TUGAS PENGAUDITAN 1

RESUME MATERI PERTEMUAN KE-11

SITI NUR HILMIN (041911535021)

AKUNTANSI

PSDKU UNIVERSITAS AIRLANGGA BANYUWANGI

Assessing Control Risk and Reporting of Internal Control

A. Understanding of Internal control

Standar audit mengharuskan auditor untuk memperoleh dan mendokumentasikan
pemahaman mereka tentang pengendalian internal untuk setiap audit. Pemahaman ini
diperlukan baik untuk audit pengendalian internal atas pelaporan keuangan dan audit atas
laporan keuangan. Dokumentasi manajemen adalah sumber informasi utama dalam
memperoleh pemahaman ini.
Auditor biasanya menggunakan tiga jenis dokumen untuk mendapatkan dan
mendokumentasikan pemahaman mereka tentang desain pengendalian internal: narasi,
diagram alir, dan kuesioner pengendalian internal. Karena Bagian 404 dari Sarbanes – Oxley
Act mengharuskan manajemen untuk menilai dan mendokumentasikan efektivitas desain dari
pengendalian internal atas pelaporan keuangan, mereka biasanya sudah menyiapkan
dokumentasi ini. Narasi, diagram alir, dan kuesioner pengendalian internal, yang digunakan
oleh auditor secara terpisah atau dikombinasikan untuk mendokumentasikan pengendalian
internal, dibahas selanjutnya.
Naratif Narasi adalah deskripsi tertulis dari kontrol internal klien. Narasi yang tepat dari
sistem akuntansi dan pengendalian terkait menjelaskan empat hal:
1. Asal mula setiap dokumen dan catatan dalam sistem.
2. Semua proses yang berlangsung.
3. Disposisi setiap dokumen dan catatan dalam sistem. Pengarsipan atau pengarsipan
dokumen secara elektronik, mengirimkannya ke pelanggan, atau menghancurkannya
harus dijelaskan.
4. Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian.
Diagram alir yang disiapkan dengan baik bermanfaat terutama karena memberikan gambaran
singkat tentang sistem klien, termasuk pemisahan tugas, yang membantu auditor
mengidentifikasi kontrol dan kekurangan dalam sistem klien. Diagram alir memiliki dua
keunggulan dibandingkan narasi: biasanya lebih mudah dibaca dan lebih mudah diperbarui.
 Tidaklah biasa menggunakan naratif dan diagram alur untuk menggambarkan sistem yang
sama karena keduanya menyajikan informasi yang sama.
B. Assess control risk
Auditor memperoleh pemahaman tentang desain dan penerapan pengendalian internal
untuk membuat penilaian awal atas risiko pengendalian sebagai bagian dari penilaian
keseluruhan auditor atas risiko salah saji material. Setelah memperoleh pemahaman tentang
pengendalian internal, auditor membuat penilaian awal atas risiko pengendalian sebagai
bagian dari penilaian keseluruhan auditor atas risiko salah saji material. Penilaian ini adalah
ukuran ekspektasi auditor bahwa pengendalian internal akan mencegah terjadinya salah saji
material atau mendeteksi dan memperbaikinya jika telah terjadi.
Demikian pula, auditor harus mengevaluasi efektivitas pengendalian umum TI sebelum
mengevaluasi pengendalian aplikasi otomatis atau pengendalian manual yang bergantung
pada keluaran TI. Kontrol umum yang tidak efektif menciptakan potensi kesalahan penyajian
material di semua aplikasi sistem, terlepas dari kualitas kontrol aplikasi individual. Sebagai
contoh, jika auditor mengamati bahwa file data tidak dilindungi secara memadai, auditor
dapat menyimpulkan bahwa terdapat risiko kehilangan data yang signifikan untuk setiap kelas
transaksi yang mengandalkan data tersebut untuk melakukan pengendalian aplikasi. Di sisi
lain, jika pengendalian umum efektif, auditor mungkin dapat lebih mengandalkan
pengendalian aplikasi yang fungsinya bergantung pada TI.
Setelah auditor menentukan bahwa pengendalian tingkat entitas, termasuk pengendalian
umum, dirancang dan ditempatkan dalam operasi, mereka selanjutnya membuat penilaian
awal untuk setiap tujuan audit terkait transaksi untuk setiap jenis transaksi utama dalam setiap
siklus transaksi. Banyak auditor menggunakan matriks risiko pengendalian untuk membantu
dalam proses penilaian risiko pengendalian pada tingkat transaksi.
