Auditing Chapter 12 B.indo

Machine Translated by Google www.freebookslides.
com
Menilai risiko Pengendalian Bab
Dan melaporkan Pengendalian

internal
Hanya Karena Komputer Berfungsi Tidak Berarti Itu Benar
12
Tujuan pembelajaran
Klien audit Foster Wellman, Manion's Department Stores, Inc., memasang program perangkat lunak yang memproses dan Setelah mempelajari bab ini, Anda
menua piutang pelanggan. Penuaan, yang menunjukkan berapa lama piutang pelanggan belum terbayar, berguna bagi Wellman harus bisa
saat mengevaluasi kolektibilitas piutang tersebut. 12-1 Memperoleh dan mendokumentasikan
pemahaman tentang pengendalian

internal.
Karena Wellman tidak tahu apakah total penuaan dihitung dengan benar, dia memutuskan untuk menguji penuaan Manion
12-2 Menilai risiko pengendalian dengan
dengan menggunakan perangkat lunak audit perusahaannya sendiri untuk menghitung ulang penuaan, menggunakan salinan
menghubungkan pengendalian
elektronik dari file data piutang Manion. Dia beralasan bahwa jika penuaan yang dihasilkan oleh perangkat lunak auditnya utama dan defisiensi pengendalian
sesuai dengan penuaan Manion, dia akan dengan tujuan audit terkait transaksi.
memiliki bukti bahwa penuaan Manion 12-3 Jelaskan proses perancangan
benar. dan pelaksanaan pengujian
pengendalian.
12-4 Memahami bagaimana risiko
pengendalian berdampak pada risiko

Wellman terkejut ketika dia menemukan
deteksi dan desain pengujian substantif.
perbedaan material antara perhitungan 12-5 Memahami persyaratan pelaporan
penuaan dirinya dan Manion. Rudy Rose, auditor tentang
pengendalian internal.
manajer fungsi teknologi informasi (TI)
12-6 Jelaskan perbedaan dalam
Manion, menyelidiki perbedaan tersebut
mengevaluasi, melaporkan,
dan menemukan bahwa kesalahan
dan menguji pengendalian
programer telah mengakibatkan cacat
internal untuk perusahaan
desain pada perangkat lunak Manion
publik kecil dan nonpublik.
yang digunakan untuk menghitung
12-7 Jelaskan bagaimana kompleksitas
penuaan. Hasil ini menyebabkan Wellman
penilaian dan pengujian risiko
meningkatkan secara substansial jumlah pengujiannya terhadap saldo akhir tahun penyisihan piutang tak tertagih, dan pengendalian dampak lingkungan
menghasilkan penyesuaian audit yang signifikan terhadap akun penyisihan Manion. TI.
Machine Translated by Google
www.freebookslides.com
Memperoleh dan mendokumentasikan pemahaman

Kendali internal
Pada bab sebelumnya, kita membahas komponen kerangka pengendalian internal COSO dan
Tujuan 12-1
bagaimana perusahaan mengintegrasikan teknologi ke dalam sistem pengendalian internal mereka.
Memperoleh dan mendokumentasikan
pemahaman tentang pengendalian internal.

Dalam bab ini, kami membahas bagaimana auditor memperoleh dan mendokumentasikan pemahaman
mereka tentang pengendalian internal dan menilai risiko pengendalian sebagai bagian dari proses
perencanaan audit. Kisah pembuka tentang ketergantungan Manion yang berlebihan pada akurasi
umur piutang yang dihasilkan komputer menggambarkan pentingnya pengujian pengendalian dan juga
efisiensi dan efektivitas penggunaan perangkat lunak audit. Orang sering menganggap "informasi itu
benar karena komputer yang membuatnya". Sayangnya, auditor terkadang bergantung pada keakuratan
Terima klien dan lakukan perencanaan
audit awal
keluaran yang dihasilkan komputer yang belum teruji karena mereka lupa bahwa kinerja komputer
hanya sebaik yang diprogram.
Sebelum menyimpulkan bahwa informasi dapat diandalkan, auditor harus memahami dan menguji
Memahami bisnis dan industri klien
pengendalian berbasis komputer dengan cara yang sama seperti memahami dan menguji pengendalian
manual.
Untuk audit laporan keuangan, auditor perlu memahami pengendalian yang relevan dengan audit
Lakukan prosedur analitis awal
untuk mengidentifikasi dan menilai risiko salah saji material.
Untuk audit terintegrasi dari perusahaan besar yang diperdagangkan secara publik, tingkat pemahaman
pengendalian internal dan luasnya pengujian harus cukup untuk mengeluarkan pendapat tentang
Tetapkan pertimbangan awal
keefektifan pengendalian internal atas pelaporan keuangan selain untuk menilai risiko salah saji
materialitas dan materialitas
kinerja
material sebagai bagian dari proses perencanaan audit. Dengan demikian, tingkat pemahaman yang
diperlukan untuk audit pengendalian internal melebihi apa yang diperlukan untuk audit atas laporan
keuangan saja.
Identifikasi risiko yang signifikan
karena penipuan atau kesalahan
Gambar 12-1 memberikan ikhtisar tentang proses pemahaman pengendalian internal dan penilaian
risiko pengendalian. Gambar tersebut menunjukkan bahwa ada empat langkah dalam proses.
Masing-masing dari empat langkah ini dibahas dalam bab ini.
Menilai risiko bawaan
Memahami pengendalian internal

dan menilai risiko pengendalian
Gambar 12-1 Proses untuk Memahami Pengendalian Internal dan

