AKUNTAN PUBLIK
Hak cipta dilindungi undang-undang. Dilarang memperbanyak sebagian atau seluruh isi buku ini
dalam bentuk apapun, baik secara elektronik maupun mekanik, termasuk memfotocopi, merekam,
atau dengan menggunakan sistem penyimpanan lainnya, tanpa izin tertulis dari Institut Akuntan
Publik Indonesia.
ISBN: XXX-XXX-XXXXX-X-X
ii
Pertimbangan Audit Terkait dengan
Entitas yang Menggunakan Suatu Organisasi Jasa
PENGANTAR
SA 402 (Revisi 2021), “Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu
Organisasi Jasa” telah disetujui oleh Dewan Standar Profesional Akuntan Publik I pada
tanggal 13 Juli 2021 dan berlaku efektif untuk audit atas laporan keuangan untuk periode yang
dimulai pada atau setelah tanggal 1 Januari 2022.
SA 402 (Revisi 2021) merupakan adopsi dari International Standards on Auditing (ISA)
sebagaimana yang tercantum dalam “Handbook of International Quality Control, Auditing,
Review, Other Assurance, and Related Services Pronouncements – 2018 Edition” yang
diterbitkan oleh International Auditing and Assurance Standards Board (IAASB) – International
Federation of Accountants (IFAC).
Dewan Pengurus Institut Akuntan Publik Indonesia telah menetapkan dan mengesahkan SA
402 (Revisi 2021), “Pertimbangan Audit Terkait dengan Entitas yang Menggunakan Suatu
Organisasi Jasa” dan berlaku efektif untuk audit atas laporan keuangan untuk periode yang
dimulai pada atau setelah tanggal 1 Januari 2022.
Penetapan dan pengesahan SA 402 (Revisi 2021) oleh Dewan Pengurus, berdasar kepada
persetujuan Dewan Standar Profesional Akuntan Publik I pada tanggal 13 Juli 2021.
DAFTAR ISI
Paragraf
Pendahuluan
Ruang Lingkup............................................................................................... 1-5
Tanggal Efektif ............................................................................................... 6
Tujuan .......................................................................................................... 7
Definisi ........................................................................................................ 8
Ketentuan
Pemerolehan Pemahaman atas Jasa yang Disediakan oleh Organisasi Jasa,
Termasuk Pengendalian Internal ........................................................... 9-14
Respons terhadap Risiko yang Telah Dinilai atas Kesalahan Penyajian
Material .................................................................................................. 15-17
Laporan Tipe 1 dan Tipe 2 yang Tidak Mencantumkan Jasa Organisasi
Subjasa.................................................................................................. 18
Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-Undangan, dan
Kesalahan Penyajian yang Tidak Dikoreksi Berkaitan dengan Aktivitas
di Organisasi Jasa ................................................................................. 19
Pelaporan oleh Auditor Pengguna ................................................................. 20-22
Materi Penerapan dan Penjelasan Lain
Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Organisasi
Jasa, Termasuk Pengendalian Internal .................................................. A1-A23
Respons terhadap Risiko yang Telah Dinilai atas Kesalahan Penyajian
Material .................................................................................................. A24-A39
Laporan Tipe 1 dan Tipe 2 yang Tidak Mencantumkan Jasa Organisasi
Subjasa.................................................................................................. A40
Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-Undangan, dan
Kesalahan Penyajian yang Tidak Dikoreksi Berkaitan dengan Aktivitas
di Organisasi Jasa ................................................................................. A41
Pelaporan oleh Auditor Pengguna ................................................................. A42-A44
Standar Audit (SA) 402 (Revisi 2021), “Pertimbangan Audit Terkait dengan Entitas yang
Menggunakan suatu Organisasi Jasa” harus dibaca bersamaan dengan SA 200 (Revisi
2021), “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit Berdasarkan
Standar Audit”.
(Sengaja Dikosongkan)
1 Pendahuluan
2
3 Ruang Lingkup
4
5 1. Standar Audit (SA) ini mengatur tentang tanggung jawab auditor pengguna untuk
6 memeroleh bukti audit yang cukup dan tepat ketika suatu entitas pengguna
7 memanfaatkan jasa dari satu atau lebih organisasi jasa. Secara spesifik, standar ini
8 menjelaskan tentang bagaimana auditor pengguna menerapkan SA 315 (Revisi
9 2021)1 dan SA 330 (Revisi 2021)2 dalam memeroleh pemahaman tentang entitas
10 pengguna, termasuk pengendalian internal yang relevan dengan audit, yang cukup
11 untuk mengidentifikasi dan menilai risiko adanya kesalahan penyajian material dan
12 dalam mendesain dan melaksanakan prosedur audit lanjutan sebagai respons
13 terhadap risiko tersebut.
14
15 2. Banyak entitas melakukan outsource aspek-aspek bisnisnya kepada organisasi
16 penyedia jasa, mulai dari pelaksanaan tugas spesifik di bawah arahan suatu entitas
17 sampai dengan penggantian keseluruhan unit atau fungsi bisnis suatu entitas, seperti
18 fungsi kepatuhan perpajakan. Banyak jasa yang disediakan oleh organisasi
19 semacam itu yang merupakan bagian integral dari kegiatan operasi bisnis entitas;
20 namun, tidak semua jasa tersebut relevan dengan audit.
21
22 3. Jasa yang diberikan oleh organisasi jasa relevan dengan audit atas laporan
23 keuangan entitas pengguna ketika jasa tersebut, dan pengendalian terhadap jasa
24 tersebut, merupakan bagian dari sistem informasi entitas pengguna, termasuk
25 proses bisnis yang terkait, yang relevan dengan pelaporan keuangan. Walaupun
26 sebagian besar pengendalian di organisasi jasa kemungkinan besar berhubungan
27 dengan pelaporan keuangan, ada kemungkinan terdapat pengendalian lain yang
28 relevan dengan audit, seperti pengendalian atas pengamanan aset. Jasa suatu
29 organisasi jasa yang merupakan bagian dari sistem informasi entitas pengguna,
30 termasuk proses bisnis yang terkait, relevan dengan pelaporan keuangan jika jasa
31 tersebut berdampak terhadap salah satu di bawah ini:
32 (a) Golongan transaksi dalam entitas pengguna yang signifikan terhadap laporan
33 keuangan entitas pengguna;
34 (b) Prosedur, dalam teknologi informasi (TI) maupun sistem manual, yang dengan
35 itu transaksi entitas pengguna dimulai, dicatat, diproses, dikoreksi, ditransfer
36 ke buku besar, dan dilaporkan dalam laporan keuangan;
37 (c) Catatan akuntansi yang terkait, baik dalam bentuk elektronik maupun manual,
38 informasi pendukung dan akun-akun spesifik dalam laporan keuangan entitas
39 pengguna yang digunakan untuk memulai, mencatat, memproses, dan
40 melaporkan transaksi entitas pengguna; termasuk pengoreksian atas informasi
41 yang tidak benar dan cara pentransferan informasi ke buku besar;
42 (d) Bagaimana sistem informasi entitas pengguna mencatat peristiwa dan kondisi,
43 selain transaksi, yang signifikan terhadap laporan keuangan;
1 SA 315 (Revisi 2021), “Pengidentifikasian dan Penilaian Risiko Kesalahan Penyajian Material
Melalui Pemahaman atas Entitas dan Lingkungannya”.