Identifikasi Tujuan audit Langkah pertama dalam penilaian adalah mengidentifikasi tujuan
audit untuk golongan transaksi, saldo akun, dan penyajian serta pengungkapan yang mana
penilaian tersebut diterapkan.
Identifikasi Pengendalian yang Ada Selanjutnya, auditor menggunakan informasi yang
dibahas di bagian sebelumnya tentang memperoleh dan mendokumentasikan pemahaman
tentang pengendalian internal untuk mengidentifikasi pengendalian yang berkontribusi untuk
mencapai tujuan audit terkait transaksi. Salah satu cara bagi auditor untuk melakukan ini
adalah dengan mengidentifikasi kontrol untuk memenuhi setiap tujuan.
mengasosiasikan Pengendalian dengan Tujuan audit terkait Setiap pengendalian
memenuhi satu atau lebih tujuan audit terkait.
Mengidentifikasi dan mengevaluasi Defisiensi Pengendalian, Defisiensi Signifikan, dan
Kelemahan Material Auditor harus mengevaluasi apakah pengendalian kunci tidak ada
dalam desain pengendalian internal atas pelaporan keuangan sebagai bagian dari evaluasi
risiko pengendalian dan kemungkinan salah saji laporan keuangan. Standar audit
mendefinisikan tiga tingkat ketiadaan pengendalian internal:
1. Defisiensi pengendalian. Kekurangan pengendalian terjadi jika desain dan implementasi
atau operasi pengendalian tidak mengizinkan personel perusahaan untuk mencegah atau
mendeteksi salah saji secara tepat waktu dalam pelaksanaan fungsi yang ditugaskan
secara normal. Kekurangan desain muncul jika kontrol yang diperlukan hilang, tidak
dirancang dengan benar, atau tidak diterapkan dengan benar.
2. Defisiensi yang signifikan. Kekurangan yang signifikan ada jika ada satu atau lebih
kekurangan kontrol yang kurang parah daripada kelemahan material (didefinisikan
selanjutnya), tetapi cukup penting untuk mendapatkan perhatian oleh mereka yang
bertanggung jawab atas pengawasan pelaporan keuangan perusahaan.
3. Kelemahan materi. Kelemahan material terjadi jika defisiensi signifikan, dengan
sendirinya atau dikombinasikan dengan defisiensi signifikan lainnya, menghasilkan
kemungkinan yang wajar bahwa pengendalian internal tidak akan mencegah atau
mendeteksi salah saji laporan keuangan material secara tepat waktu. Untuk menentukan
apakah defisiensi atau defisiensi pengendalian internal yang signifikan merupakan
kelemahan material, mereka harus dievaluasi dalam dua dimensi: kemungkinan dan
signifikansi.
Pendekatan lima langkah dapat digunakan untuk mengidentifikasi kekurangan, kekurangan
yang signifikan, dan kelemahan material:
1. Identifikasi pengendalian yang ada. Karena kekurangan dan kelemahan material adalah
tidak adanya pengendalian yang memadai, auditor harus terlebih dahulu mengetahui
pengendalian mana yang ada. Metode untuk mengidentifikasi kontrol telah dibahas.
2. Identifikasi tidak adanya kontrol kunci. Kuesioner pengendalian internal, diagram alir,
dan panduan adalah alat yang berguna untuk mengidentifikasi di mana kontrol kurang
dan kemungkinan salah saji meningkat.
3. Pertimbangkan kemungkinan kontrol kompensasi. Kontrol kompensasi adalah kontrol di
tempat lain dalam sistem yang mengimbangi tidak adanya kontrol kunci.
4. Tentukan apakah ada kekurangan atau kelemahan materi yang signifikan. Kemungkinan
salah saji dan potensi materialitasnya digunakan untuk mengevaluasi jika ada
kekurangan atau kelemahan material yang signifikan.
