RMK Uji Pengendalian Audit
RMK Uji Pengendalian Audit
11.1 berikut.
Pendekatan yang dominan substantif
Ingat kembali dari diskusi di bab 9 dan 10 bahwa ketika auditor memilih pendekatan
yang dominan substantif, dia harus memiliki pengetahuan yang cukup tentang sistem
pengendalian internal untuk memahami penyebab potensial salah saji dan bagaimana kesalahan
penyajian tersebut dapat dikendalikan atau tidak. Selain itu, dalam beberapa lingkungan intensif
TI, auditor dapat dilarang mengikuti pendekatan yang sebagian besar bersifat substantif karena
pengujian substantif saja tidak mengurangi risiko audit ke tingkat yang cukup rendah.
Sejumlah perbedaan dapat dicatat di bagian gambar 11.1 yang berlabel 'Menilai risiko
pengendalian'. Pertama, seperti yang dibahas dalam bab 9, salah satu komponen dari pendekatan
yang dominan substantif untuk suatu asersi adalah tingkat risiko pengendalian tinggi yang dinilai
terencana. Ini didasarkan pada asumsi bahwa salah satu dari berikut ini berlaku.
* Tidak ada pengendalian internal signifikan yang terkait dengan asersi tersebut.
* Pengendalian internal yang relevan sepertinya tidak akan efektif.
* Tidaklah efisien untuk mendapatkan bukti untuk mengevaluasi efektivitas pengendalian
internal yang relevan.
Jalur keputusan di kolom 'Pendekatan yang dominan substantif' pada gambar 11.1
memungkinkan penegasan, atau perubahan, asumsi ini. Perhatikan bahwa simbol keputusan
pertama (berbentuk berlian) menimbulkan pertanyaan apakah ada bukti tentang efektivitas desain
dan efektivitas operasi pengendalian internal yang diperoleh saat memahami pengendalian
internal. Auditor mungkin telah melakukan tinjauan walk-through transaksi, sebagaimana
dimaksud dalam bab 9, di mana transaksi perwakilan dari suatu kelompok transaksi dilacak
melalui semua langkah pemrosesan sebagai cara untuk mengkonfirmasi pemahaman yang
diperoleh melalui kuesioner atau diagram alir.
Jika bukti tentang keefektifan desain dan operasi pengendalian internal untuk suatu asersi
tidak ditetapkan saat memperoleh pemahaman, auditor harus menilai risiko pengendalian secara
maksimal untuk asersi tersebut dan mendokumentasikan kesimpulan tersebut dalam kertas kerja.
Namun, jika bukti terbatas yang diperoleh tentang efektivitas desain dan operasi pengendalian
internal untuk suatu asersi, auditor dapat membuat penilaian awal atas risiko pengendalian
sedikit kurang dari tinggi. Dalam kasus seperti itu, auditor mungkin cukup didorong untuk
mempertimbangkan perubahan strategi audit ke tingkat pendekatan risiko pengendalian yang
dinilai lebih rendah.
Dalam membuat keputusan tentang apakah akan mengubah strategi, pertimbangan harus
diberikan pada kemungkinan bahwa bukti dapat diperoleh dengan cara yang hemat biaya untuk
mendukung penilaian risiko pengendalian yang lebih rendah seperti sedang atau rendah. Agar
hemat biaya, biaya gabungan untuk melakukan (1) pengujian tambahan atas pengendalian dan
(2) pengurangan pengujian substantif yang akan sesuai dengan asumsi penilaian risiko
pengendalian yang lebih rendah didukung harus lebih kecil daripada biaya pelaksanaan tingkat
yang lebih tinggi dari pengujian substantif yang disyaratkan oleh pendekatan substantif yang
dominan. Keputusan ini tercermin dalam simbol keputusan kedua di kolom 'Pendekatan yang
dominan substantif' di mana cabang 'Ya' (garis putus-putus yang membentang ke kanan dari
simbol itu) mewakili perubahan dalam strategi ke tingkat pendekatan risiko pengendalian yang
dinilai lebih rendah. Jika keputusan dibuat untuk tidak mengubah strategi, penilaian risiko
pengendalian sedikit di bawah maksimum atau tinggi, dan dasar untuk penilaian itu, harus
didokumentasikan.
