Lanjutan ebook bab 11

11.1 PENGENDALIAN PENILAIAN RISIKO DAN STRATEGI AUDIT

Jelaskan hubungan antara risiko dan strategi audit.
Dalam setiap laporan audit keuangan, ada batasan bahwa auditor manajemen relevan
dengan auditnya. Hal ini terutama untuk menilai risiko salah saji material dengan lebih baik,
yang juga akan memengaruhi prosedur audit. Pengendalian ini juga dapat mempengaruhi strategi
audit, terutama dalam hal keputusan dibuat tentang apakah akan lebih fokus pada pekerjaan pada
pengendalian atau prosedur audit.

11.1.1 Menilai risiko

Dalam bab 9 kita membahas sifat risiko dan kebutuhan auditor untuk memahami entitas
dan lingkungannya untuk menilai risiko dan strategi audit untuk memenuhi risiko tersebut.
Bagian dari proses ini adalah kebutuhan untuk mengontrol pengendalian internal. Langkah-
langkah yang terlibat dalam proses ini adalah:
1. memahami pengertian pengendalian
2. Identifikasi salah saji dalam laporan keuangan
3. Identifikasi kontrol yang diperlukan untuk mencegah atau memeriksa potensi salah saji.
Setelah melakukan prosedur di atas, auditor dapat membuat risiko awal untuk risiko. Jika
auditor menginginkan pengendalian internal untuk mendukung opini audit, sistem di atas tidak
memadai. Pekerjaan yang telah dilakukan sejauh ini akan memberi auditor pengetahuan tentang
bagaimana pengendalian internal telah dirancang dan kelemahannya. Apa yang belum dilakukan
auditor adalah menentukan sejauh mana pengendalian internal yang ditetapkan oleh entitas telah
benar-benar diterapkan selama periode yang diaudit.
Agar pengendalian atas pengendalian internal dapat mendukung opini audit, auditor
sekarang harus mengendalikan bahwa pengendalian tersebut telah diterapkan selama periode
yang diselidiki. Oleh karena itu, untuk menyelesaikan pekerjaan internal, auditor harus
mengambil langkah-langkah selanjutnya:
1. Lakukan uji kendali
2. bukti yang diperoleh dan tingkat risikonya.
Yang jelas dari penjelasan di atas adalah auditor. Setelah penilaian awal, auditor dapat
merencanakan pengendalian yang berisiko rendah, yang mencerminkan sistem pengendalian
internal yang efektif, tetapi setelah pengendalian ini, auditor mungkin menemukan bahwa
pengendalian tersebut tidak dapat dirancang. Jika demikian, auditor dapat mengubah pendekatan
audit. 457 Sebagaimana dibahas dalam bab 8, perencanaan adalah proses yang berkelanjutan.
Auditor harus siap untuk mengubah rencana audit berdasarkan temuan yang dibuat selama proses
audit.

11.1.2 Strategi audit

Secara efektif ada dua strategi audit yang tersedia bagi seorang auditor:
1. pendekatan yang dominan substantif, di mana auditor mengandalkan prosedur substantif untuk
bukti audit
2. Pendekatan risiko pengendalian dengan tingkat penilaian yang lebih rendah, di mana auditor
memperoleh beberapa bukti dari pengujian pengendalian (di mana pengendalian internal
dianggap efektif) diikuti dengan penurunan tingkat pengujian substantif.
Gambar 11.1 halaman sebelah menunjukkan keputusan yang harus diambil auditor ketika
mengikuti pendekatan ini. Bentuk berlian pada gambar mewakili keputusan yang harus dibuat
auditor - keputusan ini dapat mengarahkan auditor untuk mengubah pendekatan audit
berdasarkan informasi baru. Pembahasan tentang dua pendekatan yang diuraikan dalam gambar

