CHAPTER 10 - AUDIT EVIDENCE (Hayes) - pertemuan 1

audit procedures

dilakukan oleh auditor untuk mendapatkan audit evidence

audit evidence

menjadi dasar bagi auditor untuk memberi opini audit (audit opinion)

bukti audit yang cukup mencukupi dan memadai

teknik2 untuk mendapatkan bukti audit

1. tanya jawab (Inquiry)

 prosedurnya adalah inquiry tapi yang dihasilkan jawabannya adalah menjadi evidencenya
 bisa jadi ada orang yang ditanya jawab dari internal/ eksternal
 tidak bisa menyimpulkan sesuatu dengan metode hanya inquiry ini, maka harus di combine
dengan metode lainnya
 sehingga bisa mendapatkan bukti yang kuat
 setelah kita melakukan tanya jawab, diharapkan kita mendapatkan
 terlalu cepat puas dengan jawaban dari prosedur tanya jawabnya lagi
 sebelum bertanya, auditor sudah punya list ( dan itu hanya sbg guidance) dan masih bisa
dikembangkan, maka kita harus mendapatkan jawaban yang memuaskan untuk menyimpulkan
sesuatu
 baiknya prosedur ini dilakukan berdua sehingga ada pembagian tugas

2. observasi

 kita melihat, mengamati apa yang dilakukan oleh orang lain, dan menggunakan panca indera kita
(mis : disuruh mencicipi makanan, dll)
 bisa dilakukan untuk stock opname ( pada saat perusahaan melakukan perhitungan fisik atas
persediaan, auditor datang dan melakukan observasi, namun auditor tidak melakukan
perhitungan fisik, dan hanya bertugas untuk mengobservasi), sehingga auditor datang sbg pihak
yang independent
 namun tidak cukup hanya dengan observasi, sehingga harus ditambahkan dengan prosedur
lainnya sehingga dapat mendapatkan bukti audit yang cukup dan memadai (dan harus didukung
dengan bukti audit yang didapat dari prosedur lainnya)
 menurut ISA 501, pada saat kita melakukan perhitungan fisik persediaan, apabila persediaan di
didalam laporan keuangan nilainya cukup material, sehingga auditor harus mendapatkan bukti
yang cukup dan memadai, bahwa persdiaannya really exist (benar2 ada) , maka auditor harus
datang langsung untuk melakukan observasi perhitungan fisik , (kalau berhalangan, maka bisa di
tanggal alternative / bisa melakukan test of control
 mis : lapkeu prusahaan tutup buku pada 31 desember, namun pada 31 Des ( kita/ client
berhalangan), jadi kita bisa melakukan observasi sbelum tanggal 31,
 call forward , bawa angka saldo stock take tgl 29 maju ke tanggal 31, tapi kalo misal kita lakukan
stelah tanggal tutup buku misal tgl 2 , kita harus bawa saldo angka 2 ke tanggal tutup buku
 sbelum tutup buku, maka kita harus membawa kembali ke blakang ( roll backward), kalo misal
gudangnya tidak ada transaksi, tapi kalo misal ada, kita bisa melakukan pemeriksaan.

3. inspeksi (mis : asset perusahaan mobil, dll dokumen2)

 terkait dengan pemriksaan atas dokumen/ asset yang berwujud (sales invoice, rekening koran, e-
records, atau datang ke pabrik untuk melihat mesin2 perusahaan)
 pada saat inspeksi kita bisa melibatkan 2 jenis dokumen
internal document : dokumen yang dihasilkan oleh prusahaan client kita (sales invoice, sales
orders)
external document : dokumen yang dihasilkan oleh pihak ketiga (purchase invoice, yang didapat
dari pihak penjual, bank statement, policy asuransi)
kita lebih bisa mengandalkan dokumen dari pihak ketiga karena lebih tidak memiliki kepentingan
atas client yang kita audit, namun pastinya banyak juga dokumen internal yang kita butuhkan,
maka dari itu bisa kita combine
 Vouching and tracing
Dokumen sumber, bisa invoice, bukti pengeluaran kas, lalu dengan adanya dokumen kita
verifikasi, jurnal, dan posting.
a. Vouching, untuk menguji penyajian terlalu tinggi - overstatement - arahya lebih ke belakang
(untuk existance, dan occurance)
b. Tracing, untuk menguji penyajian terlalu rendah- understatement (untuk asersi
completeness) ambil contoh 1 dokumen, lalu kita tracing dokumen itu sampai ke catatan
akuntansi misal ke laporan keuangan, kita ingin tahu apakah sebuah laporan keuangan itu
sudah lengkap, kalo invoice yang kita pegang itu sudah termasuk di dalamnya brarti sudah
lengkap, namun kalo tidak berarti belum lengkap, arahnya lebih maju ke depan

4. Perhitungan ulang (Recalculation)

 Client sudah melakukan perhitungan, lalu kita melakukan perhitungan ulang atas apa yang sudah
dihitung oleh si client

5. Melakukan ulang (Re-perform)

 Client sudah lakukan, lalu auditor melakukan ulang apa yang sudah dilakukan oleh client untuk
melihat hasilnya apakah hasilnya sesuai yang dikatakan client
misal : client tiap bulan lakukan rekonsiliasi , antara lap Gudang (jumlah inv out-in) dibandingkan
dengan sales report di bulan itu ( berapa barang yang terjual)
 Maka auditor melakukan kembali, misal di bulan November auditor melakukan kembali, dan
mestinya hasilnya sama.

6. Confirmation

 Auditor gunakan apabila di dalam akun tersebut mengandung signifikan risk, umumnya adalah
dalam konfirmasi atas akun piutang usaha
 Konfirmasi yang ditulis dan didapat dari pihak ketiga merupakan bukti audit yang cukup kuat,
tapi disatu sisi, konfirmasi ini adalah prosedur audit yang memakan biaya yang lebih, dan bagi
pihak yang mendapatkan konfirmasi, biasanya orang tidak nyaman, karena harus menjawab.
 External confirmation, biasanya kita melakukan audit akun2 apa yang dikonfirmasi
 Misal : Piutang dagang konfirmasi ke prusahaan
Cash in bank , saldo- saldo , letter of credit, deposito, pinjaman , dll . konfirmasi ke pihak bank
Share capital , konfirmasi ke pemegang saham, karena saham itu biasanya nilainya material
Kuasa hukum perusahaan , loan, cash in bank, ke pihak2 yang related
Yang membuat konfirmasi, ( pada saat auditor ingin melakukan konfirmasi, yang dilakukan
pastinya auditor sudah memiliki template konfirmasi yang diberikan ke client yang diisi dan
diprint dengan kop surat klien) kalo sudah dikirim yang kirim auditor, lalu nantinya auditor yang
terima balasan.
 Positive confirmation, di dalam konfirmasi itu kita tulis mohon menjawab konfirmasi ini, si pihak
penerima, kalo dia menjawab setuju, misal benar punya hutang 1 jt, jadi positif konfirmasi
menuntut/meminta jawaban apapun hasilnya ( yang lebih bisa diandalkan dan lebih baik)
a. Blank confirmation, jadi tidak kita kasi saldonya , kita minta sebutkan mreka (cash in bank)
b. Kalo untuk receivable biasanya kita tidak menggunakan blank confirmation
 Negative confirmation, di dalam konfirmasi itu cukup jawab kalau tidak setuju, kalo misal utang
customer benar, berarti tidak perlu jawab, lalu kalo misal salah, maka dia hrs menjawab, namun
bisa saja terjadi kendala

7. Prosedur analitik

Urutan prosedur yang paling bisa diandalkan

1. Recalculation (Most reliable)

2. Inspection
3. Re-perform
4. Observation
5. Confirmation
6. Analytical procedures
7. Inquiry

Urutan dari sisi cost, yang paling most costly - dengan least costly

1. Confirmation (paling mahal)

2. Inspection
3. Recalculation
4. Re-perform
5. Observation
6. Analytical procedures
7. Inquiry

Audit sampling objective

Dalam melakukan audit, si auditor boleh mengecek 100% populasi menggunakan sampling, kebanyakan
sekarang sering kali menggunakan sampling, namun makin ke depan, karena makin canggih, dan
didukung IT, memungkinkan populasi utuh.
Pada saat auditor mengambil sampling , ambil 10 transaksi misal, maka adalah 90 transaksi yang tidak di
cek (total 100 transaksi). Maka dari 10 sample yang dia ambil, harus bisa meyakinkan bisa mewakili
populasinya. Kalau misal menggunakan sample, maka akan memunculkan sampling risk, akan
memunculkan resiko bahwa ternyata kesimpulan yang diambil auditor berbeda dengan kenyataan
yang seharusnya dari kesimpulan yang diambil dari populasi yang utuh (beda kesimpulan).
(mengambil kesimpulan yang salah)

Jadi sample di bagi 2 ,

1. Kalau ternyata auditor menyatakan test of control dia menyatakan lebih efektif daripada
kenyataan yang ada, tidak ada salah saji padahal ada, karena kebetulan dia mengambil sample yang
bagus sehingga kesimpulannya bagus (padahal populasinya tidak)
2. Auditor sudah make sample, ternyata sample yang diambil bermasalah, sehingga kesimpulannya
test of control tidak efektif padahal populasi utuhnya berbeda kesimpulannya

Audit of Estimates

Di dalam laporan keuangan, banyak menggunakan estimasi, misal estimasi residual value, warranty, fair
value, banyak lainnya yang mengandung estimasi.

Dengan banyaknya estimasi, maka kita bisa dibilang laporang keuangan tidak diukur secara tepat, namun
hal tersebut diperbolehkan, namun pada saat auditor melihat ada area dalam laporan keuangan ada
yang mengandung estimasi, maka kita bisa harus memverifikasi,

- Pake model perhitungan yang seperti apa

- Bagaimana kontrolnya
- Apakah manajemen menggunakan tenaga ahli atau sendiri
- Asumsi yang menjadi Dasar atas estimasi ini apa
- Apakah ada perbedaan dengan periode yang sebelumnya
- Apakah si manajemen sudah melakukan penilaian atas efek dari ketidakpastian estimasi yang di
lakukan

Intinya kita menchallenge si manajemen

Written representation (surat representasi klien)

Karena banyak hal , namun auditor harus punya pegangan bukti, maka si klien tidak menyembunyikan
sesuatu, maka surat representasi akan masuk ke representasi manajemen

Misstatement di bagi 2,

- Corrected, walaupun auditor yang nemuin, tapi klien itu mau dibenerin, brarti opini WTP masih
bisa diberikan,
- Uncorrected, tapi kalo misal klien kita tidak ingin melakukan perbaikan, maka kita hanya perlu
melakukan perbaikan (kita bisa memberikan keterangan unmodified) dan dipertimbangkan
kembali apakah bisa qualified atau tidak.

Related parties, pihak yang memiliki hubungan istimewa dengan klien kita (perusahaan induk, anak dan
lainnya) maka kita harus berhati2, karena perusahaan kita punya volume transaksi yang besar dengan
Related party dibanding kan dengan third party, kita harus tanda tanya, apakah transaksi tersebut
dilakukan dalam kondisi yang normal.

Written representations by management, pernyataan tertulis by management yang diberikan kepada

auditor unutk memberikan konfirmasi terkait hal2 tertentu yang dijadikan sbg bukti audit.

Tanggal di dalam writttennya sama dengan tanggal opini audit

The audit process Chapter 8 - System Work : basic idea 1 - pertemuan 2

Internal control dan control risk

- Ada 2 pekerjaan lapangan yang bisa dibagi dalam suatu penugasan audit :
a. Interim audit, artinya auditor itu datang ke tempat klien sbelum lapkeunya itu selesai dibuat,
misal : tutup buku 31 des, interim audit itu dilakukan sebelumnya,
b. Final audit, artiyna dilakukan setelah lapkeunya itu tutup buku, misal : tutup buku 31 Des,
dilakukan di bulan stelahnya

Tidak semua klien kita bagi 2, kalo auditor merasa mampu dan cukup untuk melakukan final audit saja ga
masalah, namun terkadang masalahnya pada saat perusahaan melakukan tutup buku 31 Des,
perusahaan merata2 paling banyak, sehingga akan jadi di satu waktu auditor akan menerima banyak
kerjaan dalam satu tempo, maka dari itu agak susah karena di waktu yang bersamaan.

Apa yang bisa auditor cicil pekerjaannya, kita cicil di interim audit, pada saat final audit barulah kita
melanjutkan dan apakah ada yang diperbaiki. Jadi interim audit tidak selalu ada, tergantung seorang
auditor mau atau tidak melakukan audit lebih dari 2 kali

Ada hal - hal yang bisa dan tidak bisa kita lakukan di interim audit, contohnya

- Untuk akun2 revenue dan expense itu adalah akun akumulasi untuk satu tahun, misal ada lapkeu
10 bulan, jadi kita hanya bisa mendapatkan data lapkeu di bulan oktober saja, berbeda dengan
akun- akun di neraca yang selalu berubah- ubah, jadi nantinya di akhir tahun kita tinggal mencicil
yang 2 bulannya.

