Nama : Robbi Yasinnadiva

NIM : 042011333061
Kelas : N

ASSESSING CONTROL RISK AND DESIGNING TESTS OF CONTROLS

Obtain and document an understanding of internal control
CAS 315 mengharuskan auditor memperoleh dan mendokumentasikan pemahaman
tentang pengendalian internal dan mengevaluasi efektivitas dan implementasi desain. Namun,
luasnya pekerjaan audit yang terlibat dalam memahami berbagai komponen pengendalian
internal klien dan evaluasi efektivitas dan implementasi desain bervariasi tergantung apakah
auditor berencana untuk mengandalkan pengendalian internal untuk asersi tertentu.
Procedures to Obtain an Understanding of Internal Control
Auditor menggunakan prosedur untuk memperoleh pemahaman, yang melibatkan
pengumpulan bukti tentang desain pengendalian internal dan apakah pengendalian tersebut
telah diterapkan, dan kemudian menggunakan informasi tersebut sebagai dasar untuk menilai
risiko pengendalian. Auditor umumnya menggunakan empat jenis bukti untuk memperoleh
pemahaman tentang desain dan implementasi pengendalian: inspeksi, penyelidikan personel
entitas, pengamatan karyawan, dan kinerja ulanG.
Methods for Documenting Understanding of Control Activities
Auditor biasanya menggunakan tiga jenis dokumen untuk memperoleh dan
mendokumentasikan pemahaman mereka tentang desain pengendalian internal:
 Narrative : deskripsi tertulis dari pengendalian internal klien.
 Flowchart : representasi simbolis, diagram dari dokumen klien dan aliran berurutan
mereka dalam organisasi.
 Internal Control Questionnaire : menanyakan serangkaian pertanyaan tentang
pengendalian di setiap area audit, termasuk lingkungan pengendalian, sebagai sarana
untuk menunjukkan kepada auditor aspek pengendalian internal yang mungkin tidak
memadai.
Methods for Documenting Understanding of Entity-Level Controls and IT General
Controls
Kuesioner berfokus pada empat komponen pengendalian internal lainnya—
lingkungan pengendalian, sistem informasi, penilaian risiko, dan pemantauan. Auditor
mewawancarai personel TI dan pengguna utama; memeriksa dokumentasi sistem seperti
diagram alur, manual pengguna, permintaan perubahan program, dan hasil pengujian sistem;
dan meninjau kuesioner terperinci yang diisi oleh staf TI. Dalam kebanyakan kasus, auditor
harus menggunakan beberapa pendekatan ini dalam memahami pengendalian umum karena
masing-masing menawarkan informasi yang berbeda.
Evaluate Internal Control Implementation
Auditor harus mengevaluasi apakah pengendalian telah dilaksanakan. Dalam
praktiknya, pemahaman desain dan evaluasi implementasi seringkali dilakukan secara
bersamaan. Ini melibatkan:
 Mempertimbangkan apakah pengendalian, ketika beroperasi, akan mencapai tujuan
ini;
 Menentukan apakah pengendalian telah diterapkan (yaitu, pengendalian itu ada dan
perusahaan menggunakannya);
 Mempertimbangkan apakah orang yang memiliki kualifikasi yang tepat dimaksudkan
untuk melakukan pengendalian; dan
 Mempertimbangkan kecukupan teknologi informasi (misalnya, apakah itu menangkap
informasi yang relevan, seperti tanda tangan elektronik untuk persetujuan, dan apakah
itu memberikan informasi yang relevan).
Metode berikut biasanya digunakan dalam melakukan evaluasi : 1) Perbarui dan
evaluasi pengalaman auditor sebelumnya dengan entitas, 2) Buat pertanyaan dari personil
klien periksa dokumen dan catatan, 3) Amati aktivitas dan operasi entitas, 4) Lakukan walk-
throughs dari sistem akuntansi
Assess control risk at the financial statement level and at the assertion level
Assess Control Risk at the Financial Statement Level
Auditor umumnya menilai tingkat entitas dan pengendalian umum sebelum menilai
pengendalian transaksi (aktivitas pengendalian) dan pengendalian aplikasi TI. Auditor harus
mengevaluasi efektivitas pengendalian umum TI sebelum mengevaluasi pengendalian
aplikasi otomatis atau pengendalian manual yang bergantung pada keluaran TI. Kontrol
umum yang tidak efektif menciptakan potensi salah saji material di semua aplikasi sistem,
terlepas dari kualitas kontrol aplikasi individual. Auditor juga membuat penilaian awal untuk
pengendalian yang mempengaruhi tujuan audit untuk setiap jenis transaksi utama dalam
setiap siklus akuntansi, akun neraca dan presentasi serta pengungkapan dalam setiap siklus.