5. Tentukan potensi salah saji yang dapat terjadi. Langkah ini dimaksudkan untuk
mengidentifikasi kesalahan penyajian tertentu yang mungkin terjadi karena kekurangan
atau kelemahan material yang signifikan. Pentingnya defisiensi signifikan atau
kelemahan material secara langsung berkaitan dengan kemungkinan dan materialitas
potensi salah saji
 menilai Risiko pengendalian untuk setiap audit terkait Tujuan Setelah defisiensi
pengendalian dan pengendalian diidentifikasi dan dikaitkan dengan tujuan audit terkait
transaksi, auditor dapat menilai risiko pengendalian untuk tujuan audit terkait transaksi. Ini
adalah keputusan penting dalam evaluasi pengendalian internal. Auditor menggunakan semua
informasi yang dibahas sebelumnya untuk membuat penilaian risiko pengendalian subjektif
untuk setiap tujuan.
C. Test of controls
Menilai risiko pengendalian mengharuskan auditor untuk mempertimbangkan desain,
penerapan, dan operasi pengendalian untuk mengevaluasi apakah pengendalian tersebut
kemungkinan besar akan efektif dalam memenuhi tujuan audit terkait. Selama fase
pemahaman, auditor telah mengumpulkan beberapa bukti untuk mendukung desain
pengendalian dan penerapannya dengan menggunakan prosedur .Dalam kebanyakan kasus,
auditor tidak akan mengumpulkan cukup bukti untuk mengurangi risiko pengendalian yang
dinilai ke tingkat yang cukup rendah. Oleh karena itu, auditor harus memperoleh bukti
tambahan tentang efektivitas operasi pengendalian di seluruh, atau setidaknya sebagian besar,
periode yang diaudit. Prosedur untuk menguji keefektifan pengendalian dalam mendukung
penurunan risiko pengendalian yang dinilai disebut pengujian pengendalian.
Jika hasil pengujian pengendalian mendukung desain dan operasi pengendalian seperti yang
diharapkan, auditor menggunakan penilaian risiko pengendalian yang sama seperti penilaian
awal. Namun, jika pengujian pengendalian menunjukkan bahwa pengendalian tidak
beroperasi secara efektif, risiko pengendalian yang dinilai harus dipertimbangkan kembali.
Auditor cenderung menggunakan empat jenis prosedur untuk mendukung efektivitas operasi
pengendalian internal. Pengujian manajemen atas pengendalian internal kemungkinan akan
mencakup jenis prosedur yang sama. Empat jenis prosedur tersebut adalah sebagai berikut:
1. Mengajukan pertanyaan kepada personel klien yang sesuai. Meskipun penyelidikan
bukan sumber bukti yang sangat andal tentang operasi pengendalian yang efektif, itu
masih tepat.
2. Memeriksa dokumen, catatan, dan laporan. Banyak kontrol meninggalkan jejak yang
jelas dari bukti dokumenter (baik elektronik maupun kertas) yang dapat digunakan untuk
menguji kontrol.
3. Amati aktivitas yang berhubungan dengan pengendalian. Beberapa kontrol tidak
meninggalkan jejak bukti, yang berarti tidak mungkin di kemudian hari untuk memeriksa
bukti bahwa kontrol tersebut telah dilaksanakan.
4. Lakukan prosedur klien. Ada juga aktivitas terkait pengendalian yang memiliki dokumen
dan catatan terkait, tetapi isinya tidak cukup untuk tujuan auditor dalam menilai apakah
pengendalian beroperasi secara efektif
ketergantungan pada bukti dari audit tahun sebelumnya Ketika auditor berencana untuk
menggunakan bukti tentang efektivitas operasi pengendalian internal yang diperoleh dalam
audit sebelumnya, standar audit mensyaratkan pengujian efektivitas pengendalian setidaknya
setiap tahun ketiga. Jika auditor menentukan bahwa kontrol kunci telah diubah sejak terakhir
kali diuji, mereka harus mengujinya pada tahun berjalan. Ini berlaku untuk kontrol manual
dan otomatis. Ketika ada sejumlah pengendalian yang diuji dalam audit sebelumnya yang
belum diubah, standar audit mengharuskan auditor untuk menguji beberapa pengendalian
tersebut setiap tahun untuk memastikan ada rotasi pengujian pengendalian selama periode tiga
tahun.