Pada focus utamanya di interim audit, auditor berusaha menentukan apakah catetan akuntansi itu 3
GAC (genuine, accurate dan complete). Kita gabisa ngecek saldo asset liability and equity, tapi kita bisa
mengecek revenue dan expense dan juga internal control yaitu proses yang berjalan sepanjang tahun,
misal apakah dari internal control yang sudah berjalan , apakah hasil lapkeu akuntansinya itu apakah apa
adanya (sesuai faktanya), akurat dan lengkap (tidak ada transaksi yang keliru), apakah internal controlnya
apakah bisa memuaskan, maka otomatis kita bisa lebih mengandalkan (relia) apa yang tercatat dalam
lapkeu. Kalo auditor hanya focus pada lapkeu, maka auditor itu tidak akan menemukan apa2, karena
lapkeu itu merupakan suatu produk, maka ga akan cukup, maka harus tahu proses/ tahapan2 nya kita
harus tahu, maka dari itu kita harus melihat dari sisi internal control. Yang dimana jika IC nya tidak baik,
nantinya akan meningkatkan control risk ( ngefek ke audit risk) yang menyebabkan substansive
procedures yang harus dilakukan auditor itu menjadi lebih extensive, tidak bisa menggantungkan lebih
kepada test of control, hrs lebih banyak masuk ke dalam subs procedures. Tapi kalo misal IC nya sudah
baik, maka control risknya rendah, maka test of controlnya lebih besar porsinya , dan subs procedures
bisa dilakukan dengan lebih minimal.
Bedanya Test of Control dan Substansive procedures

- Test of control, yaitu prosedur audit yang dirancang utk mengevaluasi kefektifan oprasi dari
pengendalian utk 3 hal (mencegah, mendeteksi dan memperbaiki adanya salah saji material
pada level asersi)
- Subs procedures, prosedur audit yang dirancang untuk mendeteksi salah saji material pada level
asersi, yang dibagi menjadi 2 :
a. Test of details yang dibagi menjadi 3 ( terkait transactions, saldo akun and pengungkapan)
b. Subs analytical procedures (SAP)

Urutannya gaboleh dibalik, harus test of control dlu, kalo misal ICnya tidak efektif/ partially effective
maka nantinya subs proceduresnya akan lebih extensive.

Di subs procedures, melakukan 2 hal, maka di 2 titik itulah kita akan banyak menemukan salah saji salah
saji. Misal di suatu perusahaan itu banyak salah2 nya lalu kita mengajukan jurnal penyesuaian, maka kita
sedang melakukan subs procedures

Sedangkan test of control kita hanya menganalisa apakah internal control di perusahaan itu sudah cukup
untuk bisa mencegah, mendeteksi dan memperbaiki adanya salah saji material.

Test of control tidak bisa menghasilkan adjustment, nanti hasilnya hanya suatu kesimpulan (efektif/
tidak / kurang)

Lingkungan pengendalian eksternal ( External environment)

- Ekspetasi dari tata Kelola perusahaan, misalnya perusahaan kita dimiliki oleh public, maka public
ingin melihat apakah perusahan kita bisa menyajikan lapkeu yang sudah diproses dengan tata
Kelola perusahaan yang baik.
- Regulatory, kalo perusahaan biasanya harus tunduk pastinya kepada peraturan- peraturan yang
ada
- Commercial preassures

Internal environment

a. Control environment (lingkungan pengendalian)

- management philosophy, gaya operasinya menejemen
- integritas
- struktur organisasi
- corp governance
- risk assestment
- dll

focusnya lagi ke bidang akuntansi (audit atas laporan keuangan) Accounting quality
assurance dan control system.

Dibagi 2 :

1. general control , ada pengembangan sistem, bagaiamana kalo ada memelihara

pengendalian, keamanan atas data dan hardware, quality assurance controls
2. Application control
Untuk yang namanya pengendalian itu harus bisa mampu (prevent detect dan correct) atas kejadian2
yang tidak diharapkan oleh entitas.

Definisi IC, suatu proses yang dirancang, diimplementasi dan dipelihara oleh (TCWG) pemerintah,
management dan personel lainnya untuk 1) menciptakan keyakinan yang memadai terkait tujuan entitas
atas keandalan lapkeu, 2) efektifitas dan efisiensifitas operasi dan 3) kepatuhan atas hukum dan
peraturan

Keterbatasan atas internal control yang bisa dibaca.

Komponen IC

1. Control environment
Termasuk : pemerintahan, management functions and attitudes
Paling penting karena Melingkupi komponen2 pengendalian internal lainnya
- Misal lagi di indo, di jalanan banyak sampah, ada Sebagian orang anggepannya gapapa buang
sampah di jalan karena sudah banyak, orang yang sama dari lingkungan yang bersih memiliki
respon yang berbeda.
- Misal suatu perusahaan , bukan perusahaan yang menyesuaikan dengan individu yang ada
diperusahaan, tapi individu yang menyesuaikan lah dengan lingkungan perusahan itu, makanya
penting bagi suatu perusahaan untuk mempunyai visi misi, sehingga karyawan nantinya harus
dituntut untuk bisa beradaptasi nantinya. Maka misalkan kalo control environmentalnya tinggi
maka nantinya dia akan berpikir 2 kali

Element Control environment :

- Harus ada komunikasi dan enforcement atas integritas (hukuman sanksi) kalo ada masalah ttg
ethical value
- Harus bisa mencapai komitmen dari semua bagian untuk bisa memberikan yang terbaik untuk
organisasi (u/ mencapai tujuan efisien) sesuai dengan kompetensinya masing2.
- Participant by (those charged with governance) , ga mengacu pada suatu individu/ kelompok,
management, komite audit, internal auditor, dewan direksi, atau siapa saja yang berhubungan
dengan tata Kelola perusahaan
- Management philosopi, biasa ada yang agresif dan lainnya
- Assignment, pendelegasian otoritas dan tanggung jawab
- Human resources,
2. Risk assestment process
Entitas yang baik Harus bisa mempertimbangkan kecendungan adanya resiko bisnis, dan nanti
bagaimana konsekuensi signifikanya kepada keuangan bisnis itu sendiri.
Risiko akan selalu ada namun harus di reduce risk to acceptable level ( mengurangi resiko sampai
dengan tingkat yang bisa diterima)
3. Information system,
Sebagus apapun control environ dan risk assestment , tentu saja masi harus ada sistem informasi
yang mendukung sehingga bisa mengkomunikasikan pelaporan keuangan kita kepada pihak baik
internal dan eksternal, untuk masing2 bagian mreka punya key performance masing2
4. Control Activities:
Melingkupi :
 - Otorisasi
- Review atas kinerja
- General and apps control atas memproses informasi
- Segregation of duties
5. Monitoring controls
- Tugas mendasarnya adalah melakukan penilaian atas bagaimana kinerja dari pengendalian yang
ada apakah sudah cukup dan relevan seiring berjalannya waktu, dan merupakan tanggung jawab
khusus dari grup yang kita sebut dengan quality assurance (penjamin mutu) dan merupakan
tugas kusus dari internal/ eksternal audit
- Sbelum suatu produk itu di jual ke pasar perusahaan akan menilai apakah produk ini sudah
memenuhi standar kualitas yang ada, kalo sudah maka bisa dijual
- Apakah mutu dari pengendalian internal sudah baik

Accounting and quality assurance / control systems.

Sistem pengendalian internal itu lebih luas daripada sistem akuntansi, sist akuntansi bisa berjalan
dengan baik kalo internal kontrolnya sudah baik / efektif, maka kita tidak bisa hanya focus kepada
accounting tanpa melihat internal control yang merupakan proses yang dibelakangnya.

General controls : merupakan control atas lingkugan dimana suatu entitas beroprasi. General control
berperan meyakinkan aplikasi2 yang ada bebas dari masalah dan mampu prevent, detect dan correct
kejadian yang tidak diharapkan management yang termasuk didalamnya :

- System development/ maintenance control

- Organizational control

Applications control, control yang dirancang utk meyakinkan bahwa semua aplikasi individu bisa berjalan
dengan lancer

Kolusi (collusion)

Tetap bisa muncul walupun sudah ada pembagian tugas, jika mreka bekerja sama untuk melakukan
kolusi maka internal control yang ada tidak dapat mencegah adanya kolusi.

Si management harus mengecek output kewajaran , walaupun sudah ada pemisahan tugas dan semua
karyawannya sudah berintegritas namun management harus ngecek lagi dan apakah bisa diterima atau
tidak wajar atau tidaknya, melakukan rotasi bagian sehingga kalo ada hal2 yang disembunyikan akan
ketawan.

Kolusi adalah salah satu alasan mengapa kecurangan menjadi sulit untuk dideteksi, walaupun sudah ada
pemisahan tugas, namun menjadi tidak efektif karena ada perilaku 2 orang atau lebih ini, tetap kembali
kepada manusia2 yang ada

Chapter 9 : System work : basic ideas 2 - pertemuan 3

Application control

Secara umum tujuan utama dari aplikasi yang ada dikomputer :

 - Data collected, apakah data yang dikumpulkan sebelum dilakukan input ke dalam sistem sudah
genuine, accurate dan complete
- Data accepted, data yang di terima oleh sistem adalah input datanya juga genuine dan complete
- Data Stored, data yang tersimpan baik sementara atau permanen juga apakah data yang genuine
dan complete
- Output data/ information, hasil output data apakah genuine akurat dan komplit dan bisa
ditujukan kepada penerima yang dimaksud ?
- Information/ audit trail is complete, informasi dan jejak audit itu lengkap

Untuk lebih memahami istilah yang 3 G,

Untuk aplikasi control ini diterapkan untuk 3 hal yaitu :

- Data capture/ input

- Processing
- Output

Special controlsnya ada 2

1. Database
2. E- commerce

Data Capture, memastikan bahwa input controls itu data yang mau diinput itu 3 G, untuk bisa melakukan
hal itu kita melakukan boundary controls

- Boundary controls, control kepada pengguna dan sistem interfacesnya bisa berupa crypto
graphic controls penggunaan plastic cards, masuk dalam ruangan ada ID card yang harus kita
tap/ gesek untuk membuka dan mengidentifikasi akses kita untuk masuk ke ruangan itu. Atau
crypto yang misalkan kita kasi password file supaya ga ada yang bisa buka, dan pins, tanda
tangan digital, password, firewalls, informasi atau jejak audit. (data collected)
- Input controls, sesaat sebelum datanya itu melewati interface atau masuk ke dalam sistem (data
accepted), misalkan kalo mahasiswa dan dosen melakukan pemuktahiran data terbaru, Ketika
kita membuat seuatu form, berarti akan dilakukan input, supaya ga salah kita bisa kasi aksesnya
misal kita kasi bates nomor digit KTP.
Sequence checking, diperusahaan tanggal pemesanan, invoice dan pengiriman bisa tau
urutannya adalah yang pertama adalah tanggal pemesanan, maka tanggal pemesanan tidak bisa
belakangan, daripada tanggal pengiriman.
- Input data diverifikasi secepat mungkin setelah entry dilakukan, ada 2 pengendalian yang bisa
dilakukan, yaitu ada 2 pengendalian
a. exception reports, laporan yang berisikan hal- hal yang tidak sesuai dengan yang semestinya
contoh, biasanya akademik kalo dulu, mahasiswa itu masih bisa mengambil mata kuliah lab
advance 2, padahal dia sedang mengambil/ belum advance 2, bisa salah input.
Dia masukin reportnya sesuai requestnya dan melihat siapa saja yang mengisi/ menginput
hal- hal yang tidak sesuai dan ingin dilakukan follow up action berikutnya
 b. sound warnings of invalid data entry, kalo ketemu google forms di 365, kita masukin tidak
sesuai dengan apa yang diam au, maka dia tidak akan mau atau muncul warningsnya
sehingga ga bisa disubmit

Features of password system :

- degrees of access,
- alphanumeric digits, easy to remember combinations, menggunakan password2 yang mudah
ditebak
- avoid passwords identified with person using, mencegah password digunakan orang lain, maka
orang biasanya tidak mencatatnya atau jangan menggunakan hal- hal yang mudah ditebak
- secrecy
- regular/ frequent changes, menggantinya secara periodik
- shutdown of terminals, seandainya kalo masukin password mungkin bisa ke lock sekian menit

Firewalls

- diciptakan dan dimaintain oleh sistem yang dirancang untuk melindungi jaringan computer dari
gangguan2 yang tidak terotorisasi,
- firewalls, ada satu sistem sebelum menghubungkan internet dengan jaringan computer di
perusahaan, maka ada pengamannya (firewallsnya dlu)
- intranet memungkinkan adanya transfer data diantara bagian2 yang ada didalam sistem itu ,
biasa digunakan oleh perusahaan- perusahaan yang memiliki data2 yang confidential, sehignga
tidak rawan dari gangguan2
- extranets, jaringan yang lebih luas menghubungkan orang yang ada diorganisasi dan diluar
organisasi, lebih rentan terhadap adanya gangguan dari pihak eksternal,
- Firewalls mebutuhkan otorisasi dan sistem identifikasi.

Input control before data passed to user interfaced

- Kita harus punya rancangan yang penuh dengan kehatian2an atas sumber dokumentasi
informasi untuk menghindari adanya kesalahan, misal mau membuat forms, apa aja sih data
yang kita butuhkan, kita merancang dengan hati2 supaya ga ada yang kelupaan atau data2 yang
ga dibutuhkan
- Rancangan produk, customer dan other codes. Untuk mengidentifikasi subejk data entrinya.
- Penggunaan check digits,
- Sequence checking
- Limit or reasonableness tests, ada hal2 yang mau dicekin itu secara otomatis by sistem
- Batch control. Begitu banyak input, misal KPP punya banyak NPWP yang melakukan pelaporan
data di satu waktu yang bersamaan. Terkadang sangat sulit untuk melakukan control apabila
data yang begitu banyak, maka dilakukan batching misalkan pengelompokkan dalam suatu
gelombang contoh input hari ini tanggal sekian, jam brapa, dsbnya. Sehingga jika ada masalah
lebih mudah dalam mentracing masalah tersebut.

Processing control
 - CPU dan memori utama memiliki reputasi yang cukup baik untuk bisa diandalkan namun suatu
entitas juga harus bisa meyakinkan bahwa elemen2 yang diujikan dari waktu ke watktu dan ada
fasilitas backup itu tersedia waktu dibutuhkan, jadi jangan ga pernah nguji/ backup/ dll.
- Sistem operasi seharusnya mampu untuk mencegah adanya data yang rusak Ketika digunakan
oleh banyak pengguna pada waktu yang bersamaan.
- Apabila ada hal yang tidak berjalan sebagaimana mestinya, harus ada rencana untuk
mengatasinya terkait dengan kehilangan data/ Penggunaan softwarenya. Misal : skripsi harus
ada backup data supaya bisa ikut siding tepat waktu dan tidak terjadi masalah pada saat data
tersebut dibutuhkan.
- Mesti adanya pengetesan secara periodic untuk meyakinkan bahwa semuanya dijalankan dengan
baik ada fasilitas untuk backup yang disediakan.