Assess Control Risk at the Assertion Level
Banyak auditor menggunakan matriks risiko pengendalian untuk membantu proses
penilaian risiko pengendalian pada tingkat asersi. Tujuannya adalah untuk menyediakan cara
yang nyaman untuk mengatur risiko pengendalian untuk setiap asersi dan tujuan audit terkait.
Sebagian besar pengendalian mempengaruhi lebih dari satu tujuan audit, dan seringkali
beberapa pengendalian yang berbeda mempengaruhi tujuan audit tertentu. Matriks berfungsi
sebagai cara yang berguna untuk mengidentifikasi beberapa hubungan. Proses penilaian
risiko pengendalian menggunakan matriks.
1. Identify Audit Objectives (Assertions) : occurrence (validity), completeness,
accuracy, cut-off, classification
2. Identify Specific Relevant Controls
3. Associate Controls With Related Audit Objectives (Assertions)
4. Identify and Evaluate Control Deficiencies, Significant Deficiencies, and Material
Weaknesses
 Control deficiency : desain atau operasi pengendalian tidak mendeteksi dan
mengoreksi salah saji pada waktu yang tepat.
 Significant deficiency : satu atau lebih defisiensi pengendalian yang lebih
ringan daripada kelemahan material (didefinisikan di bawah), dan, menurut
pertimbangan profesional auditor, cukup penting untuk mendapatkan perhatian
pihak yang bertanggung jawab atas tata kelola.
 Material weakness : defisiensi signifikan, dengan sendirinya atau dalam
kombinasi dengan defisiensi signifikan lainnya, menghasilkan kemungkinan
yang wajar bahwa pengendalian internal tidak akan mencegah atau mendeteksi
salah saji keuangan material secara tepat waktu.
5. Associate Control Deficiencies with Related Audit Objective (Assertion)
6. Assess Control Risk for Each Related Audit Objective (Assertion)
The process of designing and performing tests of controls
Purpose of Tests of Controls
Menilai risiko pengendalian mengharuskan auditor untuk mempertimbangkan desain,
implementasi, dan operasi pengendalian untuk mengevaluasi apakah pengendalian tersebut
kemungkinan akan efektif dalam memenuhi berbagai asersi). Jika hasil pengujian
pengendalian mendukung desain dan operasi pengendalian seperti yang diharapkan, auditor
menggunakan risiko pengendalian yang dinilai sama dengan penilaian awal. Namun, jika
pengujian pengendalian menunjukkan bahwa pengendalian tidak beroperasi secara efektif,
risiko pengendalian yang dinilai harus dipertimbangkan kembali.
