audit procedures
audit evidence
menjadi dasar bagi auditor untuk memberi opini audit (audit opinion)
prosedurnya adalah inquiry tapi yang dihasilkan jawabannya adalah menjadi evidencenya
bisa jadi ada orang yang ditanya jawab dari internal/ eksternal
tidak bisa menyimpulkan sesuatu dengan metode hanya inquiry ini, maka harus di combine
dengan metode lainnya
sehingga bisa mendapatkan bukti yang kuat
setelah kita melakukan tanya jawab, diharapkan kita mendapatkan
terlalu cepat puas dengan jawaban dari prosedur tanya jawabnya lagi
sebelum bertanya, auditor sudah punya list ( dan itu hanya sbg guidance) dan masih bisa
dikembangkan, maka kita harus mendapatkan jawaban yang memuaskan untuk menyimpulkan
sesuatu
baiknya prosedur ini dilakukan berdua sehingga ada pembagian tugas
2. observasi
kita melihat, mengamati apa yang dilakukan oleh orang lain, dan menggunakan panca indera kita
(mis : disuruh mencicipi makanan, dll)
bisa dilakukan untuk stock opname ( pada saat perusahaan melakukan perhitungan fisik atas
persediaan, auditor datang dan melakukan observasi, namun auditor tidak melakukan
perhitungan fisik, dan hanya bertugas untuk mengobservasi), sehingga auditor datang sbg pihak
yang independent
namun tidak cukup hanya dengan observasi, sehingga harus ditambahkan dengan prosedur
lainnya sehingga dapat mendapatkan bukti audit yang cukup dan memadai (dan harus didukung
dengan bukti audit yang didapat dari prosedur lainnya)
menurut ISA 501, pada saat kita melakukan perhitungan fisik persediaan, apabila persediaan di
didalam laporan keuangan nilainya cukup material, sehingga auditor harus mendapatkan bukti
yang cukup dan memadai, bahwa persdiaannya really exist (benar2 ada) , maka auditor harus
datang langsung untuk melakukan observasi perhitungan fisik , (kalau berhalangan, maka bisa di
tanggal alternative / bisa melakukan test of control
mis : lapkeu prusahaan tutup buku pada 31 desember, namun pada 31 Des ( kita/ client
berhalangan), jadi kita bisa melakukan observasi sbelum tanggal 31,
call forward , bawa angka saldo stock take tgl 29 maju ke tanggal 31, tapi kalo misal kita lakukan
stelah tanggal tutup buku misal tgl 2 , kita harus bawa saldo angka 2 ke tanggal tutup buku
sbelum tutup buku, maka kita harus membawa kembali ke blakang ( roll backward), kalo misal
gudangnya tidak ada transaksi, tapi kalo misal ada, kita bisa melakukan pemeriksaan.
terkait dengan pemriksaan atas dokumen/ asset yang berwujud (sales invoice, rekening koran, e-
records, atau datang ke pabrik untuk melihat mesin2 perusahaan)
pada saat inspeksi kita bisa melibatkan 2 jenis dokumen
internal document : dokumen yang dihasilkan oleh prusahaan client kita (sales invoice, sales
orders)
external document : dokumen yang dihasilkan oleh pihak ketiga (purchase invoice, yang didapat
dari pihak penjual, bank statement, policy asuransi)
kita lebih bisa mengandalkan dokumen dari pihak ketiga karena lebih tidak memiliki kepentingan
atas client yang kita audit, namun pastinya banyak juga dokumen internal yang kita butuhkan,
maka dari itu bisa kita combine
Vouching and tracing
Dokumen sumber, bisa invoice, bukti pengeluaran kas, lalu dengan adanya dokumen kita
verifikasi, jurnal, dan posting.
a. Vouching, untuk menguji penyajian terlalu tinggi - overstatement - arahya lebih ke belakang
(untuk existance, dan occurance)
b. Tracing, untuk menguji penyajian terlalu rendah- understatement (untuk asersi
completeness) ambil contoh 1 dokumen, lalu kita tracing dokumen itu sampai ke catatan
akuntansi misal ke laporan keuangan, kita ingin tahu apakah sebuah laporan keuangan itu
sudah lengkap, kalo invoice yang kita pegang itu sudah termasuk di dalamnya brarti sudah
lengkap, namun kalo tidak berarti belum lengkap, arahnya lebih maju ke depan
Client sudah melakukan perhitungan, lalu kita melakukan perhitungan ulang atas apa yang sudah
dihitung oleh si client
Client sudah lakukan, lalu auditor melakukan ulang apa yang sudah dilakukan oleh client untuk
melihat hasilnya apakah hasilnya sesuai yang dikatakan client
misal : client tiap bulan lakukan rekonsiliasi , antara lap Gudang (jumlah inv out-in) dibandingkan
dengan sales report di bulan itu ( berapa barang yang terjual)
Maka auditor melakukan kembali, misal di bulan November auditor melakukan kembali, dan
mestinya hasilnya sama.
6. Confirmation
Auditor gunakan apabila di dalam akun tersebut mengandung signifikan risk, umumnya adalah
dalam konfirmasi atas akun piutang usaha
Konfirmasi yang ditulis dan didapat dari pihak ketiga merupakan bukti audit yang cukup kuat,
tapi disatu sisi, konfirmasi ini adalah prosedur audit yang memakan biaya yang lebih, dan bagi
pihak yang mendapatkan konfirmasi, biasanya orang tidak nyaman, karena harus menjawab.
External confirmation, biasanya kita melakukan audit akun2 apa yang dikonfirmasi
Misal : Piutang dagang konfirmasi ke prusahaan
Cash in bank , saldo- saldo , letter of credit, deposito, pinjaman , dll . konfirmasi ke pihak bank
Share capital , konfirmasi ke pemegang saham, karena saham itu biasanya nilainya material
Kuasa hukum perusahaan , loan, cash in bank, ke pihak2 yang related
Yang membuat konfirmasi, ( pada saat auditor ingin melakukan konfirmasi, yang dilakukan
pastinya auditor sudah memiliki template konfirmasi yang diberikan ke client yang diisi dan
diprint dengan kop surat klien) kalo sudah dikirim yang kirim auditor, lalu nantinya auditor yang
terima balasan.
Positive confirmation, di dalam konfirmasi itu kita tulis mohon menjawab konfirmasi ini, si pihak
penerima, kalo dia menjawab setuju, misal benar punya hutang 1 jt, jadi positif konfirmasi
menuntut/meminta jawaban apapun hasilnya ( yang lebih bisa diandalkan dan lebih baik)
a. Blank confirmation, jadi tidak kita kasi saldonya , kita minta sebutkan mreka (cash in bank)
b. Kalo untuk receivable biasanya kita tidak menggunakan blank confirmation
Negative confirmation, di dalam konfirmasi itu cukup jawab kalau tidak setuju, kalo misal utang
customer benar, berarti tidak perlu jawab, lalu kalo misal salah, maka dia hrs menjawab, namun
bisa saja terjadi kendala
7. Prosedur analitik
Urutan dari sisi cost, yang paling most costly - dengan least costly
Dalam melakukan audit, si auditor boleh mengecek 100% populasi menggunakan sampling, kebanyakan
sekarang sering kali menggunakan sampling, namun makin ke depan, karena makin canggih, dan
didukung IT, memungkinkan populasi utuh.
Pada saat auditor mengambil sampling , ambil 10 transaksi misal, maka adalah 90 transaksi yang tidak di
cek (total 100 transaksi). Maka dari 10 sample yang dia ambil, harus bisa meyakinkan bisa mewakili
populasinya. Kalau misal menggunakan sample, maka akan memunculkan sampling risk, akan
memunculkan resiko bahwa ternyata kesimpulan yang diambil auditor berbeda dengan kenyataan
yang seharusnya dari kesimpulan yang diambil dari populasi yang utuh (beda kesimpulan).
(mengambil kesimpulan yang salah)
1. Kalau ternyata auditor menyatakan test of control dia menyatakan lebih efektif daripada
kenyataan yang ada, tidak ada salah saji padahal ada, karena kebetulan dia mengambil sample yang
bagus sehingga kesimpulannya bagus (padahal populasinya tidak)
2. Auditor sudah make sample, ternyata sample yang diambil bermasalah, sehingga kesimpulannya
test of control tidak efektif padahal populasi utuhnya berbeda kesimpulannya
Audit of Estimates
Di dalam laporan keuangan, banyak menggunakan estimasi, misal estimasi residual value, warranty, fair
value, banyak lainnya yang mengandung estimasi.
Dengan banyaknya estimasi, maka kita bisa dibilang laporang keuangan tidak diukur secara tepat, namun
hal tersebut diperbolehkan, namun pada saat auditor melihat ada area dalam laporan keuangan ada
yang mengandung estimasi, maka kita bisa harus memverifikasi,
Karena banyak hal , namun auditor harus punya pegangan bukti, maka si klien tidak menyembunyikan
sesuatu, maka surat representasi akan masuk ke representasi manajemen
Misstatement di bagi 2,
- Corrected, walaupun auditor yang nemuin, tapi klien itu mau dibenerin, brarti opini WTP masih
bisa diberikan,
- Uncorrected, tapi kalo misal klien kita tidak ingin melakukan perbaikan, maka kita hanya perlu
melakukan perbaikan (kita bisa memberikan keterangan unmodified) dan dipertimbangkan
kembali apakah bisa qualified atau tidak.
Related parties, pihak yang memiliki hubungan istimewa dengan klien kita (perusahaan induk, anak dan
lainnya) maka kita harus berhati2, karena perusahaan kita punya volume transaksi yang besar dengan
Related party dibanding kan dengan third party, kita harus tanda tanya, apakah transaksi tersebut
dilakukan dalam kondisi yang normal.
- Ada 2 pekerjaan lapangan yang bisa dibagi dalam suatu penugasan audit :
a. Interim audit, artinya auditor itu datang ke tempat klien sbelum lapkeunya itu selesai dibuat,
misal : tutup buku 31 des, interim audit itu dilakukan sebelumnya,
b. Final audit, artiyna dilakukan setelah lapkeunya itu tutup buku, misal : tutup buku 31 Des,
dilakukan di bulan stelahnya
Tidak semua klien kita bagi 2, kalo auditor merasa mampu dan cukup untuk melakukan final audit saja ga
masalah, namun terkadang masalahnya pada saat perusahaan melakukan tutup buku 31 Des,
perusahaan merata2 paling banyak, sehingga akan jadi di satu waktu auditor akan menerima banyak
kerjaan dalam satu tempo, maka dari itu agak susah karena di waktu yang bersamaan.
