AS 2201: Audit Pengendalian Internal Atas Pelaporan Keuangan Yang Terintegrasi

dengan Audit Laporan Keuangan

pengantar

.01 Standar ini menetapkan persyaratan dan memberikan arahan yang berlaku ketika auditor ditugaskan
untuk melakukan audit atas penilaian manajemen1 tentang efektivitas pengendalian internal atas
pelaporan keuangan ("audit pengendalian internal atas pelaporan keuangan") yang terintegrasi dengan
audit dari laporan keuangan.2

.02 Pengendalian internal yang efektif atas pelaporan keuangan memberikan keyakinan memadai
mengenai keandalan pelaporan keuangan dan penyusunan laporan keuangan untuk tujuan eksternal. 3
Jika ada satu atau lebih kelemahan material, pengendalian internal perusahaan atas pelaporan
keuangan tidak dapat dianggap efektif.4

.03 Tujuan auditor dalam audit pengendalian internal atas pelaporan keuangan adalah untuk
menyatakan pendapat atas efektivitas pengendalian internal perusahaan atas pelaporan keuangan.
Karena pengendalian internal perusahaan tidak dapat dianggap efektif jika ada satu atau lebih
kelemahan material, untuk membentuk dasar dalam menyatakan pendapat, auditor harus
merencanakan dan melaksanakan audit untuk memperoleh bukti yang tepat yang cukup untuk
memperoleh keyakinan memadai tentang apakah kelemahan material ada pada tanggal yang ditentukan
dalam penilaian manajemen. Kelemahan material dalam pengendalian internal atas pelaporan keuangan
mungkin ada bahkan ketika laporan keuangan tidak salah saji secara material.

.04 Standar, AS 1005, Independensi, AS 1010, Pelatihan dan Kecakapan Auditor Independen, dan AS
1015, Kehati-hatian Profesional Dalam Pelaksanaan Pekerjaan, berlaku untuk audit pengendalian
internal atas pelaporan keuangan. Standar tersebut memerlukan pelatihan teknis dan kecakapan
sebagai auditor, independensi, dan pelaksanaan kehati-hatian profesional, termasuk skeptisisme
profesional. Standar ini menetapkan standar kerja lapangan dan pelaporan yang berlaku untuk audit
pengendalian internal atas pelaporan keuangan.

.05 Auditor harus menggunakan kerangka pengendalian yang sesuai dan diakui yang sama untuk
melaksanakan auditnya atas pengendalian internal atas pelaporan keuangan seperti yang digunakan
manajemen untuk evaluasi tahunan atas efektivitas pengendalian internal perusahaan atas pelaporan
keuangan.7

Mengintegrasikan Audit

.06 Audit pengendalian internal atas pelaporan keuangan harus diintegrasikan dengan audit atas laporan
keuangan. Namun, tujuan audit tidak identik, dan auditor harus merencanakan dan melaksanakan
pekerjaan untuk mencapai tujuan kedua audit tersebut.
.07 Dalam audit terintegrasi atas pengendalian internal atas pelaporan keuangan dan laporan keuangan,
auditor harus merancang pengujian pengendaliannya untuk mencapai tujuan kedua audit secara
bersamaan -Untuk memperoleh bukti yang cukup untuk mendukung opini auditor atas pengendalian
internal atas pelaporan keuangan pada akhir tahun, dan

Untuk memperoleh bukti yang cukup untuk mendukung penilaian risiko pengendalian auditor untuk
tujuan audit atas laporan keuangan.

08 Memperoleh bukti yang cukup untuk mendukung penilaian risiko pengendalian rendah untuk tujuan
audit laporan keuangan biasanya memungkinkan auditor untuk mengurangi jumlah pekerjaan audit
yang seharusnya diperlukan untuk menyatakan pendapat atas laporan keuangan. (Lihat Lampiran B
untuk arahan tambahan tentang integrasi.)

Catatan: Dalam beberapa keadaan, khususnya dalam beberapa audit atas perusahaan yang lebih kecil
dan kurang kompleks, auditor mungkin memilih untuk tidak menilai risiko pengendalian serendah-
rendahnya untuk tujuan audit atas laporan keuangan. Dalam keadaan seperti itu, pengujian auditor atas
efektivitas operasi pengendalian akan dilakukan terutama untuk tujuan mendukung pendapatnya
tentang apakah pengendalian internal perusahaan atas pelaporan keuangan efektif pada akhir tahun.
Hasil prosedur audit laporan keuangan auditor juga harus menginformasikan penilaian risikonya dalam
menentukan pengujian yang diperlukan untuk menyimpulkan efektivitas suatu pengendalian.

Merencanakan Audit

09 Auditor harus merencanakan audit pengendalian internal atas pelaporan keuangan dengan tepat dan
mengawasi anggota tim perikatan dengan baik. Ketika merencanakan audit terintegrasi, auditor harus
mengevaluasi apakah hal-hal berikut ini penting bagi laporan keuangan perusahaan dan pengendalian
internal atas pelaporan keuangan dan, jika demikian, bagaimana hal tersebut akan mempengaruhi
prosedur auditor:

a) Pengetahuan tentang pengendalian internal perusahaan atas pelaporan keuangan yang

diperoleh selama perikatan lain yang dilakukan oleh auditor;
b) Hal-hal yang mempengaruhi industri tempat perusahaan beroperasi, seperti praktik pelaporan
keuangan, kondisi ekonomi, undang-undang dan peraturan, dan perubahan teknologi;
c) Hal-hal yang berkaitan dengan bisnis perusahaan, termasuk organisasi, karakteristik operasi, dan
struktur permodalan;
d) Tingkat perubahan terbaru, jika ada, di perusahaan, operasinya, atau pengendalian internalnya
atas pelaporan keuangan;
e) Pertimbangan awal auditor tentang materialitas, risiko, dan faktor lain yang berkaitan dengan
penentuan kelemahan material;
f) Kekurangan pengendalian yang sebelumnya dikomunikasikan kepada komite audit8 atau
manajemen;
g) Masalah hukum atau peraturan yang diketahui perusahaan;
h) Jenis dan luasnya bukti yang tersedia terkait dengan efektivitas pengendalian internal
perusahaan atas pelaporan keuangan;
 i) Pertimbangan awal tentang efektivitas pengendalian internal atas pelaporan keuangan;
j) Informasi publik tentang perusahaan yang relevan dengan evaluasi kemungkinan salah saji
laporan keuangan material dan efektivitas pengendalian internal perusahaan atas pelaporan
keuangan;
k) Pengetahuan tentang risiko yang terkait dengan perusahaan dievaluasi sebagai bagian dari
evaluasi penerimaan dan retensi klien auditor; dan

Kompleksitas relatif dari operasi perusahaan.

Catatan: Banyak perusahaan kecil memiliki operasi yang tidak terlalu rumit. Selain itu, beberapa
perusahaan yang lebih besar dan kompleks mungkin memiliki unit atau proses yang kurang kompleks.
Faktor-faktor yang mungkin mengindikasikan operasi yang kurang kompleks meliputi: lini bisnis yang
lebih sedikit; proses bisnis dan sistem pelaporan keuangan yang tidak terlalu rumit; fungsi akuntansi
yang lebih terpusat; keterlibatan luas oleh manajemen senior dalam kegiatan bisnis sehari-hari; dan
tingkat manajemen yang lebih sedikit, masing-masing dengan rentang kendali yang luas.

Peran Penilaian Risiko

.10 Penilaian risiko mendasari seluruh proses audit yang dijelaskan oleh standar ini, termasuk penentuan
akun dan pengungkapan signifikan serta asersi yang relevan, pemilihan pengendalian untuk diuji, dan
penentuan bukti yang diperlukan untuk pengendalian tertentu.

.11 Ada hubungan langsung antara tingkat risiko kelemahan material yang dapat terjadi di area tertentu
dari pengendalian internal perusahaan atas pelaporan keuangan dan jumlah perhatian audit yang harus
dicurahkan ke area tersebut. Selain itu, risiko bahwa pengendalian internal perusahaan atas pelaporan
keuangan akan gagal mencegah atau mendeteksi salah saji yang disebabkan oleh kecurangan biasanya
lebih tinggi daripada risiko kegagalan mencegah atau mendeteksi kesalahan. Auditor harus lebih
memfokuskan perhatiannya pada area dengan risiko tertinggi. Di sisi lain, tidak perlu menguji
pengendalian yang, meskipun tidak memadai, tidak akan menyajikan kemungkinan salah saji material
yang wajar terhadap laporan keuangan.

.12 Kompleksitas organisasi, unit bisnis, atau proses, akan memainkan peran penting dalam penilaian
risiko auditor dan penentuan prosedur yang diperlukan.

Menskalakan Audit

.13 Ukuran dan kompleksitas perusahaan, proses bisnisnya, dan unit bisnisnya, dapat mempengaruhi
cara perusahaan mencapai banyak tujuan pengendaliannya. Ukuran dan kompleksitas perusahaan juga
dapat mempengaruhi risiko salah saji dan pengendalian yang diperlukan untuk mengatasi risiko
tersebut. Penskalaan paling efektif sebagai perpanjangan alami dari pendekatan berbasis risiko dan
berlaku untuk audit semua perusahaan. Dengan demikian, perusahaan yang lebih kecil dan tidak terlalu
kompleks, atau bahkan perusahaan yang lebih besar dan tidak terlalu kompleks dapat mencapai tujuan
pengendaliannya secara berbeda dari perusahaan yang lebih kompleks.9
Mengatasi Risiko Penipuan

.14 Ketika merencanakan dan melaksanakan audit pengendalian internal atas pelaporan keuangan,
auditor harus mempertimbangkan hasil penilaian risiko kecurangannya.10 Sebagai bagian dari
mengidentifikasi dan menguji pengendalian tingkat entitas, seperti yang dibahas mulai dari paragraf .22 ,
dan memilih pengendalian lain untuk diuji, seperti yang dibahas mulai dari paragraf 39, auditor harus
mengevaluasi apakah pengendalian perusahaan cukup menangani risiko salah saji material yang
teridentifikasi akibat kecurangan dan pengendalian yang dimaksudkan untuk mengatasi risiko
manajemen yang mengabaikan pengendalian lain. Kontrol yang mungkin mengatasi risiko ini termasuk -

Pengendalian atas transaksi signifikan yang berada di luar kegiatan bisnis normal perusahaan atau yang
tampaknya tidak biasa karena waktu, ukuran, atau sifatnya ("transaksi tidak biasa yang signifikan"),
terutama yang menghasilkan entri jurnal yang terlambat atau tidak biasa; 10A

Kontrol atas entri jurnal dan penyesuaian yang dibuat dalam proses pelaporan keuangan akhir periode;

Pengendalian atas transaksi pihak berelasi;

Pengendalian yang terkait dengan estimasi manajemen yang signifikan; dan

Kontrol yang mengurangi insentif untuk, dan tekanan pada, manajemen untuk memalsukan atau
mengelola hasil keuangan secara tidak tepat.

.15 Jika auditor mengidentifikasi defisiensi dalam pengendalian yang dirancang untuk mencegah atau
mendeteksi kecurangan selama audit atas pengendalian internal atas pelaporan keuangan, auditor
harus mempertimbangkan defisiensi tersebut ketika mengembangkan responsnya terhadap risiko salah
saji material selama audit laporan keuangan, sebagaimana ditentukan dalam AS 2110.65-.69.

Menggunakan Karya Orang Lain

.16 Auditor harus mengevaluasi sejauh mana dia akan menggunakan pekerjaan orang lain untuk
mengurangi pekerjaan yang mungkin dilakukan sendiri oleh auditor. AS 2605, Pertimbangan Fungsi
Audit Internal, berlaku dalam audit terintegrasi atas laporan keuangan dan pengendalian internal atas
pelaporan keuangan.

.17 Namun, untuk tujuan audit pengendalian internal, auditor dapat menggunakan pekerjaan yang
dilakukan oleh, atau menerima bantuan langsung dari, auditor internal, personel perusahaan (selain
auditor internal), dan pihak ketiga yang bekerja di bawah arahan manajemen atau komite audit yang
memberikan bukti tentang efektivitas pengendalian internal atas pelaporan keuangan. Dalam audit
terintegrasi atas pengendalian internal atas pelaporan keuangan dan laporan keuangan, auditor juga
dapat menggunakan pekerjaan ini untuk memperoleh bukti yang mendukung penilaian auditor atas
risiko pengendalian untuk tujuan audit atas laporan keuangan.

.18 Auditor harus menilai kompetensi dan objektivitas orang-orang yang pekerjaannya direncanakan
akan digunakan oleh auditor untuk menentukan sejauh mana auditor dapat menggunakan
pekerjaannya. Semakin tinggi tingkat kompetensi dan objektivitas, semakin besar penggunaan yang
dapat dilakukan auditor atas pekerjaan tersebut. Auditor harus menerapkan AS 2605.09 sampai .11
untuk menilai kompetensi dan objektivitas auditor internal. Auditor harus menerapkan prinsip-prinsip
yang mendasari paragraf tersebut untuk menilai kompetensi dan objektivitas orang selain auditor
internal yang pekerjaannya direncanakan akan digunakan oleh auditor.

Catatan: Untuk tujuan menggunakan karya orang lain, kompetensi berarti pencapaian dan pemeliharaan
tingkat pemahaman dan pengetahuan yang memungkinkan orang tersebut untuk melakukan tugas yang
diberikan kepadanya dengan cakap, dan objektivitas berarti kemampuan untuk melakukan tugas
tersebut secara tidak memihak dan dengan intelektual. kejujuran. Untuk menilai kompetensi, auditor
harus mengevaluasi faktor-faktor tentang kualifikasi dan kemampuan orang tersebut untuk
melaksanakan pekerjaan yang akan digunakan oleh auditor. Untuk menilai objektivitas, auditor harus
mengevaluasi apakah terdapat faktor-faktor yang menghambat atau mendorong kemampuan seseorang
untuk melaksanakan dengan tingkat objektivitas yang diperlukan pekerjaan yang direncanakan auditor
untuk digunakan.

Catatan: Auditor tidak boleh menggunakan pekerjaan orang yang memiliki tingkat objektivitas yang
rendah, terlepas dari tingkat kompetensi mereka. Demikian pula, auditor tidak boleh menggunakan
pekerjaan orang yang memiliki tingkat kompetensi rendah terlepas dari tingkat objektivitasnya. Personil
yang fungsi intinya adalah sebagai otoritas pengujian atau kepatuhan di perusahaan, seperti auditor
internal, biasanya diharapkan memiliki kompetensi dan objektivitas yang lebih besar dalam melakukan
jenis pekerjaan yang akan berguna bagi auditor.