Simbol keputusan akhir dalam kolom 'Pendekatan yang dominan substantif'
mengharuskan auditor untuk mempertimbangkan apakah tingkat risiko pengendalian yang dinilai
sebenarnya mendukung tingkat pengujian substantif yang direncanakan. Misalnya, auditor
mungkin pada awalnya menetapkan tingkat risiko pengendalian yang direncanakan sebagai
tinggi, sehingga menghasilkan tingkat pengujian substantif yang direncanakan tertinggi. Tetapi
jika bukti yang diperoleh sambil memperoleh pemahaman yang diperlukan mendukung penilaian
aktual atas risiko pengendalian yang tinggi, revisi tingkat pengujian substantif yang direncanakan
ke tingkat yang lebih rendah akan sesuai. Auditor kemudian melanjutkan dengan desain rinci
dari tingkat pengujian substantif yang sesuai.
Tingkat pendekatan risiko pengendalian yang dinilai lebih rendah
Dalam beberapa kasus, pendekatan risiko pengendalian dengan tingkat penilaian yang
lebih rendah direncanakan karena klien memiliki pengendalian internal yang efektif dan auditor
berencana untuk menguji pengendalian tersebut, mengurangi risiko pengendalian, dan
memodifikasi sifat, saat, atau luas pengujian substantif yang sesuai. Hal ini sering terjadi pada
audit perusahaan publik. Auditor terkadang merencanakan pendekatan risiko pengendalian pada
tingkat penilaian yang lebih rendah karena pengujian substantif saja tidak akan mengurangi
risiko audit ke tingkat yang cukup rendah.
Pemahaman dan dokumentasi yang lebih luas atas pengendalian internal yang relevan,
khususnya komponen aktivitas pengendalian pengendalian internal, biasanya sesuai untuk
mendukung tingkat risiko pengendalian sedang atau rendah yang direncanakan oleh auditor
untuk suatu asersi. Dapat dibayangkan, auditor mungkin menemukan bahwa, bertentangan
dengan ekspektasi, pengendalian tampaknya tidak efektif. Dalam kasus seperti itu, adalah tepat
untuk mengubah strategi menjadi pendekatan yang dominan substantif. Pada gambar 11.1, hal ini
tercermin dalam cabang 'Tidak' yang membentang ke kiri dari simbol keputusan pertama di
kolom 'Pendekatan risiko pengendalian tingkat yang dinilai lebih rendah'.
Jika auditor melanjutkan dengan pendekatan risiko pengendalian pada tingkat penilaian
yang lebih rendah, ia merencanakan dan melaksanakan pengujian pengendalian tambahan. Bukti
yang diperoleh dari pengujian pengendalian kemudian dievaluasi untuk membuat penilaian akhir
atau aktual atas risiko pengendalian. Penilaian akhir dan dasar penilaian tersebut kemudian
didokumentasikan dalam kertas kerja auditor.
Simbol keputusan akhir di kolom 'Pendekatan risiko pengendalian dengan tingkat
penilaian yang lebih rendah' pada gambar 11.1 mengharuskan auditor untuk mempertimbangkan
apakah tingkat risiko pengendalian yang dinilai sebenarnya mendukung tingkat pengujian
substantif yang direncanakan dan, jika tidak, untuk merevisi pengujian substantif yang
direncanakan . Misalnya, auditor mungkin pada awalnya menetapkan tingkat risiko pengendalian
terencana yang dinilai rendah, yang menghasilkan tingkat pengujian substantif terencana yang
paling rendah. Tetapi jika bukti dari pengujian pengendalian mengarah ke tingkat risiko
pengendalian menengah yang dinilai aktual, revisi pengujian substantif yang direncanakan untuk
mendukung tingkat risiko deteksi yang lebih rendah akan sesuai. Atau, jika bertentangan dengan
ekspektasi, pengendalian ternyata sangat tidak efektif (risiko pengendalian dinilai tinggi atau
maksimum), auditor perlu merevisi uji substantif tingkat yang direncanakan untuk
mencerminkan perubahan ke pendekatan yang sebagian besar bersifat substantif. Ini diwakili
oleh garis putus-putus yang miring ke bawah ke kiri di tingkat rencana revisi blok pengujian
substantif dekat bagian bawah gambar 11.1. Dalam kedua kasus tersebut, gambar ini
menggambarkan sifat berulang dari proses audit, dan langkah terakhir melibatkan perancangan
pengujian substantif terperinci yang sesuai dengan keadaan tersebut.