Procedures for Tests of Controls
Auditor kemungkinan akan menggunakan empat jenis prosedur audit untuk
mendukung efektivitas operasi pengendalian internal utama. Keempat jenis prosedur tersebut
adalah sebagai berikut:
 Membuat pertanyaan dari personil entitas yang tepat
 Periksa dokumen, catatan, dan laporan
 Amati aktivitas terkait kontrol
 Ulangi prosedur klien
Extent of Procedures
Luasnya pengujian pengendalian tergantung pada tingkat risiko pengendalian yang
dinilai sebelumnya. Tingkat pengujian juga tergantung pada frekuensi operasi kontrol, dan
apakah itu manual atau otomatis. Untuk pengendalian manual, auditor akan memilih sampel
transaksi dan menguji apakah pengendalian tersebut beroperasi secara efektif. Untuk kontrol
otomatis, tingkat pengujian yang diperlukan dapat bervariasi. Pendekatan untuk menilai
ketepatan desain dan implementasi pengendalian otomatis :
 Ketergantungan pada bukti dari audit tahun sebelumnya
 Pengujian pengendalian terkait dengan risiko signifikan
 Menguji kurang dari seluruh periode audit
Relationship of Tests of Controls to Procedures to Obtain an Understanding
Jenis prosedur yang Kontrol tinggi: hanya Risiko pengendalian sedang
digunakan memperoleh pemahaman atau rendah: pengujian
pengendalian
Inquiry Ya-luas Ya beberapa
Inspection Ya-dengan panduan transaksi Ya-menggunakan sampling
Observation Ya-dengan panduan transaksi Ya-di beberapa kali
Reperformance Tidak Ya-menggunakan sampling
Understand and assess controls of outsourced systems
Understanding Internal Controls in Outsourced Systems
CAS 402 mengharuskan auditor untuk mempertimbangkan kebutuhan untuk
memperoleh pemahaman dan menguji kontrol pusat layanan jika aplikasi pusat layanan
melibatkan pemrosesan data keuangan yang signifikan. Ketika memperoleh pemahaman dan
menguji pengendalian pusat layanan, auditor harus menggunakan kriteria yang sama yang
digunakan dalam mengevaluasi pengendalian internal klien.
Reliance on Service Centre Auditors
CSAE 3416 memberikan panduan kepada auditor yang mengeluarkan laporan tentang
pengendalian internal organisasi jasa (auditor jasa), sedangkan CAS 402 memberikan
panduan kepada auditor organisasi pengguna (auditor pengguna) yang mengandalkan laporan
auditor jasa. Auditor layanan dapat mengeluarkan dua jenis laporan:
 Laporan tentang deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian
desain pengendalian (disebut sebagai laporan Tipe 1).
 Laporan tentang deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian
desain dan efektivitas operasi pengendalian (disebut sebagai laporan Tipe 2).
Laporan Tipe 1 membantu auditor memperoleh pemahaman tentang pengendalian
internal untuk merencanakan audit. Namun, auditor mungkin juga memerlukan bukti tentang
efektivitas operasi pengendalian untuk menilai risiko pengendalian. Bukti ini dapat:
 Didasarkan pada laporan Tipe 2 dari auditor jasa yang mencakup pengujian
efektivitas operasi pengendalian.
 Berasal dari pengujian kontrol organisasi pengguna atas aktivitas organisasi layanan.
 Dibuat ketika auditor pengguna melakukan pengujian yang sesuai di organisasi jasa.
How control risk impacts detection risk and the design of substantive tests
Cost Effectiveness of Control Tests
Keputusan untuk menguji pengendalian didasarkan pada efektivitas pengendalian dan
apakah pengujian pengendalian tersebut hemat biaya. Melakukan pengujian pengendalian
mungkin lebih hemat biaya daripada melakukan prosedur substantif dalam situasi tertentu.
Jika kontrol otomatis, dan kontrol TI umum efektif, ukuran sampel satu item adalah semua
yang diperlukan. Jika sistem pengendalian dan personel tidak berubah, pengujian
pengendalian internal dapat dibatasi setiap tiga tahun.
When Tests of Controls Are Required
Auditor dapat memilih apakah akan mengandalkan pengendalian yang terkait dengan
kelas transaksi tertentu dan asersi terkait, jika klien bergantung pada sistem yang sangat
otomatis, itu akan diperlukan untuk menguji kontrol mengenai program komputer. Itu karena
keakuratan dan kelengkapan transaksi bergantung pada program komputer yang berfungsi
dengan benar. Dalam hal ini, prosedur substantif saja (misalnya, penghitungan ulang beban
bunga) tidak dapat memberikan bukti yang cukup sehubungan dengan asersi tersebut, dan
auditor tidak memiliki pilihan selain mengandalkan pengendalian internal. Karena auditor
telah membuat keputusan untuk mengandalkan pengendalian internal, mereka harus diuji.