11.1 berikut.
Pendekatan yang dominan substantif
 Ingat kembali dari diskusi di bab 9 dan 10 bahwa ketika auditor memilih pendekatan
yang dominan substantif, dia harus memiliki pengetahuan yang cukup tentang sistem
pengendalian internal untuk memahami penyebab potensial salah saji dan bagaimana kesalahan
penyajian tersebut dapat dikendalikan atau tidak. Selain itu, dalam beberapa lingkungan intensif
TI, auditor dapat dilarang mengikuti pendekatan yang sebagian besar bersifat substantif karena
pengujian substantif saja tidak mengurangi risiko audit ke tingkat yang cukup rendah.
Sejumlah perbedaan dapat dicatat di bagian gambar 11.1 yang berlabel 'Menilai risiko
pengendalian'. Pertama, seperti yang dibahas dalam bab 9, salah satu komponen dari pendekatan
yang dominan substantif untuk suatu asersi adalah tingkat risiko pengendalian tinggi yang dinilai
terencana. Ini didasarkan pada asumsi bahwa salah satu dari berikut ini berlaku.
* Tidak ada pengendalian internal signifikan yang terkait dengan asersi tersebut.
* Pengendalian internal yang relevan sepertinya tidak akan efektif.
* Tidaklah efisien untuk mendapatkan bukti untuk mengevaluasi efektivitas pengendalian
internal yang relevan.
Jalur keputusan di kolom 'Pendekatan yang dominan substantif' pada gambar 11.1
memungkinkan penegasan, atau perubahan, asumsi ini. Perhatikan bahwa simbol keputusan
pertama (berbentuk berlian) menimbulkan pertanyaan apakah ada bukti tentang efektivitas desain
dan efektivitas operasi pengendalian internal yang diperoleh saat memahami pengendalian
internal. Auditor mungkin telah melakukan tinjauan walk-through transaksi, sebagaimana
dimaksud dalam bab 9, di mana transaksi perwakilan dari suatu kelompok transaksi dilacak
melalui semua langkah pemrosesan sebagai cara untuk mengkonfirmasi pemahaman yang
diperoleh melalui kuesioner atau diagram alir.
Jika bukti tentang keefektifan desain dan operasi pengendalian internal untuk suatu asersi
tidak ditetapkan saat memperoleh pemahaman, auditor harus menilai risiko pengendalian secara
maksimal untuk asersi tersebut dan mendokumentasikan kesimpulan tersebut dalam kertas kerja.
Namun, jika bukti terbatas yang diperoleh tentang efektivitas desain dan operasi pengendalian
internal untuk suatu asersi, auditor dapat membuat penilaian awal atas risiko pengendalian
sedikit kurang dari tinggi. Dalam kasus seperti itu, auditor mungkin cukup didorong untuk
mempertimbangkan perubahan strategi audit ke tingkat pendekatan risiko pengendalian yang
dinilai lebih rendah.
 Dalam membuat keputusan tentang apakah akan mengubah strategi, pertimbangan harus
diberikan pada kemungkinan bahwa bukti dapat diperoleh dengan cara yang hemat biaya untuk
mendukung penilaian risiko pengendalian yang lebih rendah seperti sedang atau rendah. Agar
hemat biaya, biaya gabungan untuk melakukan (1) pengujian tambahan atas pengendalian dan
(2) pengurangan pengujian substantif yang akan sesuai dengan asumsi penilaian risiko
pengendalian yang lebih rendah didukung harus lebih kecil daripada biaya pelaksanaan tingkat
yang lebih tinggi dari pengujian substantif yang disyaratkan oleh pendekatan substantif yang
dominan. Keputusan ini tercermin dalam simbol keputusan kedua di kolom 'Pendekatan yang
dominan substantif' di mana cabang 'Ya' (garis putus-putus yang membentang ke kanan dari
simbol itu) mewakili perubahan dalam strategi ke tingkat pendekatan risiko pengendalian yang
dinilai lebih rendah. Jika keputusan dibuat untuk tidak mengubah strategi, penilaian risiko
pengendalian sedikit di bawah maksimum atau tinggi, dan dasar untuk penilaian itu, harus
didokumentasikan.
Simbol keputusan akhir dalam kolom 'Pendekatan yang dominan substantif'
mengharuskan auditor untuk mempertimbangkan apakah tingkat risiko pengendalian yang dinilai
sebenarnya mendukung tingkat pengujian substantif yang direncanakan. Misalnya, auditor
mungkin pada awalnya menetapkan tingkat risiko pengendalian yang direncanakan sebagai
tinggi, sehingga menghasilkan tingkat pengujian substantif yang direncanakan tertinggi. Tetapi
jika bukti yang diperoleh sambil memperoleh pemahaman yang diperlukan mendukung penilaian
aktual atas risiko pengendalian yang tinggi, revisi tingkat pengujian substantif yang direncanakan
ke tingkat yang lebih rendah akan sesuai. Auditor kemudian melanjutkan dengan desain rinci
dari tingkat pengujian substantif yang sesuai.
Tingkat pendekatan risiko pengendalian yang dinilai lebih rendah
Dalam beberapa kasus, pendekatan risiko pengendalian dengan tingkat penilaian yang
lebih rendah direncanakan karena klien memiliki pengendalian internal yang efektif dan auditor
berencana untuk menguji pengendalian tersebut, mengurangi risiko pengendalian, dan
memodifikasi sifat, saat, atau luas pengujian substantif yang sesuai. Hal ini sering terjadi pada
audit perusahaan publik. Auditor terkadang merencanakan pendekatan risiko pengendalian pada
tingkat penilaian yang lebih rendah karena pengujian substantif saja tidak akan mengurangi
risiko audit ke tingkat yang cukup rendah.
 Pemahaman dan dokumentasi yang lebih luas atas pengendalian internal yang relevan,
khususnya komponen aktivitas pengendalian pengendalian internal, biasanya sesuai untuk
mendukung tingkat risiko pengendalian sedang atau rendah yang direncanakan oleh auditor
untuk suatu asersi. Dapat dibayangkan, auditor mungkin menemukan bahwa, bertentangan
dengan ekspektasi, pengendalian tampaknya tidak efektif. Dalam kasus seperti itu, adalah tepat
untuk mengubah strategi menjadi pendekatan yang dominan substantif. Pada gambar 11.1, hal ini
tercermin dalam cabang 'Tidak' yang membentang ke kiri dari simbol keputusan pertama di
kolom 'Pendekatan risiko pengendalian tingkat yang dinilai lebih rendah'.
Jika auditor melanjutkan dengan pendekatan risiko pengendalian pada tingkat penilaian
yang lebih rendah, ia merencanakan dan melaksanakan pengujian pengendalian tambahan. Bukti
yang diperoleh dari pengujian pengendalian kemudian dievaluasi untuk membuat penilaian akhir
atau aktual atas risiko pengendalian. Penilaian akhir dan dasar penilaian tersebut kemudian
didokumentasikan dalam kertas kerja auditor.
Simbol keputusan akhir di kolom 'Pendekatan risiko pengendalian dengan tingkat
penilaian yang lebih rendah' pada gambar 11.1 mengharuskan auditor untuk mempertimbangkan
apakah tingkat risiko pengendalian yang dinilai sebenarnya mendukung tingkat pengujian
substantif yang direncanakan dan, jika tidak, untuk merevisi pengujian substantif yang
direncanakan . Misalnya, auditor mungkin pada awalnya menetapkan tingkat risiko pengendalian
terencana yang dinilai rendah, yang menghasilkan tingkat pengujian substantif terencana yang
paling rendah. Tetapi jika bukti dari pengujian pengendalian mengarah ke tingkat risiko
pengendalian menengah yang dinilai aktual, revisi pengujian substantif yang direncanakan untuk
mendukung tingkat risiko deteksi yang lebih rendah akan sesuai. Atau, jika bertentangan dengan
ekspektasi, pengendalian ternyata sangat tidak efektif (risiko pengendalian dinilai tinggi atau
maksimum), auditor perlu merevisi uji substantif tingkat yang direncanakan untuk
mencerminkan perubahan ke pendekatan yang sebagian besar bersifat substantif. Ini diwakili
oleh garis putus-putus yang miring ke bawah ke kiri di tingkat rencana revisi blok pengujian
substantif dekat bagian bawah gambar 11.1. Dalam kedua kasus tersebut, gambar ini
menggambarkan sifat berulang dari proses audit, dan langkah terakhir melibatkan perancangan
pengujian substantif terperinci yang sesuai dengan keadaan tersebut.

11.2 UJI KONTROL

 Jelaskan tujuan pengujian pengendalian dan sifat, waktu, dan luas pengujian tersebut.
Pengujian pengendalian merupakan prosedur audit yang dilakukan untuk menentukan
efektivitas desain dan operasi pengendalian internal. Auditor harus memperoleh bukti audit
melalui pengujian pengendalian untuk mendukung penilaian risiko pengendalian yang kurang
dari tinggi. Semakin rendah penilaian risiko pengendalian, semakin banyak dukungan yang harus
diperoleh auditor bahwa sistem pengendalian internal dirancang dengan tepat dan beroperasi
secara efektif. Hal ini tercermin dalam ketentuan ASA 330 Respons Auditor terhadap Risiko
yang Dinilai, paragraf 8 (SA 330.8), yang menyatakan bahwa auditor harus melakukan pengujian
pengendalian di mana penilaian risiko salah saji material mencakup ekspektasi bahwa
pengendalian beroperasi secara efektif. atau jika prosedur substantif saja tidak dapat memberikan
bukti audit yang cukup dan tepat.
Pengujian pengendalian yang berkaitan dengan desain berkaitan dengan apakah
pengendalian tersebut dirancang untuk mencegah atau mendeteksi salah saji dalam asersi laporan
keuangan tertentu. Pengujian pengendalian yang berkaitan dengan efektivitas operasi prosedur
pengendalian berkaitan dengan apakah pengendalian benar-benar bekerja. Tes efektivitas
operasi fokus pada dua pertanyaan:
1. Bagaimana kontrol diterapkan?
2. Apakah itu diterapkan secara konsisten sepanjang tahun?
Suatu pengendalian beroperasi secara efektif jika telah diterapkan dengan benar dan
konsisten selama tahun tersebut oleh karyawan yang diberi wewenang untuk menerapkannya.
Sebaliknya, kegagalan untuk menerapkan kontrol dengan benar dan konsisten, atau penerapan
kontrol tersebut oleh karyawan yang tidak berwenang, menunjukkan operasi yang tidak efektif.
Kegagalan semacam itu disebut sebagai penyimpangan. Istilah ini lebih disukai daripada istilah
'kesalahan' karena kegagalan kinerja hanya menunjukkan bahwa mungkin ada kesalahan dalam
catatan akuntansi. Kegagalan, misalnya, karyawan kedua untuk memverifikasi keakuratan faktur
penjualan adalah penyimpangan, tetapi dokumen tersebut masih bisa benar jika karyawan
pertama menyiapkannya dengan benar.
Pengujian pengendalian dilakukan untuk memperoleh bukti tentang rancangan efektivitas
struktur pengendalian internal serta pengoperasian pengendalian internal. Pengujian efektivitas
desain biasanya dilakukan saat memperoleh pemahaman (sudah dibahas 461 dalam bab ini).
Fokus pembahasan berikut adalah pada pengujian operasi pengendalian internal, yang dilakukan
terutama pada audit interim tetapi juga pada audit akhir.