Apa yang bisa auditor cicil pekerjaannya, kita cicil di interim audit, pada saat final audit barulah kita
melanjutkan dan apakah ada yang diperbaiki. Jadi interim audit tidak selalu ada, tergantung seorang
auditor mau atau tidak melakukan audit lebih dari 2 kali
Ada hal - hal yang bisa dan tidak bisa kita lakukan di interim audit, contohnya
- Untuk akun2 revenue dan expense itu adalah akun akumulasi untuk satu tahun, misal ada lapkeu
10 bulan, jadi kita hanya bisa mendapatkan data lapkeu di bulan oktober saja, berbeda dengan
akun- akun di neraca yang selalu berubah- ubah, jadi nantinya di akhir tahun kita tinggal mencicil
yang 2 bulannya.
Pada focus utamanya di interim audit, auditor berusaha menentukan apakah catetan akuntansi itu 3
GAC (genuine, accurate dan complete). Kita gabisa ngecek saldo asset liability and equity, tapi kita bisa
mengecek revenue dan expense dan juga internal control yaitu proses yang berjalan sepanjang tahun,
misal apakah dari internal control yang sudah berjalan , apakah hasil lapkeu akuntansinya itu apakah apa
adanya (sesuai faktanya), akurat dan lengkap (tidak ada transaksi yang keliru), apakah internal controlnya
apakah bisa memuaskan, maka otomatis kita bisa lebih mengandalkan (relia) apa yang tercatat dalam
lapkeu. Kalo auditor hanya focus pada lapkeu, maka auditor itu tidak akan menemukan apa2, karena
lapkeu itu merupakan suatu produk, maka ga akan cukup, maka harus tahu proses/ tahapan2 nya kita
harus tahu, maka dari itu kita harus melihat dari sisi internal control. Yang dimana jika IC nya tidak baik,
nantinya akan meningkatkan control risk ( ngefek ke audit risk) yang menyebabkan substansive
procedures yang harus dilakukan auditor itu menjadi lebih extensive, tidak bisa menggantungkan lebih
kepada test of control, hrs lebih banyak masuk ke dalam subs procedures. Tapi kalo misal IC nya sudah
baik, maka control risknya rendah, maka test of controlnya lebih besar porsinya , dan subs procedures
bisa dilakukan dengan lebih minimal.
Bedanya Test of Control dan Substansive procedures
- Test of control, yaitu prosedur audit yang dirancang utk mengevaluasi kefektifan oprasi dari
pengendalian utk 3 hal (mencegah, mendeteksi dan memperbaiki adanya salah saji material
pada level asersi)
- Subs procedures, prosedur audit yang dirancang untuk mendeteksi salah saji material pada level
asersi, yang dibagi menjadi 2 :
a. Test of details yang dibagi menjadi 3 ( terkait transactions, saldo akun and pengungkapan)
b. Subs analytical procedures (SAP)
Urutannya gaboleh dibalik, harus test of control dlu, kalo misal ICnya tidak efektif/ partially effective
maka nantinya subs proceduresnya akan lebih extensive.
Di subs procedures, melakukan 2 hal, maka di 2 titik itulah kita akan banyak menemukan salah saji salah
saji. Misal di suatu perusahaan itu banyak salah2 nya lalu kita mengajukan jurnal penyesuaian, maka kita
sedang melakukan subs procedures
Sedangkan test of control kita hanya menganalisa apakah internal control di perusahaan itu sudah cukup
untuk bisa mencegah, mendeteksi dan memperbaiki adanya salah saji material.
Test of control tidak bisa menghasilkan adjustment, nanti hasilnya hanya suatu kesimpulan (efektif/
tidak / kurang)
- Ekspetasi dari tata Kelola perusahaan, misalnya perusahaan kita dimiliki oleh public, maka public
ingin melihat apakah perusahan kita bisa menyajikan lapkeu yang sudah diproses dengan tata
Kelola perusahaan yang baik.
- Regulatory, kalo perusahaan biasanya harus tunduk pastinya kepada peraturan- peraturan yang
ada
- Commercial preassures
Internal environment
focusnya lagi ke bidang akuntansi (audit atas laporan keuangan) Accounting quality
assurance dan control system.
Dibagi 2 :
Definisi IC, suatu proses yang dirancang, diimplementasi dan dipelihara oleh (TCWG) pemerintah,
management dan personel lainnya untuk 1) menciptakan keyakinan yang memadai terkait tujuan entitas
atas keandalan lapkeu, 2) efektifitas dan efisiensifitas operasi dan 3) kepatuhan atas hukum dan
peraturan
Komponen IC
1. Control environment
Termasuk : pemerintahan, management functions and attitudes
Paling penting karena Melingkupi komponen2 pengendalian internal lainnya
- Misal lagi di indo, di jalanan banyak sampah, ada Sebagian orang anggepannya gapapa buang
sampah di jalan karena sudah banyak, orang yang sama dari lingkungan yang bersih memiliki
respon yang berbeda.
- Misal suatu perusahaan , bukan perusahaan yang menyesuaikan dengan individu yang ada
diperusahaan, tapi individu yang menyesuaikan lah dengan lingkungan perusahan itu, makanya
penting bagi suatu perusahaan untuk mempunyai visi misi, sehingga karyawan nantinya harus
dituntut untuk bisa beradaptasi nantinya. Maka misalkan kalo control environmentalnya tinggi
maka nantinya dia akan berpikir 2 kali
- Harus ada komunikasi dan enforcement atas integritas (hukuman sanksi) kalo ada masalah ttg
ethical value
- Harus bisa mencapai komitmen dari semua bagian untuk bisa memberikan yang terbaik untuk
organisasi (u/ mencapai tujuan efisien) sesuai dengan kompetensinya masing2.
- Participant by (those charged with governance) , ga mengacu pada suatu individu/ kelompok,
management, komite audit, internal auditor, dewan direksi, atau siapa saja yang berhubungan
dengan tata Kelola perusahaan
- Management philosopi, biasa ada yang agresif dan lainnya
- Assignment, pendelegasian otoritas dan tanggung jawab
- Human resources,
2. Risk assestment process
Entitas yang baik Harus bisa mempertimbangkan kecendungan adanya resiko bisnis, dan nanti
bagaimana konsekuensi signifikanya kepada keuangan bisnis itu sendiri.
Risiko akan selalu ada namun harus di reduce risk to acceptable level ( mengurangi resiko sampai
dengan tingkat yang bisa diterima)
3. Information system,
Sebagus apapun control environ dan risk assestment , tentu saja masi harus ada sistem informasi
yang mendukung sehingga bisa mengkomunikasikan pelaporan keuangan kita kepada pihak baik
internal dan eksternal, untuk masing2 bagian mreka punya key performance masing2
4. Control Activities:
Melingkupi :
- Otorisasi
- Review atas kinerja
- General and apps control atas memproses informasi
- Segregation of duties
5. Monitoring controls
- Tugas mendasarnya adalah melakukan penilaian atas bagaimana kinerja dari pengendalian yang
ada apakah sudah cukup dan relevan seiring berjalannya waktu, dan merupakan tanggung jawab
khusus dari grup yang kita sebut dengan quality assurance (penjamin mutu) dan merupakan
tugas kusus dari internal/ eksternal audit
- Sbelum suatu produk itu di jual ke pasar perusahaan akan menilai apakah produk ini sudah
memenuhi standar kualitas yang ada, kalo sudah maka bisa dijual
- Apakah mutu dari pengendalian internal sudah baik
Sistem pengendalian internal itu lebih luas daripada sistem akuntansi, sist akuntansi bisa berjalan
dengan baik kalo internal kontrolnya sudah baik / efektif, maka kita tidak bisa hanya focus kepada
accounting tanpa melihat internal control yang merupakan proses yang dibelakangnya.
General controls : merupakan control atas lingkugan dimana suatu entitas beroprasi. General control
berperan meyakinkan aplikasi2 yang ada bebas dari masalah dan mampu prevent, detect dan correct
kejadian yang tidak diharapkan management yang termasuk didalamnya :
Applications control, control yang dirancang utk meyakinkan bahwa semua aplikasi individu bisa berjalan
dengan lancer
Kolusi (collusion)
Tetap bisa muncul walupun sudah ada pembagian tugas, jika mreka bekerja sama untuk melakukan
kolusi maka internal control yang ada tidak dapat mencegah adanya kolusi.
Si management harus mengecek output kewajaran , walaupun sudah ada pemisahan tugas dan semua
karyawannya sudah berintegritas namun management harus ngecek lagi dan apakah bisa diterima atau
tidak wajar atau tidaknya, melakukan rotasi bagian sehingga kalo ada hal2 yang disembunyikan akan
ketawan.
Kolusi adalah salah satu alasan mengapa kecurangan menjadi sulit untuk dideteksi, walaupun sudah ada
pemisahan tugas, namun menjadi tidak efektif karena ada perilaku 2 orang atau lebih ini, tetap kembali
kepada manusia2 yang ada
1. Database
2. E- commerce
Data Capture, memastikan bahwa input controls itu data yang mau diinput itu 3 G, untuk bisa melakukan
hal itu kita melakukan boundary controls
- Boundary controls, control kepada pengguna dan sistem interfacesnya bisa berupa crypto
graphic controls penggunaan plastic cards, masuk dalam ruangan ada ID card yang harus kita
tap/ gesek untuk membuka dan mengidentifikasi akses kita untuk masuk ke ruangan itu. Atau
crypto yang misalkan kita kasi password file supaya ga ada yang bisa buka, dan pins, tanda
tangan digital, password, firewalls, informasi atau jejak audit. (data collected)
- Input controls, sesaat sebelum datanya itu melewati interface atau masuk ke dalam sistem (data
accepted), misalkan kalo mahasiswa dan dosen melakukan pemuktahiran data terbaru, Ketika
kita membuat seuatu form, berarti akan dilakukan input, supaya ga salah kita bisa kasi aksesnya
misal kita kasi bates nomor digit KTP.
Sequence checking, diperusahaan tanggal pemesanan, invoice dan pengiriman bisa tau
urutannya adalah yang pertama adalah tanggal pemesanan, maka tanggal pemesanan tidak bisa
belakangan, daripada tanggal pengiriman.
- Input data diverifikasi secepat mungkin setelah entry dilakukan, ada 2 pengendalian yang bisa
dilakukan, yaitu ada 2 pengendalian
a. exception reports, laporan yang berisikan hal- hal yang tidak sesuai dengan yang semestinya
contoh, biasanya akademik kalo dulu, mahasiswa itu masih bisa mengambil mata kuliah lab
advance 2, padahal dia sedang mengambil/ belum advance 2, bisa salah input.