Menyelesaikan keseluruhan
Menilai Risiko Pengendalian
strategi audit dan rencana audit
Dapatkan dan dokumentasikan
pemahaman tentang
Langkah 1
desain dan operasi
pengendalian internal
Langkah 2 Menilai risiko pengendalian
Merancang, melakukan,
Langkah 3 dan mengevaluasi
pengujian pengendalian
Memutuskan risiko
Langkah 4 deteksi yang direncanakan
dan pengujian substantif
368 Bagian 2 / Proses Audit

Standar audit mengharuskan auditor untuk memperoleh dan mendokumentasikan pemahaman mereka
Dapatkan dan Dokumentasikan
tentang pengendalian internal untuk setiap audit. Pemahaman ini diperlukan baik untuk audit pengendalian
internal atas pelaporan keuangan maupun audit atas laporan keuangan. Dokumentasi manajemen Pemahaman tentang
Kontrol Internal
merupakan sumber informasi utama dalam memperoleh pemahaman ini.
Sebagai bagian dari prosedur penilaian risiko auditor, auditor menggunakan prosedur untuk
memperoleh pemahaman, yang melibatkan pengumpulan bukti tentang rancangan pengendalian
internal dan apakah pengendalian tersebut telah diterapkan, dan kemudian menggunakan informasi
tersebut sebagai dasar untuk menilai risiko pengendalian dan untuk audit terintegrasi. Auditor umumnya
menggunakan empat dari delapan jenis bukti yang diuraikan dalam Bab 7 untuk memperoleh pemahaman
tentang rancangan dan penerapan pengendalian: inspeksi, permintaan keterangan kepada personel
entitas, pengamatan terhadap karyawan yang melakukan proses pengendalian, dan pelaksanaan ulang
dengan menelusuri satu atau beberapa bukti. beberapa transaksi melalui sistem akuntansi dari awal sampai akhir.
Auditor biasanya menggunakan tiga jenis dokumen untuk mendapatkan dan mendokumentasikan
pemahaman mereka tentang desain pengendalian internal: narasi, bagan alur, dan kuesioner pengendalian
internal. Karena Section 404 Sarbanes-Oxley Act mengharuskan manajemen menilai dan
mendokumentasikan efektivitas desain pengendalian internal atas pelaporan keuangan, mereka biasanya
sudah menyiapkan dokumentasi ini.
Narasi, bagan alir, dan kuesioner pengendalian internal, yang digunakan oleh auditor secara terpisah
atau dalam kombinasi untuk mendokumentasikan pengendalian internal, dibahas selanjutnya.
Narasi Narasi adalah deskripsi tertulis tentang pengendalian internal klien. Narasi yang tepat dari sistem
akuntansi dan kontrol terkait menjelaskan empat hal: 1. Asal usul setiap dokumen dan catatan dalam
sistem. Misalnya, deskripsi harus menyatakan dari mana asal pesanan pelanggan dan bagaimana
faktur penjualan dibuat. Dapatkan dan dokumentasikan
pemahaman tentang
desain dan operasi
2. Semua proses yang berlangsung. Misalnya, jika jumlah penjualan ditentukan oleh pengendalian internal
program komputer yang mengalikan jumlah yang dikirim dengan harga standar
yang terdapat dalam file induk harga, proses tersebut harus dijelaskan. Menilai risiko pengendalian
3. Disposisi setiap dokumen dan record dalam sistem. Pengarsipan atau pengarsipan
dokumen secara elektronik, pengirimannya ke pelanggan, atau pemusnahannya Merancang, melaksanakan,
harus dijelaskan. dan mengevaluasi

4. Indikasi pengendalian yang relevan dengan penilaian risiko pengendalian. Ini biasanya
mencakup pemisahan tugas (seperti memisahkan pencatatan kas dari penanganan Memutuskan risiko
kas), otorisasi dan persetujuan (seperti persetujuan kredit), dan verifikasi internal deteksi yang direncanakan
dan pengujian substantif
(seperti perbandingan harga jual unit dengan kontrak penjualan).
Diagram alir Diagram alir pengendalian internal adalah diagram dokumen klien dan aliran berurutannya
dalam organisasi. Bagan alur yang memadai mencakup empat karakteristik yang sama yang diidentifikasi
untuk narasi.
Bagan alir yang disiapkan dengan baik menguntungkan terutama karena memberikan gambaran
singkat tentang sistem klien, termasuk pemisahan tugas, yang membantu auditor mengidentifikasi
pengendalian dan kekurangan dalam sistem klien. Diagram alir memiliki dua keunggulan dibandingkan
narasi: biasanya lebih mudah dibaca dan lebih mudah diperbarui. Tidak biasa menggunakan narasi dan
bagan alur untuk menggambarkan sistem yang sama karena keduanya menyajikan informasi yang sama.
Kuesioner Kontrol Internal Kuesioner kontrol internal mengajukan serangkaian pertanyaan tentang
kontrol di setiap area audit sebagai sarana untuk mengidentifikasi kekurangan kontrol internal. Sebagian
besar kuesioner memerlukan jawaban "ya" atau "tidak", dengan jawaban "tidak" menunjukkan potensi
kekurangan pengendalian internal. Dengan menggunakan kuesioner, auditor mencakup setiap area audit
dengan cukup cepat. Dua kelemahan utama kuesioner adalah ketidakmampuannya untuk memberikan
gambaran sistem dan ketidakmampuannya untuk beberapa audit, terutama yang lebih kecil.
Gambar 12-2 (p. 370) mengilustrasikan bagian dari kuesioner pengendalian internal untuk siklus
penjualan dan penagihan Hillsburg Hardware Co. Perhatikan bagaimana kuesioner
Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 369

