari pengujian pengendalian yang mengidentifikasi transaksi utnuk
ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun
kualitatif. Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian
intern, auditor sering kali menggunakan petunjuk pengendalian menegnai
frekuensi penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan
dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif
(seperti, terdapat 10% risiko bahwa pengendalian yang relevan tidak akan
mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu) atau
secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa pengendalian
yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis
salah saji tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi
merupakan faktor kritis dalam menentukan tingkat risiko detetksi yang dapat
diterima untuk asersi tersebut, dimana pada akhirnya akan mempengaruhi
tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan
penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit.
Jika risiko penegndalian dinilai terlalu rendah, risiko deteksi mungkin
ditetapkan terlalu tinggi dan auditor mungkin tidak melaksanakan pengujian
substantif yang mencukupi, yang akan menghasilkan suatu audit yang tidak
efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian
substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan,
sehingga menghasilkan audit yang tidak efisien. 

B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN

TEKNOLOGI INFORMASI
1. Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
a. Menilai risiko pengendalian berdasarkan pengendalian pemakai
b. Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan
pengendalian aplikasi
c. Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan
pada pengendalian umum dan tindak lanjut manual

a) Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk
menguji kelengkapan dan keakuratan dari transaksi yang diproses oleh
komputer. Sebagai contoh, manajer yang mengenal denagn baik
transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar
pembelian yang dibebankan ke dalam akun mereka. Alternatif lain,
seorang individu dalam suatu departemen pemakai dapat
membandingkan output yang dihasilkan oelh komputer dengan dokumen
sumber yang mendukung transaksi. Meskipun kedua pengendalian ini
dapat mendeteksi dan memperbaiki salah saji, namun opengendalian
yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi dan
mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan
bahwa salah saji telah dideteksi dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji
pengendalian pemakai yang berhubungan dengan suatu asersi secara
langsung, serupa dengan pengujian pengendalian dalam struktur manual.
Keunggulan dari strategi ini adalah tidak diperlukannya pengujian
terhadap komplektisitas program komputer.
b) Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian
manajemen yang menyediakan suatu tingkat peninjauan transaksi yang
lebih tinggi yang menjadi tanggungjawab mereka. Namun demikian,
pengendalian manajemen tersebut mungkin tidak menyeddiakan
keyakinan yang cukup sehingga memungkinkan auditor utnuk
mengurangi risiko pengendalian hingga suatu tingkat yang rendah.
Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk
menilai risiko pengendalian pada tingkat yang rendah berdasarkan
 pengendalian aplikasi komputer.Dalam rangka melaksanakan strategi ini
auditor seharusnya :
1. Menguji pengendalian aplikasi computer
2. Menguji pengendalian umum computer
3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh
pengendalian aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan
pengujian pengendalian berkaitan dengan modifikasi dan penggunaan
program tersebut untuk menguji apakah pengendalian yang terprogram
beroperasi secara konsisten selama periode audit.
c) Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang
memungkinkan auditor untuk menyelesaikan tugas ini berdasarkan bukti
mengenai efektivitas pengendalian umum dan prosedur tindak lanjut
manual. Ketika menguji pengendalian umum, biasanya auditor akan
mempelajari efektivitas rancangan dan menguji pengendalian aplikasi.
Sebagai tambahan, auditor dapat membuat kesimpulan mengenai
efektivitas pengendalian aplikasi dan mengidentifikasikan pengecualian
menlalui pengajuan pertanyaan kepada individu yang berpengetahuan
yang melaksanakan prosedur tindak lanjut manual.
2. Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji
pengendalian aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji
rutinitas validasi pemasukan dan pengendalian pemrosesan terprogram.
Menurut IAPI (SPAP seksi 327.8-16) faktor-faktor yang harus dipertimbangkan
dalam penggunaan Teknik audit Berbantuan Komputer adalah:
a. Pengetahuan, keahlian, dan pengalaman komputer yang dimiliki oleh
auditor.
b. Tersedianya TABK dan fasilitas komputer yang sesuai.
Auditor harus mempertimbangkan tersedianya TABK, kesesuaian fasilitas
komputer dan sistem akuntansi serta file berbasis komputer yang diperlukan.
Auditor dapat merencanakan untuk menggunakan fasilitas komputer yang lain
 bila penggunaan TABK atas komputer entitas dianggap tidak ekonomis atau
tidak praktis untuk dilakukan-sebagai contoh, karena adanya
ketidaksesuaian antara program paket yang digunakan oleh auditor dengan
komputer entitas.
Kerja sama dari karyawan entitas dapat diperoleh untuk menyediakan
fasilitas pengolahan pada waktu yang tepat, untuk membantu seperti memuat
dan menjalankanTABK. Ke dalam sistem entitas, dan menyediakan copy file
data dalam format yang dikehendaki oleh auditor.
c. Ketidakpraktisan pengujian manual.
Banyak sistem akuntansi terkomputerisasi dalam melaksanakan tugas
tertentu tidak menghasilkan bukti yang dapat dilihat. Dalam keadaan ini,
tidaklah praktis bagi auditor untuk melakukan pengujian secara manual.
Tidak adanya bukti yang dapat dilihat dapat terjadi pada berbagai tahap
proses akuntansi-seperti:
a) Dokumen masukan dapat tidak ada bila order penjualan dimasukkan ke
dalam system secara on-line. Di samping itu, transaksi akuntansi, seperti
perhitungan potongan harga dan bunga, dapat dipicu dengan program
komputer tanpa otorisasi yang dapat dilihat untuk setiap transaksi secara
individual.
b) Sistem dapat tidak menghasilkan jejak audit (audit trail) yang dapat
dilihat untuk transaksi yang diolah melalui komputer. Surat
penyerahan barang dan faktur dari pemasok dapat ditandingkan
dengan suatu program komputer. Di samping itu, prosedur
pengendalian program, seperti pengecekan batas kredit pelanggan,
dapat menyediakan bukti yang dapat dilihat hanya atas dasar
penyimpangan. Dalam hal ini, tidak terdapat bukti yang dapat dilihat
bahwa semua transaksi telah diolah.
c) Laporan keluaran dapat tidak diproduksi oleh sistem. Sebagai tambahan,
suatu laporan tercetak dapat hanya berisi total ringkasan sementara
rincian yang mendukung laporan tersebut tetap ditahan dalam file
komputer.
d. Efektivitas dan efisiensi
 Efektivitas dan efisiensi prosedur audit dapat ditingkatkan melalui
penggunaan TABK dalam memperoleh dan mengevaluasi bukti audit-
seperti:
a) Beberapa transaksi dapat diuji lebih efektif untuk tingkat biaya
yang sama dengan menggunakan komputer untuk memeriksa semua
atau lebih banyak transaksi dibandingkan dengan jika dilaksanakan
secara manual.
b) Dalam penerapan prosedur analitik, transaksi atau saldo akun dapat di-
review dan dicetak laporannya untuk pos-pos yang tidak biasa
dengan cara yang lebih efisien dengan menggunakan komputer bila
dibandingkan dengan cara manual.
c) Penggunaan TABK dapat membuat prosedur pengujian substantif
tambahan lebih efisien daripada jika auditor meletakkan
kepercayaan atas pengendalian dan pengujian pengendalian yang
bersangkutan.
Masalah yang berhubungan dengan efisiensi yang perlu dipertimbangkan
oleh auditor meliputi:
a) Waktu untuk merencanakan, merancang, melaksanakan, dan
mengevaluasi TABK.
b) Jam asisten dan review teknis.
c) Perancangan dan pencetakan formulir (seperti konfirmasi).
d) Pencatatan masukan ke dalam sistem komputer dan verifikasinya. d.
Waktu pemakaian komputer.
Dalam mengevaluasi efektivitas dan efisiensi suatu TABK, auditor
dapat mempertimbangkan daur hidup aplikasi TABK. Perencanaan mula-
mula, perancangan, dan pengembangan suatu TABK biasanya akan
memberikan manfaat terhadap audit periode berikutnya.
e. Saat pelaksanaan.
File komputer tertentu, seperti file transaksi rinci, seringkali ditahan hanya
untuk jangka waktu pendek, dan mungkin tidak disediakan dalam bentuk
yang dapat dibaca oleh mesin pada saat diperlukan oleh auditor. Jadi,
auditor akan memerlukan pengaturan untuk mempertahankan data yang
 dibutuhkannya, atau is dapat mengubah saat pekerjaannya memerlukan
data tersebut.
Jika waktu yang tersedia untuk melaksanakan audit terbatas, auditor
dapat merencanakan.penggunaan TABK karena program tersebut akan dapat
memenuhi persyaratan waktu lebih baik dibandingkan dengan prosedur lain.