Dia masukin reportnya sesuai requestnya dan melihat siapa saja yang mengisi/ menginput
hal- hal yang tidak sesuai dan ingin dilakukan follow up action berikutnya
b. sound warnings of invalid data entry, kalo ketemu google forms di 365, kita masukin tidak
sesuai dengan apa yang diam au, maka dia tidak akan mau atau muncul warningsnya
sehingga ga bisa disubmit
- degrees of access,
- alphanumeric digits, easy to remember combinations, menggunakan password2 yang mudah
ditebak
- avoid passwords identified with person using, mencegah password digunakan orang lain, maka
orang biasanya tidak mencatatnya atau jangan menggunakan hal- hal yang mudah ditebak
- secrecy
- regular/ frequent changes, menggantinya secara periodik
- shutdown of terminals, seandainya kalo masukin password mungkin bisa ke lock sekian menit
Firewalls
- diciptakan dan dimaintain oleh sistem yang dirancang untuk melindungi jaringan computer dari
gangguan2 yang tidak terotorisasi,
- firewalls, ada satu sistem sebelum menghubungkan internet dengan jaringan computer di
perusahaan, maka ada pengamannya (firewallsnya dlu)
- intranet memungkinkan adanya transfer data diantara bagian2 yang ada didalam sistem itu ,
biasa digunakan oleh perusahaan- perusahaan yang memiliki data2 yang confidential, sehignga
tidak rawan dari gangguan2
- extranets, jaringan yang lebih luas menghubungkan orang yang ada diorganisasi dan diluar
organisasi, lebih rentan terhadap adanya gangguan dari pihak eksternal,
- Firewalls mebutuhkan otorisasi dan sistem identifikasi.
- Kita harus punya rancangan yang penuh dengan kehatian2an atas sumber dokumentasi
informasi untuk menghindari adanya kesalahan, misal mau membuat forms, apa aja sih data
yang kita butuhkan, kita merancang dengan hati2 supaya ga ada yang kelupaan atau data2 yang
ga dibutuhkan
- Rancangan produk, customer dan other codes. Untuk mengidentifikasi subejk data entrinya.
- Penggunaan check digits,
- Sequence checking
- Limit or reasonableness tests, ada hal2 yang mau dicekin itu secara otomatis by sistem
- Batch control. Begitu banyak input, misal KPP punya banyak NPWP yang melakukan pelaporan
data di satu waktu yang bersamaan. Terkadang sangat sulit untuk melakukan control apabila
data yang begitu banyak, maka dilakukan batching misalkan pengelompokkan dalam suatu
gelombang contoh input hari ini tanggal sekian, jam brapa, dsbnya. Sehingga jika ada masalah
lebih mudah dalam mentracing masalah tersebut.
Processing control
- CPU dan memori utama memiliki reputasi yang cukup baik untuk bisa diandalkan namun suatu
entitas juga harus bisa meyakinkan bahwa elemen2 yang diujikan dari waktu ke watktu dan ada
fasilitas backup itu tersedia waktu dibutuhkan, jadi jangan ga pernah nguji/ backup/ dll.
- Sistem operasi seharusnya mampu untuk mencegah adanya data yang rusak Ketika digunakan
oleh banyak pengguna pada waktu yang bersamaan.
- Apabila ada hal yang tidak berjalan sebagaimana mestinya, harus ada rencana untuk
mengatasinya terkait dengan kehilangan data/ Penggunaan softwarenya. Misal : skripsi harus
ada backup data supaya bisa ikut siding tepat waktu dan tidak terjadi masalah pada saat data
tersebut dibutuhkan.
- Mesti adanya pengetesan secara periodic untuk meyakinkan bahwa semuanya dijalankan dengan
baik ada fasilitas untuk backup yang disediakan.
Output controls
Database systems
- Adalah kumpulan data yang disharingkan dan di gunakan oleh beberapa aplikasi berbeda untuk
tujuan yang berbeda.
- Data induk , yang digunakan oleh beberapa orang
- Keunggulan utamanya dengan adanya database semua aplikasi2 itu menggunakan data yang
seragam, tentu saja penggunanya harus punya otorisasi, yang dikhawatirkan adalah di keamanan
dan integritas kalo misalkan ada masalah, seperti :
1. Kehilangan pengendalian atas data yang dilakukan oleh staf/ personel yang mempersiapkan
data itu
2. Kadang2 pengelola data administrator punya otorisasi yang begitu besar yang kalo dibahasa
sistem adalah pengguna yang punya banyak akses.
3. Fitur2 teknikal untuk meyakinkan keamanan, bisa aja mengurangi kontrol2 yang ada
4. Informasi/ audit trail itu menjadi sangat penting
E-commerce
- Meningkatkan resiko karena keterbukaannya internet yang ada
- Kita punya 4 level penggunaan internet :
1. Menggunakan internet untuk dapat menyediakan informasi bagi pihak eksternal (website,
pengumuman, untuk publish annual record (one way)
2. Sudah Melibatkan adanya pertukaran informasi baik dengan customer atau partner2
perdagangan lainnya, misal bertukar pesan, bantu untuk pihak eksternal, jadi pihak eksternal
bisa input diam au cari perusahaan
3. Kalo pengguna internetnya inin sudah untuk menggunakan transaksi bisnis contohnya e-
shopping.
4. Paling tinggi levelnya yaitu melakukan integrasi secara penuh terhadap sistem bisnis dengan
efek langsung terhadap catetan perusahaan, kalo misal ada customer yang beli maka
nantinya staf digudang akan lanngsung memotong barang, jadi sudah integrasi penuh
Resiko E- commerce
- Security policy
- Firewalss
- Private network
- Information/ jejak audit
- Other security measure
1. Mengenkripsi data
2. Mengidentifikasi dan mengautentifikasi dari informasi
- Dalam ISA 250A ; seorang auditor harus mengumpulkan bukti audit yag cukup dan memadai
terkait dengan ketaatan kepada hukum dan perarturan yang memiliki efek langsung kepada ada
atau tidaknya nilai material dan pengungkapan di dalam laporan keuangan
- Kita pas lagi audit juga melihat impactnya apabila suatu perusahaan menggunakan e-commerce,
kita harus liat bagaimana impactnya kepada undang2 dan hukum yang berlaku. Pengusaha
online yang jualan online yang juga dikenakan pajak.
- Hal2 itu kita mesti aware bagaimana impactnya
- Yang namanya internet itu globalisasi, kalo misal pake amazon, pas lagi setup platform mreka
pasti mreka sudah memikirkan dampak2 atas hal ini, bagaimana pengirimannya, pajaknya ? dan
lainnya. Maka dari auditor juga harus memperhatikan bagimana impactnya
- Internet itu ga ada jam buka dan jam tutupnya, walaupun ditoko2 online yang bilang jam
operasionalnya, tapi kalo pembeli mau melakukan pembelian dan pemesanan kan bisa, sehingga
pelanggan itu menjadi gapunya ekspetasi dia dapet perlakuan yang sama atau beda Ketika dia
mengakses e-commerce itu di sepanjang 24 jam, treatmentnya sama.
- Hal itu akan berdampak pada staffing yang terpakai, dengan penggunaan e-commerce
kemungkinan akan berkurang
- Dengan adanya penggunaan sistem ini, si auditor harus bisa meyakinkan bahwa si sistem ini bisa
cukup kuat/ durable bisa diandelin selama 24 jem waktunya dan mesti konsisten
- Diharapkan bisa berintegrasi antara sistem dan juga proses terotomatisasi yang mengupdate
catatan akuntansi sangat diharapkan.
- Juga dipikirkan bagaimana kalo ada hal2 yang tidak diinginkan terjadi, kemungkinan2
konsekuensi yang terjadi itu termasuk hilangnya reputasi, adanya pencurian data dan informasi,
pengurangan yang signifikan atas arus kas perusahaan.
- Lalu hal ini semua berdampak pada keberlanjutan usaha perusahaan itu, contoh kasus bukalapak
yang pas musim kampanye, karena dia mendukung salah satu pasangan calon sampai
dimunculin jadinya bikin hashtag bukan bukalapak tapi tutup lapak, jadi hal2 yang menyangkut
reputasi itu sangat berbahaya, bukan hanya membuat kualitas produk kita bagus, tapi reputasi
dari pimpinan perusahaan dan brand yang kita miliki ini juga mesti kita jaga, maka kita harus
berhati2 pada saat berkomentar.
- Tentu saja hal ini di crisis management termasuk adanya back-up atas data2 penting, melakukan
installment emergency power supplies, kalo mati lampu bisa langsung dibackup energi listrik,
(misal TSM selain dari PLN kita juga memiliki Genset Ketika PLN mati lampu), apabila bisa ada
review dari pihak independent dan melakukan pemeliharaan yang rutin, pengetesan yang rutin
hal itu sangatlah bermanfaat.
Audit Approaches to system and controls (Pendekatan audit atas sistem dan juga pengendalian)
- Systems objectives are audit objectives, tujuan dari sistem juga merupakan tujuan dari audit, apa
yang menjadi tujuan sistem itu dibuat itu juga yang menjadi tujuannya auditor
- Recording accounting and control systems, bagaimana pencatatan atas akuntansi dan juga
pengendalian sistem itu sendiri karena kalau misalkan di dalam audit, dikatakan bahwa write
what you do ?, kalo misalkan kita sudah melakukan audit atas sistemnya, namun kita tidak
mendokumentasikannya, tidak ada bukti auditnya, maka dianggap kita tidak melakukan, lalu
kalau kita sudah merencanakan maka kita harus melakukan, kita sudah merencanakan dan
menulis kita akan begini2 maka lakukan
- maka write what you do, apa yang sudah kita cek, kita temukan di lapangan. Semua itu mesti
kita tulis untuk kita jadikan dokumentasi dan menjadi audit evidence
- sebaliknya misalkan do what you write, yang sudah kita rencanakan sebelumnya, maka
lakukanlah.
System objectives are audit objectives (tujuan sistem adalah tujuan audit)
Sales (2.500.000)
- Genuine (Real), misalkan ada info bahwa sales senilai 2,5 jt, kalo kita ingin mengetahui tentang
genuine, maksudnya adalah transaksi ini itu benar2 terjadi dan memang ada penyerahan barang
senilai 2,5jt kepada pihak ke 3, barangnya sudah diserahkan dan sesuai dengan syarat penjualan
dan transaksi ini sudah boleh dicatat
- Accurate, perhitungannya kalo kita jual berarti ada selling price dan quantitynya, perhitungan
perkaliannya apakah sudah tepat atau belum, ada diskon atau tidak, lalu pencatatannya dia di
periode yang tepat kalo misalkan dia jual di 31 Des, dan dia FOB shippoint, berarti dia sudah
boleh diakui pada saat keluar dari Gudang.
- Complete, selain yang 2,5jt itu yang harusnya dicatet tapi belum dicatet, kita melihat dari 1
transaksi, kita melihat dari ketiga perspektif yang berbeda
- Genuine, mesti betul2 ada uang cash yang kita terima yang masuk ke dalam rekening
perusahaan (exist) betul2 real ada.
- Accurate, termasuk gimana kalo ada diskon, kalo ada selisih kurs, cut off nya sudah bener atau
belum nyatet tanggalnya
- Complete, apakah masih ada penerimaan yang harusnya dicatet tapi belum dicatet.