2 SA 330 (Revisi 2021), “Respons Auditor terhadap Risiko yang Telah Dinilai”.
1 (i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang
2 sistem yang dimiliki oleh organisasi jasa, tujuan pengendalian dan
3 pengendalian terkait yang telah didesain dan diimplementasikan pada
4 tanggal tertentu; dan
5 (ii) Suatu laporan dari auditor jasa yang bertujuan untuk menyampaikan
6 keyakinan memadai yang mencakup opini auditor jasa terhadap deskripsi
7 sistem pada organisasi jasa, tujuan pengendalian dan pengendalian
8 terkait, dan kesesuaian desain pengendalian untuk mencapai tujuan
9 pengendalian yang telah ditentukan.
10 (c) Laporan tentang deskripsi, desain, dan efektivitas operasi pengendalian dalam
11 suatu organisasi jasa (dalam SA ini disebut sebagai laporan tipe 2): Sebuah
12 laporan yang berisi:
13 (i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang
14 sistem dalam organisasi jasa, tujuan pengendalian dan pengendalian-
15 pengendalian yang terkait, desain dan implementasi pengendalian
16 tersebut pada tanggal atau sepanjang periode tertentu dan, dalam
17 beberapa kasus, efektivitas operasi pengendalian tersebut sepanjang
18 periode tertentu; dan
19 (ii) Suatu laporan yang disusun oleh auditor jasa dengan tujuan untuk
20 menyampaikan keyakinan memadai yang mencakup:
21 a. Opini auditor jasa terhadap deskripsi sistem organisasi jasa, tujuan
22 pengendalian dan pengendalian-pengendalian yang terkait,
23 kesesuaian desain pengendalian untuk mencapai tujuan
24 pengendalian yang telah ditentukan, dan efektivitas operasi
25 pengendalian; dan
26 b. Suatu deskripsi tentang pengujian pengendalian yang
27 dilaksanakan oleh auditor jasa dan hasilnya.
28 (d) Auditor jasa: Seorang auditor yang, atas permintaan organisasi jasa,
29 menyediakan laporan asurans atas pengendalian suatu organisasi jasa.
30 (e) Organisasi jasa: Suatu organisasi pihak ketiga (atau segmen suatu organisasi
31 pihak ketiga) yang menyediakan jasa kepada entitas pengguna yang
32 merupakan bagian sistem informasi organisasi entitas tersebut yang relevan
33 dengan pelaporan keuangan.
34 (f) Sistem organisasi jasa: Kebijakan dan prosedur yang didesain,
35 diimplementasikan, dan dipelihara oleh organisasi jasa untuk menyediakan
36 jasa yang tercakup dalam laporan auditor jasa kepada entitas pengguna.
37 (g) Organisasi subjasa: Suatu organisasi jasa yang digunakan oleh organisasi jasa
38 lain untuk melaksanakan beberapa jasa bagi entitas pengguna yang menjadi
39 bagian sistem informasi entitas pengguna tersebut yang relevan dengan
40 pelaporan keuangan.
41 (h) Auditor pengguna: Seorang auditor yang melaksanakan audit dan membuat
42 laporan audit atas laporan keuangan suatu entitas pengguna.
43 (i) Entitas pengguna: Suatu entitas yang menggunakan suatu organisasi jasa dan
44 yang laporan keuangannya diaudit.
45
46
47
1 Ketentuan
2
3 Pemerolehan Pemahaman atas Jasa yang Disediakan oleh Organisasi Jasa, Termasuk
4 Pengendalian Internal
5
6 9. Ketika pemerolehan pemahaman atas entitas pengguna berdasarkan SA 315 (Revisi
7 2021),3 auditor pengguna harus memeroleh suatu pemahaman tentang bagaimana
8 entitas pengguna memanfaatkan jasa organisasi jasa dalam kegiatan operasi entitas
9 pengguna, termasuk: (Ref: Para. A1-A2)
10 (a) Sifat jasa yang disediakan oleh organisasi jasa dan signifikansi jasa tersebut
11 bagi entitas pengguna, termasuk dampak jasa tersebut terhadap pengendalian
12 internal entitas pengguna; (Ref: Para. A3-A5)
13 (b) Sifat dan materialitas transaksi yang diproses atau akun-akun atau proses
14 pelaporan keuangan yang dipengaruhi oleh organisasi jasa; (Ref: Para. A6)
15 (c) Tingkat interaksi antara aktivitas organisasi jasa dan aktivitas entitas
16 pengguna; dan (Ref: Para. A7)
17 (d) Sifat hubungan antara entitas pengguna dan organisasi jasa, termasuk
18 ketentuan perjanjian yang relevan untuk aktivitas yang dijalankan oleh
19 organisasi jasa. (Ref: Para. A8-A11)
20
21 10. Ketika pemerolehan suatu pemahaman atas pengendalian internal yang relevan
22 dengan audit berdasarkan SA 315 (Revisi 2021),4 auditor pengguna harus
23 mengevaluasi desain dan implementasi pengendalian yang relevan di entitas
24 pengguna yang berhubungan dengan jasa yang diberikan oleh organisasi jasa,
25 termasuk pengendalian yang diterapkan terhadap transaksi yang diproses oleh
26 organisasi jasa. (Ref: Para. A12-A14)
27
28 11. Auditor pengguna harus menentukan apakah suatu pemahaman yang memadai
29 tentang sifat dan signifikansi jasa yang disediakan oleh organisasi jasa dan
30 dampaknya terhadap pengendalian internal entitas pengguna yang relevan dengan
31 audit telah diperoleh untuk menyediakan suatu dasar untuk mengidentifikasi dan
32 menilai risiko kesalahan penyajian material.
