Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika

risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam
proses penilaian ini akan dibahas dalam bagian berikut.

1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh

suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures
to obtain an understanding) mengenai pengendalian intern untuk asersi laporan
keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk
kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau
memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal
untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan
pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis
salah saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi
risiko salah saji material, seperti apakah pengendalian yang diperlukan untuk
mencegah atau mendeteksi dan memperbaiki salah saji telah dirancang dan
ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur yang
relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-
hati jawaban Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam
kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan arus dan
memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia
biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan
pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor
mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko
pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk
mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi
bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang
tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian
pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai
pengendalian intern.

2. Mengidentifikasi salah saji potensial

Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang
menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner
yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu.
Akan tetapi, auditor perlu memahami logika bahwa system pendukung keputusan
yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan
untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan
keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan
setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap
saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi
untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji
dalam asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan
dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi
yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom
dbawah:

Salah saji potensial Pengendalian yang Pengujian pengendalian

diperlukan
Suatu pengeluaran kas Komputer mencocokkan Menggunakan teknik-
dapat dibuat untuk informasi cek dengan teknik audit dengan
tujuan yang tidak informasi yang mendukung bantuan komputer, seperti
diotorisasi (keberadaan tanda bukti dan hutang data pengujian untuk
atau keterjadian untuk usaha untuk setiap menguji pengendalian
transaksi yang valid) transaksi pengeluaran aplikasi komputer
Hanya personel dengan Mengamati individu-
otorisasi yang diizinkan individu yang menangani
untuk menjalankan pengeluaran kas dan
program dan mneangani membandingkannya
cek yang dicetak dan dengan daftar personel
ditandatangani komputer yang memiliki otorisasi
Pemisahan tugas dalam Mengamati pemisahan
menyetujui tanda bukti tugas
(voucher) pembayaran dan
menandatangani cek
Suatu tanda bukti Komputer secara Menggunakan teknik-
mungkin dibayar dua elektronik membatalkan teknik audit dengan
kali (keberadaan dan tanda bukti dan informasi bantuan komputer, seperti
keterjadian dari pendukung ketika cek data pengujian untuk
transaksi yang valid) diterbitkan menguji pengendalian
aplikasi komputer
Memberi tanda pada bukti Mengemati pemberian
 pembayaran dan dokumen cap kepada dokumen
pendukung dengan tanda dan/ atau memeriksa
luns ketika cek diterbitkan sampael dari dokumen
yang telah dibayar untuk
memeriksa adanya tanda
lunas
Suatu cek dapat Komputer mencocokkan Menggunakan teknik-
diterbitkan untuk informasi cek dengan teknik audit dengan
jumlah yang salah atau informasi yag mendukung bantuan komputer, seperti
dicatat dalam jumlah tanda bukti dan hutang data pengujian untuk
yang salah (penilaian usaha untuk setiap menguji pengendalian
atau alokasi) transaksi pengeluaran aplikasi komputer
Komputer Menggunakan teknik-
membandingkanjumlah teknik audit dengan
cek yang diterbitkan bantuan komputer, seperti
dengan jumlah yang data pengujian untuk
dicatat dalam pengeluaran menguji pengendalian
kas aplikasi komputer
Rekonsiliasi bank Mengamati kinerja
independen secara rekonsiliasi bank dan/
periodik atau memeriksa
rekonsiliasi bank.
Tabel 1: salah saji material, pengendalian yang diperlukan, dan pengujian
pengendalian – transaksi pengeluaran kas

3. Mengidentifikasi pengendalian yang diperlukan.

Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang
mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial
tertentu dengan menggunakan perangkat lunak computer yang memroses jawaban
kuesioner pengendalian intern atau dengan secara manual menggunakan daftar.
Kolom kedua dalam dalam tabel diatas mengilustrasikan pengendalian potensial
untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus,
beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu.
Dalam kasus lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan
mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi
pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara
rinkasan harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan
 dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat
waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas
kecil dan pendeteksian yang tepat waktu dari salah saji tidak penting, maka
rekonsiliasi bank harian secara independen dan periodik mungkin sudah cukup
untuk mengkompensasi kurangnya pengujian independen harian. Dalam situasi
tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik
pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai
bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor
seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan
komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko
salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi
atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat
diperoleh dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat
dalam pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk
kelas transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat
kepercayaan pada manajer atau karyawan kunci dapat mengurangi efektivitas dan
aktivitas pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan
informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan
dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji
potensial untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu
pemahamandan mengidentifikasi salah saji material serta pengendalian yang
diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor
dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi,
meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian
dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan
auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk
memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik
bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya,
harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari
pengendalian yang diperlukan.
4. Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer,
bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati
personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian
pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan
 dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan
menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa
komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan
pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian
terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan
jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang
akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit
tertulis untuk pengujian pengendalian yang terencana.
5. Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan
pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh
pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang
berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan
masalah pertimbangan professional. AU 319.64 menyarankan agar auditor
mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti
lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat
pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas
pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga
auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk
melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan
memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung
terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan
daripada membuat pertanyaan mengenai individu. Namun demikian, auditor
seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu
pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika auditor
tidak hadir. Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor
seharusanya mempertimangkan bahwa bukti yang diperoleh oleh beberapa
pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit
diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur
pengendalian aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh
bukti mengenai apakah program melaksanakan pengedalian secara efektif. Untuk
menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap
rancangan dan pengoperasian pengendalian umum komputer selama periode audit
umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram
dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai
efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-
bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan
menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat
menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam
laporan pengecualian, tapi pertanyaan auditor mengenai orang yang
mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan
dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya
akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang
mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif.
Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor
sering kali menggunakan petunjuk pengendalian menegnai frekuensi
penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk
presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti,
terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau
mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif
(seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak
akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu
diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam
menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut,
dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang
direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang
akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu
rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak
melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan
suatu audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu
tinggi, pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya
diperlukan, sehingga menghasilkan audit yang tidak efisien.