Output controls

- 2 tujuan utama dari output controls

o Bahwa output yang dihasil 3 G
o Output bisa didistibusikan ke pihak2 yang membutuhkannya,
- Ga semua orang punya akses, maka kita harus yakinkan orang2 yang punya akses kepada output
- Kita sudah punya access control, sudah punya batch control adanya Tindakan koreksi yang tepa
tatas kesalahan2 . karena kita sudah punya banyak pengendalian, maka pada saat sudah sampai
pada saat menjadi output sudah menjadi lebih terseleksi.
- The exception report, adalah output yang wajib , output dengan jenis yang khusus yang mana
menyediakan informasi yang penting dengan pengendalian yang dimaksud. Contoh mengaudit
dengan exeption reports, kalo dia bisa dijelaskan itu bisa jadi temuan dan kalo tidak bisa
dijelaskan maka kita jari cross check.
- Pengguna dari data output harus sudah memiliki pelatihan yang cukup untuk melakukan review
atas output apabila ada kesalahan2 yang jelas jadi jangan sampe pengguna output yang tidak
paham

Database systems

- Adalah kumpulan data yang disharingkan dan di gunakan oleh beberapa aplikasi berbeda untuk
tujuan yang berbeda.
- Data induk , yang digunakan oleh beberapa orang
- Keunggulan utamanya dengan adanya database semua aplikasi2 itu menggunakan data yang
seragam, tentu saja penggunanya harus punya otorisasi, yang dikhawatirkan adalah di keamanan
dan integritas kalo misalkan ada masalah, seperti :
1. Kehilangan pengendalian atas data yang dilakukan oleh staf/ personel yang mempersiapkan
data itu
2. Kadang2 pengelola data administrator punya otorisasi yang begitu besar yang kalo dibahasa
sistem adalah pengguna yang punya banyak akses.
3. Fitur2 teknikal untuk meyakinkan keamanan, bisa aja mengurangi kontrol2 yang ada
4. Informasi/ audit trail itu menjadi sangat penting

E-commerce
 - Meningkatkan resiko karena keterbukaannya internet yang ada
- Kita punya 4 level penggunaan internet :
1. Menggunakan internet untuk dapat menyediakan informasi bagi pihak eksternal (website,
pengumuman, untuk publish annual record (one way)
2. Sudah Melibatkan adanya pertukaran informasi baik dengan customer atau partner2
perdagangan lainnya, misal bertukar pesan, bantu untuk pihak eksternal, jadi pihak eksternal
bisa input diam au cari perusahaan
3. Kalo pengguna internetnya inin sudah untuk menggunakan transaksi bisnis contohnya e-
shopping.
4. Paling tinggi levelnya yaitu melakukan integrasi secara penuh terhadap sistem bisnis dengan
efek langsung terhadap catetan perusahaan, kalo misal ada customer yang beli maka
nantinya staf digudang akan lanngsung memotong barang, jadi sudah integrasi penuh

Resiko E- commerce

Threats to securirty of data and systems :

- Virus dan hackers

- Adanya ancaman pada data2 privasi
- Pelanggaran hak katas Kekayaan intelektual
- Dapet iklan2 (unwanted communication)

Control to reduce impact :

- Security policy
- Firewalss
- Private network
- Information/ jejak audit
- Other security measure
1. Mengenkripsi data
2. Mengidentifikasi dan mengautentifikasi dari informasi

Hukum dan juga perpajakan

- Dalam ISA 250A ; seorang auditor harus mengumpulkan bukti audit yag cukup dan memadai
terkait dengan ketaatan kepada hukum dan perarturan yang memiliki efek langsung kepada ada
atau tidaknya nilai material dan pengungkapan di dalam laporan keuangan
- Kita pas lagi audit juga melihat impactnya apabila suatu perusahaan menggunakan e-commerce,
kita harus liat bagaimana impactnya kepada undang2 dan hukum yang berlaku. Pengusaha
online yang jualan online yang juga dikenakan pajak.
- Hal2 itu kita mesti aware bagaimana impactnya
- Yang namanya internet itu globalisasi, kalo misal pake amazon, pas lagi setup platform mreka
pasti mreka sudah memikirkan dampak2 atas hal ini, bagaimana pengirimannya, pajaknya ? dan
lainnya. Maka dari auditor juga harus memperhatikan bagimana impactnya

Practical binis dan permasalahan akuntansi

 - Bisa jadi perusahaan e-commerce itu hanya bertindak sebagai agent, mempertemukan penjual-
pembeli (bkalapak, shopee, tokped) (record as commission), tapi juga bisa sebagai penjual
bukan sebagai agent saja (record as sales). Dimana perlakuannya berbedai
- Permasalahan akuntansi lainnya :
1. Cut of , dititik mana kita mencatat salesnya ,
2. Timely acknowledgement of orders, bagaimana mengetahui adanya pesanan,
3. Return of goods and claims under product warranties, ada barang yang dikembalikan , ada
warranty,
4. Bulk discounts and special ofers, diskon2 tertentu : 99 88
5. Payment other than by monetary transfer, Bagaimana kalo dia paymentnya pake bank
transfer tetapi menggunakan shoppee pay,
6. Browsing, Bagaimana kalo misalkan ada transaksi yang mengikuti setelahnya , jadi
maksudny disini adalah jangan sampai antara "brosing" dan "terjadinya
pemesanan" saling terkait dan membuat terjadinya point yang salah pada
saat customer bworsing belum ada transasksi akuntansi yang
terjadi...sehingga hal ini tidak ada kaitan dengan record perusahaan namun
pada saat "terjadinya pemesanan" maka company perlu memberikan respon
terkait apakah company mengkonfirmasi barang tersedia , bila iya maka hal
ini perlu diteruskan ke bagian pengiriman, akuntansi, dan keuangan yang
dimaksud di buku adalah auditor perlu mengecek tampilan pada e-commerce
perusahaan antara browing dan pemesanan dipisahkan secara jelas dan tidak
membuat rancu
7. Follow- thorugh of transactions misalkan ada pesanan di liat tahap2annya gimana , mulai
dari barangnya di hope sampai ada pengiriman pencatatan sales, penerimaan cash itu coba
di ikutin seolah2 transaksi itu bagimana implikasi terhadap praktik2 akuntansi

E- commerce - the internet never sleeps

- Internet itu ga ada jam buka dan jam tutupnya, walaupun ditoko2 online yang bilang jam
operasionalnya, tapi kalo pembeli mau melakukan pembelian dan pemesanan kan bisa, sehingga
pelanggan itu menjadi gapunya ekspetasi dia dapet perlakuan yang sama atau beda Ketika dia
mengakses e-commerce itu di sepanjang 24 jam, treatmentnya sama.
- Hal itu akan berdampak pada staffing yang terpakai, dengan penggunaan e-commerce
kemungkinan akan berkurang
- Dengan adanya penggunaan sistem ini, si auditor harus bisa meyakinkan bahwa si sistem ini bisa
cukup kuat/ durable bisa diandelin selama 24 jem waktunya dan mesti konsisten
- Diharapkan bisa berintegrasi antara sistem dan juga proses terotomatisasi yang mengupdate
catatan akuntansi sangat diharapkan.

E-commerce - crisis management

- Juga dipikirkan bagaimana kalo ada hal2 yang tidak diinginkan terjadi, kemungkinan2
konsekuensi yang terjadi itu termasuk hilangnya reputasi, adanya pencurian data dan informasi,
pengurangan yang signifikan atas arus kas perusahaan.
 - Lalu hal ini semua berdampak pada keberlanjutan usaha perusahaan itu, contoh kasus bukalapak
yang pas musim kampanye, karena dia mendukung salah satu pasangan calon sampai
dimunculin jadinya bikin hashtag bukan bukalapak tapi tutup lapak, jadi hal2 yang menyangkut
reputasi itu sangat berbahaya, bukan hanya membuat kualitas produk kita bagus, tapi reputasi
dari pimpinan perusahaan dan brand yang kita miliki ini juga mesti kita jaga, maka kita harus
berhati2 pada saat berkomentar.
- Tentu saja hal ini di crisis management termasuk adanya back-up atas data2 penting, melakukan
installment emergency power supplies, kalo mati lampu bisa langsung dibackup energi listrik,
(misal TSM selain dari PLN kita juga memiliki Genset Ketika PLN mati lampu), apabila bisa ada
review dari pihak independent dan melakukan pemeliharaan yang rutin, pengetesan yang rutin
hal itu sangatlah bermanfaat.

Audit Approaches to system and controls (Pendekatan audit atas sistem dan juga pengendalian)

- Systems objectives are audit objectives, tujuan dari sistem juga merupakan tujuan dari audit, apa
yang menjadi tujuan sistem itu dibuat itu juga yang menjadi tujuannya auditor
- Recording accounting and control systems, bagaimana pencatatan atas akuntansi dan juga
pengendalian sistem itu sendiri karena kalau misalkan di dalam audit, dikatakan bahwa write
what you do ?, kalo misalkan kita sudah melakukan audit atas sistemnya, namun kita tidak
mendokumentasikannya, tidak ada bukti auditnya, maka dianggap kita tidak melakukan, lalu
kalau kita sudah merencanakan maka kita harus melakukan, kita sudah merencanakan dan
menulis kita akan begini2 maka lakukan
- maka write what you do, apa yang sudah kita cek, kita temukan di lapangan. Semua itu mesti
kita tulis untuk kita jadikan dokumentasi dan menjadi audit evidence
- sebaliknya misalkan do what you write, yang sudah kita rencanakan sebelumnya, maka
lakukanlah.

System objectives are audit objectives (tujuan sistem adalah tujuan audit)

Sales (2.500.000)

- Genuine (Real), misalkan ada info bahwa sales senilai 2,5 jt, kalo kita ingin mengetahui tentang
genuine, maksudnya adalah transaksi ini itu benar2 terjadi dan memang ada penyerahan barang
senilai 2,5jt kepada pihak ke 3, barangnya sudah diserahkan dan sesuai dengan syarat penjualan
dan transaksi ini sudah boleh dicatat
- Accurate, perhitungannya kalo kita jual berarti ada selling price dan quantitynya, perhitungan
perkaliannya apakah sudah tepat atau belum, ada diskon atau tidak, lalu pencatatannya dia di
periode yang tepat kalo misalkan dia jual di 31 Des, dan dia FOB shippoint, berarti dia sudah
boleh diakui pada saat keluar dari Gudang.
- Complete, selain yang 2,5jt itu yang harusnya dicatet tapi belum dicatet, kita melihat dari 1
transaksi, kita melihat dari ketiga perspektif yang berbeda

Penerimaan dari customer

- Genuine, mesti betul2 ada uang cash yang kita terima yang masuk ke dalam rekening
perusahaan (exist) betul2 real ada.
 - Accurate, termasuk gimana kalo ada diskon, kalo ada selisih kurs, cut off nya sudah bener atau
belum nyatet tanggalnya
- Complete, apakah masih ada penerimaan yang harusnya dicatet tapi belum dicatet.

Trade receivable 1,375.000

- Genuine, memang betul ada 1,3 jt nilai piutang yang artinya ada pihak ketiga, pihak lain yang
berhutang kepada perusahaan, dan itu bisa ditagih, jadi real
- Accurate, termasuk dengan benar tidak angka 1,3 jt itu ketinggian tidak, atau jangan2 yang bisa
ditagih hanya 1 jt, bagaimana pencatatannya, juga termasuk cut-offnya
- Complete, masih ada kah piutang yang harusnya dicatet tapi belum dicatet

Recording accouting and control systems

- Cara yang kita lakukan di dalam praktiknya :

1. Harus ketemu orang yang mengoperasikan sistem itu
2. Setelah kita bertemu dengan orang tersebut, kita melakukan interview atau tanya jawab
3. Minta dokumen2 terkait dengan sistemnya, SOPnya, rancangannya, lalu hal2 misalkan kalo
ada masalah itu harus bagaimana, mestinya dia sudah punya, dokumen2 tersebut kita minta
copynya untuk kita pelajari juga.
4. Ketahui atau cari tahu, jurnal apa yang akan muncul dipencatatan akuntansi sebagai akibat
adanya suatu transaksi, jadi misalkan akan bertanya dengan orang itu, berarti kalo ada
pesanan, itu udah nyatet jurnal belum, nantinya sambil kita ikuti dan minta buktinya
bagaimana. Hal ini juga akan menjadi informasi di dalam audit kita yang kita sebut sebagai
jejak audit (audit trail), jadi kita mencari jejak mulai dari pertama kali ada transaksi, sampai
selesai.

Kita bisa sebut sebagai , yang poin ke 4, sebagai Walk through - tests, jadi kita mengikuti proses
dari awal sampai akhir, yaitu bertujuan untuk mendapatkan pemahaman atas sistem dan juga
pencatatannya dan melihat apakah si entitas ini sudah memiliki pengendalian yang memadai.

Untuk mendapatkan hal ini, seorang auditor bisa menggunakan :

a. Narrative description, deskripsinya dalam bentuk narasi/ kalimat2

b. Visual description, kita bisa lihat dari visual
c. Questinnaries and checklist

Dalam praktek ketiganya di pakai, dikombinasikan karena satu dengan yang lainnya saling
melengkapi, tidak usah di pilih mana yang lebih baik, karena ketiganya punya keunggulanya
masing2.

Narative description

Bentuknya kaya paragraph2 atau poin2 tulisannya aja, jadi diceritain pertama ada pesanan,
setelah itu diproses bagaimana, jadi bentuknya kalimat, seperti mengarang tapi bukan
berdasarkan sesuatu yang fiktif tapi berdasarkan fakta yang ada.