33
34 12. Ketika auditor pengguna tidak mampu memeroleh pemahaman yang cukup dari
35 entitas pengguna, auditor pengguna harus memeroleh pemahaman dari satu atau
36 beberapa prosedur berikut:
37 (a) Memeroleh laporan tipe 1 atau tipe 2, jika tersedia;
38 (b) Menghubungi organisasi jasa, melalui entitas pengguna, untuk memeroleh
39 informasi spesifik;
40 (c) Mengunjungi organisasi jasa dan melaksanakan prosedur yang akan
41 menyediakan informasi yang diperlukan tentang pengendalian yang relevan
42 pada organisasi jasa; atau
43 (d) Menggunakan auditor lain untuk melaksanakan prosedur yang akan
44 menyediakan informasi yang diperlukan tentang pengendalian yang relevan
45 pada organisasi jasa. (Ref: Para. A15-A20)
1 Penggunaan Suatu Laporan Tipe 1 atau Tipe 2 untuk Mendukung Pemahaman Auditor
2 Pengguna Tentang Organisasi Jasa
3
4 13. Dalam menentukan kecukupan dan ketepatan bukti audit yang disediakan oleh suatu
5 laporan tipe 1 atau tipe 2, auditor pengguna harus puas atas:
6 (a) Kompetensi profesional auditor jasa dan independensi terhadap organisasi
7 jasa; dan
8 (b) Kecukupan standar yang dipakai sebagai acuan laporan tipe 1 atau tipe 2 yang
9 dikeluarkan. (Ref: Para. A21)
10
11 14. Ketika auditor pengguna merencanakan untuk menggunakan laporan tipe 1 atau tipe
12 2 sebagai bukti audit untuk mendukung pemahaman auditor pengguna tentang
13 desain dan implementasi pengendalian di organisasi jasa, auditor pengguna harus
14 melakukan hal-hal sebagai berikut:
15 (a) Mengevaluasi apakah deskripsi dan desain pengendalian dalam organisasi
16 jasa pada suatu tanggal atau suatu periode telah tepat untuk tujuan auditor
17 pengguna;
18 (b) Mengevaluasi kecukupan dan ketepatan bukti yang disediakan oleh laporan
19 untuk memahami pengendalian internal entitas pengguna yang relevan dengan
20 audit; dan
21 (c) Menentukan apakah pengendalian pelengkap entitas pengguna yang
22 diidentifikasi oleh organisasi jasa adalah relevan bagi entitas pengguna dan,
23 jika demikian, memeroleh pemahaman apakah entitas pengguna telah
24 mendesain dan mengimplementasikan pengendalian tersebut. (Ref: Para.
25 A22-A23)
26
27 Respons terhadap Risiko yang Telah Dinilai atas Kesalahan Penyajian Material
28
29 15. Dalam merespons risiko yang telah dinilai berdasarkan SA 330 (Revisi 2021), auditor
30 pengguna harus melakukan hal-hal sebagai berikut:
31 (a) Menentukan apakah kecukupan dan ketepatan bukti audit tentang asersi
32 laporan keuangan yang relevan tersedia dari catatan yang ada di tangan
33 entitas pengguna; dan, jika tidak,
34 (b) Melaksanakan prosedur audit lanjutan untuk memeroleh bukti audit yang cukup
35 dan tepat atau menggunakan auditor lain untuk melaksanakan prosedur
36 tersebut di organisasi jasa bagi kepentingan auditor pengguna. (Ref: Para.
37 A24-A28)
38
39 Pengujian Pengendalian
40
41 16. Ketika penilaian risiko auditor pengguna memasukkan suatu harapan bahwa
42 pengendalian di organisasi jasa telah beroperasi secara efektif, auditor pengguna
43 harus memeroleh bukti audit mengenai efektivitas operasi pengendalian yang
44 dijalankan tersebut dari satu atau beberapa prosedur berikut:
45 (a) Memeroleh laporan tipe 2, jika tersedia;
46 (b) Melaksanakan pengujian pengendalian yang tepat di organisasi jasa; atau
47 (c) Menggunakan auditor lain untuk melaksanakan pengujian pengendalian di
48 organisasi jasa bagi kepentingan auditor pengguna. (Ref: Para. A29-A30)
1 Penggunaan Suatu Laporan Tipe 2 sebagai Bukti Audit Bahwa Pengendalian di Organisasi
2 Jasa Beroperasi Secara Efektif
3
4 17. Ketika, berdasarkan paragraf 16(a), auditor pengguna merencanakan untuk
5 menggunakan laporan tipe 2 sebagai bukti audit bahwa pengendalian di organisasi
6 jasa beroperasi secara efektif, auditor pengguna harus menentukan apakah laporan
7 auditor pengguna menyediakan bukti audit yang cukup dan tepat tentang efektivitas
8 pengendalian untuk mendukung penilaian risiko auditor pengguna dengan:
9 (a) Mengevaluasi apakah deskripsi, desain, dan efektivitas operasi pengendalian
10 di organisasi jasa pada suatu tanggal atau suatu periode sesuai dengan tujuan
11 auditor pengguna;
12 (b) Menentukan apakah pengendalian pelengkap entitas pengguna yang
13 diidentifikasi oleh organisasi jasa relevan dengan entitas pengguna dan, jika
14 demikian, memeroleh suatu pemahaman apakah entitas pengguna telah
15 mendesain dan mengimplementasikan pengendalian tersebut dan, jika
16 demikian, menguji efektivitas operasi pengendalian tersebut;
17 (c) Mengevaluasi kecukupan periode waktu yang dicakup oleh pengujian
18 pengendalian dan waktu yang berlalu sejak pelaksanaan pengujian
19 pengendalian tersebut; dan
20 (d) Mengevaluasi apakah pengujian pengendalian dilaksanakan oleh auditor jasa
21 dan hasilnya, seperti dijelaskan dalam laporan auditor jasa, relevan dengan
22 asersi dalam laporan keuangan entitas pengguna, dan menyediakan bukti audit
23 yang cukup dan tepat untuk mendukung penilaian risiko auditor pengguna.
24 (Ref: Para. A31-A39)
25
26 Laporan Tipe 1 dan Tipe 2 yang Tidak Mencantumkan Jasa Organisasi Subjasa
27
28 18. Apabila auditor pengguna merencanakan untuk menggunakan laporan tipe 1 atau
29 tipe 2 yang tidak mencantumkan jasa yang disediakan oleh organisasi subjasa dan
30 jasa tersebut relevan dengan audit atas laporan keuangan entitas pengguna, auditor
31 pengguna harus menerapkan ketentuan SA ini sesuai dengan jasa yang disediakan
32 oleh organisasi subjasa. (Ref: Para. A40)
33
34 Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-Undangan dan Kesalahan
35 Penyajian yang Tidak Dikoreksi Berkaitan dengan Aktivitas di Organisasi Jasa
36
37 19. Auditor pengguna harus meminta keterangan kepada manajemen entitas pengguna
38 apakah organisasi jasa telah melaporkan kepada entitas pengguna, atau apakah
39 entitas pengguna menyadari adanya kecurangan, ketidakpatuhan terhadap
40 peraturan perundang-undangan, atau kesalahan penyajian yang tidak dikoreksi yang
41 memengaruhi laporan keuangan entitas pengguna. Auditor pengguna harus
42 mengevaluasi bagaimana hal-hal tersebut memengaruhi sifat, saat, dan luas
43 prosedur audit lanjutan, termasuk dampak terhadap kesimpulan dan laporan auditor
44 pengguna. (Ref: Para. A41)
5 SA 705 (Revisi 2021), “Modifikasi terhadap Opini dalam Laporan Auditor Independen”, paragraf
6.