Dalam SPAP seksi 327.7 diungkapkan bahwa TABK dapat digunakan

dalam pelaksanaan berbagai prosedur audit berikut ini:
a. Pengujian rincian transaksi dan saldo-seperti,
penggunaan perangkat lunak audit untuk menguji semua (suatu sampel)
transaksi dalam file komputer.
b. Prosedur review analitik-seperti, penggunaan
perangkat lunak audit untuk mengidentifikasi unsur atau fluktuasi
yang tidak biasa.
c. Pengujian pengendalian (test of control) atas
pengendalian umum sistem informasi komputer-seperti, penggunaan
data uji untuk menguji prosedur akses ke perpustakaan program
(program libraries).
d. Pengujian pengendalian atas pengendalian aplikasi
sistem informasi komputer -seperti, penggunaan data uji untuk menguji
berfungsinya prosedur yang telah diprogram.
e. Mengakses file, yaitu kemampuan untuk membaca file
yang berbeda record-nya dan berbeda formatnya.
f. Mengelompokkan data berdasarkan kriteria tertentu.
g. Mengorganisasi file, seperti menyortasi dan
menggabungkan.
h. Membuat laporan, mengedit dan memformat
keluaran.
i. Membuat persamaan dengan operasi rasional (AND;
OR; =; <>; <; >; IF).
 Teknik audit berbantuan komputer penting yang digunakan untuk menguji
pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk (1)
simulasi pararel, (2) pengujian data, (3) fasilitas pengujian terintegrasi, dan (4)
pemantauan yang berkelanjutan atas sistem real-time online.
a) Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan
menggunakan suatu program perangkat lunak yang dikendalikan oleh
auditor. Pendekatan ini memiliki keuntungan sebagai berikut :
1) Karena digunakan data riil,maka auditor dapat memeriksa transaksi
dengan menulusurinya ke dokumen sumber dan persetujuan
2) Ukuran sampel dapat dikembangkan dengan biaya tambahan yang
relative kecil.
3) Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka
perhatian haris diberikan guna menentukan bahwa data yang terpilih untuk
simulasi mewakili transaksi aktual klien. Juga bahwa sistem klien dapat
melakukan operasi yang berada diluar kapasitas perangkat lunak komputer.
b) Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses
menurut pengendalian auditor dengan program computer klien. Metode ini
memiliki beberapa kekurangan yaitu :
1) Program klien diuji hanya pada titik waktu tertentu dan tidak
sepanjang periode.
2) Metode yang digunakan adalah suatu pengujian dimana hanya
pengendalian yang ada dan yang berfungsi yang diuji oleh program
3) Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh
system.
4) Operator computer mengetahui bahwa data pengujian sedang
dijalankan, sehigga dapat mengurangi validitas output.
5) Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan
tentang pengendalian dalam aplikasi
6) Fasilitas pengujian integrasi
 Pendekatan ini membutuhkan pembentukan suatu subsistem
yang kecil dalam system teknologi informasi regular. Data
pengujian, yang diberi kode secara khusus untuk berhubungan
dengan file master buatan, diperkenalkan ke dalam system
bersamaan dengan transaksi actual. Metode ITF memiliki
kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data
klien. Selain itu, modifikasi juga mungkin diperlukan dalam
program klien untuk mengakomodasi data buatan.
7) Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor
karena kontaminasi terhadap file data dan kesulitan dalam
menyimpan data hipotesis. Modul audit ini menyediakan suatu cara
bagi auditor untuk memilih transaksi yang memiliki karakteristik
penting bagi auditor.
1) Memberi label pada transaksi. Meliputi penempatan suatu
indicator atau label pada transaksi tertentu. Adanya label ini
mebuat transaksi dapat ditelusuri melalui system ketika
sedang diproses.
2) Log audit. Adalah suatu catatan mengenai aktivitas
pemrosesan tertentu, digunakan untuk mencatat kejadian
yang memenuhi criteria yang ditentukan auditor ketika
mereka muncul pada titik tertentu dalam system.
3. Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien
menggunakan pengendalian manual, pengendalian yang mengambil keuntungan
teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan
pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu
pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam
asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah atau
mendeteksi dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian
pengendalian, (5) mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan
komputer, yang dapat membantu pencapaiantujuan pengendalian intern secara
keseluruhan, mencakup baik prosedur manual maupunprosedur yang didesain
dalam program komputer. Prosedur pengendalian manual dan komputer
terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan
SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi
akuntansi (pengen aplikasi SIK).
a) Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk
membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk
memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern
secara keseluruhan dapat tercapai. Pengendalian umum meliputi:
a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan
rerangka organisasi aktivitas SIK, yang mencakup:
(1) Kebijakan dan prosedur yang berkaitan dengan fungsi
pengendalian.
(2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan
transaksi masukan, pemrograman, dan operasi komputer).