.19 Sejauh mana auditor dapat menggunakan pekerjaan orang lain dalam audit pengendalian internal
juga tergantung pada risiko yang terkait dengan pengendalian yang diuji. Ketika risiko yang terkait
dengan pengendalian meningkat, kebutuhan auditor untuk melakukan pekerjaannya sendiri atas
pengendalian meningkat.

Materialitas

.20 Dalam merencanakan audit pengendalian internal atas pelaporan keuangan, auditor harus
menggunakan pertimbangan materialitas yang sama yang akan digunakannya dalam merencanakan
audit atas laporan keuangan tahunan perusahaan. 11

Menggunakan Pendekatan Top-Down

.21 Auditor harus menggunakan pendekatan top-down untuk audit pengendalian internal atas
pelaporan keuangan untuk memilih pengendalian yang akan diuji. Pendekatan top-down dimulai pada
tingkat laporan keuangan dan dengan pemahaman auditor tentang risiko keseluruhan terhadap
pengendalian internal atas pelaporan keuangan. Auditor kemudian berfokus pada pengendalian tingkat
entitas dan bekerja hingga ke akun dan pengungkapan yang signifikan serta asersi yang relevan.
Pendekatan ini mengarahkan perhatian auditor pada akun, pengungkapan, dan asersi yang menyajikan
kemungkinan salah saji material yang wajar terhadap laporan keuangan dan pengungkapan terkait.
Auditor kemudian memverifikasi pemahamannya tentang risiko dalam proses perusahaan dan memilih
untuk menguji pengendalian yang cukup menangani risiko salah saji yang dinilai untuk setiap asersi yang
relevan.

Catatan: Pendekatan top-down menggambarkan proses berpikir sekuensial auditor dalam

mengidentifikasi risiko dan pengendalian yang akan diuji, tidak harus urutan auditor akan melakukan
prosedur audit.

Mengidentifikasi Kontrol Tingkat Entitas

.22 Auditor harus menguji pengendalian tingkat entitas yang penting bagi kesimpulan auditor tentang
apakah perusahaan memiliki pengendalian internal yang efektif atas pelaporan keuangan. Evaluasi
auditor atas pengendalian tingkat entitas dapat mengakibatkan peningkatan atau penurunan pengujian
yang seharusnya dilakukan auditor pada pengendalian lain.

.23 Kontrol tingkat entitas bervariasi dalam sifat dan presisi -

Beberapa pengendalian tingkat entitas, seperti pengendalian lingkungan pengendalian tertentu,

memiliki pengaruh penting, tetapi tidak langsung, terhadap kemungkinan bahwa salah saji akan
terdeteksi atau dicegah secara tepat waktu. Pengendalian ini dapat mempengaruhi pengendalian lain
yang dipilih auditor untuk pengujian dan sifat, saat, dan luas prosedur yang dilakukan auditor atas
pengendalian lain.

Beberapa pengendalian tingkat entitas memantau efektivitas pengendalian lainnya. Pengendalian

tersebut mungkin dirancang untuk mengidentifikasi kemungkinan kerusakan dalam pengendalian
tingkat yang lebih rendah, tetapi tidak pada tingkat presisi yang dengan sendirinya akan mengatasi risiko
yang dinilai sehingga salah saji terhadap asersi yang relevan akan dicegah atau dideteksi secara tepat
waktu. Pengendalian ini, ketika beroperasi secara efektif, memungkinkan auditor mengurangi pengujian
atas pengendalian lain.

Beberapa pengendalian tingkat entitas mungkin dirancang untuk beroperasi pada tingkat presisi yang
secara memadai akan mencegah atau mendeteksi salah saji secara tepat waktu terhadap satu atau lebih
asersi yang relevan. Jika pengendalian tingkat entitas cukup menangani risiko salah saji yang dinilai,
auditor tidak perlu menguji pengendalian tambahan yang berkaitan dengan risiko tersebut.

.24 Kontrol tingkat entitas termasuk -

Pengendalian yang terkait dengan lingkungan pengendalian;

Kontrol atas penggantian manajemen;

Catatan: Kontrol atas penggantian manajemen penting untuk pengendalian internal yang efektif atas
pelaporan keuangan untuk semua perusahaan, dan mungkin sangat penting di perusahaan kecil karena
meningkatnya keterlibatan manajemen senior dalam melakukan kontrol dan dalam proses pelaporan
keuangan akhir periode. Untuk perusahaan yang lebih kecil, kontrol yang menangani risiko manajemen
override mungkin berbeda dari yang ada di perusahaan yang lebih besar. Misalnya, perusahaan yang
lebih kecil mungkin bergantung pada pengawasan yang lebih rinci oleh komite audit yang berfokus pada
risiko penggantian manajemen.

Proses penilaian risiko perusahaan;

Pemrosesan dan kontrol terpusat, termasuk lingkungan layanan bersama;

Kontrol untuk memantau hasil operasi;

Kontrol untuk memantau kontrol lainnya, termasuk kegiatan fungsi audit internal, komite audit, dan
program penilaian mandiri;

Kontrol atas proses pelaporan keuangan akhir periode; dan

Kebijakan yang membahas pengendalian bisnis dan praktik manajemen risiko yang signifikan.

.25 Kontrol Lingkungan. Karena pentingnya pengendalian internal yang efektif atas pelaporan keuangan,
auditor harus mengevaluasi lingkungan pengendalian di perusahaan. Sebagai bagian dari evaluasi
lingkungan pengendalian, auditor harus menilai -

Apakah filosofi manajemen dan gaya operasi mempromosikan pengendalian internal yang efektif atas
pelaporan keuangan;

Apakah integritas suara dan nilai-nilai etika, khususnya manajemen puncak, dikembangkan dan
dipahami; dan

Apakah Dewan atau komite audit memahami dan menjalankan tanggung jawab pengawasan atas
pelaporan keuangan dan pengendalian internal.

26 Proses Pelaporan Keuangan akhir periode. Karena pentingnya pelaporan keuangan dan opini auditor
atas pengendalian internal atas pelaporan keuangan dan laporan keuangan, auditor harus mengevaluasi
proses pelaporan keuangan akhir periode. Proses pelaporan keuangan akhir periode mencakup hal-hal
berikut -

Prosedur yang digunakan untuk memasukkan total transaksi ke dalam buku besar;

Prosedur terkait pemilihan dan penerapan kebijakan akuntansi;

Prosedur yang digunakan untuk memulai, mengotorisasi, mencatat, dan memproses entri jurnal dalam
buku besar;

Prosedur yang digunakan untuk mencatat penyesuaian berulang dan tidak berulang pada laporan
keuangan tahunan dan triwulanan; dan

Prosedur untuk menyiapkan laporan keuangan tahunan dan triwulanan dan pengungkapan terkait.

Catatan: Karena proses pelaporan keuangan akhir periode tahunan biasanya terjadi setelah tanggal
penilaian manajemen, pengendalian tersebut biasanya tidak dapat diuji sampai setelah tanggal tersebut.
.27 Sebagai bagian dari evaluasi proses pelaporan keuangan akhir periode, auditor harus menilai -

Masukan, prosedur yang dilakukan, dan keluaran dari proses yang digunakan perusahaan untuk
menghasilkan laporan keuangan tahunan dan triwulanan;

Tingkat keterlibatan teknologi informasi ("TI") dalam proses pelaporan keuangan akhir periode;

Siapa yang berpartisipasi dari manajemen;

Lokasi yang terlibat dalam proses pelaporan keuangan akhir periode;

Jenis jurnal penyesuaian dan konsolidasi; dan

Sifat dan luasnya pengawasan proses oleh manajemen, dewan direksi, dan komite audit.

Catatan: Auditor harus memperoleh bukti yang cukup tentang efektivitas pengendalian triwulanan yang
penting untuk menentukan apakah pengendalian perusahaan cukup menangani risiko salah saji yang
dinilai untuk setiap asersi yang relevan pada tanggal penilaian manajemen. Namun, auditor tidak
diharuskan untuk memperoleh bukti yang cukup untuk setiap kuartal secara individual.

Mengidentifikasi Akun dan Pengungkapan Signifikan dan Pernyataan yang Relevan

.28 Auditor harus mengidentifikasi akun dan pengungkapan signifikan serta asersi yang relevan. Asersi
yang relevan adalah asersi laporan keuangan yang memiliki kemungkinan yang wajar mengandung salah
saji yang akan menyebabkan laporan keuangan menjadi salah saji material. Asersi laporan keuangan
mencakup12 -Keberadaan atau kejadian; Kelengkapan;Penilaian atau alokasi;Hak dan
kewajiban;Presentasi dan pengungkapan

Catatan: Auditor dapat mendasarkan pekerjaannya pada asersi yang berbeda dari asersi dalam standar
ini jika auditor telah memilih dan menguji pengendalian atas risiko terkait dalam setiap akun signifikan
dan pengungkapan yang memiliki kemungkinan wajar mengandung salah saji yang akan menyebabkan
laporan keuangan pernyataan yang salah saji secara material.

.29 Untuk mengidentifikasi akun dan pengungkapan signifikan serta asersi yang relevan, auditor harus
mengevaluasi faktor risiko kualitatif dan kuantitatif yang terkait dengan pos dan pengungkapan laporan
keuangan. Faktor risiko yang relevan dengan identifikasi akun dan pengungkapan signifikan dan asersi
yang relevan termasuk -

Ukuran dan komposisi akun;

Kerentanan terhadap salah saji karena kesalahan atau penipuan;
Volume aktivitas, kompleksitas, dan homogenitas transaksi individual yang diproses melalui rekening
atau tercermin dalam pengungkapan;
Sifat akun atau pengungkapan;
Kompleksitas akuntansi dan pelaporan yang terkait dengan akun atau pengungkapan;
Paparan kerugian di akun;
Kemungkinan kewajiban kontinjensi signifikan yang timbul dari aktivitas yang tercermin dalam akun atau
pengungkapan;
Adanya transaksi pihak berelasi dalam rekening; dan
Perubahan dari periode sebelumnya dalam akun atau karakteristik pengungkapan.

.30 Sebagai bagian dari mengidentifikasi akun dan pengungkapan signifikan serta asersi yang relevan,
auditor juga harus menentukan kemungkinan sumber salah saji potensial yang akan menyebabkan
laporan keuangan salah saji secara material. Auditor mungkin menentukan sumber kemungkinan salah
saji potensial dengan bertanya pada dirinya sendiri "apa yang bisa salah?" dalam akun atau
pengungkapan signifikan tertentu.

.31 Faktor risiko yang harus dievaluasi oleh auditor dalam mengidentifikasi akun dan pengungkapan
signifikan serta asersi yang relevan adalah sama dalam audit atas pengendalian internal atas pelaporan
keuangan seperti dalam audit atas laporan keuangan; karenanya, akun dan pengungkapan signifikan dan
asersi relevannya adalah sama untuk kedua audit.

Catatan: Dalam audit laporan keuangan, auditor dapat melakukan prosedur audit substantif atas akun-
akun laporan keuangan, pengungkapan dan asersi yang tidak ditentukan sebagai akun dan
pengungkapan signifikan dan asersi yang relevan. 13

32 Komponen dari akun atau pengungkapan yang signifikan mungkin memiliki risiko yang berbeda
secara signifikan. Jika demikian, pengendalian yang berbeda mungkin diperlukan untuk mengatasi risiko
tersebut secara memadai.

33 Ketika sebuah perusahaan memiliki beberapa lokasi atau unit bisnis, auditor harus mengidentifikasi
akun dan pengungkapan yang signifikan serta asersi yang relevan berdasarkan laporan keuangan
konsolidasi. Setelah membuat penentuan tersebut, auditor kemudian harus menerapkan arahan dalam
Lampiran B untuk keputusan pelingkupan beberapa lokasi.

Memahami Kemungkinan Sumber Salah Saji

.34 Untuk lebih memahami sumber kemungkinan salah saji potensial, dan sebagai bagian dari pemilihan
pengendalian yang akan diuji, auditor harus mencapai tujuan berikut -

Memahami aliran transaksi yang terkait dengan asersi yang relevan, termasuk bagaimana transaksi ini
dimulai, disahkan, diproses, dan dicatat;
Verifikasi bahwa auditor telah mengidentifikasi poin-poin dalam proses perusahaan di mana salah saji—
termasuk salah saji karena kecurangan—dapat timbul yang, secara individual atau dalam kombinasi
dengan salah saji lainnya, akan menjadi material;
Mengidentifikasi pengendalian yang telah diterapkan manajemen untuk mengatasi potensi salah saji ini;
dan
Mengidentifikasi pengendalian yang telah diterapkan manajemen atas pencegahan atau pendeteksian
tepat waktu atas akuisisi, penggunaan, atau pelepasan yang tidak sah atas aset perusahaan yang dapat
mengakibatkan salah saji material dalam laporan keuangan.
.35 Karena tingkat pertimbangan yang diperlukan, auditor harus melaksanakan prosedur untuk
mencapai tujuan dalam paragraf .34 sendiri atau mengawasi pekerjaan orang lain yang memberikan
bantuan langsung kepada auditor, seperti yang dijelaskan dalam AS 2605.

36 Auditor juga harus memahami bagaimana TI mempengaruhi arus transaksi perusahaan. Auditor
harus menerapkan paragraf .29 dan Apendiks B SA 2110, yang membahas pengaruh teknologi informasi
terhadap pengendalian internal atas pelaporan keuangan dan risiko yang harus dinilai.

Catatan: Identifikasi risiko dan pengendalian dalam TI bukanlah evaluasi yang terpisah. Sebaliknya, ini
adalah bagian integral dari pendekatan top-down yang digunakan untuk mengidentifikasi akun dan
pengungkapan signifikan dan asersi yang relevan, dan kontrol untuk menguji, serta untuk menilai risiko
dan mengalokasikan upaya audit seperti yang dijelaskan oleh standar ini.

.37 Melakukan Panduan. Melakukan penelusuran sering kali merupakan cara paling efektif untuk
mencapai tujuan di paragraf .34. Dalam melakukan walkthrough, auditor mengikuti suatu transaksi dari
awal melalui proses perusahaan, termasuk sistem informasi, hingga tercermin dalam catatan keuangan
perusahaan, dengan menggunakan dokumen dan teknologi informasi yang sama dengan yang digunakan
personel perusahaan. Prosedur panduan biasanya mencakup kombinasi penyelidikan, pengamatan,
inspeksi dokumentasi yang relevan, dan kinerja ulang kontrol.