Bentuknya bebas, tidak ada stylenya yang baku, masing2 orang punya stylenya sendiri, dan di
dalam naratif juga termasuk sampai ke contoh2 jurnalnya, contoh : skripsi.
 Visual Description

a. Bisa lihat dari struktur organisasi

b. Lihat dari jejak informasi/ jejak audit flowchart (audit trail)
c. Flowchart kotak2, tanda panah dan sebagainya

Questionnaries and checklist, nanti kita lihat kita punya 3 jenis :

o ICQ, Internal control questionnaire

o ICEQ, Internal control evaluation questionnaire
o EDP/ IT checklist, Electronic data processing
Dari ketiganya dalam praktik, naratif, flowchart, dan kuisioner, menjadi digunakan ketiganya
setiap metode memiliki valuenya masing2

Flowchart :
Advantages,
1. Membantu dalam memahami akuntansi dan control sistemnya
2. Untuk menggambarkan flowchart dengan tepat auditor harus memahami bagaimana
perusahaan mengontrol operasi/ aktivitasnya
3. Mendeteksi kekuatan, kelemahan, ketidakperluan, prosedur dan dokumen

Disadvantage,

1. Time- consuming, memakan banyak waktu untuk menyiapkannya dan sulit untuk
mengubahnya
2. Dalam sistem yang sederhana, narrative deskriptif lebih baik
3. Bannyaknya variasi symbol yang digunakan
4. Membutuhkan pengalaman untuk menyiapkannya dan menafsirkannya
5. Dalam situasi situasi sulit terlalu sederhana.

Internal control questionnaire (ICQ)

- ICQ ini adalah kuisioner utk mencatat rincian dari suatu sistem,
- Sangat berguna untuk mencatat sistem yang relative kecil atau tidak terlalu kompleks
- Dengan adanya ICQ ini, kita bisa gunakan untuk menginterpretasikan kekuatan dan kelamahan
dari suatu sistem
- ICQ ini dirancang untuk mencatat hal2 penting yang terkait dari sistem, mengindikasikan bagian
mana dari sistem yang kuat, lemah dan juga menyimpulkan atas keseluruhan sistem tersebut.
- Yang namanya checklist, masing2 KAP sudah develop sendiri, tidak ada yang bilang harus seperti
ini (benar/ salah), masing2 KAP mreka punya toolsnya/ template checklistnya
- Ada client name, audit areanya, tanggalnya dan juga sudah ada pertanyaan2nya, checklist ini kita
bawa ke klien kita tanyakan, kita dapatkan jawabannya, kita bisa bilang
a. Strong
b. Weak
c. Kertas kerja auditnya (audit programme reference)
d. Tindakan yang perlu dilakukannya apa ? (Action taken)
e. Overall conclusionnya seperti apa ?
 Bisa kita modifikasi sesuai dengan kenyataan yang ada di lapangan, misal kalo default
templatenya 14, kita mau tanya lebih bisa, tapi kalo 14 ternyata ada yang tidak applicable di
perusahaan client kita, kita bisa skip dengan memberikan keterangan.

Internal control evaluation questionnaire (ICEQ)

- ICEQ ini bukan untuk mencatat sistem seperti ICQ, tapi untuk melakukan evaluasi setelah kita
mendapatkan cetakan di ICQ, jadi ICQ, ICEQ, dan EDP bukan mensubtitusi tapi saling
melengkapi, maka kita menggunakan ketiganya
- Si auditor akan menentukan dahulu tujuan2 utamanya, yang disebut sebagai key question
(pertanyaan kunci), dari 1 KQ kita bisa turunkan menjadi beberapa pertanyaan lainnya
- Umumnya perusahaan yang lebih besar, dia akan menggunakan ICEQ yang lebih dalam juga yang
di build/bangun/rancang oleh para ahli yang terkait dengan sistem, karena umumnya yang
bekerja sbg auditor di KAP itu, lulusan accounting, maka dia akan tahunya accounting, tapi kalo
sudah soal sistem, maka kita butuh orang lain yang lebih mengerti, yang disebut expert system.
- Biasanya ada 3 divisi di dalam KAP,
a. Assurance audit
b. Advisory, ada orang IT, ada orang Teknik
c. Taxation
- Ketika kita membahas ICEQ, kita melibatkan advisory juga

Electronic data processing (EDP) atau IT checklist

- Dikembangkan untuk membantu auditor melakukan penilaian atas kualitas dari sistem computer
itu sendiri, jadi lebih dalam lagi. Sampai dengan melakukan evaluasi dia itu seperti apa ?, butuh
kita masukin ke dalam management letter atau ngga ? dsbnya.

Chapter 10 : Testing and evaluation of systems (Iain Gray) - pertemuan 4

Di chapter 8 dan 9 kita sudah belajar mengenai system work basic ideas 1 dan 2, diperkenalkan dengan
lingkingan pengendalian, komp2 terkait atas sistem yang ada di klien, tidak lupa juga di chapter 9 di topik
mendekati akhir, kita diperkenalkan tentang beberapa cara untuk melakukan dokumentasi yaitu
menggunakan checklist, dibagi menjadi 3 ,

- ICQ
- ICEQ

Secara garis besar, chapter ini dibuka dengan ada 4 kasus,

1. Kasus 1 : penjualan, piutang, cash dan juga sistem persediaannya

2. Kasus 2 : pembelian dan siklus pembelian termasuk juga pencatatan
3. Kasus 3 : Sikllus produksi, dimana kalo produksi pasti ada DM DL MOH, dan penggajian kepada
para pekerja langsung,
4. Kasus 4 : sistem untuk mencatat pesanan adanya penjualan.

4 kasus ini memberikan gambaran mengenai contoh nyata yang ada dilapangan terkait hal2 apa saja
yang harus diperhatikan oleh auditor
Setelah itu dilanjutkan lagi dengan table 10.1, dijelaskan bahwa kita punya 3 jenis prosedur, secara garis
besarnya,

1. Walk through test, didalam WTT ini, tujuan dilakukannya test ini adalah untuk mendapatkan
pemahaman atas sistem, mencatatnya dan juga melihat apakah entitas, terlihat memiliki
pengendalian yang tepat atau tidak
Bagaimana dilakukannya ? , pada saat kita melakukan WTT, kita mengambil satu atau
beberapa transaksi, kemudian memahami dan mencatat step by step tanpa menghakimi
dulu dicatet dulu, misalkan utk kasus siklus penjualan, ambil PO dari customer, PO ini
diprosesnya gimana ?, bagaimana bikin Sonya ?, diteruskan ke bagian mana ?, bagian
Gudang mana ? siapa kepala gudangnya ? nanti akan ada pemrosesannya sampai nanti
adanya jurnal pencatatan penjualan/ penagihan dan sebagainya.
Jadi satu siklus itu kan panjang, sampai suatu entitas dapat menagih piutangnya, maka
kita ikutin secara runtut, memahami, dan dicatat, (audit butuh dokumentasi) jadi pada
saat kita ambil beberapa transaksi, kalo transaksinya sama ga masalah, tapi kalo
misalkan salesnya itu ada 2 (yang local dan export) dokumennya berbeda lagi, ada
packing slipnya beda , ada surat pemberitahuannya lagi, ada forwarder pengirimannya.
Jadi karena ada 2 transaksinya ada 2 jenis, maka kita mengambil 2 WTT, satu yang local
dan export (bisa 2 local dan 2 export) tapi satu sudah cukup.
2. Test of control, tujuannya sudah disinggung, untuk mengevaluasi keefektifan suatu pengendalian
untuk dapat mencegah, mendeteksi dan mengkoreksi salah saji yang material pada tingkat
asersi.
 Untuk bisa menentukan, berapa tingkat control risk, inget audit risk di audit 1, maka
dilakukanlah test of control, maka hasilnya dari test of control itu Low/ High or Moderate
?
 Dilakukannya setelah Walk through test, dan jangan dibolak balik
 Kurang lebih didalam Test of control, kita akan mengecek pengendalian2 yang dimiliki
perusahaan, pada saat kita melakukan WTT kita dokumentasiin aktivitas yang ada (beda
dengan pengendalian) bisa terkait dengan otorisasi, rekonsiliasi, pencatatan
 Untuk control2 tsb kita mesti cek, maka salah satu tujuan melakukan WTT adalah untuk
mengidentifikasi Internal control yang nantinya kita lakukan uji lanjutan di TOC, kalo kita
di WTT hanya mengambil 1 atau beberapa transaksi, di TOC kita mengambil jumlaj
transaksi utk dilakukan pengecekan lebih banyak, misal dari semua barang yang kluar
dari Gudang ada otorisasinya, pencatatan piutang dicatat bagian akuntansi, maka atas
transaksi2 itu kita lakukan dengan jumlah yang lebih banyak daripada WTT. Maka pada
saat selesai TOC, kita sudah bisa mengambil kesimpulan apakah internal control di
perusahaan terkait siklus penjualan itu efektif/ partially efektif (efektif hanya Sebagian
misal untuk SO saja tapi barang kluar dari gudangnya tidak) / tidak efektif.
3. Substansive procedure, ada 2 :
a. Subs analytical procedure
 Tujuannya adalah untuk mendeteksi adanya salah saji yang material ditingkat level/
asersi, di sub procedure apakah ada salah saji material atau tidak ? kalo ada nilainya
berapa ?
  Jika di TOC hanya kesimpulannya, tidak ada nilainya, tidak peduli dengan nilai
nominalnya, besar kecil sedengnya bagi kita itu sama saja. Karena sistem tidak tebang
pilih.
 Disini kita akan mengecek lebih detail dari TOC, jadi makin kebawah makin detail, di subs
procedure kita akan melakukan 2 pilihan : test of detail atau subs analytical procedure.
 Tentunya kita melakukan subs analytical procedure dahulu karena lebih mudah
dilakukan, dimana ada build expectation, challenge catetannya nominal yang direcord
oleh perusahaan sebagai flash back.
 Di subs analytical procedure, misalkan revenue customer 1 M, kita challenge sebelum
kita ngecekin pesanan penjualan, di subs analytical procedure apakah 1 M ini masuk akal
atau tidak, dihitung 1 bulannya berapa transaksinya ? kuantitas yang terjualnya berapa ?
sellprice per unit berapa ? kita dapet satu angka yang mana itu adalah hitungan kasarnya
auditor, dibandingkan dengan nilai pencatatan penjualan klien di laporan keuangan,
tentunya pasti beda, nah bedanya itu berapa ? kenapa bisa beda ? baru dicekin lebih
detail dan itu bisa diterima atau tidak ? jadi tidak melibatkan hal2 yang berbau detail
 Contoh lainnya adalah ngitung ROI tahun ini x, tahun lalu y, jomplang ga ? kalo jomplang
kenapa ? cek dlu nanya sama klien, jadi melihat secara helicopter view, garis besarnya
saja.
b. Test of detail
 Di dalam TOD kita cek invoice, kirim konfirmasi, lakukan rekonsiliasi, dan hal2 yang
melakukan lebih
 Di ISA paragraph A4 ISA 330, seorang auditor harus melakukan penilaian atas resiko pada level
asersi, untuk bisa melakukan hal ini, maka auditor bisa punya 3 opsi
1. Opsi 1 adalah hanya melakukan test of controls untuk mencapai respon efektivitas terkait
dengan resiko salah saji pada beberapa level asersi. (gunakan test of Control saja) digunakan
dalam situasi control sudah bagus, resikonya rendah dan sebagainya, namun sulit bagi kita untuk
hanya melakukan TOC ( karena kita profesional sceptism)
2. Opsi 2 adalah hanya melakukan subs procedure saja, (masih lebih mudah, tapi seperti jomplang
dan ga lengkap)
3. Opsi 3 adalah menggunakan kombinasi test of control dan subs procedure
( yang no 3 adalah yang paling bagus dan paling sering)

Tadi kita mengenal ada 3, WTT, TOC dan Subs procedure, didalam Sub procedure kan dibagi 2
lagi, Analytical procedure dan Test of detail, auditor bisa memiliki 3 pilihan :
- Hanya melakukan substansive analytical procedure (Performing only substansive analytical
procedures) Pada saat auditor melakukan substansive procedure, dia punya pilihan hanya
dengan melakukan subs analytical procedure saja , diambil oleh auditor apabila auditor itu bisa
yakin bahwa resiko audit itu akan bisa diturunkan ke level yang memadai , kalo misalkan TOC
yang disebelumnya hasilnya di tahapan sebelumnya itu hasilnya baik,
- Only tests of details, tapi auditor bisa saja dia mau melakukan hanya test of details, angka
substansive analytical prosedurnya sama sekali gabisa dilakukan, misalkan baru 1 tahun belum
punya comparison dengan tahun sebelumnya atau misalkan transaksinya variasinya luas banget
sehingga tidak bisa itung kasar secara matematika2, jadi secara subs analytical procedure terlihat
 tidak efektif untuk mendapatkan keyakinan, risk audit bisa ditekan ke level yang rendah. Namun
ini situasi yang sangat langka hanya melakukan test of details
- A combination of substansive analytical procedure and TOD, yang paling sering, Selanjutnya
adalah menggunakan kombinasi subs analytical procedure, dan test of detail. Kita harus tau apa
itu WTT,TOC dan SP, setelah itu SP kita harus bisa bedain yang analytical Proc dan TOC, dan kalo
ditanya biaya auditnya yang paling tinggi yang mana ?
Yang paling tinggi adalah test of detail biayanya, jika diibaratkan saringan dia adalah setelah
disaring di WTT, disaring di TOC nemuin beberapa hal, melakukan subs analytical proc. Dan
disaring lagi di TOD, semakin mengerucut, maka mestinya maka dari itu di taruh dipaling
belakang, maka meskinya temuan2 auditnya semakin spesifik.

Tujuan dari 3 pengujian ini beda, tapi sebenarnya prosedur yang dilakukan bisa sama, misalkan
prosedur utk mendapatkan bukti audit, maka tidak jauh2 dari 7 teknik audit evidence.