11.2.1 Merancang tes

Dalam merancang pengujian efektivitas operasi pengendalian, auditor harus memutuskan sifat,
saat, dan luasnya.
Sifat tes
Pilihan auditor dalam hal sifat pengujian pengendalian adalah:
* menanyakan personel tentang kinerja tugas mereka
* mengamati personel melakukan tugasnya
* Menginspeksi dokumen dan laporan yang menunjukkan kinerja kontrol
* melakukan kembali kontrol.
Dalam melaksanakan pengujian, auditor memilih prosedur yang akan memberikan bukti
paling andal tentang efektivitas pengendalian.
Bertanya dirancang untuk menentukan:
* pemahaman karyawan tentang tugas mereka
* bagaimana karyawan melakukan tugas tersebut
* frekuensi, penyebab dan disposisi penyimpangan.
Mengamati kinerja karyawan memberikan bukti serupa. Prosedur ini harus dilakukan
tanpa sepengetahuan karyawan atau atas dasar kejutan. Bertanya dan mengamati adalah cara
yang sangat berguna untuk memperoleh bukti tentang prosedur pengendalian pemisahan tugas.
Namun, bukti yang diperoleh dari observasi memiliki keterbatasan sebagai berikut.
* Karyawan dapat melakukan kontrol secara berbeda saat tidak diamati.
* Bukti hanya berlaku pada saat observasi terjadi.
Pemeriksaan dokumen dan catatan dapat dilakukan jika terdapat jejak transaksi dari tanda
tangan dan stempel validasi yang menunjukkan apakah pengendalian dilakukan dan oleh siapa.
Setiap dokumen atau catatan yang gagal untuk membuktikan kinerja yang diharuskan adalah
penyimpangan, terlepas dari apakah dokumen tersebut benar.
Re-performance adalah pengujian bertujuan ganda yang memberikan bukti sebagai
pengujian pengendalian dan pengujian detail substantif. Jika tes seperti itu menunjukkan
kesalahan, itu menunjukkan kegagalan kontrol yang dimaksudkan untuk mencegah kesalahan
tersebut. Asumsikan, misalnya, bahwa prosedur pengendalian cek independen memerlukan juru
tulis kedua di departemen faktur untuk memeriksa kebenaran harga jual unit pada faktur
penjualan dengan membandingkannya dengan daftar harga resmi. Saat melakukannya, karyawan
tersebut memberi inisial pada salinan faktur untuk menunjukkan kinerja cek independen. Dalam
menguji prosedur pengendalian ini, auditor memeriksa faktur untuk inisial karyawan dan dapat
mengulangi proses tersebut dengan membandingkan harga jual faktur dengan daftar harga resmi.
Pengujian tersebut berfungsi ganda sebagai pengujian pengendalian dan pengujian detail
substantif, karena setiap kesalahan yang terdeteksi memberikan bukti kegagalan untuk
melakukan pemeriksaan independen dengan benar (penyimpangan) dan kesalahan moneter
dalam transaksi yang dicatat. Ketika jenis pengujian ini dilakukan, auditor harus berhati-hati
dalam merancang pengujian untuk memastikan bahwa bukti diperoleh mengenai efektivitas
pengendalian dan kesalahan moneter dalam akun tersebut. Auditor juga harus berhati-hati dalam
mengevaluasi bukti yang diperoleh.

Waktu pengujian kontrol

Waktu pengujian pengendalian mengacu pada bagian dari periode akuntansi yang terkait.
Pengujian pengendalian yang direncanakan dilakukan selama pekerjaan interim, yang mungkin
dilakukan beberapa bulan sebelum akhir tahun yang diaudit. Oleh karena itu, pengujian ini
memberikan bukti efektivitas pengendalian hanya dari awal tahun sampai tanggal pengujian.
Namun, anggapan di balik penilaian risiko pengendalian sebagai kurang dari tinggi adalah bahwa
hal itu merupakan penilaian atas pengendalian untuk seluruh periode audit. Jadi untuk membuat
penilaian tersebut, auditor harus menguji pengendalian untuk seluruh periode. Jadi, untuk
efisiensi audit, auditor harus melakukan pengujian pengendalian selambat mungkin dalam
periode interim.

Kebutuhan untuk melakukan pengujian kontrol tambahan di akhir tahun bergantung pada:
* lamanya periode yang tersisa
* terjadinya perubahan signifikan dalam pengendalian setelah pengujian interim, yang
menyebabkan auditor merevisi pemahamannya tentang sistem pengendalian internal
* keputusan untuk melakukan pengujian substantif atas rincian saldo sebelum akhir tahun
(seperti mengkonfirmasikan piutang satu bulan sebelum akhir tahun), sehingga membutuhkan
jaminan bahwa prosedur pengendalian tetap efektif dalam periode antara tanggal prosedur
substantif dan tahun- akhir.
Keuntungan melakukan pengujian ini selama pekerjaan interim adalah bahwa auditor
dapat memperoleh gambaran awal apakah pengendalian beroperasi seperti yang diharapkan. Jika
tidak, ada cukup waktu untuk mengubah luas pengujian substantif sebelum pekerjaan audit akhir.

Tingkat pengujian
Pengujian pengendalian yang lebih ekstensif memberikan lebih banyak bukti tentang
efektivitas operasi suatu pengendalian. Menanyakan lebih dari satu orang tentang prosedur
pengendalian yang sama, misalnya, memberikan lebih banyak bukti daripada satu penyelidikan;
Demikian pula, pemeriksaan dokumen yang lebih ekstensif untuk inisial atau tanda tangan yang
menunjukkan kinerja prosedur pengendalian memberikan lebih banyak bukti daripada
pemeriksaan dokumen yang lebih sedikit.
Luas pengujian pengendalian ditentukan oleh tingkat risiko pengendalian yang
direncanakan oleh auditor. Pengujian yang lebih ekstensif akan diperlukan untuk tingkat risiko
pengendalian yang dinilai rendah daripada untuk tingkat risiko pengendalian yang moderat.
Pengujian oleh auditor ini hanya untuk mengkonfirmasi penilaian awal atas risiko pengendalian,
yang dibatasi oleh lingkungan pengendalian dan desain pengendalian. Ini berarti bahwa
peningkatan luas pengujian tidak dapat menyebabkan auditor menurunkan tingkat risiko
pengendalian yang dinilai.