How the complexity of the IT environment impacts control risk assessment and testing
Auditing in More Complex IT Environments
Ketika organisasi memperluas penggunaan TI mereka, kontrol internal, yang hanya
tersedia secara elektronik, sering kali disematkan dalam aplikasi. Ketika dokumen sumber
tradisional seperti faktur, pesanan pembelian, catatan penagihan, dan catatan akuntansi
seperti jurnal penjualan, daftar inventaris, dan catatan anak perusahaan piutang hanya ada
secara elektronik, auditor harus mengubah pendekatan mereka terhadap audit. Pendekatan ini
sering disebut auditing melalui komputer. Auditor menggunakan tiga pendekatan untuk
menguji efektivitas pengendalian otomatis saat mengaudit melalui komputer:
 Test Data Approach
Tiga pertimbangan utama: 1) data pengujian harus mencakup semua kondisi
relevan yang ingin diuji oleh auditor, 2) program aplikasi yang diuji oleh data
pengujian auditor harus sama dengan yang digunakan klien sepanjang tahun, dan 3)
data pengujian harus dihilangkan dari catatan klien.
 Parallel Simulation
 Embedded Audit Module Approach
Changes in the IT System
Auditor perlu memastikan bahwa pengendalian internal sistem baru
didokumentasikan dan dievaluasi, dan audit atas konversi data dilakukan. Dalam hal konversi
data, untuk menentukan prosedur audit, auditor akan melakukan penilaian risiko.
 Pengujian yang membandingkan detail dari sistem baru dengan sistem lama untuk
memverifikasi bahwa hanya informasi resmi yang akurat yang telah dibuat.
 Pengujian membandingkan detail dari sistem lama dengan sistem baru untuk
memastikan akurasi dan tidak ada transaksi yang diabaikan.
 Pengujian pisah batas untuk memastikan bahwa transaksi dimasukkan dalam sistem
yang benar dan tidak dihilangkan.
The auditor’s responsibilities for reporting significant control risks to those in charge of
governance
Menurut CAS 265, auditor diharuskan untuk mengomunikasikan defisiensi
pengendalian yang signifikan secara tertulis kepada "komite audit atau yang setara." Jika
klien tidak memiliki komite audit, maka komunikasi harus ditujukan kepada siapa pun dalam
organisasi yang memiliki tanggung jawab keseluruhan untuk pengendalian internal. Uraian
mengenai defisiensi pengendalian internal dan rekomendasinya biasanya dicantumkan dalam
laporan akhir tahun, atau surat pengendalian internal kepada komite audit. Rekomendasi ini
didiskusikan dengan manajemen untuk menentukan rencana tindakan untuk mengatasi
kekurangan yang dicatat dalam laporan, pengendalian internal yang kurang signifikan, serta
peluang bagi klien untuk melakukan perbaikan operasional.
The difference in the scope of control testing for an audit opinion on the effectiveness of
controls over financial reporting versus an audit opinion for financial statements
Laporan penilaian manajemen atas pengendalian internal diwajibkan oleh Bagian
404(b) Sarbanes-Oxley Act tahun 2002. Bagian 5925 dari CPA Canada Handbook—“Audit
pengendalian internal atas pelaporan keuangan yang dilakukan yang terintegrasi dengan audit
laporan keuangan”—secara substansial setara dengan standar AS. Ruang lingkup Bagian
404(b) penilaian pengendalian internal berbeda dari ruang lingkup penilaian pengendalian
internal diperlukan untuk audit laporan keuangan. Karena auditor memberikan opini tentang
efektivitas pengendalian internal yang telah dinilai oleh manajemen, auditor memperoleh
pemahaman dan melaksanakan pengujian pengendalian untuk semua saldo akun, golongan
transaksi, dan pengungkapan yang signifikan serta asersi terkait dalam laporan keuangan.
Hanya pengendalian yang direncanakan oleh auditor untuk diandalkan (risiko pengendalian
dinilai di bawah maksimum) yang diuji.

RQ
9-1 What is the auditor’s responsibility for obtaining an understanding of internal
control?
Dalam semua audit, auditor harus memperoleh pemahaman tentang pengendalian
internal yang cukup untuk merencanakan audit dengan melaksanakan prosedur untuk
memahami desain pengendalian yang relevan dengan audit atas laporan keuangan dan
menentukan apakah pengendalian tersebut telah dilaksanakan dan juga untuk
mengidentifikasi dan menilai risiko salah saji material.