1. WTT, didalam WTT dikatakan bahwa menelusuri beberapa transaksi melalui sistem laporan
keuangan
 Memilih beberapa pesanan penjualan dari customer yang melakukan transaksi
secara kredit, melihat proses untuk keputusan memberikan kreditnya, proses
menerbitkan notesnya, sales invoice, pencatatan piutang, pencatatan pengurangan
saldo persediaan
 Bertujuan tidak untuk membuktikan bahwa semua transaksi dicatat secara tepat,
tapi digunakan untuk memahami sistem, mencatatnya dan melihat apakah entitas
memiliki pengendalian yang tepat atau tidaknya.
 ISA 315 Paragraf A13 : Bisa jadi ini adalah audit kita untuk perusahaan yang sama
tahun kedua atau tahun2 berikutnya, perusahaan x tahun ini kita yang audit, tahun
lalu temen kita tapi dalam KAP yang sama, itu berarti dia adalah existing client kita,
kalo kita existing berarti kita punya dokumentasi atas kertas kerja audit tahun
sebelumnya, kita bisa gunakan hasil WTT tahun sebelumnya, tapi kita konfirmasi ke
klien, masih applicable atau ngga, ada perubahan atau ngga ?, masih relevan atau
ngga ?, kalo ada hal yang berbeda kita update.
2. Seorang auditor akan memutuskan dari tingkat resiko pengendalian (control risk), setelah
auditor bisa nentuin level of control risk, slanjutnya kita akan menentukan level of substantif
procedure,
o control risknya makin tinggi, maka subs procedurenya makin extensive
o Control risknya makin rendah, maka sub procedurenya bisa makin minimal/ sedikit
a. Jika control risk rendah (low), maka auditor bisa saja hanya melakukan analytical
review dan bergantung hanya pada subs analytical procedure
b. Jika control risk tinggi (high), maka bahaya, maka si auditor akan bilang kalo dia
gabisa bergantung pada pengendalian yang ada di perusahaan, dan akan
menggunakan Test of details (Substantif test of detail)
c. Jika sistem di perusahaan itu lemah, bukannya low/ high, dia ada tapi lemah
(partially effective) maka kita bisa bergantung hanya untuk beberapa pengendalian
yang kita bisa yakini dan kita pegang, sisanya adalah kita gunakan kombinasi subs
analytical procedure dan juga test of details.
 o Didalam subs analytical procedure dan substantive test of details bisa dilakukan secara
bersama- sama tapi memiliki tujuan yang berbeda, jadi pada saat kita melakukan TOC
kita mengecek beberapa transaksi, bisa saja sekaligus melakukan TOD, tapi untuk
transaksi yang sama kita punya tujuan yang berbeda.
o Dalam kondisi yang sangat langka( terkadang) hanya dengan penggunaan TOC akan
memberikan kepuasan bagi auditor, karena subtantif test yang efektif tidak dapat
dirancang untuk dilakukan karena sistem yang begitu kompleks, jadi perusahaan
mungkin punya sistem yang sangat kompleks dan auditor tidak bisa melakukan Subs
procedure, tapi so far belum pernah yang sperti itu, sekomplek apapun auditor itu
misalkan hanya melakukan Toc menanggung resiko audit yang tinggi sekali, untuk issued
opini tapi tidak melakukan subs procedure, maka bisa dibilang terlalu ideal dalam situasi
yang sangat tidak mungkin hanya melakukan TOC tapi ga melakukan subs procedure
3. Apabila auditor memutuskan sistem yang ada di klien, terlihat cukup kuat bagi auditor untuk
bisa percaya dan bergantung sehingga si auditor itu akan menggunakan TOC aja, misalkan
dia pilih 20 transaksi lalu, TOC, lalu ngecekin transaksi itu aja, maka artinya dia sangat yakin
dengan keefektifan internal control, risky sekali, tapi bisa dilakukan walau dalam praktek ga
pernah.

1. Melakukan WTT, memahami sist yang ada, mencatat apakah ada pengendalian yang tepat, kalo
hasil WTT tidak ada atau pengendaliannya sangat lemah, maka auditor bisa memutuskan untuk
tidak bergantung kepada controls entity, skip TOC dan langsung melakukan substantive
procedure (22nya dicek )
2. Namun apabila waktu WTT menyimpulkan bahwa terdapat pengendalian, auditor bisa
bergantung pada pengendalian yang ada, tapi WTT dilakukan pada beberapa transaksi, dan itu
tidak cukup untuk mengambil kesimpulan. Maka auditor, karena controlnya ada dan ok dari hasil
WTT, dia akan melakukan TOC, dari hasil TOC kita bisa dapet kesimpulan lagi, controlnya
 execellent berarti bagus (control risknya rendah), maka kita bisa melakukan substantive yang
analytical procedure saja,
Tapi kalo hasil TOC itu kesimpulannya lemah, maka control risknya tinggi, maka kita harus
melakukan 2 2 nya (subs analytical dan test of detail)

Dalam melakukan audit terkait dengan sistem computer, kita bisa punya 3 pilihan
1. Auditing round the computer, kita punya input, process dan output.
Computer itu diibaratkan black box, yang auditor tidak paham mekanisme yang terkait/
proses yang terjadi didalam computer tersebut, jadi auditor misalkan memilih auditing roung
the computer, maka dia mengecek cumin input dan output.
2. Auditing through the computer: Computer assisted audit techniques (CAATs) , dia mengecek
3 3nya, untuk bisa melakukannya audit utk proses maka auditor dibantu oleh CAATs, ada
tambahan audit tools yang digunakan.
3. Auditing with the computer, si auditor benerin computer juga,

Contoh2 test of control :

1. Test of information/ audit trail, yang dilakukan, ttanya jawab, inspeksi, ngecekin dokumen2
jadi prosedur yang kita lakukan seperti (7 teknik) atas informasi yang masuk dari laporan
keuangan kita lakukan dokumentasi.
2. Testing output on a restricted basis, si auditor akan melakukan pemeriksaan atas output
yang sudah diproses oleh sistem yang ada di perusahaan, tapi hanya terbatas untuk misalkan
ada yang nominalnya diatas x, utk jurnal yang diposting oleh financial controller, jadi output
yang dites auditor yang udah pilihan,( dicek outputnya)
3. Block testing
4. Interview with comp staf, tanya jawab
5. Observing, mengamati, contohnya ; gampang2 susah, mesti menggunakan panca indera kita,
dating ke klien, ini klien perusahaannya bonafit, kliatan revenuenya tinggi dan sbgainya, tapi
pas kita liat ke klien, staffnya itu nyantai2 aja ga banyak kerjaan, tapi dicatetan laporan
keuangannya, transaksinya banyak, maka tidak sesuai dan muncul naluri auditornya, atau
kita melihat di meja2nya staff2 accountingnya banyak dokumen2 yang ga rapih, ga ketawan
mana transaksi yang udah dicatat dan belum, itu juga merupakan bentuk observasi, Ketika
ada pengambilan petty cash itu mudah sekali.
6. Reperformance of control procedures, melakukan kembali apa yang sudah dilakukan klien
7. Examination of management reviews , Memeriksa manajemen review, kalo tiap bulan
lapkeunya slalu dicekin oleh manajemen, auditor bisa meminta buktinya, laporan keuangan
bulanannya, tanda tangan atau approval dari manajemennya harusnya ada.
8. Testing realibility of budgets, Mengecek antara budget yang dimiliki oleh perusahaan
dengan accrual, apakah budgetnya itu misal sales 1 tahun 12 juta, sekarang bulan 10 dia
udah 10 jt, jadi on track sebulan 1 juta, atau budgetnya terlalu extreme diatas actual atau
sebaliknya jadi kita bisa menggunakan test control seperti ini.

Specific test of control dengan sistem computer :

 1. Code reviews of programs, harus dilakukan oleh orang yang mengerti coding. Mengecek coding
yang ada di software akuntansinya yang dipake klien ada yang salah atau ngga, tepat,
2. Use of test data, auditor membuat suatu kelompok data, menginput suatu data ke sistem yang
ada di entitas (klien). Data yang kita input ada data yang valid dan invalid, nantinya akan
diproses, lalu outputnya kita lihat bagaimana hasilnya, maka harusnya data yang tidak validnya
itu muncul the exeption report dsbnya, bagaimana proses yang ada diperusahaan itu untuk
bisa / mampu atau tidak untuk melakukan hal ini.
3. Use of program code comparison, pakai 2 program, 1 program yang ada di klien, 1 programnya
adalah program yang dibuat auditor (special software), lalu di 2 program A(klien) dan B(auditor)
diinputlah suatu data, lalu hasil outputnya dibandingkan.
4. Continuous review of data and its processing, merupakan review yang berkelanjutan
menggunakan Teknik audit, memasukkan atau menyelipkan suatu software audit di dalam
software akuntansinya klien, sehingga nantinya software auditnya auditor ini bisa berjalan dan
mengumpulkan bukti2 audit yang di set oleh auditornya. (gabisa dilakukan pada saat akhir
tahun) misalkan ; 2019 udah selesai, lalu klien bilang minta di audit dengan continuous …, maka
tidak bisa karena sudah lewat, tapi kalo di awal/ tengah tahun bilangnya, maka auditornya akan
datang dan menyelipkan software audit di dalam sistem kliennya, karena masih ada periode
yang berjalan.
5. Integrated test facility (ITF), juga menggunakan software audit, dengan auditor memasukkan
transaksi2 yang secara simultan, transaksi fiktif yang dimasukkan ke dalam software
akuntansinya klien, lalu juga nanti dia ikutin prosesnya dari awal diinput sampai akhirnya. Dan
jangan lupa saat selesai di cek, auditor harus delete, dan orang akuntansinya (klien) sendiri juga
harus memberikan persetujuan untuk hal ini. Karena total pastinya berbeda, misalkan transaksi
fiktifnya diinput 2, dan originalnya ada 10, maka total transaksinya 12, maka 12 transakinya yang
2 harus di explode lagi trakhirnya, demikian salah satu contohnya.
6. System control and review file (SCARF), paling complex, dan lebih komplek dari ITF,
monitorngnya berkelanjutan, menggunakan software audit, auditor akan menentukan area
mana yang mau dicek, memasukkan kode, parameter, program ke dalam software akuntansinya
klien, dan meminta si software itu untuk memilihkan transaksi2 yang meet the criteria yang
diinginkan si auditor, jadi misalkan auditor ingin mengecek atas sales order yang nilainya diatas
10 ribu, maka si auditor akan bisa mengenerate report transaksi yang nilainya diatas 10 ribu.
Atau auditor ingin tahu sales invoice yang tanggalnya lebih dulu daripada tanggal sales order,
maka kriterianya dimasukkan dan dimunculkan (generate report).
- code review, karena ga mengganggu software klien. ga butuh persetujuan klien
- use of data, butuh persetujuan
- use of prog code comp, ga membutuhkan
- Cont, ITF dan SCARF, butuh pernyataan tertulis dari klien, bahwa mereka menyetujui auditor
melakukan suatu atas software auditnya, dan hrs dilakukan secara hati2 mesti ada persetujuan
dan jangan sampai jadi senjata makan tuan (auditor disalahkan karena mengotak2ik sistem
klien), dan yang paling kompleks dan mahal adalah SCARF, butuh expert dan juga karena
kompleks, kita harus ngotak ngatik dan bisa memperbaiki lagi ke semula. Maka biasanya Cont,
ITF dan SCARF itu melibatkan orang IT, divisi advisory dalam KAP.

Evaluation of system and audit conclusion

Suatu kesimpulan audit, harus didasarkan pada serangkaian tujuan audit yang dicapai beserta juga, hasil
pekerjaannya, dan kita tidak bisa bilang bahwa kesimpulan dan opini audit sudah ada, namun tujuan
kesimpulannya apa kita harus ada , dan bisa di referensikan kepada tujuan dan pekerjaan yang sudah
dilakukan demikian

Suggested substantive tests

- Kita bisa melakukan subs test dengan melakukan review atas exeption report (belum tentu
semuanya salah saji dan hrs dicek kembali, yang mana yang salah saji atas catetan yang ada
dilaporan tersebut, kalo tidak bisa dijelaskan oleh klien maka itu salah saji, tapi kalo bisa
dijelaskan dan bisa diterima penjelasannya maka itu bukan salah saji) ga semuanya berujung
pada adjustment
- Pengecekan coding purchase invoice
- Pengecekan adanya intervensi master file (hrsnya ga ada intervensi) penambahan dan
pengurangan persediaan berdasarkan mekanisme normal, maka kalo ada intervensi itu kenapa
dilakukan
- Mencocokan antara purchase orders dan purchase invoice (harga belinya, termsnya) jangan
sampai yang dipesen perusahaan dan ditagihkan ke perusahaan berbeda.
- Mengecek kewajaran harga, misal beli kertas A4 1 rim itu brapa harganya, tetapi diluar ada
harganya yang lebih rendah, karena harusnya perusahaan belinya yang lebih rendah.
- Ada atau tidak pekerjaan dari internal audit yang bisa kita pake, kita bisa review hasil pekerjaan
internal auditnya

Chapter 11 - Substantive testing, computer assisted audit techniques and audit programmes -
pertemuan 5
CAATs

Yang dilakukan adalah pengujian mengenai apakah transaksi yang tercatat didalam laporan keuangan itu
sudah melalui proses dan memiliki kriteria akurat, genuie, complete. Dirancang untuk mendeteksi salah
saji material dalam aspek asersi.

Procedure substantive
a. Substantive procedure ada 3

1. Test of detail
- Classes of transaction (transaksi)
- Account Balances (saldo akun) misal A/R ending balancenya 10 jt, sepanjang periode ada
disebelah kredit/ debit, oleh karena itu dilakukan setelah di test of detail transaction.
- Disclosures, apa yang diungkapkan manajemen dalam notes to financial statement
2. Subtantive analytical procedure

b. Test of control, pengulangan bab lalu, prosedur audit utk mengevaluasi keefektifan dari pengendalian
internal untuk prevent, detect and correct.