11.2.2 Mengaudit program untuk pengujian pengendalian

Pendokumentasian pekerjaan yang dilakukan dan bukti yang diperoleh sebagai bagian dari audit
dibahas dalam bab 8. Pengujian audit atas pengendalian perlu didokumentasikan untuk
memberikan bukti yang mendukung ketergantungan auditor pada pengendalian seperti yang
ditunjukkan oleh tingkat risiko pengendalian yang dinilai. Keputusan auditor tentang sifat, saat,
dan luas pengujian pengendalian harus didokumentasikan dalam program audit dan kertas kerja
terkait. Contoh program audit untuk pengujian pengendalian transaksi pembayaran tunai
diilustrasikan pada gambar 11.2. Ini memberikan detail tentang sejumlah pengujian kontrol
dalam lingkungan TI (dibahas nanti dalam bab ini). Program mencantumkan prosedur yang akan
digunakan dalam melakukan pengujian untuk pernyataan yang ditunjukkan. Semua pengujian
yang dilakukan oleh auditor dihubungkan kembali ke asersi manajemen.

Program audit juga menyediakan kolom untuk menunjukkan:

* Referensi silang ke kertas kerja tempat hasil tes didokumentasikan
* yang melakukan tes
* tanggal tes diselesaikan.
Rincian mengenai luas dan saat pengujian dapat diindikasikan dalam program audit atau
kertas kerja, seperti yang diasumsikan dalam gambar 11.2. Contoh lebih lanjut dari dokumentasi
dalam kaitannya dengan pengujian pengendalian disediakan di bab 14 sampai 17.

11.3 MENGGUNAKAN AUDITOR INTERNAL

Memperjelas bagaimana pekerjaan audit internal dapat digunakan dalam pengujian
pengendalian. Audit internal umumnya dianggap sebagai bagian penting dari struktur tata kelola
perusahaan sebuah perusahaan. Banyak perusahaan memiliki auditor internal sebagai karyawan
tetap atau mengontrakkan fungsi audit internal ke kantor akuntan. (Kami membahas audit
internal, sebagai aktivitas audit yang berbeda, di bab 2.) Kapan pun suatu entitas memiliki fungsi
audit internal, auditor dapat mengoordinasikan pekerjaan audit dengan auditor internal dan / atau
menggunakan auditor internal untuk memberikan bantuan dalam audit.
11.3.1 Koordinasi dengan auditor internal
Auditor internal biasanya akan memantau sistem pengendalian internal di setiap divisi
atau cabang sebagai bagian dari tugas rutin mereka. Pemantauan dapat mencakup tinjauan
berkala. Dalam kasus tersebut, auditor independen dapat mengoordinasikan pekerjaan dengan
auditor internal dan mengurangi jumlah lokasi entitas di mana mereka akan melakukan pengujian
pengendalian. Auditor harus terlebih dahulu mempertimbangkan efektivitas auditor internal
dengan:
* mempertimbangkan status organisasi mereka:
- Apakah mereka melapor ke level manajemen tertinggi (sebaiknya komite audit)?
- Apakah mereka bebas dari tanggung jawab operasi?
- Apakah mereka bebas untuk berkomunikasi sepenuhnya dengan auditor independen?
* menentukan ruang lingkup pekerjaan mereka dan, khususnya, apakah manajemen bertindak
atas rekomendasi mereka
* mengevaluasi kompetensi teknis mereka
* Memastikan bahwa pekerjaan mereka dilakukan dengan perhatian profesional.
Fokus utama auditor internal biasanya pada sistem pengendalian internal dalam
perusahaan. Oleh karena itu, kepercayaan (jika ada) yang ditempatkan auditor eksternal pada
pekerjaan auditor internal adalah untuk mendukung penilaian awal atas risiko pengendalian
daripada membantu pengujian substantif auditor eksternal. Jika mengandalkan auditor internal,
ASA 610 Menggunakan Pekerjaan Auditor Internal (SA 610) menyatakan dalam paragraf 11
(SA 610.11) bahwa di mana auditor eksternal bermaksud untuk menggunakan pekerjaan auditor
internal, mereka harus mengevaluasi dan melaksanakan prosedur audit atas pekerjaan tersebut
untuk memastikan bahwa pekerjaan tersebut memadai.

Selanjutnya, ASA 610 (SA 610) mensyaratkan auditor independen untuk mengkonfirmasi
bahwa:
* Pekerjaan dilakukan oleh orang-orang yang memiliki pelatihan teknis yang memadai dan
kemahiran sebagai auditor internal
* Pekerjaan asisten diawasi, ditinjau, dan didokumentasikan dengan benar
* Bukti audit yang cukup dan tepat diperoleh untuk memberikan dasar yang wajar untuk
*kesimpulan yang dicapai, kesimpulan yang diambil sesuai dengan keadaan
* setiap laporan yang disiapkan oleh audit internal konsisten dengan hasil pekerjaan yang
dilakukan
* setiap pengecualian atau hal-hal tidak biasa yang diungkapkan oleh auditor internal
diselesaikan dengan baik.
Dalam mengoordinasikan pekerjaan dengan auditor internal, auditor mungkin merasa
efisien untuk mengadakan pertemuan berkala dengan mereka, meninjau jadwal kerja mereka,
memperoleh akses ke kertas kerja mereka dan meninjau laporan auditor internal.
Jika auditor eksternal yakin bahwa fungsi audit internal dapat diandalkan, hal itu
berpotensi menjadi aset yang sangat berguna dalam melaksanakan audit laporan keuangan. Jika
auditor internal adalah karyawan tetap entitas, itu berarti bahwa mereka berada di lokasi
sepanjang waktu, yang menempatkan mereka pada posisi yang ideal untuk memantau
pengendalian internal entitas. Auditor eksternal tidak dapat secara efisien memberikan tingkat
pemantauan yang sama dan kemungkinan besar tidak akan berada di lokasi klien selama setahun
untuk lebih dari beberapa minggu (tergantung pada ukuran klien).