pengujian Pengendalian yang terkait dengan Risiko Signifikan Seperti dijelaskan dalam
Bab 9, risiko signifikan adalah risiko yang menurut keyakinan auditor memerlukan
pertimbangan audit khusus. Ketika prosedur penilaian risiko auditor mengidentifikasi risiko
yang signifikan, auditor diharuskan untuk menguji efektivitas operasi dari pengendalian yang
memitigasi risiko tersebut dalam audit tahun berjalan, jika auditor berencana untuk
mengandalkan pengendalian tersebut untuk mendukung penilaian risiko pengendalian di
bawah 100%. Semakin besar risikonya, semakin banyak bukti audit yang harus diperoleh
auditor bahwa pengendalian beroperasi secara efektif.
pengujian Kurang dari keseluruhan periode audit Ingat bahwa laporan manajemen
tentang pengendalian internal berkaitan dengan efektivitas pengendalian internal pada akhir
tahun fiskal. Standar audit PCAOB mengharuskan auditor untuk melakukan pengujian
pengendalian yang memadai untuk menentukan apakah pengendalian beroperasi secara efektif
pada akhir tahun. Oleh karena itu, waktu pengujian auditor atas pengendalian akan
bergantung pada sifat pengendalian dan kapan perusahaan menggunakannya. Untuk
pengendalian yang diterapkan selama periode akuntansi, biasanya praktis untuk mengujinya
pada tanggal interim. Auditor kemudian akan menentukan nanti apakah perubahan dalam
pengendalian terjadi dalam periode yang tidak diuji dan memutuskan implikasi dari setiap
perubahan. Pengendalian yang berkaitan dengan penyusunan laporan keuangan hanya terjadi
setiap triwulan atau pada akhir tahun dan oleh karena itu harus juga diuji pada akhir triwulan
dan akhir tahun.
Memahami Pengendalian Internal dalam Sistem Alih Daya Ketika klien menggunakan
pusat layanan untuk memproses transaksi, seperti penyedia layanan penggajian atau broker
untuk memproses transaksi investasi, auditor menghadapi kesulitan saat memperoleh
pemahaman tentang kontrol internal klien untuk area transaksi ini. Banyak pengendalian
berada di pusat layanan, dan auditor tidak dapat mengasumsikan bahwa pengendalian tersebut
memadai hanya karena itu adalah perusahaan independen. Standar audit mengharuskan
auditor untuk mempertimbangkan kebutuhan untuk memperoleh pemahaman dan menguji
kontrol pusat layanan jika aplikasi pusat layanan melibatkan pemrosesan data keuangan yang
 signifikan. Misalnya, banyak kontrol untuk tujuan audit terkait transaksi penggajian berada
dalam program perangkat lunak yang dikelola dan didukung oleh perusahaan layanan
penggajian, bukan klien audit.
ketergantungan pada auditor Pusat Layanan Dalam beberapa tahun terakhir, telah menjadi
semakin umum bagi pusat layanan untuk melibatkan firma CPA untuk mendapatkan
pemahaman dan menguji kontrol internal pusat layanan (sering disebut sebagai "kontrol
organisasi layanan" atau "SOC") dan menerbitkan laporan SOC untuk digunakan oleh semua
pelanggan dan auditor independen mereka. Tujuan dari penilaian independen ini adalah untuk
memberi pelanggan pusat layanan jaminan yang wajar tentang kecukupan kontrol umum dan
aplikasi pusat layanan dan untuk menghilangkan kebutuhan akan audit yang berlebihan oleh
auditor pelanggan. Jika pusat layanan memiliki banyak pelanggan dan masing-masing
memerlukan pemahaman tentang pengendalian internal pusat layanan oleh auditor
independennya sendiri, ketidaknyamanan dan biaya ke pusat layanan dapat menjadi besar.
D. Decide planned detection risk and design substantive test
Kami telah berfokus pada bagaimana auditor menilai risiko pengendalian untuk setiap
tujuan audit terkait dan mendukung penilaian risiko pengendalian dengan pengujian
pengendalian. Penyelesaian aktivitas ini sudah cukup untuk audit pengendalian internal atas
pelaporan keuangan, meskipun laporan tersebut tidak akan diselesaikan sampai auditor
menyelesaikan audit atas laporan keuangan.
Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian
untuk menentukan risiko deteksi yang direncanakan dan pengujian substantif terkait untuk audit
atas laporan keuangan. Auditor melakukan hal ini dengan menghubungkan penilaian risiko
pengendalian dengan tujuan audit terkait saldo untuk akun yang dipengaruhi oleh jenis
transaksi utama dan dengan empat tujuan audit penyajian dan pengungkapan. Tingkat deteksi
risiko yang tepat untuk setiap tujuan audit terkait keseimbangan kemudian diputuskan dengan
menggunakan model risiko audit. Hubungan tujuan audit terkait transaksi dengan tujuan audit
terkait keseimbangan dan pemilihan serta desain prosedur audit untuk pengujian substantif
saldo laporan keuangan.