- Genuine, memang betul ada 1,3 jt nilai piutang yang artinya ada pihak ketiga, pihak lain yang
berhutang kepada perusahaan, dan itu bisa ditagih, jadi real
- Accurate, termasuk dengan benar tidak angka 1,3 jt itu ketinggian tidak, atau jangan2 yang bisa
ditagih hanya 1 jt, bagaimana pencatatannya, juga termasuk cut-offnya
- Complete, masih ada kah piutang yang harusnya dicatet tapi belum dicatet
Kita bisa sebut sebagai , yang poin ke 4, sebagai Walk through - tests, jadi kita mengikuti proses
dari awal sampai akhir, yaitu bertujuan untuk mendapatkan pemahaman atas sistem dan juga
pencatatannya dan melihat apakah si entitas ini sudah memiliki pengendalian yang memadai.
Dalam praktek ketiganya di pakai, dikombinasikan karena satu dengan yang lainnya saling
melengkapi, tidak usah di pilih mana yang lebih baik, karena ketiganya punya keunggulanya
masing2.
Narative description
Bentuknya kaya paragraph2 atau poin2 tulisannya aja, jadi diceritain pertama ada pesanan,
setelah itu diproses bagaimana, jadi bentuknya kalimat, seperti mengarang tapi bukan
berdasarkan sesuatu yang fiktif tapi berdasarkan fakta yang ada.
Bentuknya bebas, tidak ada stylenya yang baku, masing2 orang punya stylenya sendiri, dan di
dalam naratif juga termasuk sampai ke contoh2 jurnalnya, contoh : skripsi.
Visual Description
Flowchart :
Advantages,
1. Membantu dalam memahami akuntansi dan control sistemnya
2. Untuk menggambarkan flowchart dengan tepat auditor harus memahami bagaimana
perusahaan mengontrol operasi/ aktivitasnya
3. Mendeteksi kekuatan, kelemahan, ketidakperluan, prosedur dan dokumen
Disadvantage,
1. Time- consuming, memakan banyak waktu untuk menyiapkannya dan sulit untuk
mengubahnya
2. Dalam sistem yang sederhana, narrative deskriptif lebih baik
3. Bannyaknya variasi symbol yang digunakan
4. Membutuhkan pengalaman untuk menyiapkannya dan menafsirkannya
5. Dalam situasi situasi sulit terlalu sederhana.
- ICQ ini adalah kuisioner utk mencatat rincian dari suatu sistem,
- Sangat berguna untuk mencatat sistem yang relative kecil atau tidak terlalu kompleks
- Dengan adanya ICQ ini, kita bisa gunakan untuk menginterpretasikan kekuatan dan kelamahan
dari suatu sistem
- ICQ ini dirancang untuk mencatat hal2 penting yang terkait dari sistem, mengindikasikan bagian
mana dari sistem yang kuat, lemah dan juga menyimpulkan atas keseluruhan sistem tersebut.
- Yang namanya checklist, masing2 KAP sudah develop sendiri, tidak ada yang bilang harus seperti
ini (benar/ salah), masing2 KAP mreka punya toolsnya/ template checklistnya
- Ada client name, audit areanya, tanggalnya dan juga sudah ada pertanyaan2nya, checklist ini kita
bawa ke klien kita tanyakan, kita dapatkan jawabannya, kita bisa bilang
a. Strong
b. Weak
c. Kertas kerja auditnya (audit programme reference)
d. Tindakan yang perlu dilakukannya apa ? (Action taken)
e. Overall conclusionnya seperti apa ?
Bisa kita modifikasi sesuai dengan kenyataan yang ada di lapangan, misal kalo default
templatenya 14, kita mau tanya lebih bisa, tapi kalo 14 ternyata ada yang tidak applicable di
perusahaan client kita, kita bisa skip dengan memberikan keterangan.
- ICEQ ini bukan untuk mencatat sistem seperti ICQ, tapi untuk melakukan evaluasi setelah kita
mendapatkan cetakan di ICQ, jadi ICQ, ICEQ, dan EDP bukan mensubtitusi tapi saling
melengkapi, maka kita menggunakan ketiganya
- Si auditor akan menentukan dahulu tujuan2 utamanya, yang disebut sebagai key question
(pertanyaan kunci), dari 1 KQ kita bisa turunkan menjadi beberapa pertanyaan lainnya
- Umumnya perusahaan yang lebih besar, dia akan menggunakan ICEQ yang lebih dalam juga yang
di build/bangun/rancang oleh para ahli yang terkait dengan sistem, karena umumnya yang
bekerja sbg auditor di KAP itu, lulusan accounting, maka dia akan tahunya accounting, tapi kalo
sudah soal sistem, maka kita butuh orang lain yang lebih mengerti, yang disebut expert system.
- Biasanya ada 3 divisi di dalam KAP,
a. Assurance audit
b. Advisory, ada orang IT, ada orang Teknik
c. Taxation
- Ketika kita membahas ICEQ, kita melibatkan advisory juga
- Dikembangkan untuk membantu auditor melakukan penilaian atas kualitas dari sistem computer
itu sendiri, jadi lebih dalam lagi. Sampai dengan melakukan evaluasi dia itu seperti apa ?, butuh
kita masukin ke dalam management letter atau ngga ? dsbnya.
- ICQ
- ICEQ
4 kasus ini memberikan gambaran mengenai contoh nyata yang ada dilapangan terkait hal2 apa saja
yang harus diperhatikan oleh auditor
Setelah itu dilanjutkan lagi dengan table 10.1, dijelaskan bahwa kita punya 3 jenis prosedur, secara garis
besarnya,
1. Walk through test, didalam WTT ini, tujuan dilakukannya test ini adalah untuk mendapatkan
pemahaman atas sistem, mencatatnya dan juga melihat apakah entitas, terlihat memiliki
pengendalian yang tepat atau tidak
Bagaimana dilakukannya ? , pada saat kita melakukan WTT, kita mengambil satu atau
beberapa transaksi, kemudian memahami dan mencatat step by step tanpa menghakimi
dulu dicatet dulu, misalkan utk kasus siklus penjualan, ambil PO dari customer, PO ini
diprosesnya gimana ?, bagaimana bikin Sonya ?, diteruskan ke bagian mana ?, bagian
Gudang mana ? siapa kepala gudangnya ? nanti akan ada pemrosesannya sampai nanti
adanya jurnal pencatatan penjualan/ penagihan dan sebagainya.
Jadi satu siklus itu kan panjang, sampai suatu entitas dapat menagih piutangnya, maka
kita ikutin secara runtut, memahami, dan dicatat, (audit butuh dokumentasi) jadi pada
saat kita ambil beberapa transaksi, kalo transaksinya sama ga masalah, tapi kalo
misalkan salesnya itu ada 2 (yang local dan export) dokumennya berbeda lagi, ada
packing slipnya beda , ada surat pemberitahuannya lagi, ada forwarder pengirimannya.
Jadi karena ada 2 transaksinya ada 2 jenis, maka kita mengambil 2 WTT, satu yang local
dan export (bisa 2 local dan 2 export) tapi satu sudah cukup.
2. Test of control, tujuannya sudah disinggung, untuk mengevaluasi keefektifan suatu pengendalian
untuk dapat mencegah, mendeteksi dan mengkoreksi salah saji yang material pada tingkat
asersi.
Untuk bisa menentukan, berapa tingkat control risk, inget audit risk di audit 1, maka
dilakukanlah test of control, maka hasilnya dari test of control itu Low/ High or Moderate
?
Dilakukannya setelah Walk through test, dan jangan dibolak balik
Kurang lebih didalam Test of control, kita akan mengecek pengendalian2 yang dimiliki
perusahaan, pada saat kita melakukan WTT kita dokumentasiin aktivitas yang ada (beda
dengan pengendalian) bisa terkait dengan otorisasi, rekonsiliasi, pencatatan
Untuk control2 tsb kita mesti cek, maka salah satu tujuan melakukan WTT adalah untuk
mengidentifikasi Internal control yang nantinya kita lakukan uji lanjutan di TOC, kalo kita
di WTT hanya mengambil 1 atau beberapa transaksi, di TOC kita mengambil jumlaj
transaksi utk dilakukan pengecekan lebih banyak, misal dari semua barang yang kluar
dari Gudang ada otorisasinya, pencatatan piutang dicatat bagian akuntansi, maka atas
transaksi2 itu kita lakukan dengan jumlah yang lebih banyak daripada WTT. Maka pada
saat selesai TOC, kita sudah bisa mengambil kesimpulan apakah internal control di
perusahaan terkait siklus penjualan itu efektif/ partially efektif (efektif hanya Sebagian
misal untuk SO saja tapi barang kluar dari gudangnya tidak) / tidak efektif.
3. Substansive procedure, ada 2 :
a. Subs analytical procedure
Tujuannya adalah untuk mendeteksi adanya salah saji yang material ditingkat level/
asersi, di sub procedure apakah ada salah saji material atau tidak ? kalo ada nilainya
berapa ?
Jika di TOC hanya kesimpulannya, tidak ada nilainya, tidak peduli dengan nilai
nominalnya, besar kecil sedengnya bagi kita itu sama saja. Karena sistem tidak tebang
pilih.
Disini kita akan mengecek lebih detail dari TOC, jadi makin kebawah makin detail, di subs
procedure kita akan melakukan 2 pilihan : test of detail atau subs analytical procedure.
Tentunya kita melakukan subs analytical procedure dahulu karena lebih mudah
dilakukan, dimana ada build expectation, challenge catetannya nominal yang direcord
oleh perusahaan sebagai flash back.
Di subs analytical procedure, misalkan revenue customer 1 M, kita challenge sebelum
kita ngecekin pesanan penjualan, di subs analytical procedure apakah 1 M ini masuk akal
atau tidak, dihitung 1 bulannya berapa transaksinya ? kuantitas yang terjualnya berapa ?
sellprice per unit berapa ? kita dapet satu angka yang mana itu adalah hitungan kasarnya
auditor, dibandingkan dengan nilai pencatatan penjualan klien di laporan keuangan,
tentunya pasti beda, nah bedanya itu berapa ? kenapa bisa beda ? baru dicekin lebih
detail dan itu bisa diterima atau tidak ? jadi tidak melibatkan hal2 yang berbau detail
Contoh lainnya adalah ngitung ROI tahun ini x, tahun lalu y, jomplang ga ? kalo jomplang
kenapa ? cek dlu nanya sama klien, jadi melihat secara helicopter view, garis besarnya
saja.