11.4 PENILAIAN AKHIR RISIKO PENGENDALIAN

Jelaskan proses menilai risiko pengendalian dan mendokumentasikan kesimpulannya.
Penilaian akhir risiko pengendalian untuk asersi laporan keuangan didasarkan pada evaluasi
bukti yang diperoleh dari (1) prosedur untuk memperoleh pemahaman tentang komponen sistem
pengendalian internal yang relevan dan (2) pengujian pengendalian terkait. Ketika berbagai jenis
bukti mendukung kesimpulan yang sama tentang keefektifan suatu pengendalian, derajat jaminan
meningkat. Sebaliknya, ketika mereka mendukung kesimpulan yang berbeda, derajat jaminan
menurun; sebagai contoh, inisial karyawan mungkin secara konsisten disajikan dalam dokumen,
yang menunjukkan pelaksanaan prosedur pengendalian, tetapi permintaan keterangan auditor
dari orang yang memulai dokumen dapat mengungkapkan bahwa karyawan kurang memahami
prosedur pengendalian yang diterapkan. Bukti lisan mengurangi jaminan yang diperoleh dari
pemeriksaan inisial pada dokumen.
Evaluasi bukti melibatkan pertimbangan kuantitatif dan kualitatif. Dalam membuat
kesimpulan tentang keefektifan prosedur pengendalian, auditor sering menggunakan pedoman
tentang frekuensi penyimpangan yang dapat ditoleransi dari pelaksanaan yang tepat dari suatu
pengendalian (biasanya dinyatakan dalam persentase). Jika hasil tersebut mengarahkan auditor
untuk menyimpulkan bahwa frekuensi penyimpangan kurang dari atau sama dengan tingkat yang
dapat ditoleransi, maka operasi pengendalian dianggap efektif. Sebelum mencapai kesimpulan
ini, auditor juga harus mempertimbangkan penyebab penyimpangan; sebagai contoh, auditor
dapat memberikan signifikansi yang berbeda pada penyimpangan yang berlebihan yang
disebabkan oleh anggota staf sementara dengan yang disebabkan oleh karyawan yang
berpengalaman. Penting juga dalam mencapai kesimpulan tentang keefektifan untuk menentukan
apakah penyimpangan disebabkan oleh kesalahan yang tidak disengaja atau kesalahan penyajian
yang disengaja (penyimpangan). Bukti satu penyimpangan karena penyimpangan mungkin lebih
penting bagi auditor daripada penyimpangan yang lebih sering disebabkan oleh kesalahan. Jika
disimpulkan bahwa sifat dan frekuensi penyimpangan melebihi tingkat yang dapat ditoleransi,
tingkat risiko pengendalian awal yang telah dinilai tidak dikonfirmasi. Dalam hal ini, auditor
harus merevisi program audit untuk prosedur substantif yang mencerminkan tingkat risiko
pengendalian yang lebih tinggi daripada yang direncanakan atau penerapan strategi yang
sebagian besar bersifat substantif untuk asersi tertentu.

11.4.1 Mendokumentasikan tingkat risiko pengendalian yang dinilai

Kertas kerja auditor harus mencakup dokumentasi risiko pengendalian. Jika risiko
pengendalian dinilai tinggi, hanya kesimpulan ini yang perlu didokumentasikan. Jika risiko
pengendalian dinilai kurang dari tinggi, dasar penilaian harus didokumentasikan.
Pendekatan umum adalah dengan menggunakan memorandum naratif yang disusun oleh
pernyataan laporan keuangan. Pendekatan ini diilustrasikan pada gambar 11.3 (halaman sebelah),
yang mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan yang
dipilih.
11.5 KOMUNIKASI MASALAH PENGENDALIAN INTERNAL
Tunjukkan komunikasi yang tepat yang dilakukan auditor tentang masalah pengendalian
internal. Meskipun auditor tidak bertanggung jawab untuk memberikan tingkat keyakinan apa
pun atas pengendalian yang beroperasi di dalam perusahaan sebagai bagian dari audit laporan
keuangan, berdasarkan SA 265 Mengkomunikasikan Defisiensi dalam Pengendalian Internal
kepada Pihak yang Bertanggung Jawab atas Tata Kelola dan Manajemen, paragraf 9 (SA 265.9),
terdapat kewajiban untuk mengomunikasikan secara tertulis defisiensi signifikan dalam
pengendalian internal kepada pihak yang bertanggung jawab atas tata kelola. Dalam hal
menentukan apa yang dimaksud dengan 'defisiensi signifikan', beberapa pertimbangan yang
mungkin (diringkas dari SA 265, paragraf A6 (SA 265)) meliputi:

* kemungkinan terjadinya defisiensi yang menyebabkan salah saji material dalam laporan
keuangan di masa mendatang
* kerentanan terhadap kerugian atau penipuan aset atau kewajiban terkait
* subjektivitas dan kompleksitas dalam menentukan jumlah yang diestimasi, seperti estimasi
akuntansi nilai wajar
* jumlah laporan keuangan yang terkena kekurangan
* volume aktivitas yang telah terjadi atau dapat terjadi dalam saldo akun atau kelompok transaksi
yang terkena kekurangan atau kekurangan
* saldo atau kelompok transaksi yang terkena kekurangan atau kekurangan
* pentingnya kontrol untuk proses pelaporan keuangan.
Auditor juga harus mengkomunikasikan informasi ini kepada manajemen kecuali
terdapat keadaan yang membuatnya tidak tepat untuk melakukannya. Ini harus mencakup
kekurangan lain yang cukup penting untuk mendapatkan perhatian manajemen. Ketika
komunikasi ini dilakukan, penting bagi auditor untuk mengomunikasikan bahwa tujuan audit
adalah untuk menyatakan opini atas laporan keuangan dan bukan tentang keefektifan
pengendalian internal.
Tidak diragukan lagi bahwa manajemen dan pihak yang bertanggung jawab atas tata
kelola lebih tertarik dari sebelumnya untuk memastikan bahwa pengendalian beroperasi dengan
tepat di dalam organisasi mereka. Baru-baru ini, pedoman dikeluarkan dari Federasi Akuntan
Internasional tentang prinsip-prinsip utama dalam mengevaluasi dan meningkatkan pengendalian
internal yang diuraikan dalam kotak Lingkungan Profesional di bawah ini.

LINGKUNGAN PROFESIONAL
Mengevaluasi dan meningkatkan pengendalian internal
Prinsip-prinsip utama ini mewakili praktik yang baik untuk mengevaluasi dan meningkatkan
sistem pengendalian internal:
A. Pengendalian internal harus digunakan untuk mendukung organisasi dalam mencapai
tujuannya dengan mengelola risikonya, dengan tetap mematuhi aturan, peraturan, dan kebijakan
organisasi. Oleh karena itu organisasi harus menjadikan pengendalian internal sebagai bagian
dari manajemen risiko dan mengintegrasikan keduanya dalam sistem tata kelola secara
keseluruhan.
B. Organisasi harus menentukan berbagai peran dan tanggung jawab yang berkaitan dengan
pengendalian internal, termasuk badan pengelola, manajemen di semua tingkatan, karyawan, dan
penyedia jaminan internal dan eksternal, serta mengkoordinasikan kolaborasi di antara para
peserta.
C. Governing body dan manajemen harus menumbuhkan budaya organisasi yang memotivasi
anggota organisasi untuk bertindak sejalan dengan strategi manajemen risiko dan kebijakan
pengendalian internal yang ditetapkan oleh Governing body untuk mencapai tujuan organisasi.
Nada dan tindakan di atas sangat penting dalam hal ini.
D. Badan pengatur dan manajemen harus menghubungkan pencapaian tujuan pengendalian
internal organisasi dengan tujuan kinerja individu. Setiap orang dalam organisasi harus
bertanggung jawab atas pencapaian tujuan pengendalian internal yang ditetapkan.
E. Badan pengatur, manajemen, dan peserta lain dalam sistem tata kelola organisasi harus cukup
kompeten untuk memenuhi tanggung jawab pengendalian internal yang terkait dengan peran
mereka.
F. Pengendalian harus selalu dirancang, diterapkan, dan diterapkan sebagai respons terhadap
risiko tertentu serta penyebab dan konsekuensinya.
G. Manajemen harus memastikan bahwa komunikasi rutin mengenai sistem pengendalian
internal, serta hasilnya, dilakukan di semua tingkatan dalam organisasi untuk memastikan bahwa
prinsip-prinsip pengendalian internal dipahami sepenuhnya dan diterapkan dengan benar oleh
semua.
H. Baik pengendalian individu maupun sistem pengendalian internal secara keseluruhan harus
dipantau dan dievaluasi secara teratur. Identifikasi tingkat risiko yang sangat tinggi, kegagalan
pengendalian, atau peristiwa yang berada di luar batas pengambilan risiko dapat menjadi tanda
bahwa pengendalian individu atau sistem pengendalian internal tidak efektif dan perlu
ditingkatkan.
I. Badan pengatur, bersama dengan manajemen, harus secara berkala melaporkan kepada
pemangku kepentingan profil risiko organisasi serta struktur dan kinerja faktual sistem
pengendalian internal organisasi.
Pentingnya pengendalian internal sedemikian rupa sehingga terkadang auditor dapat
dipekerjakan oleh manajemen untuk memberikan opini tentang efektivitas pengendalian internal
organisasi. Ini adalah perikatan terpisah dari pekerjaan yang dilakukan untuk tujuan audit
laporan keuangan, dan oleh karena itu diperlukan surat perikatan baru. Perikatan khusus untuk
memberikan opini atas pengendalian internal memerlukan pekerjaan di luar yang diperlukan
untuk tujuan audit laporan keuangan, dan diperlukan laporan khusus. Prosedur ini dicakup oleh
AUS 810 Laporan Tujuan Khusus tentang Efektivitas Prosedur Pengendalian.