.38 Dalam melakukan penelusuran, pada titik-titik di mana prosedur pemrosesan penting terjadi, auditor
menanyai personel perusahaan tentang pemahaman mereka tentang apa yang disyaratkan oleh
prosedur dan pengendalian yang ditentukan perusahaan. Pertanyaan menyelidik ini, dikombinasikan
dengan prosedur penelusuran lainnya, memungkinkan auditor untuk memperoleh pemahaman yang
memadai tentang proses dan untuk dapat mengidentifikasi poin-poin penting di mana kontrol yang
diperlukan hilang atau tidak dirancang secara efektif. Selain itu, pertanyaan menyelidik yang melampaui
fokus sempit pada transaksi tunggal yang digunakan sebagai dasar penelusuran memungkinkan auditor
memperoleh pemahaman tentang berbagai jenis transaksi signifikan yang ditangani oleh proses
tersebut.

Memilih Kontrol untuk Diuji

.39 Auditor harus menguji pengendalian tersebut yang penting bagi kesimpulan auditor tentang apakah
pengendalian perusahaan cukup menangani risiko salah saji yang dinilai untuk setiap asersi yang
relevan.

.40 Mungkin ada lebih dari satu pengendalian yang membahas risiko salah saji yang dinilai terhadap
asersi relevan tertentu; sebaliknya, satu pengendalian mungkin menangani risiko salah saji yang dinilai
pada lebih dari satu asersi yang relevan. Tidak perlu menguji semua pengendalian yang terkait dengan
asersi yang relevan atau menguji pengendalian yang berlebihan, kecuali jika redundansi itu sendiri
merupakan tujuan pengendalian.
.41 Keputusan apakah suatu pengendalian harus dipilih untuk pengujian bergantung pada pengendalian
mana, secara individual atau dalam kombinasi, yang secara memadai menangani risiko salah saji yang
dinilai terhadap asersi relevan tertentu daripada pada bagaimana pengendalian tersebut diberi label
(misalnya, tingkat entitas pengendalian, pengendalian tingkat transaksi, aktivitas pengendalian,
pengendalian pemantauan, pengendalian preventif, pengendalian detektif).

Kontrol Pengujian

Menguji Efektivitas Desain

.42 Auditor harus menguji efektivitas desain pengendalian dengan menentukan apakah pengendalian
perusahaan, jika dioperasikan seperti yang ditentukan oleh orang yang memiliki otoritas dan kompetensi
yang diperlukan untuk melaksanakan pengendalian secara efektif, memenuhi tujuan pengendalian
perusahaan dan dapat secara efektif mencegah atau mendeteksi kesalahan atau kecurangan yang dapat
mengakibatkan salah saji material dalam laporan keuangan.

Catatan: Perusahaan yang lebih kecil dan tidak terlalu kompleks dapat mencapai tujuan
pengendaliannya dengan cara yang berbeda dari organisasi yang lebih besar dan lebih kompleks.
Misalnya, perusahaan yang lebih kecil dan kurang kompleks mungkin memiliki lebih sedikit karyawan
dalam fungsi akuntansi, membatasi peluang untuk memisahkan tugas dan mengarahkan perusahaan
untuk menerapkan pengendalian alternatif untuk mencapai tujuan pengendaliannya. Dalam keadaan
seperti itu, auditor harus mengevaluasi apakah pengendalian alternatif tersebut efektif.

.43 Prosedur yang dilakukan auditor untuk menguji keefektifan desain mencakup campuran permintaan
keterangan dari personel yang tepat, pengamatan operasi perusahaan, dan inspeksi dokumentasi yang
relevan. Panduan yang mencakup prosedur ini biasanya cukup untuk mengevaluasi efektivitas desain.

Menguji Efektivitas Operasi

.44 Auditor harus menguji efektivitas operasi suatu pengendalian dengan menentukan apakah
pengendalian tersebut beroperasi seperti yang dirancang dan apakah orang yang melaksanakan
pengendalian memiliki wewenang dan kompetensi yang diperlukan untuk melaksanakan pengendalian
secara efektif.

Catatan: Dalam beberapa situasi, terutama di perusahaan kecil, perusahaan mungkin menggunakan
pihak ketiga untuk memberikan bantuan dengan fungsi pelaporan keuangan tertentu. Ketika menilai
kompetensi personel yang bertanggung jawab atas pelaporan keuangan perusahaan dan pengendalian
terkait, auditor dapat mempertimbangkan kompetensi gabungan personel perusahaan dan pihak lain
yang membantu fungsi yang terkait dengan pelaporan keuangan.

.45 Prosedur yang dilakukan auditor untuk menguji keefektifan operasi mencakup campuran permintaan
keterangan dari personel yang tepat, pengamatan operasi perusahaan, inspeksi dokumentasi yang
relevan, dan pelaksanaan kembali pengendalian.
Hubungan Risiko dengan Bukti yang Akan Diperoleh

.46 Untuk setiap pengendalian yang dipilih untuk pengujian, bukti yang diperlukan untuk meyakinkan
auditor bahwa pengendalian tersebut efektif bergantung pada risiko yang terkait dengan pengendalian
tersebut. Risiko yang terkait dengan pengendalian terdiri dari risiko bahwa pengendalian mungkin tidak
efektif dan, jika tidak efektif, risiko kelemahan material akan terjadi. Karena risiko yang terkait dengan
pengendalian yang diuji meningkat, bukti yang harus diperoleh auditor juga meningkat.

Catatan: Meskipun auditor harus memperoleh bukti tentang efektivitas pengendalian untuk setiap asersi
yang relevan, auditor tidak bertanggung jawab untuk memperoleh bukti yang cukup untuk mendukung
suatu opini tentang efektivitas setiap pengendalian individu. Sebaliknya, tujuan auditor adalah untuk
menyatakan pendapat atas pengendalian internal perusahaan atas pelaporan keuangan secara
keseluruhan. Hal ini memungkinkan auditor untuk memvariasikan bukti yang diperoleh mengenai
efektivitas pengendalian individu yang dipilih untuk pengujian berdasarkan risiko yang terkait dengan
pengendalian individu.

47 Faktor-faktor yang mempengaruhi risiko yang terkait dengan suatu pengendalian meliputi -

a) Sifat dan materialitas salah saji yang dimaksudkan untuk dicegah atau dideteksi oleh
pengendalian;
b) Risiko bawaan yang terkait dengan akun dan asersi terkait;
c) Apakah telah terjadi perubahan volume atau sifat transaksi yang dapat mempengaruhi
desain pengendalian atau efektivitas operasi;
d) Apakah akun memiliki riwayat kesalahan;
e) Efektivitas pengendalian tingkat entitas, terutama pengendalian yang memantau
pengendalian lain;
f) Sifat kontrol dan frekuensi operasinya;
g) Sejauh mana pengendalian bergantung pada efektivitas pengendalian lain (misalnya,
lingkungan pengendalian atau pengendalian umum teknologi informasi);
h) Kompetensi personel yang melakukan pengendalian atau pemantau kinerjanya dan apakah
telah terjadi perubahan personel kunci yang melakukan pengendalian atau pemantau
kinerjanya;
i) Apakah pengendalian bergantung pada kinerja oleh individu atau otomatis (yaitu,
pengendalian otomatis umumnya diharapkan memiliki risiko yang lebih rendah jika
pengendalian umum teknologi informasi yang relevan efektif); dan
Catatan: Perusahaan atau unit bisnis yang tidak terlalu kompleks dengan proses bisnis yang
sederhana dan operasi akuntansi terpusat mungkin memiliki sistem informasi yang relatif
sederhana yang lebih banyak menggunakan perangkat lunak yang dikemas tanpa modifikasi.
Di area di mana perangkat lunak siap pakai digunakan, pengujian auditor atas pengendalian
teknologi informasi mungkin berfokus pada pengendalian aplikasi yang dibangun ke dalam
perangkat lunak yang telah dikemas sebelumnya yang diandalkan oleh manajemen untuk
mencapai tujuan pengendaliannya dan pengendalian umum TI yang penting untuk operasi
yang efektif dari kontrol aplikasi tersebut.
 J) Kompleksitas kontrol dan pentingnya penilaian yang harus dibuat sehubungan dengan
operasinya. Catatan: Umumnya, kesimpulan bahwa suatu pengendalian tidak beroperasi secara
efektif dapat didukung oleh bukti yang lebih sedikit daripada yang diperlukan untuk mendukung
kesimpulan bahwa suatu pengendalian beroperasi secara efektif.

48 Ketika auditor mengidentifikasi penyimpangan dari pengendalian perusahaan, ia harus menentukan

pengaruh penyimpangan pada penilaiannya terhadap risiko yang terkait dengan pengendalian yang diuji
dan bukti yang akan diperoleh, serta pada efektivitas operasi dari kontrol.

Catatan: Karena pengendalian internal yang efektif atas pelaporan keuangan tidak dapat, dan tidak,
memberikan jaminan mutlak untuk mencapai tujuan pengendalian perusahaan, pengendalian individu
tidak harus beroperasi tanpa penyimpangan untuk dianggap efektif.

.49 Bukti yang diberikan oleh pengujian auditor atas efektivitas pengendalian bergantung pada
campuran sifat, saat, dan luas prosedur auditor. Selanjutnya, untuk pengendalian individual, kombinasi
yang berbeda dari sifat, waktu, dan luas pengujian dapat memberikan bukti yang cukup dalam kaitannya
dengan risiko yang terkait dengan pengendalian.

Catatan: Panduan biasanya terdiri dari kombinasi penyelidikan personel yang tepat, pengamatan operasi
perusahaan, inspeksi dokumentasi yang relevan, dan kinerja ulang kontrol dan mungkin memberikan
bukti yang cukup tentang efektivitas operasi, tergantung pada risiko yang terkait dengan kontrol yang
sedang diuji, prosedur spesifik yang dilakukan sebagai bagian dari panduan dan hasil dari prosedur
tersebut.

.50 Sifat Pengujian Pengendalian. Beberapa jenis pengujian, menurut sifatnya, menghasilkan bukti
efektivitas pengendalian yang lebih besar daripada pengujian lainnya. Pengujian berikut yang mungkin
dilakukan oleh auditor disajikan dalam urutan bukti yang biasanya akan mereka hasilkan, dari yang
paling sedikit hingga yang paling banyak: permintaan keterangan, pengamatan, pemeriksaan
dokumentasi yang relevan, dan pelaksanaan kembali suatu pengendalian.

Catatan: Penyelidikan saja tidak memberikan bukti yang cukup untuk mendukung kesimpulan tentang
efektivitas pengendalian.

.51 Sifat pengujian efektivitas yang akan memberikan bukti yang tepat tergantung, sebagian besar, pada
sifat pengendalian yang akan diuji, termasuk apakah operasi pengendalian menghasilkan bukti
dokumenter dari operasinya. Bukti dokumenter dari operasi beberapa pengendalian, seperti filosofi
manajemen dan gaya operasi, mungkin tidak ada.

Catatan: Perusahaan atau unit yang lebih kecil dan tidak terlalu kompleks mungkin memiliki
dokumentasi yang kurang formal mengenai pengoperasian kontrolnya. Dalam situasi tersebut,
pengujian pengendalian melalui penyelidikan yang dikombinasikan dengan prosedur lain, seperti
pengamatan aktivitas, inspeksi dokumentasi yang kurang formal, atau pelaksanaan kembali
pengendalian tertentu, dapat memberikan bukti yang cukup tentang apakah pengendalian tersebut
efektif.
.52 Waktu Pengujian Kontrol. Pengujian pengendalian selama periode waktu yang lebih lama
memberikan lebih banyak bukti efektivitas pengendalian daripada pengujian selama periode waktu yang
lebih singkat. Selanjutnya, pengujian yang dilakukan lebih dekat dengan tanggal penilaian manajemen
memberikan lebih banyak bukti daripada pengujian yang dilakukan pada awal tahun. Auditor harus
menyeimbangkan pelaksanaan pengujian pengendalian yang mendekati tanggal dengan kebutuhan
untuk menguji pengendalian selama periode waktu yang cukup untuk memperoleh bukti yang cukup
tentang efektivitas operasi.

.53 Sebelum tanggal yang ditentukan dalam penilaian manajemen, manajemen mungkin menerapkan
perubahan pada pengendalian perusahaan agar lebih efektif atau efisien atau untuk mengatasi defisiensi
pengendalian. Jika auditor menentukan bahwa pengendalian baru mencapai tujuan terkait kriteria
pengendalian dan telah berlaku selama periode yang cukup untuk memungkinkan auditor menilai
desain dan efektivitas operasinya dengan melakukan pengujian pengendalian, ia tidak perlu menguji
desain dan efektivitas operasi dari pengendalian yang digantikan untuk tujuan menyatakan opini atas
pengendalian internal atas pelaporan keuangan. Jika efektivitas operasi dari pengendalian yang
digantikan itu penting bagi penilaian risiko pengendalian auditor, auditor harus menguji desain dan
efektivitas operasi dari pengendalian yang digantikan tersebut, sebagaimana mestinya. (Lihat petunjuk
tambahan tentang integrasi yang dimulai pada paragraf .B1.)

.54 Tingkat Pengujian Pengendalian. Semakin luas suatu kontrol diuji, semakin besar bukti yang
diperoleh dari pengujian tersebut.

.55 Prosedur Roll-Forward. Ketika auditor melaporkan efektivitas pengendalian pada tanggal tertentu
dan memperoleh bukti tentang efektivitas operasi pengendalian pada tanggal interim, ia harus
menentukan bukti tambahan apa yang berkaitan dengan operasi pengendalian untuk sisa periode yang
diperlukan.

.56 Bukti tambahan yang diperlukan untuk memperbarui hasil pengujian dari tanggal interim hingga
akhir tahun perusahaan bergantung pada faktor-faktor berikut -

Pengendalian spesifik yang diuji sebelum tanggal tersebut, termasuk risiko yang terkait dengan
pengendalian dan sifat pengendalian, serta hasil pengujian tersebut;
Kecukupan bukti efektivitas yang diperoleh pada tanggal interim;
Panjang sisa periode; dan
Kemungkinan adanya perubahan signifikan dalam pengendalian internal atas pelaporan keuangan
setelah tanggal interim.
Catatan: Dalam beberapa keadaan, seperti ketika evaluasi faktor-faktor di atas menunjukkan risiko
rendah bahwa kontrol tidak lagi efektif selama periode roll-forward, penyelidikan saja mungkin cukup
sebagai prosedur roll-forward.