b. Test of detail
Di dalam TOD kita cek invoice, kirim konfirmasi, lakukan rekonsiliasi, dan hal2 yang
melakukan lebih
Di ISA paragraph A4 ISA 330, seorang auditor harus melakukan penilaian atas resiko pada level
asersi, untuk bisa melakukan hal ini, maka auditor bisa punya 3 opsi
1. Opsi 1 adalah hanya melakukan test of controls untuk mencapai respon efektivitas terkait
dengan resiko salah saji pada beberapa level asersi. (gunakan test of Control saja) digunakan
dalam situasi control sudah bagus, resikonya rendah dan sebagainya, namun sulit bagi kita untuk
hanya melakukan TOC ( karena kita profesional sceptism)
2. Opsi 2 adalah hanya melakukan subs procedure saja, (masih lebih mudah, tapi seperti jomplang
dan ga lengkap)
3. Opsi 3 adalah menggunakan kombinasi test of control dan subs procedure
( yang no 3 adalah yang paling bagus dan paling sering)
Tadi kita mengenal ada 3, WTT, TOC dan Subs procedure, didalam Sub procedure kan dibagi 2
lagi, Analytical procedure dan Test of detail, auditor bisa memiliki 3 pilihan :
- Hanya melakukan substansive analytical procedure (Performing only substansive analytical
procedures) Pada saat auditor melakukan substansive procedure, dia punya pilihan hanya
dengan melakukan subs analytical procedure saja , diambil oleh auditor apabila auditor itu bisa
yakin bahwa resiko audit itu akan bisa diturunkan ke level yang memadai , kalo misalkan TOC
yang disebelumnya hasilnya di tahapan sebelumnya itu hasilnya baik,
- Only tests of details, tapi auditor bisa saja dia mau melakukan hanya test of details, angka
substansive analytical prosedurnya sama sekali gabisa dilakukan, misalkan baru 1 tahun belum
punya comparison dengan tahun sebelumnya atau misalkan transaksinya variasinya luas banget
sehingga tidak bisa itung kasar secara matematika2, jadi secara subs analytical procedure terlihat
tidak efektif untuk mendapatkan keyakinan, risk audit bisa ditekan ke level yang rendah. Namun
ini situasi yang sangat langka hanya melakukan test of details
- A combination of substansive analytical procedure and TOD, yang paling sering, Selanjutnya
adalah menggunakan kombinasi subs analytical procedure, dan test of detail. Kita harus tau apa
itu WTT,TOC dan SP, setelah itu SP kita harus bisa bedain yang analytical Proc dan TOC, dan kalo
ditanya biaya auditnya yang paling tinggi yang mana ?
Yang paling tinggi adalah test of detail biayanya, jika diibaratkan saringan dia adalah setelah
disaring di WTT, disaring di TOC nemuin beberapa hal, melakukan subs analytical proc. Dan
disaring lagi di TOD, semakin mengerucut, maka mestinya maka dari itu di taruh dipaling
belakang, maka meskinya temuan2 auditnya semakin spesifik.
Tujuan dari 3 pengujian ini beda, tapi sebenarnya prosedur yang dilakukan bisa sama, misalkan
prosedur utk mendapatkan bukti audit, maka tidak jauh2 dari 7 teknik audit evidence.
1. WTT, didalam WTT dikatakan bahwa menelusuri beberapa transaksi melalui sistem laporan
keuangan
Memilih beberapa pesanan penjualan dari customer yang melakukan transaksi
secara kredit, melihat proses untuk keputusan memberikan kreditnya, proses
menerbitkan notesnya, sales invoice, pencatatan piutang, pencatatan pengurangan
saldo persediaan
Bertujuan tidak untuk membuktikan bahwa semua transaksi dicatat secara tepat,
tapi digunakan untuk memahami sistem, mencatatnya dan melihat apakah entitas
memiliki pengendalian yang tepat atau tidaknya.
ISA 315 Paragraf A13 : Bisa jadi ini adalah audit kita untuk perusahaan yang sama
tahun kedua atau tahun2 berikutnya, perusahaan x tahun ini kita yang audit, tahun
lalu temen kita tapi dalam KAP yang sama, itu berarti dia adalah existing client kita,
kalo kita existing berarti kita punya dokumentasi atas kertas kerja audit tahun
sebelumnya, kita bisa gunakan hasil WTT tahun sebelumnya, tapi kita konfirmasi ke
klien, masih applicable atau ngga, ada perubahan atau ngga ?, masih relevan atau
ngga ?, kalo ada hal yang berbeda kita update.
2. Seorang auditor akan memutuskan dari tingkat resiko pengendalian (control risk), setelah
auditor bisa nentuin level of control risk, slanjutnya kita akan menentukan level of substantif
procedure,
o control risknya makin tinggi, maka subs procedurenya makin extensive
o Control risknya makin rendah, maka sub procedurenya bisa makin minimal/ sedikit
a. Jika control risk rendah (low), maka auditor bisa saja hanya melakukan analytical
review dan bergantung hanya pada subs analytical procedure
b. Jika control risk tinggi (high), maka bahaya, maka si auditor akan bilang kalo dia
gabisa bergantung pada pengendalian yang ada di perusahaan, dan akan
menggunakan Test of details (Substantif test of detail)
c. Jika sistem di perusahaan itu lemah, bukannya low/ high, dia ada tapi lemah
(partially effective) maka kita bisa bergantung hanya untuk beberapa pengendalian
yang kita bisa yakini dan kita pegang, sisanya adalah kita gunakan kombinasi subs
analytical procedure dan juga test of details.
o Didalam subs analytical procedure dan substantive test of details bisa dilakukan secara
bersama- sama tapi memiliki tujuan yang berbeda, jadi pada saat kita melakukan TOC
kita mengecek beberapa transaksi, bisa saja sekaligus melakukan TOD, tapi untuk
transaksi yang sama kita punya tujuan yang berbeda.
o Dalam kondisi yang sangat langka( terkadang) hanya dengan penggunaan TOC akan
memberikan kepuasan bagi auditor, karena subtantif test yang efektif tidak dapat
dirancang untuk dilakukan karena sistem yang begitu kompleks, jadi perusahaan
mungkin punya sistem yang sangat kompleks dan auditor tidak bisa melakukan Subs
procedure, tapi so far belum pernah yang sperti itu, sekomplek apapun auditor itu
misalkan hanya melakukan Toc menanggung resiko audit yang tinggi sekali, untuk issued
opini tapi tidak melakukan subs procedure, maka bisa dibilang terlalu ideal dalam situasi
yang sangat tidak mungkin hanya melakukan TOC tapi ga melakukan subs procedure
3. Apabila auditor memutuskan sistem yang ada di klien, terlihat cukup kuat bagi auditor untuk
bisa percaya dan bergantung sehingga si auditor itu akan menggunakan TOC aja, misalkan
dia pilih 20 transaksi lalu, TOC, lalu ngecekin transaksi itu aja, maka artinya dia sangat yakin
dengan keefektifan internal control, risky sekali, tapi bisa dilakukan walau dalam praktek ga
pernah.
1. Melakukan WTT, memahami sist yang ada, mencatat apakah ada pengendalian yang tepat, kalo
hasil WTT tidak ada atau pengendaliannya sangat lemah, maka auditor bisa memutuskan untuk
tidak bergantung kepada controls entity, skip TOC dan langsung melakukan substantive
procedure (22nya dicek )
2. Namun apabila waktu WTT menyimpulkan bahwa terdapat pengendalian, auditor bisa
bergantung pada pengendalian yang ada, tapi WTT dilakukan pada beberapa transaksi, dan itu
tidak cukup untuk mengambil kesimpulan. Maka auditor, karena controlnya ada dan ok dari hasil
WTT, dia akan melakukan TOC, dari hasil TOC kita bisa dapet kesimpulan lagi, controlnya
execellent berarti bagus (control risknya rendah), maka kita bisa melakukan substantive yang
analytical procedure saja,
Tapi kalo hasil TOC itu kesimpulannya lemah, maka control risknya tinggi, maka kita harus
melakukan 2 2 nya (subs analytical dan test of detail)
Dalam melakukan audit terkait dengan sistem computer, kita bisa punya 3 pilihan
1. Auditing round the computer, kita punya input, process dan output.
Computer itu diibaratkan black box, yang auditor tidak paham mekanisme yang terkait/
proses yang terjadi didalam computer tersebut, jadi auditor misalkan memilih auditing roung
the computer, maka dia mengecek cumin input dan output.
2. Auditing through the computer: Computer assisted audit techniques (CAATs) , dia mengecek
3 3nya, untuk bisa melakukannya audit utk proses maka auditor dibantu oleh CAATs, ada
tambahan audit tools yang digunakan.
3. Auditing with the computer, si auditor benerin computer juga,
1. Test of information/ audit trail, yang dilakukan, ttanya jawab, inspeksi, ngecekin dokumen2
jadi prosedur yang kita lakukan seperti (7 teknik) atas informasi yang masuk dari laporan
keuangan kita lakukan dokumentasi.
2. Testing output on a restricted basis, si auditor akan melakukan pemeriksaan atas output
yang sudah diproses oleh sistem yang ada di perusahaan, tapi hanya terbatas untuk misalkan
ada yang nominalnya diatas x, utk jurnal yang diposting oleh financial controller, jadi output
yang dites auditor yang udah pilihan,( dicek outputnya)
3. Block testing
4. Interview with comp staf, tanya jawab
5. Observing, mengamati, contohnya ; gampang2 susah, mesti menggunakan panca indera kita,
dating ke klien, ini klien perusahaannya bonafit, kliatan revenuenya tinggi dan sbgainya, tapi
pas kita liat ke klien, staffnya itu nyantai2 aja ga banyak kerjaan, tapi dicatetan laporan
keuangannya, transaksinya banyak, maka tidak sesuai dan muncul naluri auditornya, atau
kita melihat di meja2nya staff2 accountingnya banyak dokumen2 yang ga rapih, ga ketawan
mana transaksi yang udah dicatat dan belum, itu juga merupakan bentuk observasi, Ketika
ada pengambilan petty cash itu mudah sekali.
6. Reperformance of control procedures, melakukan kembali apa yang sudah dilakukan klien
7. Examination of management reviews , Memeriksa manajemen review, kalo tiap bulan
lapkeunya slalu dicekin oleh manajemen, auditor bisa meminta buktinya, laporan keuangan
bulanannya, tanda tangan atau approval dari manajemennya harusnya ada.
8. Testing realibility of budgets, Mengecek antara budget yang dimiliki oleh perusahaan
dengan accrual, apakah budgetnya itu misal sales 1 tahun 12 juta, sekarang bulan 10 dia
udah 10 jt, jadi on track sebulan 1 juta, atau budgetnya terlalu extreme diatas actual atau
sebaliknya jadi kita bisa menggunakan test control seperti ini.
- Kita bisa melakukan subs test dengan melakukan review atas exeption report (belum tentu
semuanya salah saji dan hrs dicek kembali, yang mana yang salah saji atas catetan yang ada
dilaporan tersebut, kalo tidak bisa dijelaskan oleh klien maka itu salah saji, tapi kalo bisa
dijelaskan dan bisa diterima penjelasannya maka itu bukan salah saji) ga semuanya berujung
pada adjustment
- Pengecekan coding purchase invoice
- Pengecekan adanya intervensi master file (hrsnya ga ada intervensi) penambahan dan
pengurangan persediaan berdasarkan mekanisme normal, maka kalo ada intervensi itu kenapa
dilakukan
- Mencocokan antara purchase orders dan purchase invoice (harga belinya, termsnya) jangan
sampai yang dipesen perusahaan dan ditagihkan ke perusahaan berbeda.