Kebutuhan untuk melakukan pengujian kontrol tambahan di akhir tahun bergantung pada:
* lamanya periode yang tersisa
* terjadinya perubahan signifikan dalam pengendalian setelah pengujian interim, yang
menyebabkan auditor merevisi pemahamannya tentang sistem pengendalian internal
* keputusan untuk melakukan pengujian substantif atas rincian saldo sebelum akhir tahun
(seperti mengkonfirmasikan piutang satu bulan sebelum akhir tahun), sehingga membutuhkan
jaminan bahwa prosedur pengendalian tetap efektif dalam periode antara tanggal prosedur
substantif dan tahun- akhir.
Keuntungan melakukan pengujian ini selama pekerjaan interim adalah bahwa auditor
dapat memperoleh gambaran awal apakah pengendalian beroperasi seperti yang diharapkan. Jika
tidak, ada cukup waktu untuk mengubah luas pengujian substantif sebelum pekerjaan audit akhir.
Tingkat pengujian
Pengujian pengendalian yang lebih ekstensif memberikan lebih banyak bukti tentang
efektivitas operasi suatu pengendalian. Menanyakan lebih dari satu orang tentang prosedur
pengendalian yang sama, misalnya, memberikan lebih banyak bukti daripada satu penyelidikan;
Demikian pula, pemeriksaan dokumen yang lebih ekstensif untuk inisial atau tanda tangan yang
menunjukkan kinerja prosedur pengendalian memberikan lebih banyak bukti daripada
pemeriksaan dokumen yang lebih sedikit.
Luas pengujian pengendalian ditentukan oleh tingkat risiko pengendalian yang
direncanakan oleh auditor. Pengujian yang lebih ekstensif akan diperlukan untuk tingkat risiko
pengendalian yang dinilai rendah daripada untuk tingkat risiko pengendalian yang moderat.
Pengujian oleh auditor ini hanya untuk mengkonfirmasi penilaian awal atas risiko pengendalian,
yang dibatasi oleh lingkungan pengendalian dan desain pengendalian. Ini berarti bahwa
peningkatan luas pengujian tidak dapat menyebabkan auditor menurunkan tingkat risiko
pengendalian yang dinilai.
Selanjutnya, ASA 610 (SA 610) mensyaratkan auditor independen untuk mengkonfirmasi
bahwa:
* Pekerjaan dilakukan oleh orang-orang yang memiliki pelatihan teknis yang memadai dan
kemahiran sebagai auditor internal
* Pekerjaan asisten diawasi, ditinjau, dan didokumentasikan dengan benar
* Bukti audit yang cukup dan tepat diperoleh untuk memberikan dasar yang wajar untuk
*kesimpulan yang dicapai, kesimpulan yang diambil sesuai dengan keadaan
* setiap laporan yang disiapkan oleh audit internal konsisten dengan hasil pekerjaan yang
dilakukan
* setiap pengecualian atau hal-hal tidak biasa yang diungkapkan oleh auditor internal
diselesaikan dengan baik.
Dalam mengoordinasikan pekerjaan dengan auditor internal, auditor mungkin merasa
efisien untuk mengadakan pertemuan berkala dengan mereka, meninjau jadwal kerja mereka,
memperoleh akses ke kertas kerja mereka dan meninjau laporan auditor internal.
Jika auditor eksternal yakin bahwa fungsi audit internal dapat diandalkan, hal itu
berpotensi menjadi aset yang sangat berguna dalam melaksanakan audit laporan keuangan. Jika
auditor internal adalah karyawan tetap entitas, itu berarti bahwa mereka berada di lokasi
sepanjang waktu, yang menempatkan mereka pada posisi yang ideal untuk memantau
pengendalian internal entitas. Auditor eksternal tidak dapat secara efisien memberikan tingkat
pemantauan yang sama dan kemungkinan besar tidak akan berada di lokasi klien selama setahun
untuk lebih dari beberapa minggu (tergantung pada ukuran klien).