11.6 JENIS KONTROL DALAM LINGKUNGAN TEKNOLOGI INFORMASI

Jelaskan jenis kontrol yang Anda harapkan untuk dilihat dalam lingkungan teknologi
informasi. Pengendalian pemrosesan informasi mencakup prosedur pengendalian umum dan
prosedur pengendalian aplikasi. Selain itu, auditor harus mengetahui prosedur tindak lanjut
manual untuk transaksi yang diidentifikasi oleh pengendalian aplikasi dan kemungkinan
pengendalian pengguna yang secara langsung berkaitan dengan asersi. Prosedur ini dirangkum
dalam gambar 11.4. Angka ini membantu kita memahami tiga strategi audit penting untuk
melakukan pengujian pengendalian ketika sistem akuntansi dan pengendalian menggunakan
teknologi informasi (TI) secara ekstensif. Auditor harus memilih di antara tiga strategi berikut
ketika menilai risiko pengendalian:
1. menilai risiko pengendalian berdasarkan kontrol pengguna
2. merencanakan penilaian risiko pengendalian rendah berdasarkan pengendalian aplikasi
3. merencanakan penilaian risiko pengendalian tinggi berdasarkan pengendalian umum dan
tindak lanjut manual.

Setiap strategi sekarang dijelaskan.

Kontrol pengguna
Dalam banyak kasus, klien dapat merancang prosedur manual untuk menguji
kelengkapan dan keakuratan transaksi yang diproses oleh komputer. Misalnya, manajer yang
mengetahui transaksi yang telah mereka otorisasi dapat meninjau daftar pembelian yang telah
dibebankan ke pusat tanggung jawab mereka. Alternatifnya, seorang individu di departemen
pengguna dapat membandingkan output yang dihasilkan komputer dengan dokumen sumber
yang mendukung transaksi. Meskipun kedua kontrol ini dapat mendeteksi dan mengoreksi
kesalahan penyajian, yang terakhir dapat dilakukan dengan tingkat detail yang lebih tinggi dan
dapat memberikan tingkat jaminan yang lebih tinggi bahwa salah saji terdeteksi dan diperbaiki.
Jika pengendalian pengguna ada, auditor dapat menguji pengendalian secara langsung,
serupa dengan pengujian pengendalian manusia lainnya. Ini juga dikenal sebagai 'mengaudit di
sekitar komputer'. Keuntungan dari strategi untuk menguji kendali ini adalah tidak perlu menguji
kompleksitas program komputer.

Kontrol aplikasi
Banyak auditor memanfaatkan kendali otomatis dan merencanakan strategi untuk menilai
risiko kendali pada tingkat rendah berdasarkan kendali aplikasi komputer. Untuk melaksanakan
strategi ini, auditor harus:
* uji kontrol aplikasi komputer
* Uji kontrol umum komputer
* uji tindak lanjut manual dari pengecualian yang dicatat oleh kontrol aplikasi.
 Efektivitas ketiga tingkat pengendalian penting untuk penilaian risiko pengendalian
rendah. Pertama, auditor harus menguji pengendalian aplikasi komputer menggunakan beberapa
bentuk teknik audit berbantuan komputer (CAAT). Tujuannya adalah untuk menentukan bahwa
kontrol aplikasi mengidentifikasi pengecualian dengan benar.
Kedua, kendali umum komputer juga harus diuji. Kontrol umum memberikan jaminan
bahwa kontrol aplikasi dirancang dan diuji dengan benar, dan setiap perubahan diizinkan.
Intinya, mereka memberikan jaminan yang lebih baik bahwa kontrol aplikasi berfungsi secara
konsisten dari waktu ke waktu. Bukti tentang pengendalian umum yang kuat memungkinkan
auditor untuk menguji aplikasi pada satu titik waktu dan yakin bahwa mereka berfungsi dengan
cara yang sama di waktu lain selama periode audit. Auditor dapat menguji program komputer
pada titik waktu tertentu untuk memperoleh bukti tentang apakah program tersebut menjalankan
pengendalian secara efektif. Untuk meningkatkan ketepatan waktu bukti, auditor kemudian
melakukan pengujian pengendalian yang berkaitan dengan modifikasi dan penggunaan program
tersebut dan apakah pengendalian terprogram beroperasi secara konsisten selama periode
tersebut (yaitu pengujian pengendalian umum).
Terakhir, auditor juga harus menguji keefektifan prosedur tindak lanjut manual.
Misalnya, mari kita asumsikan bahwa kontrol aplikasi komputer dengan benar mengidentifikasi
transaksi di mana jumlahnya salah dicatat dan melaporkan transaksi ini pada laporan
pengecualian untuk ditindaklanjuti dan diperbaiki. Jika tindak lanjut manual tidak efektif dalam
mengoreksi item yang muncul di laporan pengecualian, maka kontrol aplikasi menjadi tidak
efektif dalam mendeteksi dan mengoreksi salah saji.