b. Pengendalian terhadap pengembangan dan pemeliharaan sistem
aplikasi-didesain untuk memberikan keyakinan memadai bahwa
sistem dikembangkan dan dipelihara dalam suatu cara yang efisien dan
melalui proses otorisasi semestinya. Pengendalian ini juga didesain
untuk menciptakan pengendalian atas:
(1) Pengujian, perubahan, implementasi, dan dokumentasi sistem
baru atau sistem yang direvisi.
(2) Perubahan terhadap sistem aplikasi.
(3) Akses terhadap dokumentasi sistem.
(4) Pemerolehan sistem aplikasi dan listing program dari pihak
ketiga.
c. Pengendalian terhadap operasi sistem-didesain untuk
mengendalikan operasi sistem dan untuk memberikan keyakinan
memadai bahwa:
 (1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah
mendapat otorisasi.
(3) Hanya program yang telah diotorisasi yang digunakan.
(4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d. Pengendalian terhadap perangkat lunak sistem-didesain untuk
memberikan keyakinan memadai bahwa perangkat lunak sistem
diperoleh atau dikembangkan dengan cara yang efisien dan melalui
proses otorisasi semestinya, termasuk:
(1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi
perangkat lunak sistem baru dan modifikasi perangkat lunak
sistem.
(2) Pembatasan akses terhadap perangkat lunak dan dokumentasi
sistem hanya bagi karyawan yang telah mendapatkan otorisasi.
e. Pengendalian terhadap entry data dan program-didesain untuk
memberikan keyakinan bahwa:
(1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan
ke dalam sistem.
(2) Akses ke data dan program dibatasi hanya bagi karyawan yang
telah mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi
terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a. Pembuatan cadangan data program komputer di lokasi di luar
perusahaan.
b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian,
atau penghancuran data baik yang disengaja maupun yang tidak
disengaja.
c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi
bencana.
b) Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk
menetapkan prosedur pengendalian khusus atas aplikasi akuntansi untuk
memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan
dicatat, serta diolah seluruhnya, dengan cermat, dan tepat waktu.
Pengendalian aplikasi mencakup:
a. Pengendalian atas masukan-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Transaksi diotorisasi sebagaimana semestinya sebelum diolah
dengan komputer.
(2) Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca
mesin dan dicatat dalam file data komputer.
(3) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(4) Transaksi yang keliru ditolak, dikoreksi, dan jika perlu,
dimasukkan kembali secara tepat waktu.
b. Pengendalian atas pengolahan dan file data komputer-didesain untuk
memberikan keyakinan memadai bahwa
(1) Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah
semestinya oleh komputer.
(2) Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
(3) Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat
waktu.
c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan
memadai bahwa:
(1) Hasil pengolahan adalah cermat.
(2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah
mendapatkan otor
(3) Keluaran disediakan secara tepat waktu bagi karyawan yang
mendapatkan oton semestinya.
d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-
line
(1) Pengendalian masukan pada sistem on-line-didesain untuk
memberikan key bahwa:
 - Transaksi di-entry ke terminal yang semestinya.
- Data di-entry dengan cermat.
- Data di-entry ke periode akuntansi yang semestinya.
- Data yang di-entry telah diklasifikasikan dengan benar dan pada
nilai transaks' sah (valid).
- Data yang tidak sah (invalid) tidak di-entry pada saat
transmisi.
- Transaksi tidak di-entry lebih dari sekali.
- Data yang di-entry tidak hilang selama masa transmisi
berlangsung.
- Transaksi yang tidak berotorisasi tidak di-entry selama
transmisi berlangsung.
(2) Pengendalian pengolahan pada sistem on-line--didesain untuk
memberikan keyakinan bahwa:
(i) Hasil penghitungan telah diprogram dengan benar.
(ii) Logika yang digunakan dalam proses pengolahan
adalah benar.
(iii) File yang digunakan dalam proses pengolahan adalah
benar.
(iv) Record yang digunakan dalam proses pengolahan
adalah benar.
(v) Operator telah memasukkan data ke komputer console
yang semestinya.
(vi) Tabel yang digunakan selama proses pengolahan
adalah benar.
(vii) Selama proses pengolahan telah digunakan standar
operasi (default) yang semestinya.
(viii) Data yang tidak sah tidak digunakan dalam proses
pengolahan.
(ix) Proses pengolahan tidak menggunakan program
dengan versi yang salah.
 (x) Hasil penghitungan yang dilakukan secara otomatis
oleh program adalah sesuai dengan kebijakan manajemen
entitas.
(xi) Data masukan yang diolah adalah data yang
berotorisasi.
(3) Pengendalian keluaran pada sistem on-line-didesain untuk
memberikan keyakinan bahwa:
(i) Keluaran yang diterima oleh entitas adalah tepat dan
lengkap.
(ii) Keluaran yang diterima oleh entitas adalah
terklasifikasi.
(iii) Keluaran didistribusikan ke personel yang
berotorisasi.
Tabel 2 dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial
serta pengendalian yang diperlukan untuk pengendalian umum dan
pengendalian aplikasi.