* kemungkinan terjadinya defisiensi yang menyebabkan salah saji material dalam laporan
keuangan di masa mendatang
* kerentanan terhadap kerugian atau penipuan aset atau kewajiban terkait
* subjektivitas dan kompleksitas dalam menentukan jumlah yang diestimasi, seperti estimasi
akuntansi nilai wajar
* jumlah laporan keuangan yang terkena kekurangan
* volume aktivitas yang telah terjadi atau dapat terjadi dalam saldo akun atau kelompok transaksi
yang terkena kekurangan atau kekurangan
* saldo atau kelompok transaksi yang terkena kekurangan atau kekurangan
* pentingnya kontrol untuk proses pelaporan keuangan.
Auditor juga harus mengkomunikasikan informasi ini kepada manajemen kecuali
terdapat keadaan yang membuatnya tidak tepat untuk melakukannya. Ini harus mencakup
kekurangan lain yang cukup penting untuk mendapatkan perhatian manajemen. Ketika
komunikasi ini dilakukan, penting bagi auditor untuk mengomunikasikan bahwa tujuan audit
adalah untuk menyatakan opini atas laporan keuangan dan bukan tentang keefektifan
pengendalian internal.
Tidak diragukan lagi bahwa manajemen dan pihak yang bertanggung jawab atas tata
kelola lebih tertarik dari sebelumnya untuk memastikan bahwa pengendalian beroperasi dengan
tepat di dalam organisasi mereka. Baru-baru ini, pedoman dikeluarkan dari Federasi Akuntan
Internasional tentang prinsip-prinsip utama dalam mengevaluasi dan meningkatkan pengendalian
internal yang diuraikan dalam kotak Lingkungan Profesional di bawah ini.
LINGKUNGAN PROFESIONAL
Mengevaluasi dan meningkatkan pengendalian internal
Prinsip-prinsip utama ini mewakili praktik yang baik untuk mengevaluasi dan meningkatkan
sistem pengendalian internal:
A. Pengendalian internal harus digunakan untuk mendukung organisasi dalam mencapai
tujuannya dengan mengelola risikonya, dengan tetap mematuhi aturan, peraturan, dan kebijakan
organisasi. Oleh karena itu organisasi harus menjadikan pengendalian internal sebagai bagian
dari manajemen risiko dan mengintegrasikan keduanya dalam sistem tata kelola secara
keseluruhan.
B. Organisasi harus menentukan berbagai peran dan tanggung jawab yang berkaitan dengan
pengendalian internal, termasuk badan pengelola, manajemen di semua tingkatan, karyawan, dan
penyedia jaminan internal dan eksternal, serta mengkoordinasikan kolaborasi di antara para
peserta.
C. Governing body dan manajemen harus menumbuhkan budaya organisasi yang memotivasi
anggota organisasi untuk bertindak sejalan dengan strategi manajemen risiko dan kebijakan
pengendalian internal yang ditetapkan oleh Governing body untuk mencapai tujuan organisasi.
Nada dan tindakan di atas sangat penting dalam hal ini.
D. Badan pengatur dan manajemen harus menghubungkan pencapaian tujuan pengendalian
internal organisasi dengan tujuan kinerja individu. Setiap orang dalam organisasi harus
bertanggung jawab atas pencapaian tujuan pengendalian internal yang ditetapkan.
E. Badan pengatur, manajemen, dan peserta lain dalam sistem tata kelola organisasi harus cukup
kompeten untuk memenuhi tanggung jawab pengendalian internal yang terkait dengan peran
mereka.
F. Pengendalian harus selalu dirancang, diterapkan, dan diterapkan sebagai respons terhadap
risiko tertentu serta penyebab dan konsekuensinya.
G. Manajemen harus memastikan bahwa komunikasi rutin mengenai sistem pengendalian
internal, serta hasilnya, dilakukan di semua tingkatan dalam organisasi untuk memastikan bahwa
prinsip-prinsip pengendalian internal dipahami sepenuhnya dan diterapkan dengan benar oleh
semua.
H. Baik pengendalian individu maupun sistem pengendalian internal secara keseluruhan harus
dipantau dan dievaluasi secara teratur. Identifikasi tingkat risiko yang sangat tinggi, kegagalan
pengendalian, atau peristiwa yang berada di luar batas pengambilan risiko dapat menjadi tanda
bahwa pengendalian individu atau sistem pengendalian internal tidak efektif dan perlu
ditingkatkan.