Pertimbangan Khusus untuk Audit Tahun Berikutnya

57 Dalam audit tahun-tahun berikutnya, auditor harus memasukkan pengetahuan yang diperoleh
selama audit masa lalu yang dilakukannya tentang pengendalian internal perusahaan atas pelaporan
keuangan ke dalam proses pengambilan keputusan untuk menentukan sifat, saat, dan luas pengujian
yang diperlukan. Proses pengambilan keputusan ini dijelaskan dalam paragraf .46 sampai .56.

.58 Faktor-faktor yang mempengaruhi risiko yang terkait dengan pengendalian dalam audit tahun-tahun
berikutnya termasuk dalam paragraf .47 dan berikut ini -
Sifat, saat, dan luas prosedur yang dilakukan dalam audit sebelumnya,
Hasil pengujian kontrol tahun-tahun sebelumnya, dan
Apakah ada perubahan dalam pengendalian atau proses di mana ia beroperasi sejak audit sebelumnya.

.59 Setelah mempertimbangkan faktor risiko yang diidentifikasi dalam paragraf .47 dan .58, informasi
tambahan yang tersedia dalam audit tahun-tahun berikutnya mungkin memungkinkan auditor untuk
menilai risiko yang lebih rendah daripada tahun awal. Hal ini, pada gilirannya, memungkinkan auditor
untuk mengurangi pengujian di tahun-tahun berikutnya.

60 Auditor juga dapat menggunakan strategi pembandingan untuk pengendalian aplikasi otomatis
dalam audit tahun-tahun berikutnya. Pembandingan dijelaskan lebih lanjut dimulai pada paragraf .B28.

.61 Selain itu, auditor harus memvariasikan sifat, saat, dan luas pengujian pengendalian dari tahun ke
tahun untuk menimbulkan ketidakpastian dalam pengujian dan menanggapi perubahan keadaan. Untuk
alasan ini, setiap tahun auditor dapat menguji pengendalian pada periode interim yang berbeda,
menambah atau mengurangi jumlah dan jenis pengujian yang dilakukan, atau mengubah kombinasi
prosedur yang digunakan.

Mengevaluasi Kekurangan yang Diidentifikasi

.62 Auditor harus mengevaluasi tingkat keparahan setiap defisiensi pengendalian yang menjadi
perhatiannya untuk menentukan apakah defisiensi tersebut, secara sendiri-sendiri atau bersama-sama,
merupakan kelemahan material pada tanggal penilaian manajemen. Namun, dalam merencanakan dan
melaksanakan audit, auditor tidak diharuskan untuk mencari defisiensi yang, secara individual atau
kombinasi, lebih ringan daripada kelemahan material.

.63 Tingkat keparahan defisiensi tergantung pada -

Apakah terdapat kemungkinan yang wajar bahwa pengendalian perusahaan akan gagal untuk mencegah
atau mendeteksi salah saji saldo akun atau pengungkapan; dan

Besarnya potensi salah saji yang dihasilkan dari defisiensi atau defisiensi.

.64 Tingkat keparahan defisiensi tidak bergantung pada apakah salah saji benar-benar telah terjadi,
tetapi lebih pada apakah terdapat kemungkinan yang wajar bahwa pengendalian perusahaan akan gagal
mencegah atau mendeteksi salah saji.

65 Faktor risiko mempengaruhi apakah terdapat kemungkinan yang wajar bahwa defisiensi, atau
kombinasi dari defisiensi, akan mengakibatkan salah saji saldo akun atau pengungkapan. Faktor-faktor
tersebut termasuk, tetapi tidak terbatas pada, berikut ini -
Sifat akun laporan keuangan, pengungkapan, dan asersi yang terlibat;
Kerentanan aset atau liabilitas terkait terhadap kerugian atau penipuan;
Subjektivitas, kompleksitas, atau tingkat penilaian yang diperlukan untuk menentukan jumlah yang
terlibat;
Interaksi atau hubungan kontrol dengan kontrol lain, termasuk apakah kontrol tersebut saling
bergantung atau berlebihan;
Interaksi kekurangan; dan
Kemungkinan konsekuensi di masa depan dari kekurangan tersebut.
Catatan: Evaluasi apakah defisiensi pengendalian menimbulkan kemungkinan salah saji yang wajar dapat
dilakukan tanpa mengkuantifikasi probabilitas terjadinya sebagai persentase atau rentang tertentu.

Catatan: Defisiensi pengendalian ganda yang mempengaruhi saldo atau pengungkapan akun laporan
keuangan yang sama meningkatkan kemungkinan salah saji dan mungkin, secara bersama-sama,
merupakan kelemahan material, meskipun defisiensi tersebut secara individual mungkin tidak terlalu
parah. Oleh karena itu, auditor harus menentukan apakah defisiensi pengendalian individual yang
mempengaruhi akun atau pengungkapan signifikan yang sama, asersi yang relevan, atau komponen
pengendalian internal secara kolektif mengakibatkan kelemahan material.

.66 Faktor-faktor yang mempengaruhi besarnya salah saji yang mungkin timbul dari suatu defisiensi atau
defisiensi dalam pengendalian mencakup, namun tidak terbatas pada, hal berikut -

Jumlah laporan keuangan atau total transaksi yang terkena defisiensi; dan
Volume aktivitas dalam saldo akun atau golongan transaksi yang terekspos pada defisiensi yang telah
terjadi pada periode berjalan atau yang diharapkan pada periode mendatang.

67 Dalam mengevaluasi besarnya potensi salah saji, jumlah maksimum saldo akun atau total transaksi
yang dapat dilebih-lebihkan umumnya adalah jumlah yang tercatat, sedangkan pernyataan yang lebih
rendah bisa lebih besar. Juga, dalam banyak kasus, probabilitas salah saji kecil akan lebih besar daripada
probabilitas salah saji besar.

.68 Auditor harus mengevaluasi pengaruh pengendalian kompensasi ketika menentukan apakah suatu
defisiensi pengendalian atau kombinasi dari defisiensi tersebut merupakan kelemahan material. Untuk
memiliki efek mitigasi, pengendalian kompensasi harus beroperasi pada tingkat presisi yang akan
mencegah atau mendeteksi salah saji yang material.

Indikator Kelemahan Material

.69 Indikator kelemahan material dalam pengendalian internal atas pelaporan keuangan meliputi -

Identifikasi kecurangan, material atau tidak, dari pihak manajemen senior;14

Penyajian kembali laporan keuangan yang diterbitkan sebelumnya untuk mencerminkan koreksi salah
saji material;15
Identifikasi oleh auditor atas salah saji material laporan keuangan pada periode berjalan dalam keadaan
yang mengindikasikan bahwa salah saji tersebut tidak akan terdeteksi oleh pengendalian internal
perusahaan atas pelaporan keuangan; dan
Pengawasan yang tidak efektif atas pelaporan keuangan eksternal perusahaan dan pengendalian
internal atas pelaporan keuangan oleh komite audit perusahaan.

.70 Ketika mengevaluasi tingkat keparahan defisiensi, atau kombinasi dari defisiensi, auditor juga harus
menentukan tingkat perincian dan tingkat keyakinan yang akan memuaskan pejabat yang berhati-hati
dalam menjalankan urusan mereka sendiri bahwa mereka memiliki keyakinan memadai bahwa transaksi
dicatat sebagai diperlukan untuk memungkinkan penyusunan laporan keuangan sesuai dengan prinsip
akuntansi yang berlaku umum. Jika auditor menentukan bahwa suatu defisiensi, atau kombinasi dari
defisiensi, dapat mencegah pejabat yang berhati-hati dalam menjalankan urusan mereka sendiri untuk
menyimpulkan bahwa mereka memiliki keyakinan memadai bahwa transaksi dicatat seperlunya untuk
memungkinkan penyusunan laporan keuangan sesuai dengan akuntansi yang berlaku umum. prinsip,
maka auditor harus memperlakukan defisiensi, atau kombinasi dari defisiensi, sebagai indikator
kelemahan material.

Membungkus/wrapping-up

Membentuk Opini

.71 Auditor harus membentuk opini tentang efektivitas pengendalian internal atas pelaporan keuangan
dengan mengevaluasi bukti yang diperoleh dari semua sumber, termasuk pengujian auditor atas
pengendalian, salah saji yang terdeteksi selama audit laporan keuangan, dan setiap defisiensi
pengendalian yang teridentifikasi.

Catatan: Sebagai bagian dari evaluasi ini, auditor harus meninjau laporan yang dikeluarkan selama tahun
tersebut oleh audit internal (atau fungsi serupa) yang membahas pengendalian yang terkait dengan
pengendalian internal atas pelaporan keuangan dan mengevaluasi defisiensi pengendalian yang
diidentifikasi dalam laporan tersebut.

72 Setelah membentuk opini tentang efektivitas pengendalian internal perusahaan atas pelaporan
keuangan, auditor harus mengevaluasi penyajian unsur-unsur yang diwajibkan oleh manajemen,
menurut peraturan SEC, untuk disajikan dalam laporan tahunannya tentang pengendalian internal atas
pelaporan keuangan.16

.73 Jika auditor menentukan bahwa setiap elemen laporan tahunan manajemen yang disyaratkan
tentang pengendalian internal atas pelaporan keuangan tidak lengkap atau tidak disajikan dengan
benar, auditor harus mengikuti arahan dalam paragraf .C2.

.74 Auditor dapat membentuk opini atas efektivitas pengendalian internal atas pelaporan keuangan
hanya jika tidak ada pembatasan atas ruang lingkup pekerjaan auditor. Pembatasan ruang lingkup
mengharuskan auditor untuk tidak memberikan pendapat atau menarik diri dari perikatan (lihat
paragraf .C3 hingga .C7).
Memperoleh Representasi Tertulis

75 Dalam audit pengendalian internal atas pelaporan keuangan, auditor harus memperoleh representasi
tertulis dari manajemen -

Mengakui tanggung jawab manajemen untuk menetapkan dan memelihara pengendalian internal yang
efektif atas pelaporan keuangan;
Menyatakan bahwa manajemen telah melakukan evaluasi dan penilaian atas efektivitas pengendalian
internal perusahaan atas pelaporan keuangan dan menetapkan kriteria pengendalian;
Menyatakan bahwa manajemen tidak menggunakan prosedur auditor yang dilakukan selama audit atas
pengendalian internal atas pelaporan keuangan atau laporan keuangan sebagai bagian dari dasar
penilaian manajemen atas efektivitas pengendalian internal atas pelaporan keuangan;
Menyatakan kesimpulan manajemen, sebagaimana dituangkan dalam penilaiannya, tentang efektivitas
pengendalian internal perusahaan atas pelaporan keuangan berdasarkan kriteria pengendalian pada
tanggal tertentu;
Menyatakan bahwa manajemen telah mengungkapkan kepada auditor semua defisiensi dalam desain
atau operasi pengendalian internal atas pelaporan keuangan yang diidentifikasi sebagai bagian dari
evaluasi manajemen, termasuk mengungkapkan secara terpisah kepada auditor semua defisiensi yang
diyakini sebagai defisiensi signifikan atau kelemahan material dalam pengendalian internal atas
pelaporan keuangan;
Menggambarkan setiap kecurangan yang mengakibatkan salah saji material terhadap laporan keuangan
perusahaan dan kecurangan lainnya yang tidak mengakibatkan salah saji material terhadap laporan
keuangan perusahaan tetapi melibatkan manajemen senior atau manajemen atau karyawan lain yang
memiliki peran signifikan dalam pengendalian internal perusahaan atas laporan keuangan;
Menyatakan apakah defisiensi pengendalian yang diidentifikasi dan dikomunikasikan kepada komite
audit selama penugasan sebelumnya sesuai dengan paragraf .78 dan .80 telah diselesaikan, dan secara
khusus mengidentifikasi kekurangan yang belum; dan
Menyatakan apakah, setelah tanggal pelaporan, terdapat perubahan dalam pengendalian internal atas
pelaporan keuangan atau faktor lain yang mungkin secara signifikan mempengaruhi pengendalian
internal atas pelaporan keuangan, termasuk tindakan korektif yang diambil oleh manajemen
sehubungan dengan defisiensi signifikan dan kelemahan material.

.76 Kegagalan untuk memperoleh representasi tertulis dari manajemen, termasuk penolakan
manajemen untuk memberikan representasi tersebut, merupakan suatu pembatasan ruang lingkup
audit. Sebagaimana dibahas lebih lanjut dalam paragraf .C3, ketika ruang lingkup audit terbatas, auditor
harus menarik diri dari perikatan atau tidak memberikan pendapat. Selanjutnya, auditor harus
mengevaluasi dampak penolakan manajemen terhadap kemampuannya untuk mengandalkan
representasi lain, termasuk yang diperoleh dalam audit atas laporan keuangan perusahaan.

.77 AS 2805, Representasi Manajemen, menjelaskan hal-hal seperti siapa yang harus menandatangani
surat tersebut, periode yang akan dicakup oleh surat tersebut, dan kapan harus mendapatkan surat
yang diperbarui.
Mengkomunikasikan Hal-Hal Tertentu

.78 Auditor harus mengomunikasikan, secara tertulis, kepada manajemen dan komite audit semua
kelemahan material yang diidentifikasi selama audit. Komunikasi tertulis harus dilakukan sebelum
penerbitan laporan auditor tentang pengendalian internal atas pelaporan keuangan.

.79 Jika auditor menyimpulkan bahwa pengawasan atas pelaporan keuangan eksternal perusahaan dan
pengendalian internal atas pelaporan keuangan oleh komite audit perusahaan tidak efektif, auditor
harus mengkomunikasikan kesimpulan tersebut secara tertulis kepada dewan direksi.

80. Auditor juga harus mempertimbangkan apakah ada defisiensi, atau kombinasi defisiensi, yang telah
diidentifikasi selama audit yang merupakan defisiensi signifikan dan harus mengomunikasikan defisiensi
tersebut, secara tertulis, kepada komite audit. Komunikasi ini harus dilakukan pada waktu yang tepat
dan sebelum penerbitan laporan auditor tentang pengendalian internal atas pelaporan keuangan.