- Mengecek kewajaran harga, misal beli kertas A4 1 rim itu brapa harganya, tetapi diluar ada
harganya yang lebih rendah, karena harusnya perusahaan belinya yang lebih rendah.
- Ada atau tidak pekerjaan dari internal audit yang bisa kita pake, kita bisa review hasil pekerjaan
internal auditnya
Chapter 11 - Substantive testing, computer assisted audit techniques and audit programmes -
pertemuan 5
CAATs
Yang dilakukan adalah pengujian mengenai apakah transaksi yang tercatat didalam laporan keuangan itu
sudah melalui proses dan memiliki kriteria akurat, genuie, complete. Dirancang untuk mendeteksi salah
saji material dalam aspek asersi.
Procedure substantive
a. Substantive procedure ada 3
1. Test of detail
- Classes of transaction (transaksi)
- Account Balances (saldo akun) misal A/R ending balancenya 10 jt, sepanjang periode ada
disebelah kredit/ debit, oleh karena itu dilakukan setelah di test of detail transaction.
- Disclosures, apa yang diungkapkan manajemen dalam notes to financial statement
2. Subtantive analytical procedure
b. Test of control, pengulangan bab lalu, prosedur audit utk mengevaluasi keefektifan dari pengendalian
internal untuk prevent, detect and correct.
Test of detail adalah pengujian terperinci/ spesifik terkait dengan transaksi dan saldo akun (yang
utamanya) dan terkait disclosure itu (tambahan) tujuan auditnya itu adalah untuk mengecek
misalkan perputaran barang yang ada diperusahaan. Jadi kalo misalkan melakukan TOD, kita bisa
lakukan utk akun A/R persediaan, salah satunya kita bisa mengecek atas barang2 yang dikirim dari
Gudang apakah cocok dengan pencatatan barang yang keluar dari Gudang (salesnya)
Subtantive analytical procedure, berlawanan, kalo TOD lebih spesifik untuk transaksi2 tertentu, kalo
ini dia lebih general dan lebih umum, tidak melakukan pengujian secara mendetail, nantinya auditor
akan membangun suatu ekspetasi nilai yang dianggap auditor itu betul, setelah itu akan
dibandingkan dengan catatan yang ada dilaporan keuangan (kalo perusahaan punya revenue 10jt,
auditor ingin melakukan challenge atas nilai yang dicatat klien, tapi barang dari Gudang yang kluar
ada sekian2 dan dapet angka misal 9,8jt yaitu angka yang dibangun dari ekspetasi auditor yang
dianggap bisa dia percayai.) maka nanti selisihnya apakah material atau immaterial, kalo 200 ribu itu
diatas materialitas, maka auditor harus melakukan pengecekan secara lebih lanjut, tanya ke klien
untuk memastikan ke klien.
Jika ternyata ada sesuatu yang sifatnya extraordinary, misal barang kluar tapi ternyata konsinyasi,
maka kita harus memastikan dulu dari kliennya, namun kalo kita melakukan TOD dan sub analytical
dulu akan buang2 waktu, dengan melakukan subs analytical kita bisa mendapatkan kesimpulan dulu
lalu baru kita bisa Menyusun prosedur audit yang efektif dan efisien.
Kalo control perusahaan sudah dirasa cukup baik, maka auditor boleh hanya sebatas melakukan
substantive analytical procedure saja, dan sbaliknya jika control perusahaan lemah, maka keduanya
test of detail dan substantive harus dilakukan keduanya.
Substantive analytical procedure, Secara umum bisa diaplikasikan dengan transaksi dengan volume
besar dan cenderung bisa diprediksi sepanjang waktu (misalkan sales, purchase, depresiasi) rutin
sifatnya, tapi kalo seperti Bonds payable, share capital (bisa aja dalam sepanjang tahun nerbitin BP
cmn sekali) maka tidak cocok menggunakan substantive analytical procedure dan cocok
menggunakan test of detail.
Substantive analytical procedure akan lebih berguna kepuasan audit atas transaksi dengan jumlah
yang banyak dalam lingkungan entitas yang stabil dibandingkan pada jenis transaksi yang sedikit
namun nilainya besar2. (mis Bonds payable)
Ada 2 alasan kenapa substantive test selalu dilakukan:
- Penilaian resiko dari auditor itu penuh dengan pertimbangan, maka tidak akan bisa secara
cukup melakukan identifikasi resiko salah saji secara tepat karena judgemental dan kita
butuh suatu tools lagi untuk menutupi resiko tersebut. Maka kita melakukan subs test lagi.
Judgemental misalkan memperhitungkan resiko audit itu adalah judgemental juga, pada saat
auditor menilai inherent dan control risk itu judgemental, dan audit risk , berapa banyak
jumlah bukti audit pada saat melakukan TOC itu juga judgemental. Maka hal2 sperti itu
punya celah, walaupun kita tidak bertanggung jawab memberikan opini audit secara tepat
namun wajar, kita tidak ingin banyak celah untuk sesuatu yang salah maka kita melakukan
subs test.
- Selalu ada yang namanya keterbatasan atas Internal control, dimana internal control itu
tanggung jawab manajemen, maanjemen punya kepentingan atas laporan keuangan, maka
akan slalu ada keterbatasan yang melekat dari internal control.
Case study (contoh substantive test to test of detail) mengenai Purchase raw material
A. Cheque payments, kita melakukan subs test melakukan nya dengan ambil sample pembayaran
cek atas pembelian raw material setelah itu sudah dapet
- kita mencocokan apakah barang yang diterima sesuai dengan invoice apa tidak
- mencocokan notes penerimaan barangnya.
- itung ulang perkalian, pertambahannya, pengurangan diskonnya, ongkir dan PPnnya di cek
B. Purchase daybook, buku harian untuk mencatat pembelian,
- Memilih secara random, atas transaksi yang dicatat dalam buku harian pembelian, harganya,
itungannya, otorisasinya, dan lainnya.
C. Purchase ledger
- Mencocokan catatan purchase daybook dengan pencatatan jurnal yang diposting ke
purchase ledger atau buku besar pembeliannya secara sampel diambil apakah saldo awalnya
itu sudah cocok dengan yang bulan lalu ,cocok dengan rincian pembelian yang dipurchase
day book, pengurangan dan penambahannya sesuai apa ngga
D. Conclusion
- Setelah itu kita kasih conclusionnya, ada atau tidak kelemahan dan kesalahan yang kita
temukan dalam pengujian, kalo ada harus dimasukan ke dalam management letter.
Dalam bentuk kertas kerjanya , ada indeksnya (reference) misalkan indeksnya untuk inventory (J) kertas
induknya (J1) atau turunannya (J1.1) , by- nya dilakukan siapa dan tanggal berapa, maka nantinya kita
akan menggunakan inisial (misalkan Novia Wijaya) jadinya : NVA, maka reference akan berisi indeks
kertas kerja dimana kita telah menyelesaikan prosedur yang ada dikolom 1,
done bynya itu berisi inisial auditor yang melakukan pengecekan dan tanggal pengecekannya.
The use of audit software (ada beberapa contoh software audit yang bisa dipake)
Generalized audit software, apa aja yang bisa dilakukan dengan GAS :
1. Melakukan akses file dengan karakteristik yang beda dan memanipulasi data misalkan
buat ngesortir, menggabungkan file,
2. melakukan pemilihan untuk menentukan suatu kriteria, mengecek fungsi- fungsi
aritmatika, fungsi- fungsi matematikanya di cekin
3. menganalisa pemilihan data secara statistic lalu di stratify dulu untuk beberapa
katergori, jadi misalkan kuartil 1, 2, 3, 4, lalu dicek lagi untuk masing2 kuartil dan dipilih
dengan perhitungan statistic
4. bikin atau mengupdate file berdasarkan file aslinya perusahaan
5. membuat suatu report dengan format yang diinginkan oleh auditor
7. Taxes on income
Directional Testing
- Substantife procedure itu dibagi 2, Test of detail dan Substantive analytical procedure, maka
ada istilah lain juga di dalam Substantive testing, yaitu Directional Testing, yaitu prosedur
substantive lainnya.
- Substantif prosedur untuk directional ini bisa melakukan pengecekan baik untuk
overstatement (saldo yang dicatat berlebih)/ understatement (saldo yang dicatat kurang dari
yang seharusnya)
- Contoh : mencatat transaksi di dalam akuntansi, selalu pakai Double- entry system, (Debit/
Kredit),
- Misalkan ada buku besar sales, piutang, bank/ cash, Ketika ada satu transaksi misalkan
penjualan kredit (jurnalnya A/R (D) Sales (C)) pada saat kita melakukan pengecekan untuk
A/R (D) secara tidak langsung kita juga mengecek transaksi sales yang ada di kredit,
- Ketika ada pelunasan piutang (jurnalnya Cash in Bank (D) A/R (C)) pada saat auditor
melakukan pengujian atas A/R yang ada di sbelah Kredit, maka secara ga langsung auditor
melakukan pembuktian bahwa Cash in Bank yang ada di Debit atas transaksi ini juga sudah
Genuine, Accurate, Complete,
- Maka Directional testing itu cara kerjanya sama dengan cara kerja akuntansi, dimana kalo
akuntansi nyatet transaksi itu pasti melibatkan lebih dari satu akun, di directional testing itu
auditor juga mengecek, misal untuk akun- akun seperti expense, cash receipt dan asset yang
mana kita tahu saldo normalnya di sebelah debit, auditor bisa mengecek transaksi2 yang ada
dibuku besarnya disebelah debit, untuk mengecek ada overstatement atau tidak, sedangkan
akun2 seperti income, cash payment, liabilities, yang saldo normalnya di kredit, auditor itu
bisa mengecek buku besar sisi kreditnya apakah ada understatement atau tidak
- Karena jika exp, cash receipt, asset, banyaknya adanya di sebelah debit (jadi focus ke
debitnya) untuk yang sebelah creditnya akan otomatis ke cek pada saat auditor ngelakuin
directional testing untuk akun lainnya, (opsional) mau per- akun di buku besar atau mau per
saldo akun debit dan credit langsung.
Communication of audit matter to Those charged with Governance (TCWG) (Management Letter)
- Setelah selesai melakukan substantive testing, auditor sudah bisa menyimpulkan walaupun
belum sampai pada opini auditor, maka ada hal2 yang bisa mulai disusun yaitu management
letter, yaitu surat dari auditor kepada management terkait hal2 yang menjadi temuan terkait
dengan internal control perusahaan, ditujukan ke TWCG (management, audit committee)
yang bertujuan ;
a. Bmengkomunikasikan secara jelas kepada pihak berkepentingan atas tata Kelola
perusahaan bahwa, tanggung jawab management itu atas lapkeu, tapi kalo auditor itu
atas opini audit, jadi harus jelas dulu tanggung jawabnya apa, supaya tidak ada salah
paham, lalu apa yang sudah dirancang auditor untuk direncanakan dan sudah dilakukan
timing2 auditnya.
b. Mendapatkan informasi dari TWCG, terkait dengan audit yang sudah dilakukan
c. Menyediakan informasi untuk TWCG terkait hasil observasi auditor secara tepat waktu
apakah ada hal - hal signifikan dan relevan terkait dengan tanggung jawab atas proses
penyususan laporan keuangan
d. Membawa semangat, memiliki komunikasi 2 arah yang efektif antara auditor dengan
TWCG, dilakukan untuk tujuan-tujuan di atas.