1 disediakan oleh organisasi jasa. Hal ini secara khusus dapat bermanfaat jika jasa
2 dan pengendalian pada organisasi jasa atas jasa tersebut mempunyai standar yang
3 tinggi.
4
5 Sifat Jasa yang Disediakan oleh Organisasi Jasa (Ref: Para. 9(a))
6
7 A3. Suatu entitas pengguna dapat menggunakan organisasi jasa seperti memproses
8 transaksi dan menjaga akuntabilitasnya, atau mencatat transaksi dan memproses
9 data terkait. Organisasi jasa yang menyediakan jasa seperti itu mencakup, sebagai
10 contoh, trust department bank yang menginvestasikan dan memberikan jasa aset
11 untuk imbalan karyawan atau untuk pihak lain; bankir yang memberikan jasa hipotik
12 untuk pihak lain; dan penyedia jasa aplikasi yang menyediakan paket aplikasi
13 perangkat lunak dan sebuah lingkungan teknologi yang membantu pelanggan untuk
14 memproses transaksi operasi dan keuangan.
15
16 A4. Contoh jasa yang disediakan oleh organisasi jasa yang relevan dengan audit
17 mencakup:
18 • Menyelenggarakan catatan akuntansi entitas pengguna.
19 • Manajemen aset.
20 • Penciptaan, pencatatan, atau pemrosesan transaksi sebagai agen entitas
21 pengguna.
22
23 Pertimbangan Spesifik atas Entitas yang Lebih Kecil
24
25 A5. Entitas lebih kecil dapat menggunakan jasa pembukuan dari pihak luar, mulai dari
26 pemrosesan transaksi tertentu (sebagai contoh: pembayaran pajak atas gaji) dan
27 penyelenggaraan catatan akuntansi sampai dengan penyusunan laporan keuangan.
28 Penggunaan suatu organisasi jasa tersebut untuk penyusunan laporan keuangan
29 tidak membebaskan manajemen entitas lebih kecil, dan jika berlaku, pihak yang
30 bertanggung jawab atas tata kelola, dari tangggung jawabnya terhadap laporan
31 keuangan yang dihasilkan.6
32
33 Sifat dan Materialitas Transaksi yang Diproses oleh Organisasi Jasa (Ref: Para. 9(b))
34
35 A6. Suatu organisasi jasa dapat menetapkan kebijakan dan prosedur yang berdampak
36 atas pengendalian internal entitas pengguna. Kebijakan dan prosedur ini paling tidak,
37 secara fisik dan secara operasional, terpisah dari entitas pengguna. Signifikansi
38 pengendalian organisasi jasa terhadap pengendalian entitas pengguna bergantung
39 pada sifat transaksi yang disediakan oleh organisasi jasa, termasuk sifat dan
40 materialitas transaksi yang diproses untuk entitas pengguna. Dalam situasi tertentu,
41 transaksi yang diproses dan akun yang dipengaruhi oleh organisasi jasa mungkin
42 tidak tampak material bagi laporan keuangan entitas pengguna, namun sifat
43 transaksi yang diproses mungkin signifikan dan kondisi tersebut auditor pengguna
44 dapat menetapkan bahwa pemahaman atas pengendalian tersebut diperlukan dalam
45 kondisi tersebut.
6 SA 200 (Revisi 2021), “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit
Berdasarkan Standar Audit”, paragraf 4 dan A4-A5.
1 Tingkat Interaksi antara Aktivitas Organisasi Jasa dan Entitas Pengguna (Ref: Para. 9(c))
2
3 A7. Signifikansi pengendalian organisasi jasa terhadap pengendalian entitas pengguna
4 juga bergantung pada tingkat interaksi antara aktivitas organisasi jasa dan entitas
5 pengguna jasa. Tingkat interaksi mengacu pada seberapa luas entitas pengguna
6 dapat melakukan dan memilih untuk mengimplementasikan pengendalian yang
7 efektif atas pemrosesan yang dilakukan oleh organisasi jasa. Sebagai contoh, suatu
8 tingkat interaksi yang tinggi terjadi antara aktivitas entitas pengguna dan aktivitas
9 organisasi jasa pada waktu entitas pengguna mengotorisasi transaksi dan organisasi
10 jasa memproses dan melaksanakan akuntansi transaksi tersebut. Dalam kondisi ini,
11 lebih praktis bagi entitas pengguna untuk mengimplementasikan pengendalian yang
12 efektif atas transaksi ini. Di lain pihak, pada waktu organisasi jasa menciptakan atau
13 memulai pencatatan, pemrosesan, dan melakukan akuntansi untuk transaksi entitas
14 pengguna, terdapat tingkat interaksi yang rendah antara kedua organisasi tersebut.
15 Dalam kondisi ini, entitas pengguna mungkin tidak dapat melakukan, atau mungkin
16 memilih untuk tidak melakukan, implementasi pengendalian yang efektif terhadap
17 transaksi ini pada entitas pengguna dan mungkin mengandalkan pengendalian pada
18 organisasi jasa.
19
20 Sifat Hubungan antara Entitas Pengguna dan Organisasi Jasa (Ref: Para. 9(d))
21
22 A8. Kontrak atau perjanjian tingkat jasa antara entitas pengguna dan organisasi jasa
23 dapat menyediakan hal-hal sebagai berikut:
24 • Informasi yang disediakan untuk entitas pengguna dan tanggung jawab untuk
25 menciptakan transaksi yang terkait dengan aktivitas yang dilaksanakan oleh
26 organisasi jasa;
27 • Penerapan ketentuan regulator tentang bentuk catatan yang harus dipelihara,
28 atau akses terhadap catatan tersebut;
29 • Ganti rugi, jika ada, yang disediakan bagi entitas pengguna jika terjadi
30 kegagalan dalam suatu pelaksanaan kontrak atau perjanjian tingkat jasa;
31 • Apakah organisasi jasa akan menyediakan suatu laporan atas
32 pengendaliannya dan, jika demikian, apakah laporan tersebut adalah laporan
33 tipe 1 atau tipe 2;
34 • Apakah auditor pengguna berhak untuk mengakses catatan akuntansi entitas
35 pengguna yang dipelihara oleh organisasi jasa dan informasi lain yang
36 diperlukan untuk pelaksanaan audit; dan
37 • Apakah perjanjian mengizinkan komunikasi langsung antara auditor pengguna
38 dan auditor jasa.