81. Auditor juga harus mengomunikasikan kepada manajemen, secara tertulis, semua defisiensi dalam
pengendalian internal atas pelaporan keuangan (yaitu, defisiensi dalam pengendalian internal atas
pelaporan keuangan yang besarnya lebih kecil daripada kelemahan material) yang diidentifikasi selama
audit dan menginformasikan audit komite ketika komunikasi semacam itu telah dibuat. Auditor harus
mengomunikasikan informasi ini kepada komite audit secara tepat waktu dan sebelum penerbitan
laporan auditor tentang pengendalian internal atas pelaporan keuangan. Saat melakukan komunikasi ini,
auditor tidak perlu mengulangi informasi tentang defisiensi tersebut yang telah disertakan dalam
komunikasi tertulis yang diterbitkan sebelumnya, baik komunikasi tersebut dibuat oleh auditor, auditor
internal, atau pihak lain dalam organisasi.

.82 Auditor tidak disyaratkan untuk melaksanakan prosedur yang cukup untuk mengidentifikasi semua
defisiensi pengendalian; melainkan, auditor mengomunikasikan defisiensi dalam pengendalian internal
atas pelaporan keuangan yang disadarinya.

.83 Karena audit atas pengendalian internal atas pelaporan keuangan tidak memberikan keyakinan
kepada auditor bahwa ia telah mengidentifikasi semua defisiensi yang lebih ringan daripada kelemahan
material, auditor tidak boleh menerbitkan laporan yang menyatakan bahwa tidak ada defisiensi tersebut
yang dicatat selama audit .

.84 Ketika mengaudit pengendalian internal atas pelaporan keuangan, auditor mungkin menyadari
adanya kecurangan atau kemungkinan tindakan ilegal. Dalam keadaan seperti itu, auditor harus
menentukan tanggung jawabnya berdasarkan AS 2401, AS 2405, Tindakan Ilegal oleh Klien, dan Bagian
10A dari Securities Exchange Act of 1934.17

Pelaporan Pengendalian Internal

85 Laporan auditor atas audit pengendalian internal atas pelaporan keuangan mencakup unsur-unsur
berikut18 -
Judul

.85A Laporan auditor harus mencantumkan judul, "Laporan Kantor Akuntan Publik Terdaftar
Independen".

Penerima

.85B Laporan auditor harus ditujukan kepada pemegang saham dan dewan direksi, atau yang setara
untuk perusahaan yang tidak berbadan hukum. Laporan auditor dapat mencakup penerima tambahan.

Opini atas Pengendalian Internal atas Pelaporan Keuangan

85C Bagian pertama dari laporan auditor tentang audit pengendalian internal atas pelaporan keuangan
harus menyertakan judul bagian "Pendapat atas Pengendalian Internal atas Pelaporan Keuangan" dan
unsur-unsur berikut-

Nama perusahaan yang pengendalian internal atas pelaporan keuangannya diaudit; dan
Pendapat auditor tentang apakah perusahaan mempertahankan, dalam semua hal yang material,
pengendalian internal yang efektif atas pelaporan keuangan pada tanggal yang ditentukan, berdasarkan
kriteria pengendalian.

Dasar Pendapat

.85D Bagian kedua dari laporan auditor tentang audit pengendalian internal atas pelaporan keuangan
harus mencakup judul bagian "Dasar Pendapat" dan unsur-unsur berikut:

a) Pernyataan bahwa manajemen bertanggung jawab untuk memelihara pengendalian internal

yang efektif atas pelaporan keuangan dan untuk menilai efektivitas pengendalian internal atas
pelaporan keuangan;
b) Identifikasi laporan manajemen tentang pengendalian internal;
c) Pernyataan bahwa auditor bertanggung jawab untuk menyatakan pendapat atas pengendalian
internal perusahaan atas pelaporan keuangan berdasarkan auditnya;
d) Pernyataan bahwa auditor adalah kantor akuntan publik yang terdaftar di Dewan Pengawas
Akuntansi Perusahaan Publik (Amerika Serikat) ("PCAOB") dan diharuskan independen
sehubungan dengan perusahaan sesuai dengan undang-undang sekuritas federal AS dan aturan
yang berlaku dan peraturan Securities and Exchange Commission dan PCAOB;
e) Pernyataan bahwa audit telah dilakukan sesuai dengan standar PCAOB;
f) Pernyataan bahwa standar PCAOB mengharuskan auditor merencanakan dan melaksanakan
audit untuk memperoleh keyakinan memadai tentang apakah pengendalian internal yang efektif
atas pelaporan keuangan dipertahankan dalam semua hal yang material;
g) Pernyataan bahwa suatu audit termasuk memperoleh pemahaman tentang pengendalian
internal atas pelaporan keuangan, menilai risiko bahwa ada kelemahan material, menguji dan
mengevaluasi desain dan efektivitas operasi pengendalian internal berdasarkan risiko yang
 dinilai, dan melakukan prosedur lain seperti yang dilakukan auditor dianggap perlu dalam
keadaan; dan
h) Pernyataan bahwa auditor yakin bahwa audit memberikan dasar yang masuk akal untuk
pendapatnya.

Pengertian dan Batasan Pengendalian Internal Atas Pelaporan Keuangan.

.85E Bagian ketiga dari laporan auditor tentang audit pengendalian internal atas pelaporan keuangan
harus mencantumkan judul bagian "Pengertian dan Batasan Pengendalian Internal Atas Pelaporan
Keuangan" dan unsur-unsur berikut:

a) Definisi pengendalian internal atas pelaporan keuangan sebagaimana dinyatakan dalam

paragraf .A5;
b) Suatu paragraf yang menyatakan bahwa, karena keterbatasan yang melekat, pengendalian
internal atas pelaporan keuangan mungkin tidak mencegah atau mendeteksi salah saji dan
bahwa proyeksi dari setiap evaluasi efektivitas untuk periode mendatang tunduk pada risiko
bahwa pengendalian mungkin menjadi tidak memadai karena perubahan kondisi, atau bahwa
tingkat kepatuhan terhadap kebijakan atau prosedur dapat menurun.

Tanda Tangan, Lokasi, dan Tanggal

85F Laporan auditor harus mencakup unsur-unsur berikut:

a) Tanda tangan kantor auditor;18A

b) Kota dan negara bagian (atau kota dan negara, dalam hal auditor non-AS) dari mana laporan
auditor telah diterbitkan; dan
c) Tanggal laporan audit.

Laporan Terpisah atau Gabungan

86 Auditor dapat memilih untuk menerbitkan laporan gabungan (yaitu, satu laporan yang berisi opini
atas laporan keuangan dan opini atas pengendalian internal atas pelaporan keuangan) atau laporan
terpisah atas laporan keuangan perusahaan dan pengendalian internal atas pelaporan keuangan.

87 Contoh laporan gabungan berikut yang menyatakan opini wajar tanpa pengecualian atas laporan
keuangan dan opini wajar tanpa pengecualian atas pengendalian internal atas pelaporan keuangan
mengilustrasikan elemen laporan yang dijelaskan dalam bagian ini.

.88 Jika auditor memilih untuk menerbitkan laporan terpisah tentang pengendalian internal atas
pelaporan keuangan, ia harus menambahkan paragraf berikut (segera setelah paragraf opini) ke dalam
laporan auditor atas laporan keuangan –

Kami juga telah mengaudit, sesuai dengan standar Dewan Pengawas Akuntansi Perusahaan Publik
(Amerika Serikat) ("PCAOB"), pengendalian internal Perusahaan atas pelaporan keuangan per 31
Desember 20X8, berdasarkan [ mengidentifikasi kriteria pengendalian ] dan tanggal laporan [tanggal
laporan, yang harus sama dengan tanggal laporan atas laporan keuangan] dinyatakan [termasuk sifat
opini].

Auditor juga harus menambahkan paragraf berikut (segera mengikuti paragraf opini) ke dalam laporan
pengendalian internal atas pelaporan keuangan –

Kami juga telah mengaudit, sesuai dengan standar Dewan Pengawas Akuntansi Perusahaan Publik
(Amerika Serikat) ("PCAOB"), [ mengidentifikasi laporan keuangan ] Perusahaan dan laporan kami
tertanggal [ tanggal laporan, yang harus sama sebagai tanggal laporan efektivitas pengendalian intern
atas pelaporan keuangan ] dinyatakan [ termasuk sifat pendapat ].

Tanggal Laporan

89 Auditor harus memberi tanggal laporan audit tidak lebih awal dari tanggal auditor telah memperoleh
bukti yang cukup dan tepat untuk mendukung opini auditor. Karena auditor tidak dapat mengaudit
pengendalian internal atas pelaporan keuangan tanpa juga mengaudit laporan keuangan, laporan harus
diberi tanggal yang sama.

Kelemahan Materi

.90 Paragraf .62 hingga .70 menjelaskan evaluasi defisiensi. Jika terdapat defisiensi yang, secara sendiri-
sendiri atau bersama-sama, mengakibatkan satu atau lebih kelemahan material, auditor harus
menyatakan pendapat tidak wajar atas pengendalian internal perusahaan atas pelaporan keuangan,
kecuali terdapat pembatasan atas ruang lingkup perikatan.19

91 Ketika menyatakan pendapat tidak wajar atas pengendalian internal atas pelaporan keuangan karena
kelemahan material, laporan auditor harus mencakup -

Definisi kelemahan material, sebagaimana diatur dalam paragraf .A7.

Pernyataan bahwa kelemahan material telah diidentifikasi dan identifikasi kelemahan material
dijelaskan dalam penilaian manajemen.

atatan: Jika kelemahan material belum dimasukkan dalam penilaian manajemen, laporan harus
dimodifikasi untuk menyatakan bahwa kelemahan material telah diidentifikasi tetapi tidak termasuk
dalam penilaian manajemen. Selain itu, laporan auditor harus mencakup deskripsi kelemahan material,
yang harus memberikan informasi spesifik kepada pengguna laporan audit tentang sifat kelemahan
material dan pengaruh aktual dan potensialnya terhadap penyajian laporan keuangan perusahaan yang
diterbitkan selama periode pelaporan. adanya kelemahan. Dalam hal ini, auditor juga harus
mengomunikasikan secara tertulis kepada komite audit bahwa kelemahan material tersebut tidak
diungkapkan atau diidentifikasi sebagai kelemahan material dalam penilaian manajemen. Jika
kelemahan material telah dimasukkan dalam penilaian manajemen tetapi auditor menyimpulkan bahwa
pengungkapan kelemahan material tersebut tidak disajikan secara wajar dalam semua hal yang material,
laporan auditor harus menjelaskan kesimpulan ini serta informasi yang diperlukan untuk
menggambarkan secara wajar kelemahan material tersebut.
.92 Auditor harus menentukan pengaruh opini tidak wajarnya atas pengendalian internal terhadap
opininya atas laporan keuangan. Selain itu, auditor harus mengungkapkan apakah opininya atas laporan
keuangan dipengaruhi oleh opini tidak wajar atas pengendalian internal atas pelaporan keuangan.

Catatan: Jika auditor menerbitkan laporan terpisah tentang pengendalian internal atas pelaporan
keuangan dalam keadaan ini, pengungkapan yang disyaratkan oleh paragraf ini dapat digabungkan
dengan bahasa laporan yang dijelaskan dalam paragraf .88 dan .91. Auditor dapat menyajikan bahasa
gabungan baik sebagai paragraf terpisah atau sebagai bagian dari paragraf yang mengidentifikasi
kelemahan material.

Acara Selanjutnya

93 Perubahan dalam pengendalian internal atas pelaporan keuangan atau faktor lain yang mungkin
secara signifikan mempengaruhi pengendalian internal atas pelaporan keuangan dapat terjadi setelah
tanggal pengendalian internal atas pelaporan keuangan sedang diaudit tetapi sebelum tanggal laporan
auditor. Auditor harus menanyakan kepada manajemen apakah terdapat perubahan atau faktor
tersebut dan memperoleh representasi tertulis dari manajemen terkait dengan hal-hal tersebut, seperti
yang dijelaskan dalam paragraf .75h.

.94 Untuk memperoleh informasi tambahan tentang apakah perubahan telah terjadi yang dapat
mempengaruhi efektivitas pengendalian internal perusahaan atas pelaporan keuangan dan, oleh karena
itu, laporan auditor, auditor harus menanyakan dan memeriksa, untuk periode berikutnya, hal-hal
berikut:

Laporan audit internal yang relevan (atau fungsi serupa, seperti tinjauan pinjaman di lembaga keuangan)
yang diterbitkan selama periode berikutnya,
Auditor independen melaporkan (jika selain auditor) tentang defisiensi dalam pengendalian internal,
Badan pengatur melaporkan pengendalian internal perusahaan atas pelaporan keuangan, dan
Informasi tentang efektivitas pengendalian internal perusahaan atas pelaporan keuangan yang
diperoleh melalui perikatan lainnya.

.95 Auditor dapat menanyakan tentang dan memeriksa dokumen lain untuk periode berikutnya.
Paragraf .01 hingga .09 dari AS 2801, Peristiwa Selanjutnya, memberikan arahan atas peristiwa
kemudian untuk audit laporan keuangan yang juga dapat membantu auditor yang melakukan audit atas
pengendalian internal atas pelaporan keuangan.

.96 Jika auditor memperoleh pengetahuan tentang peristiwa kemudian yang secara material dan
merugikan mempengaruhi efektivitas pengendalian internal perusahaan atas pelaporan keuangan pada
tanggal yang ditentukan dalam penilaian, auditor harus mengeluarkan pendapat tidak wajar atas
pengendalian internal atas pelaporan keuangan (dan mengikuti arah dalam paragraf .C2 jika penilaian
manajemen menyatakan bahwa pengendalian internal atas pelaporan keuangan adalah efektif). Jika
auditor tidak dapat menentukan pengaruh peristiwa kemudian terhadap efektivitas pengendalian
internal perusahaan atas pelaporan keuangan, auditor harus menyatakan tidak memberikan pendapat.
Sebagaimana dijelaskan dalam paragraf .C13, auditor harus menyatakan tidak memberikan pendapat
atas pengungkapan manajemen tentang tindakan korektif yang diambil oleh perusahaan setelah tanggal
penilaian manajemen, jika ada.