9-2 What is a walk-through of internal control? What is its purpose?
Walk-through adalah penelusuran transaksi yang dipilih melalui sistem akuntansi
untuk menentukan bahwa pengendalian sudah ada. Dalam panduan pengendalian internal,
auditor memilih satu atau beberapa dokumen untuk memulai jenis transaksi dan
menelusurinya melalui seluruh proses akuntansi. Pada setiap tahap pemrosesan, auditor
membuat permintaan keterangan dan mengamati aktivitas saat ini, selain memeriksa
dokumentasi yang lengkap untuk transaksi yang dipilih. Dengan demikian, auditor
menggabungkan observasi, inspeksi, dan penyelidikan untuk melakukan penelusuran
pengendalian internal. Standar audit PCAOB mengharuskan auditor untuk melakukan
setidaknya satu panduan untuk setiap kelas transaksi utama
9-3 1 Distinguish between obtaining an understanding of internal control and assessing
control risk. Also, explain the methodology the auditor uses for each.
Obtaining an Understanding of Internal Control
CAS 315 mengharuskan auditor memperoleh dan mendokumentasikan pemahaman
tentang pengendalian internal dan mengevaluasi efektivitas dan implementasi desain. Metode
yang dapat digunakan berupa : narrative, flowchart, dan internal control questionnaire.
Assessing Control Risk
Setelah memperoleh pemahaman tentang pengendalian internal, auditor membuat
penilaian risiko pengendalian sebagai bagian dari penilaian keseluruhan risiko salah saji
material. Penilaian ini adalah ukuran ekspektasi auditor bahwa pengendalian internal akan
mencegah terjadinya salah saji material atau mendeteksi dan mengoreksinya jika salah saji
terjadi. Metode yang dapat digunakan antara lain:
a. Assess Control Risk at the Financial Statement Level
 Mengevaluasi efektivitas pengendalian umum TI
 Membuat penilaian awal untuk pengendalian yang mempengaruhi tujuan audit
b. Assess Control Risk at the Assertion Level
 Matriks risiko pengendalian
9-6 Explain what is meant by “significant deficiencies” as they relate to internal control.
What should the auditor do when he or she has discovered significant deficiencies in
internal control?
Defisiensi signifikan adalah defisiensi, atau kombinasi defisiensi, dalam pengendalian
internal yang lebih ringan daripada kelemahan material, namun cukup penting untuk
diperhatikan oleh pihak yang bertanggung jawab atas tata kelola. Auditor tidak boleh
mengeluarkan komunikasi tertulis yang menyatakan bahwa tidak ada kekurangan signifikan
yang diidentifikasi selama audit.
9-10 Your client has outsourced most of the accounting information systems to a third-
party data centre. What impact would this have on your audit of the financial
statements?
 Fakta bahwa klien Anda telah mengalihdayakan sebagian besar sistem informasi
akuntansinya ke pusat data pihak ketiga tidak mengubah tanggung jawab profesional Anda.
Salah satu prinsip yang mendasari standar audit mengharuskan auditor untuk memperoleh
pemahaman tentang pengendalian internal dalam semua audit. Dengan demikian, auditor
perlu melakukan prosedur untuk memperoleh informasi guna memberikan pemahaman
tentang pengendalian internal yang mungkin berada di pusat data. Auditor akan sangat
diuntungkan dari laporan auditor jasa, jika tersedia. Karena klien telah mengalihdayakan
sebagian besar sistem informasi akuntansi, auditor kemungkinan besar akan mengidentifikasi
pengendalian yang dapat mendukung penilaian risiko pengendalian yang lebih rendah yang
harus diuji. Entah auditor dapat memutuskan untuk melakukan pengujian mereka sendiri atas
pengendalian tersebut atau mereka mungkin dapat memperoleh Laporan auditor jasa tentang
Deskripsi Manajemen Sistem Organisasi Jasa dan Kesesuaian Desain dan Efektivitas Operasi
Pengendalian (disebut sebagai Tipe 2 laporan).