Management Letter
- Komunikasi itu akan dituangkan dalam suatu surat (management letter) , isinya adalah
1. Judul, ditujukannya untuk siapa
2. Paragraph introductionya
3. Ada responsible officialnya, sebelum management letter ini jadi, pastinya auditor sudah
berkomunikasi dahulu dengan bagian terkait itu disebutkan
4. Misal auditor itu harus menyatakan ada/ tidaknya alasan di mana ada keraguan atas
integritas, kalo ada dikatakan, kalo ga ada y aga ada.
5. Kesimpulan utama, dari kesimpulan utama ini akan diturunkan lagi untuk masing2 topik
karena didalam management letter itu bisa berhalaman2, tergantung dengan issue yang
ditemukan selama audit, pernah belasan, (1 halaman 1 topik),
6. Main conclusion misalkan mengatakan internal controlnya cukup baik, karna apa ?, misal
oke untuk bagian a,b,c dan rinciin yang ga okenya misalkan
Brief description : management gapernah bikin bank reconciliation, kita akan
mendetailkan, berdasarkan observasi auditor, management tidak membuat bank
reconciliation, terus kenapa ?
Possible consequences (implikasinya) : implikasinya kenapa, kalo perusahaan ga
bikin bank reconciliation perusahaan ga akan bisa tau selisih antara catatan cash
in bank di perusahaan dengan catetan di bank, kalo ada selisih bisa telat
diketahuinnya
Recommendation : rekomendasi dari auditor adalah perusahaan membuat bank
rekon secara periodic setiap akhir bulan, untuk masing2 issue yang ingin di di
raise di management letter, mesti support dengan 3 hal di atas.
7. Minor matters, adalah hal- hal kecil yang tidak dimasukkan ke dalam report karena
sebenarnya sudah selesai sebelum management letter ini dibuat, auditor dengan
management sudah membicarakan hal- hal kecil yang sudah selesai.
8. Auditor membutuhkan respon, bukan cuman surat satu arah, nantinya akan ada part
kosong dibawahnya, di mana management harus kasih respon/ tanggapan atas
management letter yang dibuat auditor (untuk masing2 issue yang di raise)
1. Auditor merasa bahwa manajemen sepertinya tidak berintegritas dan kompeten untuk
menjawab management letter kita, maka suratnya jangan dikasih ke manajemen, tapi kasih ke
komite audit contohnya (misal kita ada ngasih suatu temuan, tapi kita ngasih ke orang yang
melakukan, ya kita tidak bisa mengharapkan apa2) maka kita harus ngasih ke pihak yang
mengawasi management melakukan operasinya.
2. Terkadang di perusahaan2 kecil ga punya staf yang cukup untuk melakukan pemisahan tugas,
maka kalo misalkan seperti ini , ada tugas2 yang ga boleh dirangkap, harus dipisahkan, tapi karna
perusahaan masih kecil kita tidak bisa memberikan rekomendasi perusahaan harus hire staf yang
lebih banyak, maka jalan keluarnya adalah manajemen harus melakukan supervise yang lebih
ekstensif
3. Laporan auditor atas hal2 yang terkait dengan pengendalian internal yang dapat mengakibatkan
adanya salah saji di dalam laporan keuangan ataupun memiliki kemungkinan menyebabkan salah
saji signifikan yang potensial
4. Apabila klien/ management tidak melakukan usaha perbaikan atas management letter yang
sudah diberikan pada periode lalu, auditor juga akan meraise issue ini, dan meminta respon dari
management mengapa hal2 perbaikan tidak dilakukan, karena kalau hal2 perbaikan tidak
dilakukan maka hal tersebut akan terus berlanjut dan menyebabkan adanya salah saji di dalam
laporan keuangan.
5. Atas perusahaan2 sektor public, auditor yang melakukan audit atas perusahaan yang bergerak di
sector public misalkan BUMN, maka terkadang memiliki tanggung jawab lebih untuk
memberikan laporan atas internal control ini ke public ataupun kepada Badan yang memiliki
otoritas untuk hal ini.
Audit sampling : merupakan suatu metode yang digunakan oleh auditor untuk mengumpulkan
bukti dalam rangka memberikan opini atas laporan keuangan. Auditor akan memilih transaksi2
dokumen, saldo akun untuk mreka tes sbg sample dengan menggunakan metode sampling audit
sebagai tekniknya, sedangkan
Materiality : konsep yang sangat penting bagi auditor untuk menentukan apakah lapkeu
perusahaan memberikan true and fair view. Tanpa memiliki gagasan bahwa tingkat dari salah saji
yang ada dilapkeu itu menjadi menyesatkan, auditor tidak akan bisa mengevaluasi pentingnya
salah saji itu ditemukan selama audit. Tentu saja auditor harus memiliki pegangan, mana
informasi yang menyesatkan dan tidak menyesatkan, maka kita harus punya Batasan angka
untuk menentukan hal itu, maka itulah yang disebut sebagai materialitas.
2 konsep ini saling berhubungan karena, Ketika auditor menilai signifikansi suatu kesalahan
atauSalah saji dalam sample mereka, mereka menerapkan konsep materialitas.
What is sampling ?
Sebenarnya auditor itu berharap bisa memberikan kesimpulan audit yang memadai, namun juga
kesimpulan yang memadai itu harus diperoleh dengan biaya audit yang cukup masuk akal,
jangan sampai kita mengejar keyakinan yang memadai, kita menghabiskan biaya audit yang
begitu tinggi, sehingga KAP tidak mendapatkan keuntungan, karena KAP juga perusahaan
membutuhkan keuntungan.
Maka dari itu untuk bisa memfasilitasi hal ini maka auditor menggunakan sampling , memilih
item2 yang ada dipopulasi yang akan menjadi sample mereka.
Tujuan dari sampling adalah untuk menyediakan dasar yang memadai bagi auditor untuk
memberikan kesimpulan atas populasi dimana sample itu dipilih (ISA 530)
Auditor harus bisa menentukan kapan waktu yang tepat untuk menggunakan sampling, tidak
harus sampling boleh aja tidak, misalkan stock opname yang gudangnya luas, maka bisa
menggunakan sampling agar bisa cukup waktunya lebih efisien. Atau jika misalkan
memungkinkan untuk menghitung populasi (item2nya mudah dihitung dan tidak perlu repot2),
secara penuh, tapi harus reasonable cost (biaya yang masuk akal). Mesti bijaksana kapan yang
tepat untuk menggunakan sampling.
Sufficiency, (relevance and reliability) - mengacu pada Appropiate, mesti diaplikasikan dalam audit
sampling :
- Apakah sample yang diambil itu cukup jumlahnya untuk mewakili populasi
- Apakah sample ini relevan/ sesuai dengan populasi
- Apakah prosedur pemilihannya telah cukup untuk menilai keandalan sample yang dipilih dari
populasi
1. Statistical sampling, menerapkan teori probabilitas, dimana setiap item yang ada dipopulasi/
setiap satu satuan nilai mata uang memiliki kesempatan yang sama utk terpilih sebagai sample
dibandingkan dengan item yang lainnya.
2. Nonstatistical sampling, biasanya acak, pemilihan secara acak tanpa bergantung pada teori
probabilitas yang sebelumnya.
2 2 nya lebih baik, masing2 punya plus mines, yang harus kita ketahui kapan kita harus menggunakan
salah satunya.
1. Judgemental sampling
o Auditor bisa menggunakan judgement/ pertimbangannya dalam memilih sampling dan
juga melakukan interpretasi atas hasil sampling mereka
o Judgement auditor ini bisa diterapkan baik dalam statistical/ non statistical sampling
o Namun kalo yang non statistical sampling, sudah pasti dia judgemental sampling, karena
semua aspek pemilihan samplenya membutuhkan pertimbangan
o Yang menjadi masalah dalam judgemental sampling ini adalah karakteristik dari sample
tidak selalu bisa mengungkapkan atau mewakili karakteristik populasi, walaupun dia
mudah diterapkan.
2. Statistical sampling
o Di dalam stat sampling, untuk bisa mendapatkan sample yang bisa mewakili populasi,
sample itu haruslah homogen, namun kita tidak selalu memiliki populasi dengan item2
yang homogen (contoh apabila transaksi yang ingin kita cek dihasilkan tidak dengan
internal control yang sama, kadang berfungsi/ tidak berfungsi, maka kita harus pilah
mana transaksi yang timbul dari internal control yang berfungsi dan tidak berfungsi.
o Misalkan dalam populasi ada rentang nilai yang lebar, misalkan ada transaksi dengan
nominal diatas 1M, dan relative kecil misalkan 10.000, maka 2 hal ini bisa menyebabkan
lack of homogeneity dalam populasi, maka kita harus yang biasanya dilakukan, auditor
akan stratify , dari populasi yang utama di klien (sales transaction, dari internal control
yang ON/OFF dipisah jadi 2 kelompok, nilainya diatas 300jt dan dibawah 300jt jadi satu
kelompok) jadi intinya kita bisa mengatasi ketidakhomogenan, dengan membuat
kelompok baru lagi dari populasi utama yang ada, sehingga setelah itu kita bisa
memberikan treatment yang berbeda2 untuk masing2 kelompok sesuai dengan
karakteristik yang mendekati.
Masing2 boleh dipakai, yang manapun kita pilih metodenya sebagai auditor harus
mendokumentasi dan punya alasan yang jelas mengapa kita menggunakan , kenapa pake A,
kenapa ga pake yang lain ?
Selanjutnya setelah kita mengenal jenis2nya, kita akan melihat size of sample, misalkan kita
sudah menentukan mau pakai statistical sampling, lalu kita harus menentukan berapa item dari
populasi yang harus kita pilih, karena dikatakan bahwa bukti audit yang didapatkan haruslah
sufficient dari sisi kuantitasnya cukup oleh karena itu ukuran sample menjadi hal yang sangat
penting.
1. Level of confidence required, dipengaruhi oleh penilaian atas inherent dan control risk,
bisa berkurang berdasarkan bukti yang didapatkan dari pengujian audit lainnya contoh
analytical review
2. Expected error rate, semakin tinggi expected/ deviation rate maka semakin tinggi juga
ukuran sample yang dibutuhkan, seorang auditor harus mendefinisikan error/ deviation
sebelum dilakukan pengujian (ditentuin dulu baru diitung)
3. Tolerable error rate, nilai maksimum atau tingkat kesahalan, yang auditor siap untuk
terima (ditoleransi auditor) semakin rendah maka semakin besar jumlah sample yang
harus diambil, ukuran populasi memiliki efek yang kecil dalam penentuan ukuran
sample.