Salah saji potensial Pengendalian yang Kemungkinan

diperlukan pengujian
pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer Pemisahan tugas dalam Mengamati pemisahan
dapat memodifikasi teknologi informasi tugas dalam teknologi
program ke dalam untuk pemrograman informasi
pengendalian komputer dan
terprogram pengoperasian komputer
Personel teknologi Pemisahan tugas antar Mengamati pemisahan
informasi dapt memulai departemen pemakai dan tugas antara departemen
dan memproses teknologi informasi pemakai dan pemrosesan
transaksi tanpa otorisasi untuk memulai dan data elektronik
memproses transaksi
PENGENDALIAN PENGEMBANGAN SISTEM DAN
PENDOKUMENTASIAN
Rancangan sistem Partisipasi personel dari Pertanyaan mengenai
mungkin tidak departemen pemakai dan partisipan yang terlibat
memenuhi kebutuhan audit internal dalam dalam perancangan
departemen pemakai merancang dan sistem baru, memeriksa
atau auditor menyetujui sistem baru bukti untuk persetujuan
sistem baru
Perubahan program Pemeriksaan intern Memeriksa bukti
yang tidak diotorisasi mengenai otorisasi yang verifikasi intern;
dapat menghasilkan tepat, pengujian dan menelusuri perubahan
kekeliruan pemrosesan pendokumentasian dari program ke dokumentasi
yang tidak diantisipasi perubahan program yang mendukung
sebelum
pengimplementasian
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK
SISTEM
Kerusakan peralatan Pengendalian perangkat Memeriksa spesifikasi
dapat menghasilkan keras dan perangkat perangkat keras dan
kekeliruan pemrosesan lunak sistem untuk lunak sistem
mendeteksi kerusakan
Perubahan yang tidak Persetujuan dan Memeriksa bukti dan
diotorisasi dalam pendokumentasian dari persetujuan
perangkat lunak sistem semua perubahan. pendokumentasian
dapat menghasilkan perubahan.
kekeliruan pemrosesan
PENGENDALIAN AKSES
Pemakai tanpa otorisasi Keamanan fisik dan Memeriksa pengaturan
dapat memeperoleh fasilitas teknologi keamanan dan laporan
akses terhadap peralatab informasi; tinjauan penggunaan
teknologi informasi manajemen mengenai
laporan penggunaan.
Arsip data dan program Penggunaan Memeriksa fasilitas dan
dapat diperbarui oelh perpusatakaan, log
pemakai yang tidak pustakawan, dan log
memiliki otorisasi untuk membatasi dan
 mengawasi pemakaian
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi Penggunaan kelompok Mengamati pengopersian
dalam memasukkan pengendalian data yang kelompok pegendalian
atau memproses data bertanggungjawab untuk data
dan mendistribusikan memelihara pengendalian
keluaran terhadap data masukan,
pemrosesan dan output.
Kontinuitas Rencana kontijensi Memeriksa rencana
pengoperasian dapat termasuk pengaturan kontijensi
terganggu oleh suatu untuk penggunaan
bencana seperti fasilitas cadangan
kebakaran atau banjir
Arsip data dan program Penyimpanan arsip Memeriksa fasilitas
dapat rusak atau hilang cadangan dan program penyimpanan;
off premise; ketentuan mengevalusasi
untuk rekonstruksi arsip kemampuan rekonstruksi
data arsip
Tabel 2: pertimbangan penilaian risiko pengendalian untuk pengendalian
umum pemrosesan data elektronik (EDP)

Salah saji potensial Pengedalian yang Kemungkinan

diperlukan pengujian pengendalian
PENGENDALIAN INPUT
Data untuk transaksi Otorisasi dan Memeriksa dokumen
yang tidak diotorisasi persetujuan data dari sumber dan untuk
dapat diserahkan untuk departemen pemakai; membuktikan
diproses pengendalian aplikasi persetujuan; pengujian
membandingkan data aplikasi, pengendalian
dengan otorisasi dengan CAATs, dan
 sebelumnya mneguji tindak lanjut
manual
Data yang valid dapat Pemeriksaan; komputer, Mengamati verifikasi
secara tidak benar total pengendalian data prosedur,
dikonversikan dalam menggunakan CAATs
bentuk yang dapat untuk menguji rutinitas
dibaca oleh mesin dan menguji tindak lanjut
manual; memeriksa
rekonsiliasi total
pengendalian.
Kekeliruan pada Pemeliharaan dari log Memeriksa log dan bukti
dokumen sumber tidak kekeliruan; tindak lanjut.
dapat diperbaiki dan pengembalian kepada
diserahkan ulang departemen pengguna
untuk diperbaiki; tindak
lanjut manual
PENGENDALIAN PEMROSESAN
Arsip yang salah Penggunaan label arsip Mengamati penggunaan
mungkin diproses dan eksternal dan internal label arsip eksternal;
diperarui memeriksa
pendokumentasian label
arsip internal
Data mungkin hilang, Penggunaan total Memeriksa bukti
ditambahkan, pengendalian, batasan pengendalian rekonsiliasi
digandakan, atau diubah dan pengujian, pengujian total, menggunakan
selam pemrosesan urutan CAAT untuk menguji
pengendalian komputer
dan menguji tindak lanjut
manual
PENGENDALIAN OUTPUT
Output mungkin tidak Rekonsiliasi total oleh Memeriksa bukti
benar kelompok pengendalian rekonsiliasi
data atau departemen
pengguna
Output mungkin Penggunaan lembar Memeriksa lembar
 didistribusikan kepada pengendalian distribusi pengendalian
pemakai yang tidak laporan; monitoring pendistribusian laporan,
memiliki otorisasi kelompok pengendalian mengamati monitoring
data. kelompok pengendalian
data.
Tabel 3: pertimbangan penilaian risiko pengendalian untuk pengendalian
aplikasi komputer

C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

1. Pendekatan substantif utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga
komponen pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan
pendokumentasian dari keempat komponen lain dari pengendalian intern
mungkin juga lebih sempit. Asumsi adanya salah satu dari hal-hal :
a. Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi
b. Setiap pengendalian intern yang relevan mungkin tidak efektif
c. Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas
pengendalian intern yang relevan.
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan
pengoperasian pengendalian intern untuk suatu asersi, auditor dapat membuat
penilaian awal dari risiko pengendalian sedikit dibawah tingkat maksimum.
Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1)
pengujian pengendalian tambahan, dan (2) pengujian substantive yang
diperlukan dengan asumsi adanya risiko pengendalian yang lebih rendah dari
biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi, yang
diperlukan oleh pendekatan substantive utama.
2. Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman,
auditor mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau
lebih dari ketiga kondisi yang disebutkan dalam bagian sebelumnya
bersinggungan.
 Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian
yang dinilai lebih rendah, auditor akan merencanakan dan melaksanakan
pengujian tambahan yang diperlukan untuk memperoleh bukti yang diperlukan
guna mendukung penilaian tingkat risiko pengendalian yang direncanakan pada
tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan
ke dalam kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat
risiko pengendalian actual pada tingkat sedang, maka revisi dari pengujian
substantive untuk mendukung sautu tingkat risiko pendeteksian yang lebih
rendah akan sesuai.
D. MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat
pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan.
Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari
rancangan maupun efektivitas dari pengoperasian pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi
dari suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan,
(2) konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa
pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk
memperoleh bukti semacam ini normalnya meliputi:
1. Pertanyaan terhadap personel entitas yang sesuai
2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan
pelaksanaan pengendalian
3. Pengamatan atas penerapan pengendalian
4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor

Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian

terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan
menggunakan teknik audit berbbantuan komputer/CAAT. Pengguna dapat
menyediakan bukti mengenai baik rancangan yang efektif maupun pengopersaian
pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di
bawah tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk
mendukung tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup
untuk mendukung tingkat risiko pengendalian taksiran merupakan masalah
pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan
keyakinan kepada auditor pada waktu mengembangkan tingkat risiko
pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti
lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi
tingkat keyakinan yang dapat diberikan oleh bukti audit.

a) Tipe Bukti Audit

Sifat pengendalian tertentu yang berkaitan dengan suatu asersi
mempengaruhi tipe bukti audit yang tersedia untuk mengevaluasi efektivitas
desain atau operasi peng tersebut. Untuk beberapa pengendalian, dokumentasi
desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat
memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk
mendapatkan bukti audit tentang efektivitas desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak
tersedia atau tidak relevan. Misalnya, dokumentasi mengenai desain atau
operasi mungkin tidak ada untuk beberapa faktor lingkungan pengendalian,
seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa tipe
aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa
aktivitas pengendalian yang dilakukan dengan komputer. Dalam keadaan ini,
bukti audit mengenai efektivitas desain atau operasi dapat diperoleh dengan
melakukan pengamatan atau dengan menggunakan teknik audit
berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan
b) Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi
pengendalian yang diperoleh langsung oleh auditor, misalnya dengan jalan
pengamatan, memberikan keyakinan yang lebih besar daripada bukti audit
yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan,
misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai
pemisahan fungsi yang semestinya, yang diperoleh auditor dengan pengamatan
langsung secara pribadi atas orang yang menerapkan prosedur pengendalian,
biasanya memberikan keyakinan lebih besar daripada yang diperoleh melalui
 permintaan keterangan tentang orang tersebut. Namun, auditor harus
mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin
tidak dilaksanakan dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak
memberikan bukti audit yang cukup untuk mendukung kesimpulan tentang
efektivitas desain dan operasi pengendalian tertentu. Apabila auditor
menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh
signifikan dalam mengurangi risiko pengendalian pada tingkat yang lebih
rendah, biasanya is perlu melakukan pengujian tambahan untuk mendapatkan
bukti audit yang cukup dalam mendukung kesimpulan mengenai efektivitas desain
dan operasi pengendalian tersebut.
c) Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu
diperoleh dan hubungannya dengan bagian dari masa audit yang l ersangkutan.
Dalam mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor
harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa
pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk
waktu tertentu, pada saat prosedur tersebut diterapkan oleh auditor. Sebagai
akibatnya, bukti audit tersebut mungkin tidak cukup untuk mengevaluasi
efektivitas desain dan operasi pengendalian untuk masa yang tidak termasuk
dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan
untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk
dapat memberikan bukti audit untuk seluruh masa yang diaudit. Sebagai
contoh, untuk aktivitas pengendalian yang dilakukan dengan program
komputer, auditor mungkin menguji pelaksanaan pengendalian pada satu
waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan
pengendalian secara efektif. Kemudian auditor dapat melakukan pengujian atas
pengendalian yang diarahkan terhadap desain dan operasi aktivitas pengendalian
lainnya, yang berhubungan dengan modifikasi dan penggunaan program
komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti apakah
aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama
masa yang diaudit.
 Bukti audit tentang efektivitas desain dan operasi pengendalian yang
diperoleh pada audit sebelumnya, dapat dipertimbangkan oleh auditor
dalam menaksir risiko pengendalian untuk tahun sekarang. Dalam mengevaluasi
penggunaan bukti audit seperti itu untuk masa sekarang, auditor harus
mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu
yang dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan
operasi pengendalian tersebut yang dievaluasi, hasil pengujian atas
pengendalian yang digunakan dalam melakukan evaluasi, dan bukti audit
mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif
yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa
semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk
mendapatkan bukti audit mengenai risiko pengendalian, semakin kurang
keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit
sebelumnya auditor harus mendapatkan bukti audit dari audit sekarang
mengenai apakah telah terjadi perubahan dalam pengendalian intern, termasuk
perubahan kebijakan, prosedur dan personel setelah audit yang lalu.
Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan
pertimbangan mengenai hal yang diuraikan dalam paragraf terdahulu
mendukung penambahan atau pengurangan bukti audit tambahan yang harus
dikumpulkan dalam audit sekarang mengenai efektivitas desain dan operasi
yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan
operasi pengendalian selama masa interim, is harus menentukan bukti audit
tambahan apa yang harus diperoleh untuk masa yang tersisa. Dalam membuat
keputusan tersebut, auditor harus mempertimbangkan pentingnya asersi yang
bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat
efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil
pengujian pengendalian yang digunakan dalam membuat evaluasi terhadap
lamanya waktu yang masih tersisa dan bukti audit mengenai desain dan operasi
yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam masa
yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup
 perubahan signifikan dalam pengendalian intern, termasuk perubahan
kebijakan, prosedur dan personel, yang terjadi setelah masa interim
d) Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai
tipe bukti audit yang ada kaitannya dengan suatu asersi dalam mengevaluasi
tingkat keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu
tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi efektivitas
desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai,
auditor dapat melakukan pengujian pengendalian yang berkaitan dengan
pengendalian tersebut. Misalnya; auditor mungkin mengamati bahwa pemrogram
tidak diberi wewenang mengoperasikan komputer. Karena pengamatan hanya
berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus melengkapi
pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam
hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin
memeriksa dokumentasi yang lalu, yang pemrogram mencoba
mengoperasikan komputer, untuk menentukan bagaimana usaha tersebut
dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan
oleh bukti audit, auditor harus mempertimbangkan keterkaitan lingkungan
pengendalian perusahaan, penaksiran risiko, aktivitas pengendalian, informasi
dan komunikasi, dan pemantauan. Walaupun salah satu komponen
pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup
pengujian substantif untuk asersi laporan keuangan tertentu, auditor harus
mempertimbangkan bukti audit untuk masing-masing komponen dalam
hubungannya dengan bukti audit mengenai komponen lainnya dalam
mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan
yang sama mengenai desain dan operasi pengendalian, tingkat keyakinan yang
diberikan oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai
tipe bukti audit mengakibatkan kesimpulan yang berbeda mengenai desain dan
operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan
berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian
adalah efektif, auditor mungkin mengurangi jumlah lokasi penerapan prosedur
audit. Namun, apabila dalam mengevaluasi prosedur pengendalian
tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian
tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai
lingkungan pengendalian antara lain dengan menerapkan prosedur audit pada
lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan
pengendalian tidak efektif dapat berdampak negatif terhadap komponen yang
tadinya efektif untuk asersi tertentu. Misalnya, lingkungan pengendalian yang
tampaknya memungkinkan perubahan yang tidak diotorisasi dalam program
komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang
diperoleh dari evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal
ini, auditor dapat memutuskan untuk mendapatkan bukti audit tambahan mengenai
desain dan operasi program tersebut selama masa yang diaudit. Misalnya,
auditor mungkin meminta dan mengawasi satu copy program dan
mempergunakan teknik audit berbantuan komputer untuk membandingkan copy
tersebut dengan program yang dipakai perusahaan untuk memproses data.

Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor
menaksir risiko pengendalian, informasi yang diperoleh mungkin menyebabkan
is mengubah sifat saat, dan lingkup pengujian pengendalian lain yang sudah
direncanakan untuk menaksir risiko pengendalian. Di samping itu, mungkin
ada informasi yang masuk ke dalam perhatian auditor sebagai hasil pelaksanaan
pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat
berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian
pengendalian dalam menaksir risiko pengendalian. Sebagai contoh, luasnya
salah saji yang ditemukan auditor ketika melakukan pengujian substantif,
mungkin mengubah pertimbangannya mengenai tingkat risiko pengendalian
taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur
substantif yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai
tingkat risiko pengendalian taksiran untuk seluruh atau sebagian asersi laporan
keuangan.
E. PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara
prosedur pemahaman atas struktur pengendalian intern dan pengujian
pengendalian (test of controls). Dalam pelaksanaan standar tersebut, auditor
melaksanakan prosedur pemahaman struktur pengendalian intern dengan cara
mengumpulkan informasi tentang desain struktur pengendalian intern dan
informasi apakah desain tersebut dilaksanakan. Di samping itu, pelaksanaan
standar tersebut juga mengharuskan auditor melakukan pengujian terhadap
efektivitas struktur pengendalian intern dalam mencapai tujuan tertentu yang
telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of
controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua
macam pengendalian:

1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.

Untuk menentukan apakah informasi mengenai struktur pengendalian yang
dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam
pengujian :
a) Pengujian transaksi dengan cara mengikuti pelaksanaan transaksi
tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor
dapat memilih transaksi tertentu, kemudian melakukan pengamatan
adanya unsur-unsur strukur pengendalian intern dalam transaksi
tersebut, sejal transaksi tersebut dimulai sampai dengan selesai.
Misalnya auditor memilih transaksi penerimaan kas dari piutang
sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian
internnya. Auditor melakukan pengamatan unsur-unsur struktur
pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai
dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi
penerima kas ke bank.Pengujian transaksi tersebut dapat berupa :
a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan
cek dan surat pemberitahuan dari debitur yang dilakukan oleh
fungsi penerima surat. Auditor mengamati pembuatan daftar surat
 pemberitahuan oleh fungsi penerima surat dan cek ke fungsi
penerima kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor
mengamati endorsement atas setiap cek oleh pejabat yang
berwenang, memastikan bahwa jumlah cek yang diterima disetor
segera ke bank dengan melakukan rekonsiliasi bukti setor bank
dengan daftar surat pemberitahuan yang dibuat oleh fungsi
penerima surat.
c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor
tidak melakuakn pengamatan penyetotan cek ke bank, namun
menempuh konfirmasi ke bank untuk memastikan bahwa jumlah
kas yang diterima dari piutang disetor seleruhnya ke bank dengan
segera.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut
ke dalam kartu pitang debitur yang bersangkutan dan ke dalam
jurnal penerimaan kas.
b) Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor
dapat memilih transaksi tertentu, kemudian melakukan pengamatan
adanya unsur-unsur strukur pengendalian intern dalam transaksi
tersebut, sejal transaksi tersebut dimulai sampai dengan selesai.
Misalnya auditor memilih transaksi penerimaan kas dari piutang
sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian
internnya. Auditor melakukan pengamatan unsur-unsur struktur
pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai
dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi
penerima kas ke bank.Pengujian transaksi tersebut dapat berupa :

a. Pengamatan (mungkin bersifat mendadak) terhadap penerimaan

cek dan surat pemberitahuan dari debitur yang dilakukan oleh
fungsi penerima surat. Auditor mengamati pembuatan daftar surat
pemberitahuan oleh fungsi penerima surat dan cek ke fungsi
 penerima kas serta pengiriman surat pemberitahuan dan daftar surat
pemberitahuan ke fungsi pencatat piutang.
b. Pengamatan terhadap pembuatan bukti setor bank. Auditor
mengamati endorsement atas setiap cek oleh pejabat yang
berwenang, memastikan bahwa jumlah cek yang diterima disetor
segera ke bank dengan melakukan rekonsiliasi bukti setor bank
dengan daftar surat pemberitahuan yang dibuat oleh fungsi
penerima surat.
c. Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor
tidak melakuakn pengamatan penyetotan cek ke bank, namun
menempuh konfirmasi ke bank untuk memastikan bahwa jumlah
kas yang diterima dari piutang disetor seleruhnya ke bank dengan
segera.
d. Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut
ke dalam kartu pitang debitur yang bersangkutan dan ke dalam
jurnal penerimaan kas.