Substantive “test of detail” and substantive “analytical procedure”

 Test of detail adalah pengujian terperinci/ spesifik terkait dengan transaksi dan saldo akun (yang
utamanya) dan terkait disclosure itu (tambahan) tujuan auditnya itu adalah untuk mengecek
 misalkan perputaran barang yang ada diperusahaan. Jadi kalo misalkan melakukan TOD, kita bisa
lakukan utk akun A/R persediaan, salah satunya kita bisa mengecek atas barang2 yang dikirim dari
Gudang apakah cocok dengan pencatatan barang yang keluar dari Gudang (salesnya)
 Subtantive analytical procedure, berlawanan, kalo TOD lebih spesifik untuk transaksi2 tertentu, kalo
ini dia lebih general dan lebih umum, tidak melakukan pengujian secara mendetail, nantinya auditor
akan membangun suatu ekspetasi nilai yang dianggap auditor itu betul, setelah itu akan
dibandingkan dengan catatan yang ada dilaporan keuangan (kalo perusahaan punya revenue 10jt,
auditor ingin melakukan challenge atas nilai yang dicatat klien, tapi barang dari Gudang yang kluar
ada sekian2 dan dapet angka misal 9,8jt yaitu angka yang dibangun dari ekspetasi auditor yang
dianggap bisa dia percayai.) maka nanti selisihnya apakah material atau immaterial, kalo 200 ribu itu
diatas materialitas, maka auditor harus melakukan pengecekan secara lebih lanjut, tanya ke klien
untuk memastikan ke klien.
 Jika ternyata ada sesuatu yang sifatnya extraordinary, misal barang kluar tapi ternyata konsinyasi,
maka kita harus memastikan dulu dari kliennya, namun kalo kita melakukan TOD dan sub analytical
dulu akan buang2 waktu, dengan melakukan subs analytical kita bisa mendapatkan kesimpulan dulu
lalu baru kita bisa Menyusun prosedur audit yang efektif dan efisien.
 Kalo control perusahaan sudah dirasa cukup baik, maka auditor boleh hanya sebatas melakukan
substantive analytical procedure saja, dan sbaliknya jika control perusahaan lemah, maka keduanya
test of detail dan substantive harus dilakukan keduanya.
 Substantive analytical procedure, Secara umum bisa diaplikasikan dengan transaksi dengan volume
besar dan cenderung bisa diprediksi sepanjang waktu (misalkan sales, purchase, depresiasi) rutin
sifatnya, tapi kalo seperti Bonds payable, share capital (bisa aja dalam sepanjang tahun nerbitin BP
cmn sekali) maka tidak cocok menggunakan substantive analytical procedure dan cocok
menggunakan test of detail.
 Substantive analytical procedure akan lebih berguna kepuasan audit atas transaksi dengan jumlah
yang banyak dalam lingkungan entitas yang stabil dibandingkan pada jenis transaksi yang sedikit
namun nilainya besar2. (mis Bonds payable)
 Ada 2 alasan kenapa substantive test selalu dilakukan:
- Penilaian resiko dari auditor itu penuh dengan pertimbangan, maka tidak akan bisa secara
cukup melakukan identifikasi resiko salah saji secara tepat karena judgemental dan kita
butuh suatu tools lagi untuk menutupi resiko tersebut. Maka kita melakukan subs test lagi.
Judgemental misalkan memperhitungkan resiko audit itu adalah judgemental juga, pada saat
auditor menilai inherent dan control risk itu judgemental, dan audit risk , berapa banyak
jumlah bukti audit pada saat melakukan TOC itu juga judgemental. Maka hal2 sperti itu
punya celah, walaupun kita tidak bertanggung jawab memberikan opini audit secara tepat
namun wajar, kita tidak ingin banyak celah untuk sesuatu yang salah maka kita melakukan
subs test.
- Selalu ada yang namanya keterbatasan atas Internal control, dimana internal control itu
tanggung jawab manajemen, maanjemen punya kepentingan atas laporan keuangan, maka
akan slalu ada keterbatasan yang melekat dari internal control.

Setting objectives before designing a programe of subs tests.

Sbenernya, subs test haruslah dirancang untuk menunjukkan validitas asersi laporan keuangan terkait
saldo dan transaksi yang ada didalamnya, artinya auditor itu harus jelas apa harapan yang ingin dicapai
sebelum merencanakan program2 apa yang ingin dilakukan dalam substantive test.

Case study (contoh substantive test to test of detail) mengenai Purchase raw material

A. Cheque payments, kita melakukan subs test melakukan nya dengan ambil sample pembayaran
cek atas pembelian raw material setelah itu sudah dapet
- kita mencocokan apakah barang yang diterima sesuai dengan invoice apa tidak
- mencocokan notes penerimaan barangnya.
- itung ulang perkalian, pertambahannya, pengurangan diskonnya, ongkir dan PPnnya di cek
B. Purchase daybook, buku harian untuk mencatat pembelian,
- Memilih secara random, atas transaksi yang dicatat dalam buku harian pembelian, harganya,
itungannya, otorisasinya, dan lainnya.
C. Purchase ledger
- Mencocokan catatan purchase daybook dengan pencatatan jurnal yang diposting ke
purchase ledger atau buku besar pembeliannya secara sampel diambil apakah saldo awalnya
itu sudah cocok dengan yang bulan lalu ,cocok dengan rincian pembelian yang dipurchase
day book, pengurangan dan penambahannya sesuai apa ngga
D. Conclusion
- Setelah itu kita kasih conclusionnya, ada atau tidak kelemahan dan kesalahan yang kita
temukan dalam pengujian, kalo ada harus dimasukan ke dalam management letter.
Dalam bentuk kertas kerjanya , ada indeksnya (reference) misalkan indeksnya untuk inventory (J) kertas
induknya (J1) atau turunannya (J1.1) , by- nya dilakukan siapa dan tanggal berapa, maka nantinya kita
akan menggunakan inisial (misalkan Novia Wijaya) jadinya : NVA, maka reference akan berisi indeks
kertas kerja dimana kita telah menyelesaikan prosedur yang ada dikolom 1,

done bynya itu berisi inisial auditor yang melakukan pengecekan dan tanggal pengecekannya.

The use of audit software (ada beberapa contoh software audit yang bisa dipake)

1. Generalized audit software

2. Software developed for use in specific industries
3. Statistical analysis software
4. Expert system software

1. Generalized dan software developed for use in specific industries

- Kedua software ini Akan banyak membantu auditor untuk melakukan substantive testing,
kalo test of control bisa tapi mungkin kurang ekstensif.
- Dengan adanya software ini bisa membantu auditor untuk mengkonfirmasi operasi dari
sistem yang ada diperusahaan, contoh mengecek ga ada field isian customer data yang
kosong, kalo kosong berarti kok bisa diposting. Jadi software ini bisa mengecek bukti2
transaksi yang memiliki field kosong.
- Generalized sifatnya umum untuk setiap jenis industry, namun terkadang karena sifatnya
generalized malah menjadi kurang applicable. Contoh : perusahaan perkebunan dia itu asset
tetapnya bukan hanya bangunan, kendaraan, tapi juga punya misal pohon kelapa sawit,
Ketika mau ditanem, dia beli lahan, nantinya akan ada Land, dan Landnya dibersiin dulu,
biaya pembersihan dikapitalisasi ke Land, lalu beli bibit ditanem, maka nantinya dia harus
merawat bibit tersebut sampai akhirnya bisa menghasilkan, namun pada sbelum
menghasilkan, itu disebut sebagai TBM (tanaman belum menghasilkan yang di catat sebagai
assets) tapi selama itu hanya ada cash disbursement, uang keluar, tapi uang tersebut
diharapkan bisa memberikan future cash inflow di tahun mendatang.
- Sampai nanti buahnya akan dijual, maka dia akan punya asset TBM dan TM (tanaman
menghasilkan) dan kalo menggunakan generalized tidak akan punya akun spesifik terkait
nama akun itu, tapi kalo menggunakan software developed misal untuk mengaudit industry
perkebunan, atau banking yang punya nama2 akunnya kurang lazim.
- Maka biasanya hal2 yang tidak lazim biasanya tidak bisa diakomodir oleh generalized, namun
auditor bisa menggunakan specific sperti bank, asuransi, tambang, perkebunan, dan lainnya.

Generalized audit software, apa aja yang bisa dilakukan dengan GAS :

1. Melakukan akses file dengan karakteristik yang beda dan memanipulasi data misalkan
buat ngesortir, menggabungkan file,
2. melakukan pemilihan untuk menentukan suatu kriteria, mengecek fungsi- fungsi
aritmatika, fungsi- fungsi matematikanya di cekin
 3. menganalisa pemilihan data secara statistic lalu di stratify dulu untuk beberapa
katergori, jadi misalkan kuartil 1, 2, 3, 4, lalu dicek lagi untuk masing2 kuartil dan dipilih
dengan perhitungan statistic
4. bikin atau mengupdate file berdasarkan file aslinya perusahaan
5. membuat suatu report dengan format yang diinginkan oleh auditor

2. Statistical Analysis software

- sebenarnya GAS sudah mencakup statistical analysis ini
- seperti SPSS, e-views, dan PLS tapi sebetulnya statistical analysis software ini bisa digunakan
oleh auditor untuk memilih sample Dari populasi, populasi transaksi yang banyak diambil
samplingnya, caranya bisa pake statistical AS, tapi sebenarnya Gas dan Soft developed sudah
mencakup statistical.
- Namun Sas ini adalah software statistic yang dilengkapi dengan analisa regresi dan
kemampuan untuk membantu auditor mendapatkan point of view trendnya perusahaan
bagaimana ke depannya.
- Gas itu sudah bisa melakukan mengekstrak rasio, misal menghitung rasio likuiditas, solvensi,
dan profitability, liat laporan keuangan lalu itung manual. Tapi kalo kita sudah punya Gas ini,
kita punya lapkeu klien, misal Trial Balance, jadi TBnya di import ke dalam software auditnya,
lalu tinggal mengetik dan mencari rasio apa, lalu running dia akan munculin hasil
perhitungan rasionya, kita juga bisa membandingkan dengan tahun lalu, industry, pesaing,
actual vs budgetnya, jadi jauh lebih mudah. Software hanya ngitung, tapi utk analisanya
auditor yang buat.
- Generalized audit software bisa membantu memilih data secara ga statistic banget tapi
cukup statistic, misalkan memilih customer, persediaan, yang mau dicek sesuai dengan
tujuan audit yang ingin dicapai.
- Bisa membantu untuk membuat laporan yang sbelumnya sudah dibahas :
a. Laporan yang terkait dengan apa yang sedang kita uji didukung juga dengan rincian data
dibelakangnya

3. The use of computer assisted audit techniques (CAATs)

- Software audit yang dibahas sebelumnya bisa macem- macem, tetapi yang umum (bukan
termasuk dalam statistical, tapi ini adalah contoh software audit)
- Bisa membantu auditor melakukan pengujian secara lebih ekstensif terhadap transaksi-
transaksi dan juga file2 akun yang elektronik, karena Sebagian besar transaksi akuntansi
perusahaan sudah menggunakan elektronik, maka kita bisa menggunakan CAATs ini untuk
melakukan pengujian-pengujian di dalam audit contoh : milih transaksi, sort transaksi,
memilih transaksi sesuai dengan kriteria yang kita mau. (misal kita pengen tahu ada ga jurnal
transaksi yang diposting hari minggu ke dalam sistem, ke buku besar.

List contoh apa saja yang bisa dilakukan oleh CAATs :

1. Terkait dengan penjualan dan AR

- Mengecek dari list transaksi penjualan yang top 10 paling tinggi , lalu dicek
- Melakukan part cut off test, ngecekin pricing
2. Terkait dengan Persediaan dan produksi
- Kaya di akmen, punya standard cost, dibandingin tahun ini dan tahun sebelumnya,
kalo misalkan perusahaan manufaktur dengan banyak produk (Unilever), 1 produk
bahan bakunya banyak, lalu punya standard cost untuk masing2 produk yang
komponennya banyak yang kalo manual itungnya banyak

3. Terkait dengan pembelian dan utang AP

4. Terkait Penggajian dan pengupahan

 5. Terkait Non current tangilble Asset (PPE)

6. Investment (kaya saham, reksadana, obligasi)

7. Taxes on income

4. Expert system Software

- ESS ini tidak selalu dipakai, bisa dipakai bisa tidak, ini akan berguna Ketika melakukan
pengujian atas suatu sistem dimana sistem itu bisa kita pecahkan atau kita break down
menjadi beberapa sistem kecil didalamnya, contohnya pakai suatu sistem akuntansi “X”,
sistem ini bisa kita pecah, yang a untuk sistem pencatatan perpajakan, penggajian
pengupahan, PPE, lalu jika sudah dipecah- pecah baru kita melakukan pengujian dengan
lebih mendetail.
- Auditor akan menjawab pertanyaan yang akan muncul di dalam program ESS ini, setelah itu
software ini akan membantu kalau setelah auditor menjawab, dia akan menjawab, kalo gitu
auditor harus melakukan apa.
- Contohnya misalkan VAT, VAT itu sebenarnya transaksinya bisa kita prediksi, tarif PPN
brapa ?, memang ada tarif yang beda tapi kita bisa bagi, maka sistem ESS bisa dipakai
contohnya melakukan pengujian atas transaksi perpajakan, misalkan untuk PPN.

Directional Testing

- Substantife procedure itu dibagi 2, Test of detail dan Substantive analytical procedure, maka
ada istilah lain juga di dalam Substantive testing, yaitu Directional Testing, yaitu prosedur
substantive lainnya.
- Substantif prosedur untuk directional ini bisa melakukan pengecekan baik untuk
overstatement (saldo yang dicatat berlebih)/ understatement (saldo yang dicatat kurang dari
yang seharusnya)
 - Contoh : mencatat transaksi di dalam akuntansi, selalu pakai Double- entry system, (Debit/
Kredit),
- Misalkan ada buku besar sales, piutang, bank/ cash, Ketika ada satu transaksi misalkan
penjualan kredit (jurnalnya A/R (D) Sales (C)) pada saat kita melakukan pengecekan untuk
A/R (D) secara tidak langsung kita juga mengecek transaksi sales yang ada di kredit,
- Ketika ada pelunasan piutang (jurnalnya Cash in Bank (D) A/R (C)) pada saat auditor
melakukan pengujian atas A/R yang ada di sbelah Kredit, maka secara ga langsung auditor
melakukan pembuktian bahwa Cash in Bank yang ada di Debit atas transaksi ini juga sudah
Genuine, Accurate, Complete,
- Maka Directional testing itu cara kerjanya sama dengan cara kerja akuntansi, dimana kalo
akuntansi nyatet transaksi itu pasti melibatkan lebih dari satu akun, di directional testing itu
auditor juga mengecek, misal untuk akun- akun seperti expense, cash receipt dan asset yang
mana kita tahu saldo normalnya di sebelah debit, auditor bisa mengecek transaksi2 yang ada
dibuku besarnya disebelah debit, untuk mengecek ada overstatement atau tidak, sedangkan
akun2 seperti income, cash payment, liabilities, yang saldo normalnya di kredit, auditor itu
bisa mengecek buku besar sisi kreditnya apakah ada understatement atau tidak
- Karena jika exp, cash receipt, asset, banyaknya adanya di sebelah debit (jadi focus ke
debitnya) untuk yang sebelah creditnya akan otomatis ke cek pada saat auditor ngelakuin
directional testing untuk akun lainnya, (opsional) mau per- akun di buku besar atau mau per
saldo akun debit dan credit langsung.