97 Auditor dapat memperoleh pengetahuan tentang peristiwa kemudian sehubungan dengan kondisi
yang tidak ada pada tanggal yang ditentukan dalam penilaian tetapi muncul setelah tanggal tersebut dan
sebelum penerbitan laporan auditor. Jika peristiwa kemudian dari jenis ini memiliki dampak material
pada pengendalian internal perusahaan atas pelaporan keuangan, auditor harus memasukkan dalam
laporannya sebuah paragraf penjelasan yang menjelaskan peristiwa dan dampaknya atau mengarahkan
perhatian pembaca pada peristiwa dan dampaknya sebagai diungkapkan dalam laporan manajemen.

98 Setelah penerbitan laporan pengendalian internal atas pelaporan keuangan, auditor mungkin
menyadari kondisi yang ada pada tanggal laporan yang mungkin telah mempengaruhi opini auditor
seandainya dia mengetahuinya. Evaluasi auditor atas informasi selanjutnya serupa dengan evaluasi
auditor atas informasi yang ditemukan setelah tanggal laporan atas suatu audit atas laporan keuangan,
sebagaimana dijelaskan dalam AS 2905, Penemuan Fakta Selanjutnya yang Ada pada Tanggal Laporan
Auditor.

Lampiran A - Definisi

.A1 Untuk tujuan standar ini, istilah yang tercantum di bawah ini didefinisikan sebagai berikut -

.A2 Tujuan pengendalian memberikan target spesifik untuk mengevaluasi efektivitas pengendalian.
Tujuan pengendalian untuk pengendalian internal atas pelaporan keuangan umumnya berkaitan dengan
asersi yang relevan dan menyatakan kriteria untuk mengevaluasi apakah prosedur pengendalian
perusahaan dalam area tertentu memberikan keyakinan memadai bahwa salah saji atau kelalaian dalam
asersi yang relevan dicegah atau dideteksi oleh pengendalian atas suatu dasar tepat waktu.

.A3 Kekurangan dalam pengendalian internal atas pelaporan keuangan terjadi ketika desain atau operasi
pengendalian tidak memungkinkan manajemen atau karyawan, dalam menjalankan fungsi yang
ditugaskan secara normal, untuk mencegah atau mendeteksi salah saji secara tepat waktu.

Kekurangan dalam desain terjadi ketika (a) pengendalian yang diperlukan untuk memenuhi tujuan
pengendalian tidak ada atau (b) pengendalian yang ada tidak dirancang dengan benar sehingga, bahkan
jika pengendalian beroperasi seperti yang dirancang, tujuan pengendalian tidak akan terpenuhi.

Kekurangan dalam operasi terjadi ketika pengendalian yang dirancang dengan baik tidak beroperasi
seperti yang dirancang, atau ketika orang yang melakukan pengendalian tidak memiliki otoritas atau
kompetensi yang diperlukan untuk melakukan pengendalian secara efektif.

.A4 Laporan keuangan dan pengungkapan terkait mengacu pada laporan keuangan perusahaan dan
catatan atas laporan keuangan yang disajikan sesuai dengan prinsip akuntansi yang berlaku umum
("GAAP"). Referensi ke laporan keuangan dan pengungkapan terkait tidak mencakup persiapan diskusi
dan analisis manajemen atau informasi keuangan serupa lainnya yang disajikan di luar laporan dan
catatan keuangan berbasis GAAP perusahaan.
.A5 Pengendalian internal atas pelaporan keuangan adalah proses yang dirancang oleh, atau di bawah
pengawasan, eksekutif utama perusahaan dan pejabat keuangan utama, atau orang-orang yang
menjalankan fungsi serupa, dan dipengaruhi oleh dewan direksi, manajemen, dan personel lain
perusahaan, untuk memberikan jaminan yang wajar mengenai keandalan pelaporan keuangan dan
penyusunan laporan keuangan untuk tujuan eksternal sesuai dengan GAAP dan termasuk kebijakan dan
prosedur yang -

Berkaitan dengan pemeliharaan catatan yang, dengan perincian yang wajar, secara akurat dan wajar
mencerminkan transaksi dan disposisi aset perusahaan;
Memberikan keyakinan memadai bahwa transaksi dicatat seperlunya untuk memungkinkan penyusunan
laporan keuangan sesuai dengan prinsip akuntansi yang berlaku umum, dan bahwa penerimaan dan
pengeluaran perusahaan dilakukan hanya sesuai dengan otorisasi manajemen dan direktur perusahaan;
dan
Memberikan keyakinan memadai mengenai pencegahan atau deteksi tepat waktu atas akuisisi,
penggunaan, atau pelepasan yang tidak sah atas aset perusahaan yang dapat berdampak material
terhadap laporan keuangan.1
Catatan: Prosedur auditor sebagai bagian dari audit pengendalian internal atas pelaporan keuangan atau
audit atas laporan keuangan bukan merupakan bagian dari pengendalian internal perusahaan atas
pelaporan keuangan.

Catatan: Pengendalian internal atas pelaporan keuangan memiliki keterbatasan yang melekat.
Pengendalian internal atas pelaporan keuangan adalah proses yang melibatkan ketekunan dan
kepatuhan manusia dan tunduk pada penyimpangan dalam penilaian dan kerusakan akibat kegagalan
manusia. Pengendalian internal atas pelaporan keuangan juga dapat dielakkan dengan kolusi atau
pengesampingan manajemen yang tidak tepat. Karena keterbatasan tersebut, terdapat risiko bahwa
salah saji material tidak dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian internal atas
pelaporan keuangan. Namun, keterbatasan yang melekat ini adalah fitur yang diketahui dari proses
pelaporan keuangan. Oleh karena itu, dimungkinkan untuk merancang ke dalam proses pengamanan
untuk mengurangi, meskipun tidak menghilangkan, risiko ini.

.A6 Penilaian manajemen adalah penilaian yang dijelaskan dalam Butir 308(a)(3) Peraturan S-B dan S-K
yang termasuk dalam laporan tahunan manajemen tentang pengendalian internal atas pelaporan
keuangan.2

.A7 Kelemahan material adalah defisiensi, atau kombinasi dari defisiensi, dalam pengendalian internal
atas pelaporan keuangan, sehingga terdapat kemungkinan yang wajar bahwa salah saji material dalam
laporan keuangan tahunan atau interim perusahaan tidak akan dapat dicegah atau dideteksi secara
tepat waktu. dasar.

Catatan: Ada kemungkinan yang wajar dari suatu peristiwa, seperti yang digunakan dalam standar ini,
ketika kemungkinan peristiwa itu "cukup mungkin" atau "mungkin", seperti istilah yang digunakan dalam
Pernyataan Dewan Standar Akuntansi Keuangan No. 5, Akuntansi untuk Kontinjensi ("FAS 5").3
.A8 Pengendalian atas pelaporan keuangan dapat berupa pengendalian preventif atau pengendalian
detektif. Pengendalian internal yang efektif atas pelaporan keuangan sering kali mencakup kombinasi
pengendalian preventif dan detektif.

Pengendalian preventif bertujuan untuk mencegah terjadinya kesalahan atau kecurangan yang dapat
mengakibatkan salah saji laporan keuangan.

Pengendalian detektif bertujuan untuk mendeteksi kesalahan atau kecurangan yang telah terjadi yang
dapat mengakibatkan salah saji laporan keuangan.

.A9 Asersi yang relevan adalah asersi laporan keuangan yang memiliki kemungkinan yang wajar untuk
mengandung salah saji atau salah saji yang akan menyebabkan laporan keuangan salah saji secara
material. Penentuan apakah suatu asersi merupakan asersi yang relevan didasarkan pada risiko bawaan,
tanpa memperhatikan pengaruh pengendalian.

.A10 Suatu akun atau pengungkapan adalah akun atau pengungkapan yang signifikan jika terdapat
kemungkinan yang wajar bahwa akun atau pengungkapan tersebut dapat mengandung salah saji yang,
secara individual atau jika digabungkan dengan yang lain, memiliki dampak material terhadap laporan
keuangan, dengan mempertimbangkan risiko dari keduanya. pernyataan yang berlebihan dan
pernyataan yang meremehkan. Penentuan apakah suatu akun atau pengungkapan signifikan didasarkan
pada risiko bawaan, tanpa memperhatikan pengaruh pengendalian.

.A11 Defisiensi signifikan adalah defisiensi, atau kombinasi defisiensi, dalam pengendalian internal atas
pelaporan keuangan yang lebih ringan daripada kelemahan material, namun cukup penting untuk
mendapat perhatian oleh mereka yang bertanggung jawab atas pengawasan pelaporan keuangan
perusahaan.

Lampiran B - Topik Khusus

Ringkasan Daftar IsiPerbesar Konten

Integrasi Audit

.B1 Pengujian Pengendalian dalam Audit Pengendalian Internal. Tujuan pengujian pengendalian dalam
audit pengendalian internal atas pelaporan keuangan adalah untuk memperoleh bukti tentang
efektivitas pengendalian untuk mendukung opini auditor atas pengendalian internal perusahaan atas
pelaporan keuangan. Pendapat auditor berkaitan dengan efektivitas pengendalian internal perusahaan
atas pelaporan keuangan pada suatu saat dan secara keseluruhan.

.B2 Untuk menyatakan opini atas pengendalian internal atas pelaporan keuangan pada suatu waktu,
auditor harus memperoleh bukti bahwa pengendalian internal atas pelaporan keuangan telah
beroperasi secara efektif untuk suatu periode waktu yang cukup, yang mungkin kurang dari keseluruhan
periode (biasanya satu tahun) yang dicakup oleh laporan keuangan perusahaan. Untuk menyatakan
opini atas pengendalian internal atas pelaporan keuangan secara keseluruhan, auditor harus
memperoleh bukti tentang efektivitas pengendalian yang dipilih atas semua asersi yang relevan. Hal ini
mengharuskan auditor menguji desain dan efektivitas operasi pengendalian yang biasanya tidak akan
diujinya jika hanya menyatakan pendapat atas laporan keuangan.

.B3 Ketika menyimpulkan keefektifan pengendalian internal atas pelaporan keuangan untuk tujuan
menyatakan opini atas pengendalian internal atas pelaporan keuangan, auditor harus memasukkan hasil
dari setiap pengujian pengendalian tambahan yang dilakukan untuk mencapai tujuan yang terkait
dengan pengungkapan opini atas laporan keuangan. laporan keuangan, seperti yang dibahas pada
bagian berikut.

.B4 Pengujian Pengendalian dalam Audit Laporan Keuangan. Untuk menyatakan suatu opini atas laporan
keuangan, auditor biasanya melakukan pengujian pengendalian dan prosedur substantif. Tujuan
pengujian pengendalian yang dilakukan auditor untuk tujuan ini adalah untuk menilai risiko
pengendalian. Untuk menilai risiko pengendalian untuk asersi laporan keuangan tertentu kurang dari
maksimum, auditor disyaratkan untuk memperoleh bukti bahwa pengendalian yang relevan telah
beroperasi secara efektif selama keseluruhan periode dimana auditor berencana untuk mengandalkan
pengendalian tersebut. Namun, auditor tidak diharuskan untuk menilai risiko pengendalian kurang dari
maksimum untuk semua asersi yang relevan dan, karena berbagai alasan, auditor dapat memilih untuk
tidak melakukannya.

B5 Ketika menyimpulkan efektivitas pengendalian untuk tujuan menilai risiko pengendalian, auditor juga
harus mengevaluasi hasil dari setiap pengujian pengendalian tambahan yang dilakukan untuk mencapai
tujuan yang terkait dengan pernyataan opini atas pengendalian internal perusahaan atas pelaporan
keuangan, seperti yang dibahas dalam paragraf .B2. Pertimbangan atas hasil ini mungkin mengharuskan
auditor untuk mengubah sifat, saat, dan luas prosedur substantif serta untuk merencanakan dan
melaksanakan pengujian pengendalian lebih lanjut, khususnya dalam menanggapi defisiensi
pengendalian yang teridentifikasi.

.B6 Pengaruh Pengujian Pengendalian terhadap Prosedur Substantif. Jika, selama audit pengendalian
internal atas pelaporan keuangan, auditor mengidentifikasi suatu defisiensi, ia harus menentukan
dampak dari defisiensi tersebut, jika ada, pada sifat, saat, dan luas prosedur substantif yang harus
dilakukan untuk mengurangi risiko audit. dalam audit atas laporan keuangan ke tingkat yang cukup
rendah.

.B7 Terlepas dari tingkat risiko pengendalian yang dinilai atau risiko salah saji material yang dinilai
sehubungan dengan audit atas laporan keuangan, auditor harus melaksanakan prosedur substantif
untuk semua asersi yang relevan. Pelaksanaan prosedur untuk menyatakan opini atas pengendalian
internal atas pelaporan keuangan tidak mengurangi persyaratan ini.

.B8 Pengaruh Prosedur Substantif terhadap Kesimpulan Auditor Tentang Efektivitas Operasi
Pengendalian. Dalam audit pengendalian internal atas pelaporan keuangan, auditor harus mengevaluasi
pengaruh temuan prosedur audit substantif yang dilakukan dalam audit laporan keuangan terhadap
efektivitas pengendalian internal atas pelaporan keuangan. Evaluasi ini harus mencakup, minimal -
Penilaian risiko auditor sehubungan dengan pemilihan dan penerapan prosedur substantif, terutama
yang terkait dengan kecurangan.
Temuan sehubungan dengan tindakan ilegal dan transaksi pihak terkait.
Indikasi keberpihakan manajemen dalam membuat estimasi akuntansi dan dalam memilih prinsip
akuntansi.
Salah saji yang dideteksi oleh prosedur substantif. Luasnya salah saji tersebut dapat mengubah penilaian
auditor tentang efektivitas pengendalian.

.B9 Untuk memperoleh bukti tentang apakah suatu pengendalian yang dipilih efektif, pengendalian
tersebut harus diuji secara langsung; efektivitas pengendalian tidak dapat disimpulkan dari tidak adanya
salah saji yang terdeteksi oleh prosedur substantif. Namun, tidak adanya salah saji yang terdeteksi oleh
prosedur substantif harus menginformasikan penilaian risiko auditor dalam menentukan pengujian yang
diperlukan untuk menyimpulkan efektivitas suatu pengendalian.

Keputusan Lingkup Beberapa Lokasi

.B10 Dalam menentukan lokasi atau unit bisnis untuk melakukan pengujian pengendalian, auditor harus
menilai risiko salah saji material terhadap laporan keuangan yang terkait dengan lokasi atau unit bisnis
dan mengkorelasikan jumlah perhatian audit yang ditujukan pada lokasi atau bisnis unit dengan tingkat
risiko.