39
40 A9. Terdapat suatu hubungan langsung antara organisasi jasa dan entitas pengguna dan
41 antara organisasi jasa dan auditor jasa. Hubungan ini tidak perlu menciptakan suatu
42 hubungan langsung antara auditor pengguna dan auditor jasa. Ketika tidak terdapat
43 hubungan langsung antara auditor pengguna dan auditor jasa, komunikasi antara
44 auditor pengguna dan auditor jasa biasanya dilakukan melalui entitas pengguna dan
45 organisasi jasa. Suatu hubungan langsung juga dapat diciptakan antara auditor
46 pengguna dan auditor jasa, dengan mempertimbangkan etika yang relevan dan
47 pertimbangan tentang kerahasiaan. Sebagai contoh, auditor pengguna dapat
1 A14. Sebagaimana yang dicantumkan dalam SA 315 (Revisi 2021),7 dalam hubungannya
2 dengan beberapa risiko, auditor pengguna dapat mempertimbangkan bahwa tidak
3 mungkin atau tidak praktis untuk memeroleh bukti audit yang cukup dan tepat hanya
4 dari prosedur substantif. Risiko tersebut mungkin terkait dengan ketidakakuratan
5 atau ketidaklengkapan pencatatan golongan transaksi yang rutin dan signifikan dan
6 saldo akun, yang karakteristiknya sering kali memerlukan pemrosesan otomatis yang
7 tinggi dengan sedikit atau tanpa intervensi secara manual. Karakteristik pemrosesan
8 otomatis seperti itu mungkin ada pada saat entitas pengguna memanfaatkan
9 organisasi jasa. Dalam kasus seperti ini, pengendalian entitas pengguna atas risiko
10 tersebut relevan dengan audit dan auditor pengguna perlu memeroleh pemahaman
11 tentang, dan mengevaluasi, pengendalian-pengendalian tersebut yang sesuai
12 dengan paragraf 9 dan 10 SA ini.
13
14 Prosedur Lanjutan Jika Pemahaman yang Memadai Tidak Dapat Diperoleh dari Entitas
15 Pengguna (Ref: Para. 12)
16
17 A15. Keputusan auditor pengguna tentang prosedur yang akan diambil, secara individual
18 atau dalam kombinasi, dalam paragraf 12, dalam rangka memeroleh informasi yang
19 diperlukan untuk menyediakan suatu dasar untuk mengidentifikasi dan menilai risiko
20 kesalahan penyajian material sehubungan dengan penggunaan organisasi jasa oleh
21 entitas pengguna, dapat dipengaruhi oleh hal-hal sebagai berikut:
22 • Ukuran entitas pengguna dan organisasi jasa;
23 • Kompleksitas transaksi di entitas pengguna dan kompleksitas jasa yang
24 disediakan oleh organisasi jasa;
25 • Lokasi organisasi jasa (sebagai contoh: auditor pengguna dapat memutuskan
26 untuk menggunakan auditor lain untuk melaksanakan prosedur di organisasi
27 jasa untuk kepentingan auditor pengguna jika organisasi jasa terletak di lokasi
28 yang jauh);
29 • Apakah prosedur diharapkan secara efektif menyediakan bukti audit yang
30 cukup dan tepat untuk auditor pengguna; dan
31 • Sifat hubungan antara entitas pengguna dan organisasi jasa.
32
33 A16. Suatu organisasi jasa dapat melakukan perikatan dengan auditor jasa untuk
34 melaporkan penjelasan dan desain pengendaliannya (laporan tipe 1) atau penjelasan
35 dan desain pengendalian dan efektivitas operasi pengendalian (laporan tipe 2).
36 Laporan tipe 1 atau tipe 2 dapat dikeluarkan berdasarkan Standar Perikatan Asurans
37 Lain (SPA) 34028 atau berdasarkan standar yang ditetapkan oleh organisasi
38 berwenang atau badan pembuat standar yang telah diakui (yang dapat
39 mengidentifikasi lewat berbagai nama, seperti laporan tipe A atau tipe B).
40
41 A17. Ketersediaan laporan tipe 1 atau tipe 2 biasanya bergantung pada apakah perjanjian
42 antara organisasi jasa dan entitas pengguna mencakup penyediaan laporan tersebut
43 oleh organisasi jasa. Organisasi jasa dapat juga memilih, dengan alasan praktis,
44 untuk menyediakan laporan tipe 1 atau tipe 2 bagi entitas pengguna. Namun
1 demikian, dalam beberapa kondisi, laporan tipe 1 atau tipe 2 mungkin tidak tersedia
2 bagi entitas pengguna.
3
4 A18. Dalam beberapa kondisi, suatu entitas pengguna dapat melakukan alih daya
5 (outsource) satu atau beberapa unit atau fungsi bisnis yang signifikan, seperti seluruh
6 fungsi perencanaan dan kepatuhan pajak, atau fungsi keuangan dan akuntansi atau
7 fungsi pengawasan ke satu atau beberapa organisasi jasa. Oleh karena laporan
8 tentang pengendalian di organisasi jasa mungkin tidak tersedia dalam kondisi seperti
9 ini, kunjungan ke organisasi jasa adalah prosedur yang paling efektif bagi auditor
10 pengguna untuk menambah pemahaman atas pengendalian di organisasi jasa,
11 karena adanya kemungkinan terjadinya interaksi langsung antara manajemen entitas
12 pengguna dan manajemen organisasi jasa.
13
14 A19. Auditor lain mungkin terbiasa melaksanakan prosedur yang akan menyediakan
15 informasi yang diperlukan tentang pengendalian yang relevan di organisasi jasa. Jika
16 laporan tipe 1 atau tipe 2 telah diterbitkan, auditor pengguna dapat menggunakan
17 auditor jasa untuk melaksanakan prosedur-prosedur ini karena auditor jasa telah
18 memiliki hubungan dengan organisasi jasa. Auditor pengguna yang menggunakan
19 pekerjaan auditor lain dapat menggunakan panduan dalam SA 600 (Revisi 2021)9
20 karena berkaitan dengan upaya untuk memahami auditor lain (termasuk
21 independensi dan kompetensi profesional auditor tersebut), keterlibatan pada
22 pekerjaan auditor lain dalam perencanaan sifat, saat, dan luasnya pekerjaan
23 tersebut, serta dalam mengevaluasi kecukupan dan ketepatan bukti audit yang
24 diperoleh.