E. Auditor reporting on internal control
Sebagai bagian dari pemahaman pengendalian internal dan penilaian risiko pengendalian,
auditor diharuskan untuk mengomunikasikan hal-hal tertentu kepada pihak yang bertanggung
jawab atas tata kelola. Informasi ini dan rekomendasi lain tentang pengendalian juga sering
dikomunikasikan kepada manajemen.
Komunikasi kepada Pihak yang Bertanggung Jawab atas Tata Kelola Auditor harus
mengomunikasikan defisiensi signifikan dan kelemahan material secara tertulis kepada pihak
yang bertanggung jawab atas tata kelola segera setelah auditor mengetahui keberadaannya.
Komunikasi tersebut biasanya ditujukan kepada komite audit dan manajemen.
 Surat Manajemen Selain hal-hal ini, auditor sering mengidentifikasi masalah terkait
pengendalian internal yang kurang signifikan, serta peluang bagi klien untuk melakukan
perbaikan operasional. Ini juga harus dikomunikasikan kepada klien. Bentuk komunikasi
seringkali berupa surat terpisah untuk tujuan itu, disebut surat manajemen.
Opini Wajar Tanpa Pengecualian Auditor akan mengeluarkan opini Wajar Tanpa
Pengecualian atas pengendalian internal atas pelaporan keuangan jika terdapat dua kondisi:
- Tidak ada kelemahan material yang teridentifikasi pada akhir tahun fiskal.
- Tidak ada batasan ruang lingkup pekerjaan auditor.
Qualified or Disclaimer of Opinion Batasan ruang lingkup mengharuskan auditor untuk
menyatakan opini yang memenuhi syarat atau disclaimer of opinion atas pengendalian
internal atas pelaporan keuangan. Jenis opini ini dikeluarkan jika auditor tidak dapat
menentukan apakah terdapat kelemahan material, yang disebabkan oleh pembatasan ruang
lingkup audit atas pengendalian internal atas pelaporan keuangan atau keadaan lain di mana
auditor tidak dapat memperoleh bukti yang cukup dan tepat.
F. Evaluating, reporting and testing internal control
Sebagian besar konsep dalam bab ini berlaku sama untuk audit perusahaan publik besar
(accelerated filers), perusahaan publik kecil, dan perusahaan nonpublik. Berikut ini
mengidentifikasi dan membahas perbedaan paling penting dalam mengevaluasi, melaporkan,
dan menguji pengendalian internal untuk perusahaan nonpublik dan perusahaan publik kecil
yang tidak tunduk pada audit Pasal 404 (b) pengendalian internal.
1. Persyaratan pelaporan. Dalam audit perusahaan non-publik dan pelapor non-akselerasi,
tidak ada persyaratan untuk audit pengendalian internal atas pelaporan keuangan.
2. Luasnya pengendalian internal yang diperlukan. Ukuran perusahaan memiliki pengaruh
signifikan terhadap sifat pengendalian internal dan pengendalian spesifik yang
diterapkan.
3. Perlu pemahaman yang luas. Standar audit mengharuskan auditor memperoleh
pemahaman yang memadai tentang pengendalian internal untuk menilai risiko salah saji
material pada tingkat laporan keuangan secara keseluruhan dan pada tingkat asersi yang
relevan. Risiko ini dinilai untuk merancang prosedur audit yang efektif.
4. Menilai risiko pengendalian. Perbedaan terpenting dalam perusahaan nonpublik dalam
menilai risiko pengendalian adalah penilaian risiko pengendalian maksimal untuk setiap
atau semua tujuan yang terkait dengan pengendalian ketika pengendalian internal untuk
tujuan atau sasaran tersebut tidak ada atau tidak efektif.
5. Tingkat pengujian pengendalian yang diperlukan. Auditor tidak akan melakukan
pengujian pengendalian ketika auditor menilai risiko pengendalian secara maksimal, baik
karena pengendalian yang tidak memadai, atau karena audit dapat diselesaikan secara
lebih efisien dengan tidak mengandalkan dan menguji pengendalian.