Catatan: Auditor dapat mengeliminasi dari lokasi pertimbangan lebih lanjut atau unit bisnis yang, secara
individual atau ketika digabungkan dengan yang lain, tidak menyajikan kemungkinan salah saji material
yang wajar terhadap laporan keuangan konsolidasi perusahaan.

.B11 Dalam menilai dan menanggapi risiko, auditor harus menguji pengendalian atas risiko tertentu yang
menghadirkan kemungkinan salah saji material yang wajar terhadap laporan keuangan konsolidasi
perusahaan. Di lokasi atau unit bisnis yang berisiko lebih rendah, auditor pertama-tama dapat
mengevaluasi apakah pengujian pengendalian tingkat entitas, termasuk pengendalian yang ada untuk
memberikan keyakinan bahwa pengendalian yang tepat ada di seluruh organisasi, memberikan bukti
yang cukup bagi auditor.

.B12 Dalam menentukan lokasi atau unit bisnis untuk melakukan pengujian pengendalian, auditor dapat
mempertimbangkan pekerjaan yang dilakukan oleh pihak lain atas nama manajemen. Sebagai contoh,
jika prosedur yang direncanakan auditor internal mencakup pekerjaan audit yang relevan di berbagai
lokasi, auditor dapat mengoordinasikan pekerjaan dengan auditor internal dan mengurangi jumlah
lokasi atau unit bisnis di mana auditor perlu melakukan prosedur audit.

.B13 Arahan dalam paragraf .61 tentang pertimbangan khusus untuk audit tahun-tahun berikutnya
berarti bahwa auditor harus memvariasikan sifat, saat, dan luas pengujian pengendalian di lokasi atau
unit bisnis dari tahun ke tahun.
.B14 Situasi Khusus. Ruang lingkup audit harus mencakup entitas yang diperoleh pada atau sebelum
tanggal penilaian manajemen dan operasi yang dicatat sebagai operasi yang dihentikan pada tanggal
penilaian manajemen. Arah dalam diskusi multi-lokasi ini menjelaskan cara menentukan apakah perlu
menguji pengendalian pada entitas atau operasi ini.

B15 Untuk investasi metode ekuitas, ruang lingkup audit harus mencakup pengendalian atas pelaporan
sesuai dengan prinsip akuntansi yang berlaku umum, dalam laporan keuangan perusahaan, bagian
perusahaan atas laba atau rugi investee, saldo investasi, penyesuaian laba atau rugi dan saldo investasi,
dan pengungkapan terkait. Audit biasanya tidak mencakup pengendalian pada investee metode ekuitas.

.B16 Dalam situasi di mana SEC mengizinkan manajemen untuk membatasi penilaiannya atas
pengendalian internal atas pelaporan keuangan dengan mengecualikan entitas tertentu, auditor dapat
membatasi audit dengan cara yang sama. Dalam situasi ini, opini auditor tidak akan terpengaruh oleh
pembatasan ruang lingkup. Namun, auditor harus memasukkan, baik dalam paragraf penjelasan
tambahan atau sebagai bagian dari bagian Basis Pendapat dalam laporannya, pengungkapan yang
serupa dengan pengungkapan manajemen mengenai pengecualian suatu entitas dari ruang lingkup
penilaian manajemen dan audit auditor. pengendalian internal atas pelaporan keuangan. Selain itu,
auditor harus mengevaluasi kewajaran kesimpulan manajemen bahwa situasi tersebut memenuhi
kriteria pengecualian yang diizinkan oleh SEC dan kelayakan pengungkapan yang diperlukan terkait
dengan pembatasan tersebut. Jika auditor yakin bahwa pengungkapan manajemen tentang pembatasan
memerlukan modifikasi, auditor harus mengikuti tanggung jawab komunikasi yang sama yang dijelaskan
dalam paragraf .29 sampai .32 dari AS 4105, Review of Interim Financial Information. Jika manajemen
dan komite audit tidak menanggapi dengan tepat, selain memenuhi tanggung jawab tersebut, auditor
harus memodifikasi laporannya atas audit pengendalian internal atas pelaporan keuangan untuk
memasukkan paragraf penjelasan yang menjelaskan alasan mengapa auditor yakin pengungkapan
manajemen memerlukan modifikasi.

Penggunaan Organisasi Layanan

.B17 AS 2601, Pertimbangan Penggunaan Entitas atas Organisasi Jasa, berlaku untuk audit atas laporan
keuangan suatu perusahaan yang memperoleh jasa dari organisasi lain yang merupakan bagian dari
sistem informasi perusahaan. Auditor dapat menerapkan konsep relevan yang dijelaskan dalam AS 2601
untuk audit pengendalian internal atas pelaporan keuangan.

.B18 AS 2601.03 menggambarkan situasi di mana layanan organisasi jasa merupakan bagian dari sistem
informasi perusahaan. Jika layanan organisasi jasa merupakan bagian dari sistem informasi perusahaan,
sebagaimana dijelaskan di dalamnya, maka layanan tersebut merupakan bagian dari komponen
informasi dan komunikasi dari pengendalian internal perusahaan atas pelaporan keuangan. Ketika jasa
organisasi jasa merupakan bagian dari pengendalian internal perusahaan atas pelaporan keuangan,
auditor harus memasukkan aktivitas organisasi jasa ketika menentukan bukti yang diperlukan untuk
mendukung pendapatnya.
.B19 AS 2601.07 hingga .16 menjelaskan prosedur yang harus dilakukan auditor sehubungan dengan
aktivitas yang dilakukan oleh organisasi jasa. Prosedur tersebut antara lain -

Memperoleh pemahaman tentang pengendalian di organisasi jasa yang relevan dengan pengendalian
internal entitas dan pengendalian di organisasi pengguna atas aktivitas organisasi jasa, dan

Memperoleh bukti bahwa pengendalian yang relevan dengan opini auditor telah beroperasi secara
efektif.

.B20 Bukti bahwa pengendalian yang relevan dengan opini auditor telah beroperasi secara efektif dapat
diperoleh dengan mengikuti prosedur yang dijelaskan dalam AS 2601.12. Prosedur ini termasuk

Memperoleh laporan auditor jasa tentang pengendalian yang diterapkan dalam operasi dan pengujian
efektivitas operasi, atau laporan tentang penerapan prosedur yang disepakati yang menjelaskan
pengujian pengendalian yang relevan.

Catatan: Laporan auditor jasa yang dirujuk di atas berarti laporan dengan opini auditor jasa atas uraian
organisasi jasa tentang desain pengendaliannya, pengujian pengendalian, dan hasil pengujian yang
dilakukan oleh auditor jasa, dan opini auditor jasa. tentang apakah pengendalian yang diuji beroperasi
secara efektif selama periode yang ditentukan (dengan kata lain, "laporan tentang pengendalian yang
dioperasikan dan pengujian efektivitas operasi" yang dijelaskan dalam AS 2601.24b). Laporan auditor
jasa yang tidak mencakup pengujian pengendalian, hasil pengujian, dan opini auditor jasa atas
efektivitas operasi (dengan kata lain, "laporan pengendalian yang dioperasikan" yang dijelaskan dalam
AS 2601.24a) tidak memberikan bukti operasi efektivitas. Selanjutnya, jika bukti mengenai efektivitas
operasi pengendalian berasal dari laporan prosedur yang disepakati daripada laporan auditor jasa yang
diterbitkan sesuai dengan SA 2601, auditor harus mengevaluasi apakah laporan prosedur yang
disepakati memberikan bukti yang cukup dengan cara yang sama yang dijelaskan dalam paragraf
berikut.

Melakukan pengujian kontrol organisasi pengguna atas aktivitas organisasi layanan (misalnya, menguji
kinerja ulang independen organisasi pengguna atas item terpilih yang diproses oleh organisasi layanan
atau menguji rekonsiliasi organisasi pengguna atas laporan keluaran dengan dokumen sumber).

Melakukan tes kontrol di organisasi layanan.

.B21 Jika laporan auditor jasa tentang pengendalian yang ditempatkan dalam operasi dan pengujian
efektivitas operasi tersedia, auditor dapat mengevaluasi apakah laporan ini memberikan bukti yang
cukup untuk mendukung pendapatnya. Dalam mengevaluasi apakah laporan auditor jasa tersebut
memberikan bukti yang cukup, auditor harus menilai faktor-faktor berikut -

Periode waktu yang dicakup oleh pengujian pengendalian dan hubungannya dengan tanggal penilaian
manajemen,

Ruang lingkup pemeriksaan dan aplikasi yang tercakup, pengendalian yang diuji, dan cara pengendalian
yang diuji berhubungan dengan pengendalian perusahaan, dan
Hasil pengujian pengendalian tersebut dan opini auditor jasa atas efektivitas operasi pengendalian.

Catatan: Faktor-faktor ini serupa dengan faktor-faktor yang akan dipertimbangkan oleh auditor dalam
menentukan apakah laporan tersebut memberikan bukti yang cukup untuk mendukung tingkat risiko
pengendalian yang dinilai auditor dalam suatu audit atas laporan keuangan, seperti yang dijelaskan
dalam AS 2601.16.

.B22 Jika laporan auditor jasa tentang pengendalian yang ditempatkan dalam operasi dan pengujian
efektivitas operasi berisi kualifikasi bahwa tujuan pengendalian yang dinyatakan dapat dicapai hanya jika
perusahaan menerapkan pengendalian yang dimaksudkan dalam desain sistem oleh organisasi jasa,
auditor harus mengevaluasi apakah perusahaan menerapkan prosedur yang diperlukan.

.B23 Dalam menentukan apakah laporan auditor jasa memberikan bukti yang cukup untuk mendukung
opini auditor, auditor harus meminta keterangan mengenai reputasi, kompetensi, dan independensi
auditor jasa. Sumber informasi yang tepat mengenai reputasi profesional auditor jasa dibahas dalam
paragraf 10a dari AS 1205, Bagian dari Audit yang Dilakukan oleh Auditor Independen Lainnya.

.B24 Ketika periode waktu yang signifikan telah berlalu antara periode waktu yang dicakup oleh
pengujian pengendalian dalam laporan auditor jasa dan tanggal yang ditentukan dalam penilaian
manajemen, prosedur tambahan harus dilakukan. Auditor harus menanyakan kepada manajemen untuk
menentukan apakah manajemen telah mengidentifikasi setiap perubahan dalam pengendalian
organisasi jasa setelah periode yang dicakup oleh laporan auditor jasa (seperti perubahan yang
dikomunikasikan kepada manajemen dari organisasi jasa, perubahan personel di organisasi jasa dengan
siapa manajemen berinteraksi, perubahan dalam laporan atau data lain yang diterima dari organisasi
layanan, perubahan kontrak atau perjanjian tingkat layanan dengan organisasi layanan, atau kesalahan
yang diidentifikasi dalam pemrosesan organisasi layanan). Jika manajemen telah mengidentifikasi
perubahan tersebut, auditor harus mengevaluasi pengaruh perubahan tersebut terhadap efektivitas
pengendalian internal perusahaan atas pelaporan keuangan. Auditor juga harus mengevaluasi apakah
hasil prosedur lain yang dilakukannya menunjukkan bahwa telah terjadi perubahan dalam pengendalian
di organisasi jasa.

.B25 Auditor harus menentukan apakah akan memperoleh bukti tambahan tentang efektivitas operasi
pengendalian di organisasi jasa berdasarkan prosedur yang dilakukan oleh manajemen atau auditor dan
hasil prosedur tersebut dan pada evaluasi faktor risiko berikut. Dengan meningkatnya risiko, kebutuhan
auditor untuk memperoleh bukti tambahan meningkat.

Waktu yang berlalu antara periode waktu yang dicakup oleh pengujian pengendalian dalam laporan
auditor jasa dan tanggal yang ditentukan dalam penilaian manajemen,
Pentingnya kegiatan organisasi jasa,
Apakah ada kesalahan yang telah diidentifikasi dalam pemrosesan organisasi layanan, dan
Sifat dan signifikansi dari setiap perubahan dalam pengendalian organisasi jasa yang diidentifikasi oleh
manajemen atau auditor.
.B26 Jika auditor menyimpulkan bahwa bukti tambahan tentang efektivitas operasi pengendalian di
organisasi jasa diperlukan, prosedur tambahan auditor dapat mencakup -

Mengevaluasi prosedur yang dilakukan oleh manajemen dan hasil dari prosedur tersebut.

Menghubungi organisasi layanan, melalui organisasi pengguna, untuk mendapatkan informasi spesifik.

Meminta agar auditor jasa ditugasi untuk melaksanakan prosedur yang akan menyediakan informasi
yang diperlukan.

Mengunjungi organisasi jasa dan melakukan prosedur tersebut.

.B27 Auditor tidak boleh mengacu pada laporan auditor jasa ketika menyatakan opini atas pengendalian
internal atas pelaporan keuangan.

Pembandingan Kontrol Otomatis

.B28 Kontrol aplikasi yang sepenuhnya otomatis umumnya tidak mengalami kerusakan karena kegagalan
manusia. Fitur ini memungkinkan auditor untuk menggunakan strategi "pembandingan".

.B29 Jika pengendalian umum atas perubahan program, akses ke program, dan operasi komputer efektif
dan terus diuji, dan jika auditor memverifikasi bahwa pengendalian aplikasi otomatis tidak berubah sejak
auditor menetapkan baseline (yaitu, pengujian terakhir penerapan pengendalian), auditor dapat
menyimpulkan bahwa pengendalian aplikasi otomatis tetap efektif tanpa mengulangi pengujian spesifik
tahun sebelumnya atas operasi pengendalian aplikasi otomatis. Sifat dan luas bukti yang harus diperoleh
auditor untuk memverifikasi bahwa pengendalian tidak berubah dapat bervariasi tergantung pada
keadaan, termasuk bergantung pada kekuatan pengendalian perubahan program perusahaan.

.B30 Fungsi kontrol aplikasi otomatis yang konsisten dan efektif mungkin bergantung pada file, tabel,
data, dan parameter terkait. Misalnya, aplikasi otomatis untuk menghitung pendapatan bunga mungkin
bergantung pada integritas lanjutan dari tabel tarif yang digunakan oleh perhitungan otomatis.