dalam hal tertentu, auditor seringkali melakukan pengujian

pengendalian terhadap transaksi tertentu yang telah terjadi dan telah
dicatat dalam catatan akuntansi. Dalam hal ini auditor harus memilih
transaksi tertentu kemudian mengikuti pelaksanaanya (reperforming)
sejak awal sampai selesai, melalui dokumen-dokumen yang dibuat
dalam transaksi tersebut dan pencatatannya dalam catatan akuntansi.
Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar
dilaksanakan sesuai dengan yang tercantum dalam Buku Panduan
Sistem Akuntansi, auditor memeriksa surat permintaan pembelian,
surat penawaran harga, surat order pembelian, laporan penerimaan
barang dan bukti kas keluar. Informasi yang perlu diperiksa di sini
adalah tanda tangan otorisasi pejabat yang berwenang, untuk
membuktikan apakah sistem otorisasi yang telah ditetapkan benar-
benar dilaksanakan.
2. Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
 Dalam pengujian pengendalian terhadap pengendalian intern, auditor
tidak hanya berkepentingan terhadap eksistensi unsur-unsur struktur
pengendalian intern, namun auditor juga berkepentingan terhadap
tingkat kepatuhan klien terhadap pengendalian intern. Dalam pengujian
tingkat kepatuhan klien terhadap pengendalian intern pembelian,
auditor dapat menempuh prosedur audit berikut ini :

a) Mengambil sampel bukti kas masuk dan memeriksa kelengkapan

dokumen pendukungnya (surat order pembelian, laporan
penerimaan barang, dan faktur dari pemasok) serta tanda tangan
pejabat yang berwenang baik dalam bukti kas keluar maupun
dokumen pendukungnya. Tujuan pengujian ini adalah
untukmendapat kepastian transaksi pembelian telah diotorasi oleh
pejabat-pejabat berwenang.

b) Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang

merupakan kombinasi antara pengujian yang tujuannya untuk
menilai efektivitas pengendalian intern (pengujian pengendalian)
dan pengujian yang tujuannya menilai kewajaran informasi yang
disajikan dalam laporan keuangan (pengujian substantif).

F. PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi
yang berkenaan dengan kelas transaksi seperti penerimaan kas dan pengeluaran
kas. Penilaian tersebut kemudian digunakan untuk menilai risiko pengendalian
asersi saldo akun yang signifikan sehingga kesesuaian dari tingkat pengujian
substantif yang direncanakan untuk saldo akun dapat ditentukan, dan pengujian
substantif khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama
untuk akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian
untuk akun-akun yang dipengaruhi oleh kelas transaksi ganda.
1. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi tunggal
 Proses menilai risiko pengendalian untuk asersi saldo akun langsung
ditujukan kepada akun-akun yang dipengaruhi oleh suatu kelas transaksi
tunggal. Hal ini merupakan kasus dalam kebanyakan akun laporan laba rugi.
Sebagai contoh, penjualan meningkat oleh kredit untuk transksi penjualan
dalam siklus pendapatan, dan banyak akun beban meningkat dengan mendebet
transaksi pembelian dalam siklus pengeluaran. Dalam kasus ini, penilaian risiko
pengendalian auditor untuk setiap asersi saldo akun adalah sama dengan
penilaian risiko pengendalian untuk asersi kelas transaksi yang sama. Sebagai
contoh, penilaian risiko pengendalian atas asersi keberadaan atau keterjadian
untuk saldo akun penjualan seharusnya sama dengan penilaian risiko
pengendalian atas asersi keberadaan atau keterjadian untuk transaksi penjualan.
Demikian pula, penilaian risiko pengendalian atas asersi pengendalian atas
asersi penilaian atau alokasi untuk kebanyakan beban harus sama dengan asersi
penilaian atau alokasi untuk transaksi pembelian.
2. Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh
suatu kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari
satu kelas transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi
penerimaan kas dalam siklus pendapatan dan diturunkan oleh transaksi
pengeluaran kas dalam siklus pengeluaran. Dalam kasus ini, menilai risiko
pengendalian untuk suatu asersi saldo akun memerlukan pertimbangan atas
penilaian risiko pengendalian yang relevan untuk setiap kelas transaksi yang
secara signifikan mempengaruhi neraca. Oleh karena itu, penilaian risiko
pengendalian atas asersi penilaian atau alokasi untuk saldo kas didasarkan pada
penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik untuk
transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian
risiko pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada
penilaian risiko pengendalian untuk asersi yang sama yang berkenaan dengan
semua kelas transaksi dipengaruhi saldo akun tersebut, dengan satu
pengecualian utama. Penilaian risiko pengendalian untuk asersi keberadaan atau
keterjadian dan asersi kelengkapan untuk satu kelas transaksi yang menurunkan
saldo akun berhubungan dengan asersi berlawanan yang dipengaruhi. Hal ini,
yang mungkin merupakan hubungan yang tidak diharapkan, diilustrasikan
dalam Gambar 1. gambar ini menunjukkan penilaian risiko pengendalian yang
relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko
pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan
untuk saldo kas.

Asersi Saldo Kas di Penilaian Risko Penjelasan

mana Risiko Pengendalian yang Relevan
Pengendalian Dinilai untuk Kelas Transaksi yang
Mempengaruhi Saldo Kas
Keberadaan atau Keberadaan atau keterjaidan Jika beberapa
Kejadian dari penerimaan kas penerimaan kas yang
meningkatkan risiko. tercatat tidak terjadi,
sebagian dari saldo kas
tidak ada.
Keberadaan atau keterjadian Jika beberapa
pengeluaran kas yang pengeluaran kas yang
menurunkan saldo. tercatat tidak muncul,
saldo kas tidak lengkap.

Kelengkapan Kelengkapan dari

pengeluaran kas yang Jika beberapa
menurunkan saldo. pengeluaran kas tidak
dicatat, bagian dari
saldo kas tidak ada lagi
Kelengkapan dari
penerimaan kas yang Jika beberapa
meningkatkan saldo. penerimaan kas tidak
dicatat, saldo kas tidak
lengkap
 Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

3. Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda

Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh
penilaian risiko pengendalian berikut untuk saldo kas dari kertas kerja
berdasarkan pemahamannya mengenai bagian pengendalian intern yang relevan
berdasarkan pengujian pengendalian:

Asersi Penilaian Risiko

Pengendalian
Keberadaan atau keterjadian dan penerimaan kas Rendah
Kelengkapan dari penerimaan kas Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan
berbeda, auditor dapat menimbang signifikansi dari setiap penilaian guna
mencapai suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor
akuntanpublik memilih untuk menggunakan penilaian relevan yang paling
konservatif (paling tinggi). Demikian pula halnya jika penilaian risiko
pengendalian auditor atas asersi penilaian atau alokasi untuk transaksi
penerimaan kas dan pengeluaran kas masing-masing berada pada tingkat sedang
atau tinggi, maka risiko pengendalian atas asersi penilaian atau alokasi untuk
saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya
risiko pengendalian tersebut dibandingkan dengan penilaian tingkat risiko
pengendalian yang direncanakan. Ketika tingkat yang direncanakan didukung,
auditor dapat melanjutkan untuk merancang pengujian substantif berdasarkan
strategi audit pendahuluan. Jika tingkat risiko pengendalian yang direncanakan
untuk dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan
pengujian audit yang berhubungan seharusnya direvisi untuk memperoleh
tingkat risiko audit yng diinginkan.