Kontrol umum dan prosedur tindak lanjut manual

Untuk beberapa asersi, auditor dapat merencanakan strategi audit yang menekankan
pengujian detail, dan auditor dapat merencanakan penilaian risiko pengendalian tinggi untuk
suatu asersi. Ketika auditor menguji pengendalian umum, dia biasanya akan belajar tentang
keefektifan desain dan pengujian pengendalian aplikasi. Selain itu, auditor mungkin dapat
membuat kesimpulan tentang keefektifan pengendalian aplikasi dalam mengidentifikasi
pengecualian melalui permintaan keterangan dari individu berpengetahuan yang melakukan
prosedur tindak lanjut manual. Misalnya, individu yang menindaklanjuti pengecualian mungkin
memahami aliran transaksi dengan cukup detail sehingga mereka dapat memprediksi dan
mengoreksi transaksi yang mungkin muncul di laporan pengecualian. Ketika transaksi tersebut
memang muncul pada laporan pengecualian, auditor mungkin dapat menarik kesimpulan tentang
pengendalian terprogram. Bukti ini mungkin cukup untuk memungkinkan auditor menilai risiko
pengendalian pada tingkat tinggi, tetapi auditor harus menguji program secara langsung dengan
teknik audit berbantuan komputer jika ia ingin menilai risiko pengendalian sebagai sedang atau
rendah.

11.7 TEKNIK AUDIT YANG DIBANTU KOMPUTER

Identifikasi jenis alternatif teknik audit berbantuan komputer. Dalam pengujian
pengendalian, auditor dapat menggunakan prosedur audit manual, teknik audit berbantuan
komputer, atau kombinasinya untuk memperoleh bukti yang diperlukan. Namun, jika komputer
digunakan untuk memproses aplikasi yang signifikan, mungkin sulit untuk mendapatkan data
untuk pengujian tanpa bantuan komputer. Ini terutama terjadi pada pengujian kontrol aplikasi
terprogram yang kinerjanya tidak meninggalkan jejak yang terlihat. Dalam situasi seperti itu,
auditor menggunakan berbagai teknik audit berbantuan komputer seperti data pengujian, fasilitas
pengujian terintegrasi, dan simulasi paralel.

11.7.1 Uji data

Berdasarkan pendekatan data pengujian, transaksi dummy disiapkan oleh auditor dan
diproses di bawah kendali auditor oleh perangkat lunak entitas. Data pengujian terdiri dari satu
transaksi untuk setiap kondisi valid atau tidak valid yang ingin diuji oleh auditor. Data tes
penggajian, misalnya, dapat mencakup kondisi pembayaran lembur yang valid dan tidak valid.
Keluaran dari pemrosesan data pengujian kemudian dibandingkan dengan keluaran yang
diharapkan auditor untuk menentukan apakah pengendalian beroperasi secara efektif. Pendekatan
data uji memiliki keuntungan sebagai berikut.
* Ini adalah cara mengaudit 'melalui komputer'.
* Mudah digunakan.
* Tidak banyak gangguan pada sistem komputer klien.

Namun, metode tersebut memiliki kekurangan audit berikut:

* Metode ini hanya menguji keberadaan dan fungsi kontrol dalam program yang diuji.
* Tidak ada pemeriksaan dokumentasi yang benar-benar diproses oleh sistem.
* Operator komputer mengetahui bahwa data uji sedang dijalankan, yang dapat mengurangi
validitas keluaran.
* Ini adalah pengujian pada waktu tertentu dan oleh karena itu tidak menunjukkan bagaimana
sistem beroperasi selama periode tersebut.

11.7.2 Fasilitas pengujian terintegrasi

Pendekatan fasilitas pengujian terintegrasi (ITF) mengatasi beberapa keterbatasan
penggunaan data pengujian. Ini membutuhkan pembuatan subsistem kecil (perusahaan mini)
dalam sistem akuntansi komputer biasa. Ini dapat dilakukan dengan membuat file master tiruan
atau menambahkan catatan master tiruan ke file entitas yang ada. Catatan tiruan, yang dikodekan
khusus agar sesuai dengan file induk tiruan, dimasukkan ke dalam sistem, bersama dengan
transaksi yang sebenarnya. Catatan dummy harus mencakup semua jenis kesalahan transaksi dan
pengecualian yang mungkin ditemui. Dengan cara ini, rekaman dummy menjadi sasaran kontrol
terprogram yang sama seperti yang ditempatkan pada data aktual. Satu set output terpisah
diproduksi untuk subsistem file dummy. Hasilnya dapat dibandingkan dengan yang diharapkan
oleh auditor.
Keuntungan dari pendekatan ITF adalah memungkinkan pengujian berkelanjutan dari
sistem pengendalian internal dan membutuhkan gangguan minimal pada klien. Ini adalah
pendekatan yang populer untuk auditor internal.
Kerugian dari pendekatan ITF adalah risiko terjadinya kesalahan dalam data entitas.
Selain itu, program entitas mungkin perlu dimodifikasi untuk mengakomodasi data dummy.

11.7.3 Simulasi paralel

Simulasi paralel melibatkan pemrosesan ulang data entitas aktual menggunakan
perangkat lunak yang dikendalikan auditor. Metode ini dinamai demikian karena perangkat lunak
dirancang untuk mereproduksi atau mensimulasikan pemrosesan data nyata oleh entitas.
Penggambaran grafis dari pendekatan ini ditunjukkan di paruh kiri gambar 11.5. Pendekatan ini
tidak merusak file entitas dan dapat dilakukan di fasilitas komputer independen. Ini memiliki
keuntungan sebagai berikut.
* Karena data asli digunakan, auditor dapat memverifikasi transaksi dengan melacaknya ke
dokumen sumber dan persetujuan.
* Ukuran sampel dapat sangat diperluas dengan biaya tambahan yang relatif sedikit.
* Auditor dapat menjalankan tes secara independen.
Jika auditor memutuskan untuk menggunakan simulasi paralel, kehati-hatian harus
diberikan untuk menentukan bahwa data yang dipilih untuk simulasi mewakili transaksi entitas
yang sebenarnya dan termasuk kesalahan yang dimaksudkan untuk dideteksi oleh penerapan
pengendalian terprogram. Auditor harus memastikan bahwa data masukan yang digunakan untuk
pengujian sudah lengkap. Artinya, mereka seharusnya tidak mengalami koreksi atau penyesuaian
karena penerapan kontrol masukan ketika diproses dalam sistem nyata.

Penggambaran grafik dari kedua simulasi paralel dan pendekatan data uji ditunjukkan pada
gambar 11.5.

11.7.4 Pemantauan berkelanjutan dari sistem real-time online

Data pengujian dapat digunakan untuk menguji kontrol dalam entri online / sistem
pemrosesan online (juga dikenal sebagai sistem real-time online (OLRT)). Namun, pendekatan
ini tidak banyak digunakan oleh auditor karena adanya kontaminasi data file dan sulitnya
membalik data hipotetis. Simulasi paralel juga dapat digunakan, tetapi ketersediaan perangkat
lunak audit umum yang dapat digunakan untuk mensimulasikan pemrosesan OLRT sangat
terbatas.
Sebagai pengganti pengujian tradisional, auditor sering mengatur pemantauan sistem
secara terus menerus. Di bawah teknik ini, rutinitas audit ditambahkan ke program pemrosesan
klien. Transaksi yang masuk ke sistem diambil sampelnya pada interval acak, dan keluaran dari
rutin digunakan untuk menguji kontrol.
Untuk menyediakan integrasi perangkat lunak audit ke dalam sistem pemrosesan waktu
nyata, kemampuan kait audit harus dibangun ke dalam program komputer klien - baik sistem
operasi maupun program aplikasi - pada saat dibuat. Audit hook adalah poin dalam program
yang memungkinkan modul audit, atau program, diintegrasikan ke dalam aktivitas pemrosesan
normal sistem. Modul audit ini memberi auditor sarana untuk memilih transaksi yang memiliki
karakteristik yang menarik bagi auditor, seperti transaksi dengan jenis tertentu atau jumlah yang
lebih besar atau lebih kecil dari nilai yang diberikan. Setelah transaksi tertentu diidentifikasi
sebagai yang menarik, catatannya dapat disimpan dengan salah satu dari beberapa metode. Dua
di antaranya adalah penandaan transaksi dan file tinjauan audit kontrol sistem.