Communication of audit matter to Those charged with Governance (TCWG) (Management Letter)

- Setelah selesai melakukan substantive testing, auditor sudah bisa menyimpulkan walaupun
belum sampai pada opini auditor, maka ada hal2 yang bisa mulai disusun yaitu management
letter, yaitu surat dari auditor kepada management terkait hal2 yang menjadi temuan terkait
dengan internal control perusahaan, ditujukan ke TWCG (management, audit committee)
yang bertujuan ;
a. Bmengkomunikasikan secara jelas kepada pihak berkepentingan atas tata Kelola
perusahaan bahwa, tanggung jawab management itu atas lapkeu, tapi kalo auditor itu
atas opini audit, jadi harus jelas dulu tanggung jawabnya apa, supaya tidak ada salah
paham, lalu apa yang sudah dirancang auditor untuk direncanakan dan sudah dilakukan
timing2 auditnya.
b. Mendapatkan informasi dari TWCG, terkait dengan audit yang sudah dilakukan
c. Menyediakan informasi untuk TWCG terkait hasil observasi auditor secara tepat waktu
apakah ada hal - hal signifikan dan relevan terkait dengan tanggung jawab atas proses
penyususan laporan keuangan
d. Membawa semangat, memiliki komunikasi 2 arah yang efektif antara auditor dengan
TWCG, dilakukan untuk tujuan-tujuan di atas.

Management Letter

- Komunikasi itu akan dituangkan dalam suatu surat (management letter) , isinya adalah
1. Judul, ditujukannya untuk siapa
2. Paragraph introductionya
 3. Ada responsible officialnya, sebelum management letter ini jadi, pastinya auditor sudah
berkomunikasi dahulu dengan bagian terkait itu disebutkan
4. Misal auditor itu harus menyatakan ada/ tidaknya alasan di mana ada keraguan atas
integritas, kalo ada dikatakan, kalo ga ada y aga ada.
5. Kesimpulan utama, dari kesimpulan utama ini akan diturunkan lagi untuk masing2 topik
karena didalam management letter itu bisa berhalaman2, tergantung dengan issue yang
ditemukan selama audit, pernah belasan, (1 halaman 1 topik),
6. Main conclusion misalkan mengatakan internal controlnya cukup baik, karna apa ?, misal
oke untuk bagian a,b,c dan rinciin yang ga okenya misalkan
 Brief description : management gapernah bikin bank reconciliation, kita akan
mendetailkan, berdasarkan observasi auditor, management tidak membuat bank
reconciliation, terus kenapa ?
 Possible consequences (implikasinya) : implikasinya kenapa, kalo perusahaan ga
bikin bank reconciliation perusahaan ga akan bisa tau selisih antara catatan cash
in bank di perusahaan dengan catetan di bank, kalo ada selisih bisa telat
diketahuinnya
 Recommendation : rekomendasi dari auditor adalah perusahaan membuat bank
rekon secara periodic setiap akhir bulan, untuk masing2 issue yang ingin di di
raise di management letter, mesti support dengan 3 hal di atas.
7. Minor matters, adalah hal- hal kecil yang tidak dimasukkan ke dalam report karena
sebenarnya sudah selesai sebelum management letter ini dibuat, auditor dengan
management sudah membicarakan hal- hal kecil yang sudah selesai.
8. Auditor membutuhkan respon, bukan cuman surat satu arah, nantinya akan ada part
kosong dibawahnya, di mana management harus kasih respon/ tanggapan atas
management letter yang dibuat auditor (untuk masing2 issue yang di raise)

Hal- hal yang lain penting untuk management letter

1. Auditor merasa bahwa manajemen sepertinya tidak berintegritas dan kompeten untuk
menjawab management letter kita, maka suratnya jangan dikasih ke manajemen, tapi kasih ke
komite audit contohnya (misal kita ada ngasih suatu temuan, tapi kita ngasih ke orang yang
melakukan, ya kita tidak bisa mengharapkan apa2) maka kita harus ngasih ke pihak yang
mengawasi management melakukan operasinya.
2. Terkadang di perusahaan2 kecil ga punya staf yang cukup untuk melakukan pemisahan tugas,
maka kalo misalkan seperti ini , ada tugas2 yang ga boleh dirangkap, harus dipisahkan, tapi karna
perusahaan masih kecil kita tidak bisa memberikan rekomendasi perusahaan harus hire staf yang
lebih banyak, maka jalan keluarnya adalah manajemen harus melakukan supervise yang lebih
ekstensif
3. Laporan auditor atas hal2 yang terkait dengan pengendalian internal yang dapat mengakibatkan
adanya salah saji di dalam laporan keuangan ataupun memiliki kemungkinan menyebabkan salah
saji signifikan yang potensial
4. Apabila klien/ management tidak melakukan usaha perbaikan atas management letter yang
sudah diberikan pada periode lalu, auditor juga akan meraise issue ini, dan meminta respon dari
management mengapa hal2 perbaikan tidak dilakukan, karena kalau hal2 perbaikan tidak
 dilakukan maka hal tersebut akan terus berlanjut dan menyebabkan adanya salah saji di dalam
laporan keuangan.
5. Atas perusahaan2 sektor public, auditor yang melakukan audit atas perusahaan yang bergerak di
sector public misalkan BUMN, maka terkadang memiliki tanggung jawab lebih untuk
memberikan laporan atas internal control ini ke public ataupun kepada Badan yang memiliki
otoritas untuk hal ini.

Chapter 12 : Sampling and materiality - pertemuan 6

Audit sampling and materiality

Audit sampling : merupakan suatu metode yang digunakan oleh auditor untuk mengumpulkan
bukti dalam rangka memberikan opini atas laporan keuangan. Auditor akan memilih transaksi2
dokumen, saldo akun untuk mreka tes sbg sample dengan menggunakan metode sampling audit
sebagai tekniknya, sedangkan

Materiality : konsep yang sangat penting bagi auditor untuk menentukan apakah lapkeu
perusahaan memberikan true and fair view. Tanpa memiliki gagasan bahwa tingkat dari salah saji
yang ada dilapkeu itu menjadi menyesatkan, auditor tidak akan bisa mengevaluasi pentingnya
salah saji itu ditemukan selama audit. Tentu saja auditor harus memiliki pegangan, mana
informasi yang menyesatkan dan tidak menyesatkan, maka kita harus punya Batasan angka
untuk menentukan hal itu, maka itulah yang disebut sebagai materialitas.

2 konsep ini saling berhubungan karena, Ketika auditor menilai signifikansi suatu kesalahan
atauSalah saji dalam sample mereka, mereka menerapkan konsep materialitas.

What is sampling ?

Sebenarnya auditor itu berharap bisa memberikan kesimpulan audit yang memadai, namun juga
kesimpulan yang memadai itu harus diperoleh dengan biaya audit yang cukup masuk akal,
jangan sampai kita mengejar keyakinan yang memadai, kita menghabiskan biaya audit yang
begitu tinggi, sehingga KAP tidak mendapatkan keuntungan, karena KAP juga perusahaan
membutuhkan keuntungan.

Maka dari itu untuk bisa memfasilitasi hal ini maka auditor menggunakan sampling , memilih
item2 yang ada dipopulasi yang akan menjadi sample mereka.

Tujuan dari sampling adalah untuk menyediakan dasar yang memadai bagi auditor untuk
memberikan kesimpulan atas populasi dimana sample itu dipilih (ISA 530)

Auditor harus bisa menentukan kapan waktu yang tepat untuk menggunakan sampling, tidak
harus sampling boleh aja tidak, misalkan stock opname yang gudangnya luas, maka bisa
menggunakan sampling agar bisa cukup waktunya lebih efisien. Atau jika misalkan
memungkinkan untuk menghitung populasi (item2nya mudah dihitung dan tidak perlu repot2),
secara penuh, tapi harus reasonable cost (biaya yang masuk akal). Mesti bijaksana kapan yang
tepat untuk menggunakan sampling.

Sufficiency, (relevance and reliability) - mengacu pada Appropiate, mesti diaplikasikan dalam audit
sampling :
 - Apakah sample yang diambil itu cukup jumlahnya untuk mewakili populasi
- Apakah sample ini relevan/ sesuai dengan populasi
- Apakah prosedur pemilihannya telah cukup untuk menilai keandalan sample yang dipilih dari
populasi

Sampling dibagi menjadi 2,

1. Statistical sampling, menerapkan teori probabilitas, dimana setiap item yang ada dipopulasi/
setiap satu satuan nilai mata uang memiliki kesempatan yang sama utk terpilih sebagai sample
dibandingkan dengan item yang lainnya.
2. Nonstatistical sampling, biasanya acak, pemilihan secara acak tanpa bergantung pada teori
probabilitas yang sebelumnya.

2 2 nya lebih baik, masing2 punya plus mines, yang harus kita ketahui kapan kita harus menggunakan
salah satunya.

Designing and selecting the sample for testing

Selain itu, kita juga bisa bagi menjadi :

1. Judgemental sampling
o Auditor bisa menggunakan judgement/ pertimbangannya dalam memilih sampling dan
juga melakukan interpretasi atas hasil sampling mereka
o Judgement auditor ini bisa diterapkan baik dalam statistical/ non statistical sampling
o Namun kalo yang non statistical sampling, sudah pasti dia judgemental sampling, karena
semua aspek pemilihan samplenya membutuhkan pertimbangan
o Yang menjadi masalah dalam judgemental sampling ini adalah karakteristik dari sample
tidak selalu bisa mengungkapkan atau mewakili karakteristik populasi, walaupun dia
mudah diterapkan.
2. Statistical sampling
o Di dalam stat sampling, untuk bisa mendapatkan sample yang bisa mewakili populasi,
sample itu haruslah homogen, namun kita tidak selalu memiliki populasi dengan item2
yang homogen (contoh apabila transaksi yang ingin kita cek dihasilkan tidak dengan
internal control yang sama, kadang berfungsi/ tidak berfungsi, maka kita harus pilah
mana transaksi yang timbul dari internal control yang berfungsi dan tidak berfungsi.
o Misalkan dalam populasi ada rentang nilai yang lebar, misalkan ada transaksi dengan
nominal diatas 1M, dan relative kecil misalkan 10.000, maka 2 hal ini bisa menyebabkan
lack of homogeneity dalam populasi, maka kita harus yang biasanya dilakukan, auditor
akan stratify , dari populasi yang utama di klien (sales transaction, dari internal control
yang ON/OFF dipisah jadi 2 kelompok, nilainya diatas 300jt dan dibawah 300jt jadi satu
kelompok) jadi intinya kita bisa mengatasi ketidakhomogenan, dengan membuat
kelompok baru lagi dari populasi utama yang ada, sehingga setelah itu kita bisa
memberikan treatment yang berbeda2 untuk masing2 kelompok sesuai dengan
karakteristik yang mendekati.

Jenis- jenis metode pengambilan sample, ada 4 bagian:

 1. Random sampling, metode yang mencoba meyakinkan bahwa setiap item di populasi memiliki
karakteristik yang sama terpilih sebagai sample antara sample yang satu dengan yang lainnya.
(misalkan kita ingin nanya mahasiswa dengan acak dan belum kenal)
2. Systematic or interval sampling, misalkan dalam satu populasi ada 50 mahasiswa, kita ingin
mengambil 5 mahasiswa, kita ambil no urutnya (10,20,30,40,50) sample yang diambil sesuai
intervalnya, sesuai dengan urutan yang sudah ditentuin (contohnya pengalinya 10)
3. Block or cluster sampling (non statistical), misalkan kalo kelas offline, ada 4 kelompok barisan,
kita anggep ada 4 kluster/ blok, bisa aja kita mengambil sample yang untuk kluster sebelah
kanan, untuk semua mahasiswa yang duduk di paling pojok (cluster paling pojok)
4. Haphazard sampling (non- statistical), ada unsur subjetifitasnya (contoh misalkan kita tadi nanya
mahasiswa dengan acak, tapi ini contohnya misalkan, hari ini tanggal 10, no absen ke 10 siapa ?,
maka ada unsur subjetifitasnya), sehingga ada item2 di dalam populasi yang memiliki
probabilitas yang lebih tinggi dbangindkan dengan item lain, dikarenkaan auditor memasukkan
unsur2 subjektifitas.
atau misalkan contoh lain, nangkep ayam dengan ditutup matanya, maka dengan bgitu ayam
yang paling deket dengan kita akan memiliki probabilitas yang lebih tinggi jika dibandingkan
dengan yang lebih jauh jaraknya.

Masing2 boleh dipakai, yang manapun kita pilih metodenya sebagai auditor harus
mendokumentasi dan punya alasan yang jelas mengapa kita menggunakan , kenapa pake A,
kenapa ga pake yang lain ?

Sample selection methodology - size of sample - level of confidence.

Selanjutnya setelah kita mengenal jenis2nya, kita akan melihat size of sample, misalkan kita
sudah menentukan mau pakai statistical sampling, lalu kita harus menentukan berapa item dari
populasi yang harus kita pilih, karena dikatakan bahwa bukti audit yang didapatkan haruslah
sufficient dari sisi kuantitasnya cukup oleh karena itu ukuran sample menjadi hal yang sangat
penting.