I. Badan pengatur, bersama dengan manajemen, harus secara berkala melaporkan kepada
pemangku kepentingan profil risiko organisasi serta struktur dan kinerja faktual sistem
pengendalian internal organisasi.
Pentingnya pengendalian internal sedemikian rupa sehingga terkadang auditor dapat
dipekerjakan oleh manajemen untuk memberikan opini tentang efektivitas pengendalian internal
organisasi. Ini adalah perikatan terpisah dari pekerjaan yang dilakukan untuk tujuan audit
laporan keuangan, dan oleh karena itu diperlukan surat perikatan baru. Perikatan khusus untuk
memberikan opini atas pengendalian internal memerlukan pekerjaan di luar yang diperlukan
untuk tujuan audit laporan keuangan, dan diperlukan laporan khusus. Prosedur ini dicakup oleh
AUS 810 Laporan Tujuan Khusus tentang Efektivitas Prosedur Pengendalian.
Kontrol pengguna
Dalam banyak kasus, klien dapat merancang prosedur manual untuk menguji
kelengkapan dan keakuratan transaksi yang diproses oleh komputer. Misalnya, manajer yang
mengetahui transaksi yang telah mereka otorisasi dapat meninjau daftar pembelian yang telah
dibebankan ke pusat tanggung jawab mereka. Alternatifnya, seorang individu di departemen
pengguna dapat membandingkan output yang dihasilkan komputer dengan dokumen sumber
yang mendukung transaksi. Meskipun kedua kontrol ini dapat mendeteksi dan mengoreksi
kesalahan penyajian, yang terakhir dapat dilakukan dengan tingkat detail yang lebih tinggi dan
dapat memberikan tingkat jaminan yang lebih tinggi bahwa salah saji terdeteksi dan diperbaiki.
Jika pengendalian pengguna ada, auditor dapat menguji pengendalian secara langsung,
serupa dengan pengujian pengendalian manusia lainnya. Ini juga dikenal sebagai 'mengaudit di
sekitar komputer'. Keuntungan dari strategi untuk menguji kendali ini adalah tidak perlu menguji
kompleksitas program komputer.
Kontrol aplikasi
Banyak auditor memanfaatkan kendali otomatis dan merencanakan strategi untuk menilai
risiko kendali pada tingkat rendah berdasarkan kendali aplikasi komputer. Untuk melaksanakan
strategi ini, auditor harus:
* uji kontrol aplikasi komputer
* Uji kontrol umum komputer
* uji tindak lanjut manual dari pengecualian yang dicatat oleh kontrol aplikasi.
Efektivitas ketiga tingkat pengendalian penting untuk penilaian risiko pengendalian
rendah. Pertama, auditor harus menguji pengendalian aplikasi komputer menggunakan beberapa
bentuk teknik audit berbantuan komputer (CAAT). Tujuannya adalah untuk menentukan bahwa
kontrol aplikasi mengidentifikasi pengecualian dengan benar.
Kedua, kendali umum komputer juga harus diuji. Kontrol umum memberikan jaminan
bahwa kontrol aplikasi dirancang dan diuji dengan benar, dan setiap perubahan diizinkan.
Intinya, mereka memberikan jaminan yang lebih baik bahwa kontrol aplikasi berfungsi secara
konsisten dari waktu ke waktu. Bukti tentang pengendalian umum yang kuat memungkinkan
auditor untuk menguji aplikasi pada satu titik waktu dan yakin bahwa mereka berfungsi dengan
cara yang sama di waktu lain selama periode audit. Auditor dapat menguji program komputer
pada titik waktu tertentu untuk memperoleh bukti tentang apakah program tersebut menjalankan
pengendalian secara efektif. Untuk meningkatkan ketepatan waktu bukti, auditor kemudian
melakukan pengujian pengendalian yang berkaitan dengan modifikasi dan penggunaan program
tersebut dan apakah pengendalian terprogram beroperasi secara konsisten selama periode
tersebut (yaitu pengujian pengendalian umum).
Terakhir, auditor juga harus menguji keefektifan prosedur tindak lanjut manual.