25
26 A20. Suatu entitas pengguna dapat memanfaatkan organisasi jasa yang akan
27 menggunakan organisasi subjasa untuk menyediakan beberapa jasa yang
28 disediakan bagi entitas pengguna yang menjadi bagian dari sistem informasi entitas
29 pengguna yang relevan dengan pelaporan keuangan. Organisasi subjasa dapat
30 merupakan suatu entitas yang terpisah dari atau terkait dengan organisasi jasa.
31 Auditor pengguna mungkin perlu mempertimbangkan pengendalian di organisasi
32 subjasa. Dalam situasi ketika satu atau beberapa organisasi subjasa digunakan,
33 interaksi antara aktivitas entitas pengguna dan aktivitas organisasi jasa diperluas
34 untuk mencakup interaksi antara entitas pengguna, organisasi jasa, dan organisasi
35 subjasa. Tingkat interaksi ini, baik sifat maupun materialitas transaksi yang diproses
36 oleh organisasi jasa dan organisasi subjasa merupakan faktor yang paling penting
37 bagi auditor pengguna untuk dipertimbangkan dalam penentuan signifikansi
38 pengendalian di organisasi jasa dan organisasi subjasa atas pengendalian entitas
39 pengguna.
9 SA 600 (Revisi 2021), “Pertimbangan Khusus – Audit atas Laporan Keuangan Grup (Termasuk
Pekerjaan Auditor Komponen)”, paragraf 2, menyatakan “Auditor dapat mengetahui SA ini, yang
disesuaikan seperlunya sesuai dengan kondisi, bermanfaat pada saat auditor melibatkan auditor
lain dalam audit atas laporan keuangan yang bukan merupakan laporan keuangan grup”. Lihat
juga paragraf 19 pada SA 600 (Revisi 2021).
1 Penggunaan Suatu Laporan Tipe 1 atau Tipe 2 untuk Mendukung Pemahaman Auditor
2 Pengguna tentang Organisasi Jasa (Ref: Para. 13-14)
3
4 A21. Auditor pengguna dapat meminta keterangan tentang auditor jasa kepada organisasi
5 profesional auditor jasa atau praktisi lain dan menanyakan apakah auditor jasa
6 masuk dalam pengawasan oleh regulator. Auditor jasa mungkin berpraktik di
7 yurisdiksi yang mengikuti standar yang berbeda sehubungan dengan laporan atas
8 pengendalian pada organisasi jasa, dan auditor pengguna perlu memeroleh
9 informasi tentang standar yang digunakan oleh auditor jasa dari organisasi pembuat
10 standar yang bersangkutan.
11
12 A22. Laporan tipe 1 atau tipe 2, bersama dengan informasi tentang entitas pengguna,
13 dapat membantu auditor pengguna untuk memeroleh pemahaman atas:
14 (a) Aspek pengendalian di organisasi jasa yang mungkin berdampak terhadap
15 pemrosesan transaksi entitas pengguna, termasuk penggunaan organisasi
16 subjasa;
17 (b) Arus transaksi signifikan melalui organisasi jasa untuk menentukan titik-titik
18 dalam arus transaksi yang di dalamnya kesalahan penyajian material atas
19 laporan keuangan entitas pengguna dapat terjadi;
20 (c) Tujuan pengendalian di organisasi jasa yang relevan dengan asersi laporan
21 keuangan entitas pengguna; dan
22 (d) Apakah pengendalian di organisasi jasa telah didesain dan diimplementasikan
23 dengan baik untuk mencegah atau mendeteksi kesalahan pemrosesan yang
24 dapat menimbulkan kesalahan penyajian material dalam laporan keuangan
25 entitas pengguna.
26
27 Suatu laporan tipe 1 atau tipe 2 dapat membantu auditor pengguna dalam
28 memeroleh pemahaman memadai untuk mengidentifikasi dan menilai risiko
29 kesalahan penyajian material. Namun, laporan tipe 1, tidak menyediakan bukti atas
30 efektivitas operasi pengendalian yang relevan.
31
32 A23. Laporan tipe 1 atau tipe 2 untuk tanggal atau untuk periode di luar periode pelaporan
33 suatu entitas pengguna dapat membantu auditor pengguna dalam memeroleh
34 pemahaman awal atas pengendalian yang diimplementasikan di organisasi jasa jika
35 laporan tersebut dilengkapi dengan tambahan informasi saat ini dari berbagai
36 sumber. Jika penjelasan organisasi jasa tentang pengendalian pada tanggal atau
37 untuk periode sebelum periode awal pelaksanaan audit, auditor pengguna dapat
38 melaksanakan prosedur untuk memutakhirkan informasi yang terdapat dalam
39 laporan tipe 1 dan tipe 2, seperti:
40 • Mendiskusikan perubahan yang terjadi di organisasi jasa tersebut dengan
41 personel entitas pengguna yang mengetahui adanya perubahan tersebut;
42 • Mereviu dokumen dan korespondensi terkini yang dibuat oleh organisasi jasa;
43 atau
44 • Mendiskusikan perubahan yang terjadi dengan personel organisasi jasa.
1 Respons terhadap Risiko yang Telah Dinilai atas Kesalahan Penyajian Material (Ref:
2 Para. 15)
3
4 A24. Apakah penggunaan organisasi jasa meningkatkan risiko kesalahan penyajian
5 material entitas pengguna bergantung pada sifat jasa yang disediakan dan
6 pengendalian terhadap jasa tersebut; dalam beberapa kondisi, penggunaan
7 organisasi jasa dapat menurunkan risiko kesalahan penyajian material entitas
8 pengguna, khususnya jika entitas pengguna tidak memiliki keahlian yang diperlukan
9 dalam menjalankan aktivitas tertentu, seperti memulai, memproses, dan mencatat
10 transaksi, atau tidak memiliki sumber daya yang memadai (sebagai contoh: suatu
11 sistem teknologi informasi).
12
13 A25. Ketika organisasi jasa memelihara unsur yang material atas catatan akuntansi entitas
14 pengguna, akses langsung terhadap catatan tersebut mungkin saja dibutuhkan oleh
15 auditor pengguna untuk memeroleh bukti audit yang cukup dan tepat yang terkait
16 dengan pengoperasian pengendalian terhadap catatan tersebut atau untuk
17 membuktikan transaksi dan saldo yang tercatat dalam catatan tersebut, atau
18 keduanya. Akses tersebut mungkin melibatkan inspeksi fisik atas catatan di
19 organisasi jasa atau pengajuan pertanyaan tentang catatan yang dipelihara secara
20 elektronik dari entitas pengguna atau 1 lokasi lain, atau keduanya. Jika akses
21 langsung ditempuh secara elektronik, auditor pengguna dapat memeroleh bukti atas
22 kecukupan pengendalian yang dijalankan organisasi jasa atas kelengkapan dan
23 integritas data entitas pengguna yang menjadi tanggung jawab organisasi jasa.