4. Mendokumentasikan Penilaian Tingkat Risiko Pengendalian

 Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian
risiko pengendalian (documentation of the controls risk assesment). Persyaratan
tersebut adalah sebagai berikut :
a. Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan
ini yang diperlukan untuk didokumentasikan.
b. Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk
penilaian harus didokumentasikan.

AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk

pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan
menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan
keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10, yang
mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi
penjualan yang terpilih.perhatikan bahwa dasar untuk penilaian di bawah
maksimum untuk asersi kelengkapan telah diberikan, di mana hanya kesimpulan
yang dinyatakan ketika penilaian berada pada tingkat maksimum, seperti
ditunjukkan untuk asersi hak dan kewajiban.

5. Mengkomunikasikan Masalah Pengendalian Intern

Auditor diminta untuk mengidentifikasi dan melapor kepada komite
audit, atau personel entitas lain dengan otoritas dan tanggung jawab yang sama,
kondisi tertentu yang berhubungan dengan pengendalian intern suatu entitas
yang diamati selama audit laporan keuangan. AU 325, Communication of
Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78)
mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition)
sebagai berikut :
… masalah-masalah yang menarik perhatian auditor yang, dalam
pertimbangannya, seharusnya dikomunikasikan dengan komite audit karena
menyajikan kekurangan yang signifikan dalam rancangan dan pengoperasian
pengendalian intern yang dapat secara berlawanan mempengaruhi
kemampuan organisasi untuk mencatat, memproses, meringkas, dan
melaporkan data keuangan secara konsisten dengan asersi manajemen dalam
laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk
kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan
suatu kelemahan material (material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian
dari satu atau lebih komponen pengendalian intern tidak dapat mengurangi
tingkat risiko salah saji sampai ke tingkat yang rendah karena kekeliruan atau
kecurangan di mana jumlah yang material dalam hubungannya dengan
laporan keuangan yang sedang diaudit dapat muncul dan tidak dapat dideteksi
selama satu periode secara tepat waktu oleh karyawan dalam cara yang
normal untuk melaksanakan fungsi yang ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah
mengidentifikasikan kondisi yang dapat dilaporkan yang memiliki kelemahan
material dalam komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian
intern adalah suatu produk penting yang menggunakan pengetahuan yang
diperoleh auditor selama audit laporan keuangan. Auditor akan secara normal
mengevaluasi apakah klien memiliki pengendalian yang cukup untuk mengatasi
masalah yang diciptakan oleh risiko usaha suatu entitas. Sebagai contoh, dalam
usaha untuk mengelola sistem persediaan just-in-time, klien mungkin
merancang suatu sistem yang menggunakan pertukaran data elektronik untuk
mengkomunikasikan kuantitas persedian kepada penjual dan memesan barang
ketika persediaan berada di bawah tingkat yang telah ditentukan. Pengendalian
intern klien seharusnya menyediakan keyakinan yang memadai bahwa salah saji
dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen dan
komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem
pengendalian intern mereka.
 BAB III

PENUTUP

A. Kesimpulan

Menilai risiko pengendalian (assessing control risk) merupakan suatu proses

mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau
mendeteksi salah saji yang material dalam laporan keuangan. Dalam membuat
penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk:
(1) Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk
memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan
dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen
entitas; (2) Mengidentifikasikan salah saji potensial yang dapat muncul dalam
asersi entitas; (3) Mengidentifikasikan pengendalian yang diperlukan yang mungkin
akan mencegah atau mendeteksi dan memperbaiki salah saji; (4) Melaksanakan
pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan
efektivitas rancangan dan pengoperasian dari pengendalian tersebut; (5)
Mengevaluasi bukti dan membuat penilaian.

Dalam menilai risiko pengendalian dalam suatu lingkungan TI terdapat tiga hal
yang penting yaitu: (1) strategi untuk melaksanakan pengujian pengendalian; (2)
Teknik audit berbantuan komputer; (3) Menilai pengendalian teknologi informasi.

Dampak dari strategi audit pendahuluan dapat diketahui dari pendekatan substantif
dan juga tingkat risiko pengendalian yang dinilai lebih rendah.

Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan
dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang
dapat diberikan oleh bukti audit.

Untuk menguji kepatuhan terhadap pengendalian intern, auditor dapat melakuan

dua macam pengendalian yaitu: pengujian adanya kepatuha terhadap struktur
pengendalian intern; dan pengujian tingkat kepatuhan terhadap struktur
pengendalian intern.

Pertimbangan tambahan dalam menilai risiko pengendalaian adalah: (1) Menilai

risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas
transaksi tunggal; (2) Menilai risiko pengendalian untuk asersi saldo akun yang
dipengaruhi oleh suatu kelas transaksi ganda; (3) Mengkombinasikan Penilaian
Risiko Pengendalian Yang Berbeda; (4) Mendokumentasikan Penilaian Tingkat
Risiko Pengendalian; (5) Mengkomunikasikan Masalah Pengendalian Intern.
 DAFTAR PUSTAKA

Boynton, William C., Johnson, Raymond N., dan Kell, Walter G. 2003. Modern
Auditing. Jakarta: Erlangga.

Farahaul. 2012. Audit Menilai Risiko Pengendalian: Uji Pengendalian. (Online)

(http://farah-aul.blogspot.com/2012/10/audit-menilai-risiko-pengendalian-
uji.html. Diakses pada tanggal 30 Oktober 2014)

IAPI. 2011. Standar Profesi Akuntan Publik. Jakarta: Penerbit Salemba Empat.

Kurniawati, Efi. 2012. Menilai Risiko Pengendalian. (Online) (http://yuukichan-

lovelypink.blogspot.com/2012/10/menilai-risiko-pengendalian.html. Diakses Pada
tanggal 30 Oktober 2014)

Mulyadi., Puradiredja, Kanaka. 1998. Auditing. Jakarta: Penerbit Salemba Empat.