Misalnya, mari kita asumsikan bahwa kontrol aplikasi komputer dengan benar mengidentifikasi
transaksi di mana jumlahnya salah dicatat dan melaporkan transaksi ini pada laporan
pengecualian untuk ditindaklanjuti dan diperbaiki. Jika tindak lanjut manual tidak efektif dalam
mengoreksi item yang muncul di laporan pengecualian, maka kontrol aplikasi menjadi tidak
efektif dalam mendeteksi dan mengoreksi salah saji.
Penggambaran grafik dari kedua simulasi paralel dan pendekatan data uji ditunjukkan pada
gambar 11.5.
Menandai transaksi
Metode transaksi penandaan melibatkan penempatan indikator, atau tag, pada transaksi
yang dipilih. Kehadiran tag ini memungkinkan transaksi dilacak melalui sistem saat sedang
diproses. Sistem harus diprogram untuk menyediakan pembuatan cetakan hardcopy dari semua
jalur yang diikuti oleh transaksi. Data yang berinteraksi dengan transaksi yang ditandai pada
langkah-langkah yang ditentukan dalam pemrosesan juga dapat ditangkap.
LINGKUNGAN PROFESIONAL
Faktor-faktor yang berkaitan dengan penggunaan prosedur audit terkait komputer
Studi ini menguji sejauh mana prosedur audit terkait komputer digunakan dan apakah dua faktor,
penilaian risiko pengendalian dan ukuran perusahaan audit, memengaruhi penggunaan prosedur
audit terkait komputer.
Ukuran perusahaan audit dapat memengaruhi penggunaan prosedur audit terkait komputer
mengingat bahwa klien dari perusahaan 4 Besar lebih cenderung memiliki TI yang lebih
kompleks daripada perusahaan kecil. Penelitian sebelumnya tidak membahas sejauh mana
ukuran perusahaan mempengaruhi penggunaan prosedur audit terkait komputer. Selain itu,
penelitian terbaru menunjukkan bahwa perusahaan audit nasional telah memperoleh pangsa pasar
dalam periode pasca Anderson (Cassell et al. 2007; Krishnan et al. 2008). Klien perusahaan
nasional cenderung memiliki TI yang lebih kompleks daripada perusahaan lokal atau regional,
tetapi kurang dari 4 perusahaan Besar. Oleh karena itu, pertanyaan terbuka adalah apakah
penggunaan prosedur audit terkait komputer oleh perusahaan nasional mirip dengan perusahaan
4 Besar atau perusahaan kecil?
Kami memeriksa penggunaan prosedur audit terkait komputer, serta bagaimana penilaian
risiko pengendalian dan ukuran perusahaan audit memengaruhi penggunaan, melalui instrumen
berbasis lapangan. Instrumen tersebut dilengkapi oleh 181 auditor yang mewakili 4 Besar,
perusahaan nasional, regional, dan lokal. Hasil menunjukkan bahwa prosedur audit terkait
komputer umumnya digunakan saat memperoleh pemahaman tentang sistem klien dan proses
bisnis dan saat menguji aplikasi dan pengendalian komputer umum. Selain itu, 42,9 persen
peserta menilai risiko pengendalian kurang dari maksimum, yang hampir dua kali lipat tingkat
yang ditemukan dalam penelitian sebelumnya berdasarkan satu firma audit internasional (Waller
1993). Dalam penugasan di mana risiko pengendalian dinilai kurang dari maksimum, prosedur
audit terkait komputer dan spesialis TI lebih mungkin digunakan, daripada ketika risiko
pengendalian dinilai secara maksimal. Temuan menunjukkan bahwa dalam penugasan yang
melibatkan firma audit 4 Besar, risiko pengendalian lebih mungkin dinilai kurang dari
maksimum dan prosedur audit terkait komputer dan spesialis TI lebih mungkin digunakan
daripada dalam penugasan yang melibatkan firma audit yang lebih kecil. Selain itu, sementara
auditor yang dipekerjakan oleh perusahaan audit nasional lebih cenderung memiliki risiko
pengendalian yang dinilai di bawah maksimum daripada mereka yang bekerja untuk perusahaan
audit yang lebih kecil, penggunaan prosedur audit terkait komputer ternyata serupa.