24
25 A26. Dalam menentukan sifat dan luas bukti audit yang harus diperoleh sehubungan
26 dengan saldo yang menggambarkan aset yang dimiliki atau transaksi yang
27 dijalankan oleh organisasi jasa untuk kepentingan entitas pengguna, auditor
28 pengguna mungkin perlu mempertimbangkan prosedur-prosedur di bawah ini:
29 (a) Menginspeksi catatan dan dokumen yang disimpan oleh entitas pengguna:
30 keandalan sumber bukti ini ditentukan oleh sifat dan luasnya catatan akuntansi
31 dan dokumentasi pendukung yang disimpan oleh entitas pengguna. Dalam
32 beberapa kondisi, entitas pengguna mungkin tidak memelihara catatan yang
33 independen atau dokumentasi atas transaksi spesifik untuk kepentingannya.
34 (b) Menginspeksi catatan dan dokumen yang disimpan oleh organisasi jasa: akses
35 auditor pengguna terhadap catatan organisasi jasa dapat ditetapkan sebagai
36 bagian dari perjanjian kontraktual antara entitas pengguna dan organisasi jasa.
37 Auditor pengguna dapat juga menggunakan auditor lain, untuk kepentingan
38 auditor pengguna, dalam memeroleh akses terhadap catatan entitas pengguna
39 yang dipelihara oleh organisasi jasa.
40 (c) Memeroleh konfirmasi atas saldo dan transaksi dari organisasi jasa: jika entitas
41 pengguna memelihara catatan atas saldo dan transaksi yang independen,
42 konfirmasi dari organisasi jasa yang menguatkan catatan entitas pengguna
43 dapat meningkatkan keandalan bukti audit mengenai keberadaan dari
44 transaksi dan aset yang bersangkutan. Sebagai contoh, jika organisasi yang
45 memiliki jasa yang beragam digunakan, seperti manajer investasi dan jasa
46 kustodian, dan organisasi jasa tersebut menyelenggarakan catatan yang
47 independen, auditor pengguna dapat mengonfirmasi saldo ke organisasi
1 A32. Untuk asersi tertentu, makin pendek periode yang dicakup oleh suatu pengujian
2 spesifik dan makin lama jangka waktu yang lewat setelah pelaksanaan pengujian
3 tersebut, makin sedikit bukti audit yang dapat disediakan oleh pengujian tersebut.
4 Dalam membandingkan antara periode yang dicakup oleh laporan tipe 2 dengan
5 periode pelaporan keuangan entitas pengguna, auditor pengguna dapat
6 menyimpulkan bahwa laporan tipe 2 memberikan bukti audit yang lebih sedikit jika
7 terjadi tumpang tindih antara periode yang dicakup oleh laporan tipe 2 dan periode
8 yang auditor pengguna bermaksud 1 untuk mengandalkan laporan tersebut. Jika hal
9 ini terjadi, laporan tipe 2 yang mencakup periode sebelumnya atau sesudahnya dapat
10 menyediakan tambahan bukti audit. Dalam hal lain, auditor pengguna dapat
11 menentukan perlu tidaknya untuk melaksanakan, atau menggunakan auditor lain
12 untuk melaksanakan pengujian atas pengendalian di organisasi jasa untuk
13 memeroleh bukti audit yang cukup dan tepat tentang efektivitas operasi
14 pengendalian tersebut.
15
16 A33. Auditor pengguna mungkin perlu memeroleh tambahan bukti tentang perubahan
17 signifikan atas pengendalian yang relevan di organisasi jasa di luar periode yang
18 dicakup oleh laporan tipe 2, atau menentukan prosedur audit tambahan yang perlu
19 dilaksanakan. Faktor-faktor yang relevan dalam menentukan bukti audit tambahan
20 yang perlu diperoleh tentang pengendalian di organisasi jasa yang dioperasikan di
21 luar periode yang dicakup dalam laporan auditor jasa mencakup:
22 • Signifikansi risiko kesalahan penyajian material yang telah dinilai pada tingkat
23 asersi tertentu;
24 • Pengendalian spesifik yang diuji selama periode interim, dan perubahan
25 signifikan dalam pengendalian tersebut sejak diuji, termasuk perubahan sistem
26 informasi, proses, dan personel;
27 • Tingkat ketika bukti audit tentang efektivitas operasi pengendalian tersebut
28 diperoleh;
29 • Lama periode yang tersisa;
30 • Luasnya prosedur substantif lanjutan yang hendak dikurangi oleh auditor
31 pengguna berdasarkan keyakinan atas pengendalian; dan
32 • Efektivitas lingkungan dan pemantauan pengendalian di entitas pengguna.
33
34 A34. Tambahan bukti audit dapat diperoleh, sebagai contoh, dengan memperluas
35 pengujian pengendalian selama waktu yang tersisa atau dengan menguji
36 pemantauan pengendalian di entitas pengguna.
37
38 A35. Ketika periode pengujian auditor jasa berada seluruhnya di luar periode pelaporan
39 keuangan entitas pengguna, auditor pengguna tidak dapat mengandalkan pengujian
40 tersebut untuk menyimpulkan bahwa pengendalian di entitas pengguna telah
41 beroperasi secara efektif karena pengujian tersebut tidak menyediakan bukti
42 efektivitas pengendalian di periode audit tahun berjalan, kecuali jika dilakukan
43 prosedur lain.
44
45 A36. Dalam kondisi tertentu, suatu jasa yang disediakan oleh organisasi jasa mungkin
46 didesain dengan asumsi bahwa beberapa pengendalian tertentu akan
47 diimplementasikan oleh entitas pengguna. Sebagai contoh, jasa tersebut mungkin
1 didesain dengan asumsi bahwa entitas pengguna akan memiliki pengendalian untuk
2 mengotorisasi transaksi sebelum transaksi tersebut dikirim ke organisasi jasa untuk
3 diproses. Dalam situasi tersebut, deskripsi pengendalian organisasi jasa mungkin
4 mencakup deskripsi tentang pengendalian komplementer di entitas pengguna.
5 Auditor pengguna mempertimbangkan apakah pengendalian komplementer di
6 entitas pengguna tersebut relevan dengan jasa yang disediakan untuk entitas
7 pengguna.
8
9 A37. Ketika auditor pengguna yakin bahwa laporan auditor jasa tidak menyediakan bukti
10 audit yang cukup dan tepat, sebagai contoh, jika laporan auditor jasa tidak memuat
11 suatu deskripsi tentang pengujian atas pengendalian beserta hasilnya yang
12 dilakukan oleh auditor jasa, auditor pengguna dapat melengkapi pemahaman
13 tentang prosedur auditor jasa dan kesimpulannya dengan cara menghubungi
14 organisasi jasa, melalui entitas pengguna, untuk meminta suatu pembahasan
15 dengan auditor jasa tentang ruang lingkup dan hasil pekerjaan auditor jasa tersebut.