.B31 Untuk menentukan apakah akan menggunakan strategi pembandingan, auditor harus menilai
faktor risiko berikut. Karena faktor-faktor ini menunjukkan risiko yang lebih rendah, kontrol yang sedang
dievaluasi mungkin cocok untuk pembandingan. Karena faktor-faktor ini menunjukkan peningkatan
risiko, kontrol yang dievaluasi kurang cocok untuk pembandingan. Faktor-faktor tersebut adalah -

Sejauh mana kontrol aplikasi dapat dicocokkan dengan program yang ditentukan dalam aplikasi.

Sejauh mana aplikasi stabil (yaitu, ada sedikit perubahan dari periode ke periode).

Ketersediaan dan keandalan laporan tanggal kompilasi dari program yang ditempatkan dalam produksi.
(Informasi ini dapat digunakan sebagai bukti bahwa kontrol dalam program tidak berubah.)

.B32 Kontrol aplikasi otomatis benchmarking dapat sangat efektif untuk perusahaan yang menggunakan
perangkat lunak yang dibeli ketika kemungkinan perubahan program sangat kecil - misalnya, ketika
vendor tidak mengizinkan akses atau modifikasi ke kode sumber.
.B33 Setelah suatu jangka waktu, yang lamanya tergantung pada keadaan, garis dasar pengoperasian
suatu pengendalian aplikasi otomatis harus ditetapkan kembali. Untuk menentukan kapan menetapkan
kembali suatu baseline, auditor harus mengevaluasi faktor-faktor berikut -

Efektivitas lingkungan kontrol TI, termasuk kontrol atas aplikasi dan akuisisi dan pemeliharaan perangkat
lunak sistem, kontrol akses, dan operasi komputer.

Pemahaman auditor tentang sifat perubahan, jika ada, pada program khusus yang memuat
pengendalian.

Sifat dan waktu pengujian terkait lainnya.

Konsekuensi dari kesalahan yang terkait dengan kontrol aplikasi yang di-benchmark.

Apakah pengendalian sensitif terhadap faktor bisnis lain yang mungkin telah berubah. Misalnya, kontrol
otomatis mungkin telah dirancang dengan asumsi bahwa hanya jumlah positif yang akan ada dalam file.
Kontrol seperti itu tidak lagi efektif jika jumlah negatif (kredit) mulai diposting ke akun.

Lampiran C - Situasi Pelaporan Khusus

Ringkasan Daftar IsiPerbesar Konten

Modifikasi Laporan

.C1 Auditor harus memodifikasi laporannya jika salah satu dari kondisi berikut ada.

Elemen laporan tahunan manajemen tentang pengendalian internal tidak lengkap atau tidak disajikan
dengan benar,
Ada pembatasan ruang lingkup perikatan,
Auditor memutuskan untuk mengacu pada laporan auditor lain sebagai dasar, sebagian, untuk laporan
auditor itu sendiri,
Ada informasi lain yang dimuat dalam laporan tahunan manajemen tentang pengendalian internal atas
pelaporan keuangan, atau
Sertifikasi tahunan manajemen sesuai dengan Bagian 302 dari Sarbanes-Oxley Act salah saji.

.C2 Elemen Laporan Tahunan Manajemen tentang Pengendalian Internal Atas Pelaporan Keuangan Tidak
Lengkap atau Tidak Disajikan dengan Benar. Jika auditor menentukan bahwa unsur-unsur laporan
tahunan manajemen tentang pengendalian internal atas pelaporan keuangan tidak lengkap atau
disajikan secara tidak tepat, auditor harus memodifikasi laporannya untuk menyertakan paragraf
penjelasan yang menjelaskan alasan penentuan ini. Jika auditor menentukan bahwa pengungkapan yang
disyaratkan tentang kelemahan material tidak disajikan secara wajar dalam semua hal yang material,
auditor harus mengikuti arahan dalam paragraf 91.

.C3 Batasan Cakupan. Auditor dapat menyatakan pendapat atas pengendalian internal perusahaan atas
pelaporan keuangan hanya jika auditor telah mampu menerapkan prosedur yang diperlukan dalam
situasi tersebut. Jika terdapat pembatasan pada ruang lingkup perikatan, auditor harus menarik diri dari
perikatan atau tidak memberikan pendapat. Disclaimer of opinion menyatakan bahwa auditor tidak
menyatakan pendapat atas efektivitas pengendalian internal atas pelaporan keuangan.

.C4 Ketika menyatakan tidak memberikan pendapat karena pembatasan ruang lingkup, auditor harus
menyatakan bahwa ruang lingkup audit tidak cukup untuk menjamin pernyataan suatu pendapat dan,
dalam paragraf atau paragraf terpisah, alasan substantif untuk penolakan tersebut. Auditor tidak boleh
mengidentifikasi prosedur yang dilaksanakan atau menyertakan pernyataan yang menjelaskan
karakteristik audit pengendalian internal atas pelaporan keuangan (paragraf .85D f, g, dan h); untuk
melakukannya mungkin menutupi penafian.

.C5 Ketika auditor berencana untuk tidak memberikan pendapat dan prosedur terbatas yang dilakukan
oleh auditor menyebabkan auditor menyimpulkan bahwa ada kelemahan material, laporan auditor juga
harus mencakup -

Definisi kelemahan material, sebagaimana diatur dalam paragraf .A7.

Deskripsi kelemahan material yang diidentifikasi dalam pengendalian internal perusahaan atas
pelaporan keuangan. Uraian ini harus memberikan informasi spesifik kepada pengguna laporan audit
tentang sifat kelemahan material dan pengaruh aktual dan potensialnya terhadap penyajian laporan
keuangan perusahaan yang diterbitkan selama adanya kelemahan tersebut. Uraian ini juga harus
membahas persyaratan dalam paragraf 91.

.C6 Auditor dapat menerbitkan laporan penolakan memberikan pendapat atas pengendalian internal
atas pelaporan keuangan segera setelah auditor menyimpulkan bahwa pembatasan ruang lingkup akan
mencegah auditor memperoleh keyakinan memadai yang diperlukan untuk menyatakan suatu opini.
Auditor tidak disyaratkan untuk melakukan pekerjaan tambahan apapun sebelum mengeluarkan
pernyataan tidak bertanggung jawab ketika auditor menyimpulkan bahwa dia tidak akan dapat
memperoleh bukti yang cukup untuk menyatakan suatu opini.

Catatan: Dalam hal ini, dengan mengikuti arahan dalam paragraf .89 tentang penanggalan laporan
auditor, tanggal laporan adalah tanggal auditor memperoleh bukti yang cukup dan tepat untuk
mendukung representasi dalam laporan auditor.

.C7 Jika auditor menyimpulkan bahwa ia tidak dapat menyatakan pendapat karena adanya pembatasan
ruang lingkup audit, auditor harus mengomunikasikan, secara tertulis, kepada manajemen dan komite
audit bahwa audit pengendalian internal atas pelaporan keuangan tidak dapat diselesaikan dengan
memuaskan.

C8 Pendapat Berdasarkan Sebagian Laporan Auditor Lain. Ketika auditor lain telah mengaudit laporan
keuangan dan pengendalian internal atas pelaporan keuangan dari satu atau lebih anak perusahaan,
divisi, cabang, atau komponen perusahaan, auditor harus menentukan apakah dia dapat bertindak
sebagai auditor utama dan menggunakan pekerjaan dan laporan tersebut. auditor lain sebagai dasar,
sebagian, untuk pendapatnya. AS 1205, Bagian dari Audit yang Dilakukan oleh Auditor Independen
Lainnya, memberikan arahan tentang keputusan auditor apakah akan menjabat sebagai auditor utama
laporan keuangan. Jika auditor memutuskan untuk bertindak sebagai auditor utama laporan keuangan,
maka auditor tersebut juga harus menjadi auditor utama pengendalian internal perusahaan atas
pelaporan keuangan. Hubungan ini dihasilkan dari persyaratan bahwa audit atas laporan keuangan
harus dilakukan untuk mengaudit pengendalian internal atas pelaporan keuangan; hanya auditor utama
laporan keuangan yang dapat menjadi auditor utama pengendalian internal atas pelaporan keuangan.
Dalam keadaan ini, auditor utama laporan keuangan harus berpartisipasi secara memadai dalam audit
pengendalian internal atas pelaporan keuangan untuk memberikan dasar untuk bertindak sebagai
auditor utama pengendalian internal atas pelaporan keuangan.

.C9 Ketika menjabat sebagai auditor utama pengendalian internal atas pelaporan keuangan, auditor
harus memutuskan apakah akan membuat referensi dalam laporan pengendalian internal atas
pelaporan keuangan ke audit pengendalian internal atas pelaporan keuangan yang dilakukan oleh
auditor lain. Dalam keadaan ini, keputusan auditor didasarkan pada faktor-faktor yang serupa dengan
auditor yang menggunakan pekerjaan dan laporan auditor independen lainnya ketika melaporkan
laporan keuangan perusahaan seperti yang dijelaskan dalam AS 1205.

.C10 Keputusan tentang apakah akan membuat referensi ke auditor lain dalam laporan audit
pengendalian internal atas pelaporan keuangan mungkin berbeda dari keputusan yang sesuai karena
berkaitan dengan audit atas laporan keuangan. Sebagai contoh, laporan audit atas laporan keuangan
dapat merujuk pada audit atas investasi ekuitas signifikan yang dilakukan oleh auditor independen lain,
tetapi laporan pengendalian internal atas pelaporan keuangan mungkin tidak membuat referensi serupa
karena penilaian manajemen atas pengendalian internal atas laporan keuangan. pelaporan biasanya
tidak akan mencakup pengendalian pada metode ekuitas investee.1

.C11 Ketika auditor memutuskan untuk mengacu pada laporan auditor lain sebagai dasar, sebagian,
untuk pendapatnya tentang pengendalian internal perusahaan atas pelaporan keuangan, auditor harus
mengacu pada laporan auditor lain ketika menjelaskan ruang lingkup audit dan saat menyatakan
pendapat.

.C12 Laporan Tahunan Manajemen tentang Pengendalian Internal Atas Pelaporan Keuangan yang Berisi
Informasi Tambahan. Laporan tahunan manajemen tentang pengendalian internal atas pelaporan
keuangan dapat berisi informasi selain elemen yang dijelaskan dalam paragraf .72 yang harus dievaluasi
oleh auditor.

.C13 Jika laporan tahunan manajemen tentang pengendalian internal atas pelaporan keuangan dapat
secara wajar dipandang oleh pengguna laporan sebagai termasuk informasi tambahan tersebut, auditor
harus menyatakan tidak memberikan pendapat atas informasi tersebut.

.C14 Jika auditor yakin bahwa informasi tambahan manajemen mengandung salah saji fakta yang
material, ia harus mendiskusikan masalah tersebut dengan manajemen. Jika, setelah membahas
masalah tersebut dengan manajemen, auditor menyimpulkan bahwa suatu fakta salah saji material
tetap ada, auditor harus memberi tahu manajemen dan komite audit, secara tertulis, tentang
pandangan auditor mengenai informasi tersebut. AS 2405, Tindakan Ilegal oleh Klien dan Bagian 10A
dari Securities Exchange Act of 1934 mungkin juga mengharuskan auditor untuk mengambil tindakan
tambahan.2

Catatan: Jika manajemen membuat jenis pengungkapan yang dijelaskan dalam paragraf .C12 di luar
laporan tahunannya tentang pengendalian internal atas pelaporan keuangan dan memasukkannya di
tempat lain dalam laporan tahunannya atas laporan keuangan perusahaan, auditor tidak perlu
memberikan pendapat. Namun, dalam situasi tersebut, tanggung jawab auditor adalah sama seperti
yang dijelaskan dalam paragraf ini jika auditor yakin bahwa informasi tambahan tersebut mengandung
salah saji fakta yang material.

.C15 Sertifikasi Tahunan Manajemen Menurut Bagian 302 dari Sarbanes-Oxley Act salah saji. Jika hal-hal
yang menjadi perhatian auditor sebagai akibat dari audit pengendalian internal atas pelaporan
keuangan yang membuatnya percaya bahwa modifikasi pengungkapan tentang perubahan pengendalian
internal atas pelaporan keuangan (mengatasi perubahan dalam pengendalian internal atas pelaporan
keuangan yang terjadi selama kuartal keempat) diperlukan agar sertifikasi tahunan akurat dan
memenuhi persyaratan Bagian 302 Undang-Undang dan Peraturan Bursa Efek 13a-14(a) atau 15d-14(a),
mana pun yang berlaku,3 auditor harus mengikuti tanggung jawab komunikasi seperti yang dijelaskan
dalam AS 4105, Tinjauan Informasi Keuangan Interim, untuk setiap periode interim. Namun, jika
manajemen dan komite audit tidak menanggapi dengan tepat, selain tanggung jawab yang dijelaskan
dalam AS 4105, auditor harus memodifikasi laporannya tentang audit pengendalian internal atas
pelaporan keuangan untuk memasukkan paragraf penjelasan yang menjelaskan alasan auditor percaya
bahwa pengungkapan manajemen harus dimodifikasi.

Pengajuan Berdasarkan Statuta Sekuritas Federal

.C16 AS 4101, Tanggung Jawab Mengenai Pengajuan Berdasarkan Statuta Sekuritas Federal,
menjelaskan tanggung jawab auditor ketika laporan auditor disertakan dalam pernyataan pendaftaran,
pernyataan proksi, atau laporan berkala yang diajukan berdasarkan undang-undang sekuritas federal.
Auditor harus menerapkan AS 4101 sehubungan dengan laporan auditor tentang pengendalian internal
atas pelaporan keuangan yang termasuk dalam pengajuan tersebut. Selain itu, auditor harus
memperluas arahan dalam SA 4101.10 untuk menanyakan dan memperoleh representasi tertulis dari
pejabat dan eksekutif lain yang bertanggung jawab atas masalah keuangan dan akuntansi tentang
apakah telah terjadi peristiwa yang berdampak material terhadap laporan keuangan auditan terhadap
hal-hal yang dapat memiliki dampak material terhadap pengendalian internal atas pelaporan keuangan.

.C17 Ketika auditor telah memenuhi tanggung jawab ini dan bermaksud untuk menyetujui pencantuman
laporannya tentang pengendalian internal atas pelaporan keuangan dalam pengarsipan surat berharga,
persetujuan auditor harus secara jelas menunjukkan bahwa baik laporan audit atas laporan keuangan
maupun laporan audit pada pengendalian internal atas pelaporan keuangan (atau kedua pendapat jika
laporan gabungan diterbitkan) termasuk dalam persetujuannya.