Ukuran sample itu bisa ditentukan oleh 3 hal :

1. Level of confidence required, dipengaruhi oleh penilaian atas inherent dan control risk,
bisa berkurang berdasarkan bukti yang didapatkan dari pengujian audit lainnya contoh
analytical review
2. Expected error rate, semakin tinggi expected/ deviation rate maka semakin tinggi juga
ukuran sample yang dibutuhkan, seorang auditor harus mendefinisikan error/ deviation
sebelum dilakukan pengujian (ditentuin dulu baru diitung)
3. Tolerable error rate, nilai maksimum atau tingkat kesahalan, yang auditor siap untuk
terima (ditoleransi auditor) semakin rendah maka semakin besar jumlah sample yang
harus diambil, ukuran populasi memiliki efek yang kecil dalam penentuan ukuran
sample.
 AR = IR (inherent risk) x CR (control risk) x DR (Detection risk)
Inherent dan control risk itu, auditor melakukan penilaian atas kondisi yang ada di perusahaan
klien, sedangkan audit risk itu auditor itu menentukan berdasarkan judgementnya, willingness
auditornya di set. Setelah audit risknya di set dan IR dan CRnya di assest, Maka detection risknya
baru bisa (solved) dihitung maka rumusnya diubah menjadi :

 DR = AR/ IR x CR

Detection risk ditentukan belakangan

 DR = 100 %- Confidence level (tingkat keyakinannya)

 Tambahannya di audit 2 ini adalah, Setelah auditor menentukan audit risk, melakukan
penilaian IR dan CR, dan menghitung DR, DRnya juga bisa dipakai untuk menghitung
Confidence level. Dan setelah kita selesai menghitung resiko2, Maka ujung2nya adalah
penentuan jumlah sample yang akan dijadikan bukti audit (audit 2), setelah poin 1-3
dihitung, auditor akan menggunakan confidence level beserta juga menggunakan jumlah
prediksi number of sample errors (jumlah kesalahan dari sample yang diambil yang
diprediksi auditor akan temukan) 2 hal ini akan digunakan untuk melihat table :

Confidence level

Contoh :

1. Hitunglah sample size dengan menggunakan data berikut

Confidence levels : 70% (udah dikasi tau)
Expected number of errors : salahnya expectnya cumin 1
Tolerable error ratenya = 3%
 = 81, artinya kita harus mengambil 81 item dari populasi untuk menjadi sample kita

2. Seorang auditor bersedia untuk menerima resiko 20%, , kalo auditor bersedia menerima
resiko 20%, maka confidence levelnya = 100 - 20% = 80% dan sama kaya yang di atas
bahwa dia berharap menemukan 1 salahnya, tapi tolerable ratenya naik jadi 4%, dengan
demikian kita bisa liat di table (kolom 80%, yang baris number of sample errorsnya 1),
maka auditornya akan mengambil sampel nya 75

Bisa dilihat Ketika confidence levelnya meningkat, lalu tolerable error ratenya meningkat,
maka jumlah samplenya menjadi lebih kecil.

Di Slide sebelumnya kita mengenal 4 metode pengambilan sample (random, systematic, block or
cluster haphazard), selain 4 itu, yang lebih terkenal dan paling banyak dipakai baik di Big Four
atau non big four, itu adalah ada Monetary Unit Sampling (MUS)

Monetary unit sampling

- Didalam MUS seorang auditor tidak hanya tertarik dengan yang namanya tingkat kesalahan, tapi
auditor lebih focus lagi, lebih tertarik lagi dengan yang namanya monetary effects, di hitungan
sbelumnya kita tidak memperhatikan berapa nilai dari transaksi yang ada , misalkan yang tadi
kita disuru memilih sample yang 81 dan 75 , kedua hal itu hanya untuk jumlah samplenya saja ,
tapi 81nya itu 81 yang mana apakah mengambil secara random ? apakah haphazard ? Block ?
atau lainnya ? jadi cenderung hanya menentukan jumlahnya saja, tapi untuk menentukan sample
yang mana yang harus diambil bebas.
- Kalo di MUS kita akan melihat bahwa masing2 item yang ada di populasi itu kita lihat sebagai
satu satuan mata uang, jadi populasi yang ada, tidak dibagi menjadi transaksi (mis; satu invoice
dianggap sebagai 1 item, populasinya sales, lalu kita bagi sebagai transaski, berarti 1 invoice
dihitung sbg 1 item, atau tidak juga kita bagi sbg saldo, mis; kita punya akun piutang dagang dari
berbagai customer, 1 customer kita hitung sbg 1 saldo, didalam MUS kita tidak melihat apakah
itu jumlah transaksi atau jumlah saldo, tapi kita melihat sebagai satu satuan mata uang,
seandainya saldo ending A/R, $35M (dri 7 customer misalkan), maka akan diasumsikan, kita
punya 35M dengan nilai unitnya $1
- Kesimpulannya didalam MUS, transaksi ataupun saldo dengan nilai mata uang yang lebih tinggi
akan memiliki angka probabilitas yang lebih tinggi / besar terpilih sbagai sample, misal blanja
brapapun dpt 1 kupon, tapi kalo MUS, belanja sesuai kelipatan misal 1000, dpt 1 kupon, dan
blanja 1jt dpt 1000 kupon, otomatis kalo misal blanja semakin besar, semakin besar juga
probabilitas kita menang undian.
- Sbg contoh menemukan salah saji unit $1, dia menempel pada saldo yang mana, misalkan saldo
tercatat 100, tapi nyatanya 80, maka 20% itu ternodai/ mengandung kesalahan, misal dari 35jt
 unit, kita pecah 1000 unit sample, di antaranya ada salah, maka kita akan tracing, dan kita lihat
misalkan harusnya 80, tapi dicatetnya 100, berarti 20nya kesalahan

Keuntungan dari statistical dan non statistical.

Keuntungan statistical:

- Sebetulnya judgement auditor jadi lebih objektif dan Lebih tidak mengandalkan judgement
dan lebih eksplisit
- Ukuran sample yang didapatkan berdasarkan prinsip statistic dan juga evaluasinya akan lebih
bisa dikuantifikasi dan lebih tepat, dan tidak perlu terlalu banyak dokumentasi karena
memang sudah sesuai dengan perhitungan ilmiah dan teoritis

Kerugiannya :

- Untuk persiapannya butuh banyak waktu dan biaya dibandingkan non statistical sampling
- Dokumentasi baik statistic dan non statistic sama2 harus bikin dokumentasi, namun kalo
statistic kita bikin dokumentasi terpisah terkait pemilihan metode dan evaluasi dari hasil
sampling
- Statistic lebih sulit untuk dipahami tapi terspesialisasi dengan bantuan dari statistic yang ada
paket2 statistik di computer

Kalo mau cepet pilih statistical, kalo mau lebih represent lebih baik ya statistical, tapi ya punya
time consume dan costly

Materiality - introduction

- Seorang auditor harus mempertimbangkan apakah salah saji atau omission yang ada (kelalaian)
cukup material sehingga menyebabkan lapkeu tidak memberikan true and fair view. Karena itu
tingkat materialitas mesti diidentifikasi untuk keseluruhan lapkeu, ( tidak bisa hanya
materialitasnya melihat untuk satu area misalkan profit and loss, dan tidak melihat SOFPnya).
- Sebuah salah saji termasuk kelalaian dikatakan material apabila mereka secara individu/ agregat
akan bisa menyebabkan pengguna laporan keuangan menjadi salah dalam mengambil
keputusan. Dan pertimbangan untuk menentukan materiality, harus dilakukan made in the light
of surrounding circumstances (terang benderang) jangan meraba2 dalam situasi kegelapan,
harus memiliki informasi yang cukup, memahami medan, mengetahui hal2 yang kita butuhkan,
maka setelah itu baru kita bisa menentukan materialitas, sehingga penentuan itu bisa
dipertanggungjawabkan dan sudah melalui hal yang cukup. Penentuan materialitas setelah
mendapatkan informasi2 yang cukup mengenai klien, laporan keuangannya, track recordnya,
task experiencenya di masa lalu, salah saji dan internal controlnya bagaimana

Materiality and decision making

- Efek, laporan keuangan akan dipakai oleh banyak pihak, maka materialitas jangan sampai bikin
pengguna lapkeu menjadi salah dalam mengambil keputusan, itu sangat luas, pengguna lapkeu
itu sangat banyak, tapi yang utamanya adalah Pemegang saham (pengguna utama),
- selain itu ada investor, kreditor, dan juga pihak2 seperti pemerintah, employee dan lainnya, tapi
dari sekian pihak tidak semuanya paham tentang laporan keuangan, Maka jenis pengguna yang
harus auditor pertimbangkan adalah pengguna laporan keuangan yang mengerti dan memahami
 laporan keuangan, bukan orang yang naif, polos dan tidak mengerti laporan keuangan. Yang
knowledgeable
- Penentuan materialitas dilakukan pada tahap planning, di tahap planning kita belum melakukan
pengujian2 audit tapi auditor akan menentukan kurang lebih tingkat kesalahan/ salah saji yang
mungkin muncul dilaporan keuangan sehingga pengguna laporan keuangan bisa terpengaruh.

Materialitas dalam laporan keuangan

- Biasa ditentukan dari persentase profit perusahaan, umumnya

- Tingkat materialitas, dan jumlah bukti audit saling terkait dimana bila tingkat materialitas
semakin rendah, maka bukti audit yang dikumpulkan akan semakin banyak, dan tentu saja cost
untuk melakukan audit semakin tinggi.
- Umumnya yang dipakai profit before tax atau profit before tax from continuing operations.
- Materiality dihitung dari total asset, net asset dan sebagainya, tidak selalu dari profit (misalkan ;
5% of total asset, 1% of profit before tax) bisa dari angka revenue, total expense tapi yang paling
umum adalah company profit.
- Seorang audior bisa menghitung materialitas berdasarkan kriteria yang berbeda setelah itu dia
akan memilih yang mana yang akan dia gunakan. (pake exp ?, pake profit ?, dan lainnya)
- Auditor harus memberikan penekanan yang sama atas yang namanya understatement -
overstatement, (salah saji)
- Aspek2 lainnya untuk menentukan dasar perhitungan materialitas.
1. Trend profit dari beberapa tahun terakhir
2. Liat dari rasio2 laporan keuangan
3. Dari pengaruh eksternal lainnya.

Materiality at planning stage (tahap planning)

- Si auditor sudah menentukan audit risknya setelah itu menentukan materialitas untuk masing2
item yang ada di laporan keuangan, materialitas itu cmn 1 tapi materialitas yang 1 itu, misal 100
jt, tapi kita butuh angka yang lebih spesifik, misal untuk intangible asset dan inventory, kalo pake
100 jt keduanya maka akan tidak baik, maka kita bisa menentukan materialitas yang lebih rendah
untuk diarea area tertentu. (performance materiality) untuk area2 tertentu.
- Misalkan 100 jt utk inventory ketinggian, maka bisa dipakai hanya 80%nya saja, atau intangible
asset nya ketinggian juga maka bisa diturunkan menjadi 30%nya saja.
- KAP bisa menurunkan tingkat materialitas apabila ditemukan inherent dan control risk yang ada
diperusahaan itu tinggi, dari penilaian auditor. Kalo tingkat materialitas menurun, maka
evidencenya lebih banyak, cost audit makin tinggi
- Semua keputusan terkait materialitas itu harus di dokumentasikan di audit planning
memorandum

Materiality during the audit and at evaluation stage (materialitas di tahap pengujian dan evaluasi)

- Materialitas boleh diubah asalkan Ketika melakukan perubahan materialitas harus memberikan
alasannya mengapa
 - Auditor akan menghitung salah saji bukan hanya atas salah saji yang ditemukan tapi juga salah
saji yang tidak ditemukan,
- Extrapolate contohny, misalkan populasi 100 item transaksi diambil 25% sbg sample, dari 25 kita
nemuin salah saji ada 10, kalo kita extrapolate, maka 10 salah saji dalam sample, kita sebut itu
sebagai known diferent, salah saji yang diketahui scr pasti. Tapikan populasi ada 100, sample
yang kita ambil 25, kalo extrapolate kita generalisasi, kalo possibilitynya sama dari 100 populasi,
salah sajinya berarti 25% itu ¼ nya 100, ketemu dari 25 ada salah saji 10, berarti total salah saji
10 x 4 jadi 40.
- Maka auditor melakukan estimasi salah saji bukan hanya atas sample yang diambil tapi atas
keseluruhan populasi, karena sample itu diambil hanya sebagai suatu metode, tapi kesimpulan
harus diberikan atas keseluruhan populasi. Auditor mengambil sample supaya lebih mudah,
conclusion dan cost bisa balance, dan mendapatkan bukti audit tapi juga reasonable cost.
- Nantinya auditor harus mendokumentasikan dan menginformasikan kepada management
bagaimana Tindakan selanjutnya atas misstatementnya, mau diadjust ? dan dikomunikasikan
kepada komite audit
- Auditor juga memantau, Tindakan yang diambil management itu apa ? dia mengambil corrective
action atau tidak ?

Nature of misstatement found

- Pada saat menemukan salah saji mesti profesional sceptism, ada hal2 yang harus di perhatikan ,
maka kita bisa lihat dari :
1. Kita bisa lihat dari ukuran dari salah saji yang kita terima apakah nilainya besar/ kecil,
disengaja atau tidak disengaja,
2. mengandung suatu pola tertentu,
3. merupakan dari suatu hal yang factual / opini, karena bisa saja ada perbedaan pendapat
antara auditor dan management. Bisa saja ada salah saji yang sudah jelas2 salah (factual
matters). Kalo opinion itu tergantung Point of view dari mana karena standar akuntansi juga
abu2
4. apakah salah sajinya terkait dengan hal2 ilegal
5. apakah ada dugaan bahwa salah saji datang dari kecurangan yang dilakukan oleh pegawai
6. apakah terdapat salah saji yang mirip yang terjadi juga di periode audit sebelumnya
7. apakah salah saji ini hanya mempengaruhi saldo akun di dalam balance sheet atau juga
profit and loss.