AR = IR (inherent risk) x CR (control risk) x DR (Detection risk)
Inherent dan control risk itu, auditor melakukan penilaian atas kondisi yang ada di perusahaan
klien, sedangkan audit risk itu auditor itu menentukan berdasarkan judgementnya, willingness
auditornya di set. Setelah audit risknya di set dan IR dan CRnya di assest, Maka detection risknya
baru bisa (solved) dihitung maka rumusnya diubah menjadi :
DR = AR/ IR x CR
Confidence level
Contoh :
2. Seorang auditor bersedia untuk menerima resiko 20%, , kalo auditor bersedia menerima
resiko 20%, maka confidence levelnya = 100 - 20% = 80% dan sama kaya yang di atas
bahwa dia berharap menemukan 1 salahnya, tapi tolerable ratenya naik jadi 4%, dengan
demikian kita bisa liat di table (kolom 80%, yang baris number of sample errorsnya 1),
maka auditornya akan mengambil sampel nya 75
Bisa dilihat Ketika confidence levelnya meningkat, lalu tolerable error ratenya meningkat,
maka jumlah samplenya menjadi lebih kecil.
Di Slide sebelumnya kita mengenal 4 metode pengambilan sample (random, systematic, block or
cluster haphazard), selain 4 itu, yang lebih terkenal dan paling banyak dipakai baik di Big Four
atau non big four, itu adalah ada Monetary Unit Sampling (MUS)
- Didalam MUS seorang auditor tidak hanya tertarik dengan yang namanya tingkat kesalahan, tapi
auditor lebih focus lagi, lebih tertarik lagi dengan yang namanya monetary effects, di hitungan
sbelumnya kita tidak memperhatikan berapa nilai dari transaksi yang ada , misalkan yang tadi
kita disuru memilih sample yang 81 dan 75 , kedua hal itu hanya untuk jumlah samplenya saja ,
tapi 81nya itu 81 yang mana apakah mengambil secara random ? apakah haphazard ? Block ?
atau lainnya ? jadi cenderung hanya menentukan jumlahnya saja, tapi untuk menentukan sample
yang mana yang harus diambil bebas.
- Kalo di MUS kita akan melihat bahwa masing2 item yang ada di populasi itu kita lihat sebagai
satu satuan mata uang, jadi populasi yang ada, tidak dibagi menjadi transaksi (mis; satu invoice
dianggap sebagai 1 item, populasinya sales, lalu kita bagi sebagai transaski, berarti 1 invoice
dihitung sbg 1 item, atau tidak juga kita bagi sbg saldo, mis; kita punya akun piutang dagang dari
berbagai customer, 1 customer kita hitung sbg 1 saldo, didalam MUS kita tidak melihat apakah
itu jumlah transaksi atau jumlah saldo, tapi kita melihat sebagai satu satuan mata uang,
seandainya saldo ending A/R, $35M (dri 7 customer misalkan), maka akan diasumsikan, kita
punya 35M dengan nilai unitnya $1
- Kesimpulannya didalam MUS, transaksi ataupun saldo dengan nilai mata uang yang lebih tinggi
akan memiliki angka probabilitas yang lebih tinggi / besar terpilih sbagai sample, misal blanja
brapapun dpt 1 kupon, tapi kalo MUS, belanja sesuai kelipatan misal 1000, dpt 1 kupon, dan
blanja 1jt dpt 1000 kupon, otomatis kalo misal blanja semakin besar, semakin besar juga
probabilitas kita menang undian.
- Sbg contoh menemukan salah saji unit $1, dia menempel pada saldo yang mana, misalkan saldo
tercatat 100, tapi nyatanya 80, maka 20% itu ternodai/ mengandung kesalahan, misal dari 35jt
unit, kita pecah 1000 unit sample, di antaranya ada salah, maka kita akan tracing, dan kita lihat
misalkan harusnya 80, tapi dicatetnya 100, berarti 20nya kesalahan
Keuntungan statistical:
- Sebetulnya judgement auditor jadi lebih objektif dan Lebih tidak mengandalkan judgement
dan lebih eksplisit
- Ukuran sample yang didapatkan berdasarkan prinsip statistic dan juga evaluasinya akan lebih
bisa dikuantifikasi dan lebih tepat, dan tidak perlu terlalu banyak dokumentasi karena
memang sudah sesuai dengan perhitungan ilmiah dan teoritis
Kerugiannya :
- Untuk persiapannya butuh banyak waktu dan biaya dibandingkan non statistical sampling
- Dokumentasi baik statistic dan non statistic sama2 harus bikin dokumentasi, namun kalo
statistic kita bikin dokumentasi terpisah terkait pemilihan metode dan evaluasi dari hasil
sampling
- Statistic lebih sulit untuk dipahami tapi terspesialisasi dengan bantuan dari statistic yang ada
paket2 statistik di computer
Kalo mau cepet pilih statistical, kalo mau lebih represent lebih baik ya statistical, tapi ya punya
time consume dan costly
Materiality - introduction
- Seorang auditor harus mempertimbangkan apakah salah saji atau omission yang ada (kelalaian)
cukup material sehingga menyebabkan lapkeu tidak memberikan true and fair view. Karena itu
tingkat materialitas mesti diidentifikasi untuk keseluruhan lapkeu, ( tidak bisa hanya
materialitasnya melihat untuk satu area misalkan profit and loss, dan tidak melihat SOFPnya).
- Sebuah salah saji termasuk kelalaian dikatakan material apabila mereka secara individu/ agregat
akan bisa menyebabkan pengguna laporan keuangan menjadi salah dalam mengambil
keputusan. Dan pertimbangan untuk menentukan materiality, harus dilakukan made in the light
of surrounding circumstances (terang benderang) jangan meraba2 dalam situasi kegelapan,
harus memiliki informasi yang cukup, memahami medan, mengetahui hal2 yang kita butuhkan,
maka setelah itu baru kita bisa menentukan materialitas, sehingga penentuan itu bisa
dipertanggungjawabkan dan sudah melalui hal yang cukup. Penentuan materialitas setelah
mendapatkan informasi2 yang cukup mengenai klien, laporan keuangannya, track recordnya,
task experiencenya di masa lalu, salah saji dan internal controlnya bagaimana
- Efek, laporan keuangan akan dipakai oleh banyak pihak, maka materialitas jangan sampai bikin
pengguna lapkeu menjadi salah dalam mengambil keputusan, itu sangat luas, pengguna lapkeu
itu sangat banyak, tapi yang utamanya adalah Pemegang saham (pengguna utama),
- selain itu ada investor, kreditor, dan juga pihak2 seperti pemerintah, employee dan lainnya, tapi
dari sekian pihak tidak semuanya paham tentang laporan keuangan, Maka jenis pengguna yang
harus auditor pertimbangkan adalah pengguna laporan keuangan yang mengerti dan memahami
laporan keuangan, bukan orang yang naif, polos dan tidak mengerti laporan keuangan. Yang
knowledgeable
- Penentuan materialitas dilakukan pada tahap planning, di tahap planning kita belum melakukan
pengujian2 audit tapi auditor akan menentukan kurang lebih tingkat kesalahan/ salah saji yang
mungkin muncul dilaporan keuangan sehingga pengguna laporan keuangan bisa terpengaruh.
- Si auditor sudah menentukan audit risknya setelah itu menentukan materialitas untuk masing2
item yang ada di laporan keuangan, materialitas itu cmn 1 tapi materialitas yang 1 itu, misal 100
jt, tapi kita butuh angka yang lebih spesifik, misal untuk intangible asset dan inventory, kalo pake
100 jt keduanya maka akan tidak baik, maka kita bisa menentukan materialitas yang lebih rendah
untuk diarea area tertentu. (performance materiality) untuk area2 tertentu.
- Misalkan 100 jt utk inventory ketinggian, maka bisa dipakai hanya 80%nya saja, atau intangible
asset nya ketinggian juga maka bisa diturunkan menjadi 30%nya saja.
- KAP bisa menurunkan tingkat materialitas apabila ditemukan inherent dan control risk yang ada
diperusahaan itu tinggi, dari penilaian auditor. Kalo tingkat materialitas menurun, maka
evidencenya lebih banyak, cost audit makin tinggi
- Semua keputusan terkait materialitas itu harus di dokumentasikan di audit planning
memorandum
Materiality during the audit and at evaluation stage (materialitas di tahap pengujian dan evaluasi)
- Materialitas boleh diubah asalkan Ketika melakukan perubahan materialitas harus memberikan
alasannya mengapa
- Auditor akan menghitung salah saji bukan hanya atas salah saji yang ditemukan tapi juga salah
saji yang tidak ditemukan,
- Extrapolate contohny, misalkan populasi 100 item transaksi diambil 25% sbg sample, dari 25 kita
nemuin salah saji ada 10, kalo kita extrapolate, maka 10 salah saji dalam sample, kita sebut itu
sebagai known diferent, salah saji yang diketahui scr pasti. Tapikan populasi ada 100, sample
yang kita ambil 25, kalo extrapolate kita generalisasi, kalo possibilitynya sama dari 100 populasi,
salah sajinya berarti 25% itu ¼ nya 100, ketemu dari 25 ada salah saji 10, berarti total salah saji
10 x 4 jadi 40.
- Maka auditor melakukan estimasi salah saji bukan hanya atas sample yang diambil tapi atas
keseluruhan populasi, karena sample itu diambil hanya sebagai suatu metode, tapi kesimpulan
harus diberikan atas keseluruhan populasi. Auditor mengambil sample supaya lebih mudah,
conclusion dan cost bisa balance, dan mendapatkan bukti audit tapi juga reasonable cost.
- Nantinya auditor harus mendokumentasikan dan menginformasikan kepada management
bagaimana Tindakan selanjutnya atas misstatementnya, mau diadjust ? dan dikomunikasikan
kepada komite audit
- Auditor juga memantau, Tindakan yang diambil management itu apa ? dia mengambil corrective
action atau tidak ?
- Pada saat menemukan salah saji mesti profesional sceptism, ada hal2 yang harus di perhatikan ,
maka kita bisa lihat dari :
1. Kita bisa lihat dari ukuran dari salah saji yang kita terima apakah nilainya besar/ kecil,
disengaja atau tidak disengaja,
2. mengandung suatu pola tertentu,
3. merupakan dari suatu hal yang factual / opini, karena bisa saja ada perbedaan pendapat
antara auditor dan management. Bisa saja ada salah saji yang sudah jelas2 salah (factual
matters). Kalo opinion itu tergantung Point of view dari mana karena standar akuntansi juga
abu2
4. apakah salah sajinya terkait dengan hal2 ilegal
5. apakah ada dugaan bahwa salah saji datang dari kecurangan yang dilakukan oleh pegawai
6. apakah terdapat salah saji yang mirip yang terjadi juga di periode audit sebelumnya
7. apakah salah saji ini hanya mempengaruhi saldo akun di dalam balance sheet atau juga
profit and loss.