16 Jika diperlukan, auditor pengguna dapat menghubungi organisasi jasa, melalui
17 entitas pengguna, untuk meminta auditor jasa melaksanakan prosedur di organisasi
18 jasa. Sebagai alternatif, auditor pengguna atau auditor lain atas permintaan auditor
19 pengguna, dapat melaksanakan prosedur tersebut.
20
21 A38. Laporan tipe 2 auditor jasa mengidentifikasi hasil pengujian, termasuk penyimpangan
22 dan informasi lain yang dapat memengaruhi kesimpulan auditor pengguna.
23 Penyimpangan yang diketahui oleh auditor pengguna atau opini modifikasi dalam
24 laporan tipe 2 auditor jasa tidak secara otomatis berarti bahwa laporan tipe 2 auditor
25 jasa tidak berguna bagi audit atas laporan keuangan entitas pengguna dalam
26 penilaian risiko kesalahan penyajian material. Akan tetapi, penyimpangan dan hal
27 yang menyebabkan opini modifikasi dalam laporan tipe 2 auditor jasa dapat
28 dipertimbangkan dalam penilaian oleh auditor pengguna atas pengujian
29 pengendalian yang dilaksanakan oleh auditor jasa. Dalam mempertimbangkan
30 penyimpangan dan hal lain yang menyebabkan opini modifikasi, auditor pengguna
31 dapat membahas hal tersebut dengan auditor jasa. Komunikasi tersebut bergantung
32 pada kontak yang dilakukan oleh entitas pengguna dengan organisasi jasa dan
33 pemerolehan persetujuan dari organisasi jasa untuk berkomunikasi.
34
35 Pengomunikasian defisiensi dalam pengendalian internal yang diidentifikasi selama audit
36
37 A39. Auditor pengguna diwajibkan untuk mengomunikasikan secara tertulis tentang
38 defisiensi signifikan yang diidentifikasi selama audit, baik kepada manajemen
39 maupun pihak-pihak yang bertanggung jawab atas tata kelola secara tepat waktu.11
40 Auditor pengguna juga diminta untuk mengomunikasikan secara tepat waktu kepada
41 manajemen pada tingkat yang tepat tentang kelemahan dalam pengendalian internal
42 yang diidentifikasi selama audit, yang menurut pertimbangan profesional auditor, hal
43 tersebut cukup penting untuk memeroleh perhatian manajemen.12 Hal-hal yang harus
44 diidentifikasi oleh auditor pengguna selama audit dan dapat dikomunikasikan kepada
11 SA 265 (Revisi 2021), “Pengomunikasian Defisiensi dalam Pengendalian Internal kepada Pihak
yang Bertanggung Jawab atas Tata Kelola dan Manajemen”, paragraf 9-10.
12 SA 265 (Revisi 2021), paragraf 10.
1 manajemen dan pihak-pihak yang bertanggung jawab atas tata kelola entitas
2 pengguna mencakup:
3 • Pemantauan atas pengendalian yang dapat diimplementasikan oleh entitas
4 pengguna, termasuk pengendalian yang diidentifikasi sebagai hasil
5 pemerolehan laporan tipe 1 atau tipe 2;
6 • Kondisi ketika pengendalian pelengkap entitas pengguna diketahui terdapat di
7 dalam laporan tipe 1 atau tipe 2 dan tidak diimplementasikan di entitas
8 pengguna; dan
9 • Pengendalian yang mungkin diperlukan di organisasi jasa yang tampaknya
10 tidak diimplementasikan atau tidak secara spesifik dicakup oleh laporan tipe 2.
11
12 Laporan Tipe 1 dan Tipe 2 yang Tidak Mencantumkan Jasa Organisasi Subjasa (Ref:
13 Para. 18)
14
15 A40. Ketika suatu organisasi jasa menggunakan suatu organisasi subjasa, laporan auditor
16 jasa dapat mencantumkan atau tidak mencantumkan tujuan pengendalian yang
17 relevan di organisasi subjasa dan pengendalian yang terkait di dalam penjelasan
18 tentang sistem organisasi jasa dan di dalam ruang lingkup perikatan auditor jasa.
19 Kedua metode pelaporan ini dikenal sebagai metode inklusif dan metode carve-out.
20 Jika laporan tipe 1 atau tipe 2 tidak memasukkan pengendalian di organisasi subjasa,
21 dan jasa yang disediakan oleh organisasi subjasa relevan dengan audit atas laporan
22 keuangan entitas pengguna, maka auditor pengguna diwajibkan untuk memenuhi
23 ketentuan Standar Audit (SA) untuk organisasi subjasa. Sifat dan luas pekerjaan
24 yang dilaksanakan oleh auditor pengguna yang berkaitan dengan jasa yang
25 diberikan oleh organisasi subjasa bergantung pada sifat dan signifikansi jasa
26 tersebut bagi entitas pengguna dan relevansi jasa-jasa tersebut terhadap audit.
27 Penerapan ketentuan di paragraf 9 membantu auditor pengguna dalam menentukan
28 dampak organisasi subjasa, serta sifat dan luas pekerjaan yang dilaksanakan.
29
30 Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-Undangan dan Kesalahan
31 Penyajian yang Tidak Dikoreksi Berkaitan dengan Aktivitas di Organisasi Jasa (Ref:
32 Para. 19)
33
34 A41. Berdasarkan ketentuan dalam kontrak dengan entitas pengguna, organisasi jasa
35 mungkin diwajibkan untuk mengungkapkan kepada entitas pengguna tentang
36 kecurangan, ketidakpatuhan terhadap peraturan perundang-undangan atau
37 kesalahan penyajian yang tidak dikoreksi yang disebabkan oleh manajemen atau
38 karyawan organisasi jasa. Sebagaimana yang dijelaskan dalam paragraf 19, auditor
39 pengguna meminta keterangan tentang manajemen entitas pengguna berkaitan
40 dengan apakah organisasi jasa telah melaporkan hal-hal tersebut dan mengevaluasi
41 apakah hal-hal yang dilaporkan oleh organisasi jasa memengaruhi sifat, saat, dan
42 luas prosedur audit lanjutan auditor pengguna. Dalam kondisi tertentu, auditor
43 pengguna dapat meminta informasi tambahan untuk melaksanakan pengevaluasian
44 ini, dan dapat pula meminta entitas pengguna untuk menghubungi organisasi jasa
45 dalam rangka memeroleh informasi yang dibutuhkan.