Menandai transaksi
Metode transaksi penandaan melibatkan penempatan indikator, atau tag, pada transaksi
yang dipilih. Kehadiran tag ini memungkinkan transaksi dilacak melalui sistem saat sedang
diproses. Sistem harus diprogram untuk menyediakan pembuatan cetakan hardcopy dari semua
jalur yang diikuti oleh transaksi. Data yang berinteraksi dengan transaksi yang ditandai pada
langkah-langkah yang ditentukan dalam pemrosesan juga dapat ditangkap.

File tinjauan audit kontrol sistem

File tinjauan audit kontrol sistem (SCARF) (terkadang disebut log audit) adalah catatan
aktivitas pemrosesan tertentu. File tersebut digunakan untuk merekam peristiwa yang memenuhi
kriteria yang ditentukan auditor saat terjadi di titik yang ditentukan dalam sistem. Transaksi atau
peristiwa yang teridentifikasi dicatat ke dalam file yang hanya tersedia untuk auditor. Auditor
kemudian dapat menganalisis file tersebut dan melakukan pengujian lebih lanjut yang sesuai.

11.7.5 Menilai dan menguji kendali TI

Tabel 11.1 dan 11.2 (halaman sebelah) menunjukkan daftar perwakilan dari potensi salah saji
dan kontrol yang diperlukan untuk kontrol umum dan kontrol aplikasi. Tabel 11.1 memberikan
cara berpikir umum tentang kontrol input, pemrosesan dan output yang dapat memfasilitasi
pemikiran tentang pengujian kontrol aplikasi. Namun, auditor biasanya akan mengidentifikasi
potensi kesalahan penyajian yang relevan dengan asersi tertentu kepentingan audit, kemudian
menetapkan pengendalian apa (termasuk pengendalian aplikasi) yang ada, dan akhirnya
merancang pengujian pengendalian yang tepat.
 Pengujian pengendalian dilakukan untuk memperoleh bukti tentang keefektifan desain
atau operasi pengendalian. Auditor melakukan pengujian tersebut jika terdapat alasan untuk
meyakini bahwa bukti tersebut akan memungkinkan penurunan lebih lanjut dalam tingkat risiko
pengendalian yang telah dinilai. Kolom ketiga pada tabel 11.1 dan 11.2 menunjukkan
kemungkinan pengujian pengendalian. Pengujian pengendalian yang dihasilkan komputer
melibatkan pengamatan pemisahan tugas dan pemeriksaan dokumentasi yang menunjukkan
bahwa pengendalian umum komputer telah dilakukan. Pengujian pengendalian aplikasi komputer
melibatkan beberapa bentuk teknik audit berbantuan komputer (CAAT) dan pengujian prosedur
tindak lanjut manual.
Dalam sistem komputerisasi, kontrol mungkin atau mungkin tidak menghasilkan bukti
yang terlihat. Ketika komputer menghasilkan bukti yang terlihat untuk memverifikasi bahwa
prosedur sedang beroperasi dan untuk mengevaluasi kesesuaian kinerja, pengujian kontrol TI
dapat mencakup inspeksi dokumentasi. Namun, jika bukti tersebut tidak dihasilkan oleh
komputer, pengujian kontrol harus menyertakan CAAT. Kotak Lingkungan Profesional
membahas beberapa penelitian terbaru yang mengevaluasi apakah penilaian risiko pengendalian
dan ukuran firma audit memengaruhi penggunaan CAAT atau prosedur audit terkait komputer.

LINGKUNGAN PROFESIONAL
Faktor-faktor yang berkaitan dengan penggunaan prosedur audit terkait komputer
Studi ini menguji sejauh mana prosedur audit terkait komputer digunakan dan apakah dua faktor,
penilaian risiko pengendalian dan ukuran perusahaan audit, memengaruhi penggunaan prosedur
audit terkait komputer.

Ukuran perusahaan audit dapat memengaruhi penggunaan prosedur audit terkait komputer
mengingat bahwa klien dari perusahaan 4 Besar lebih cenderung memiliki TI yang lebih
kompleks daripada perusahaan kecil. Penelitian sebelumnya tidak membahas sejauh mana
ukuran perusahaan mempengaruhi penggunaan prosedur audit terkait komputer. Selain itu,
penelitian terbaru menunjukkan bahwa perusahaan audit nasional telah memperoleh pangsa pasar
dalam periode pasca Anderson (Cassell et al. 2007; Krishnan et al. 2008). Klien perusahaan
nasional cenderung memiliki TI yang lebih kompleks daripada perusahaan lokal atau regional,
tetapi kurang dari 4 perusahaan Besar. Oleh karena itu, pertanyaan terbuka adalah apakah
penggunaan prosedur audit terkait komputer oleh perusahaan nasional mirip dengan perusahaan
4 Besar atau perusahaan kecil?
Kami memeriksa penggunaan prosedur audit terkait komputer, serta bagaimana penilaian
risiko pengendalian dan ukuran perusahaan audit memengaruhi penggunaan, melalui instrumen
berbasis lapangan. Instrumen tersebut dilengkapi oleh 181 auditor yang mewakili 4 Besar,
perusahaan nasional, regional, dan lokal. Hasil menunjukkan bahwa prosedur audit terkait
komputer umumnya digunakan saat memperoleh pemahaman tentang sistem klien dan proses
bisnis dan saat menguji aplikasi dan pengendalian komputer umum. Selain itu, 42,9 persen
peserta menilai risiko pengendalian kurang dari maksimum, yang hampir dua kali lipat tingkat
yang ditemukan dalam penelitian sebelumnya berdasarkan satu firma audit internasional (Waller
1993). Dalam penugasan di mana risiko pengendalian dinilai kurang dari maksimum, prosedur
audit terkait komputer dan spesialis TI lebih mungkin digunakan, daripada ketika risiko
pengendalian dinilai secara maksimal. Temuan menunjukkan bahwa dalam penugasan yang
melibatkan firma audit 4 Besar, risiko pengendalian lebih mungkin dinilai kurang dari
maksimum dan prosedur audit terkait komputer dan spesialis TI lebih mungkin digunakan
daripada dalam penugasan yang melibatkan firma audit yang lebih kecil. Selain itu, sementara
auditor yang dipekerjakan oleh perusahaan audit nasional lebih cenderung memiliki risiko
pengendalian yang dinilai di bawah maksimum daripada mereka yang bekerja untuk perusahaan
audit yang lebih kecil, penggunaan prosedur audit terkait komputer ternyata serupa.