menggabungkan enam tujuan audit terkait transaksi A sampai F karena masing-masing berlaku untuk
transaksi penjualan (lihat bagian yang diarsir). Hal yang sama berlaku untuk semua area audit lainnya.
Metode ini juga digunakan untuk memperoleh pemahaman tentang pengendalian umum TI.
Auditor mewawancarai personel TI dan pengguna utama; memeriksa dokumentasi sistem seperti
diagram alir, manual pengguna, permintaan perubahan program, dan hasil pengujian sistem; dan
meninjau kuesioner terperinci yang diisi oleh staf TI. Umumnya,
Gambar 12-2 Kuesioner Kontrol Internal Parsial untuk Penjualan
Klien Hillsburg Hardware Co. 30/9/16 Tanggal Audit 12/31/16
Auditor MSW Tanggal Selesai Diperiksa oleh FR Tanggal Selesai 10/1/16
Tujuan (kotak putih) dan Pertanyaan Menjawab Perkataan
Penjualan Ya T Tidak /A
A. Penjualan yang tercatat adalah untuk pengiriman yang benar-

benar dilakukan ke pelanggan yang sudah ada.
1. Apakah kredit pelanggan disetujui oleh penanggung jawab Oleh Chulick, sang presiden
sosial dan apakah akses untuk mengubah file master batas kredit
dibatasi?
2. Apakah pencatatan penjualan didukung oleh dokumen pengiriman Pam Dilley memeriksa
resmi dan pesanan pelanggan yang disetujui?
dokumentasi yang mendasarinya.
3. Apakah ada pemisahan tugas yang memadai antara

penagihan, pencatatan penjualan, dan penanganan penerimaan kas?
4. Apakah faktur penjualan diberi nomor dan diperhitungkan? Dinomori sebelumnya tetapi
tidak diperhitungkan. Tambahan
pengujian substantif yang diperlukan.

B. Transaksi penjualan yang ada dicatat.
1. Apakah catatan pengiriman dipelihara?

2. Apakah dokumen pengapalan dikendalikan dari kantor dengan cara
yang membantu memastikan bahwa semua pengiriman ditagih?
3. Apakah dokumen pengiriman sudah diberi nomor dan

diperhitungkan?
C. Penjualan yang dicatat adalah sebesar jumlah barang

dikirim dan ditagih dan dicatat dengan benar.
1. Apakah ada perbandingan kuantitas yang independen pada

dokumen pengiriman dengan faktur penjualan?
2. Apakah daftar harga resmi digunakan dan apakah akses untuk
mengubah file induk harga dibatasi?
3. Apakah laporan bulanan dikirim ke pelanggan?
D. Transaksi penjualan dimasukkan dengan benar ke dalam file

induk dan dirangkum dengan benar.
1. Apakah komputer secara otomatis memposting

transaksi ke file induk piutang dan buku besar?
2. Apakah file induk piutang usaha direkonsiliasi dengan buku Oleh Erma, sang akuntan
besar secara bulanan?
E. Transaksi penjualan yang dicatat diklasifikasikan

dengan benar.
1. Apakah ada perbandingan independen yang tercatat Semua penjualan ada di akun
penjualan ke bagan akun?
dan hanya ada satu akun
F. Penjualan dicatat pada tanggal yang benar.
penjualan.
1. Apakah ada perbandingan tanggal yang independen pada Pengirim yang tidak tertandingi dan
dokumen pengapalan dengan tanggal yang tercatat?
tidak tercatat ditinjau setiap minggu.

Machine Translated by Google www.freebookslides.com
auditor harus menggunakan beberapa pendekatan ini dalam memahami pengendalian umum
karena masing-masing menawarkan informasi yang berbeda. Sebagai contoh, wawancara dengan
chief information officer dan analis sistem memberikan informasi yang berguna tentang
pengoperasian seluruh fungsi TI, sejauh mana pengembangan perangkat lunak dan perubahan
perangkat keras yang dilakukan pada perangkat lunak aplikasi akuntansi, dan ikhtisar perubahan
yang direncanakan. Tinjauan permintaan perubahan program dan hasil pengujian sistem berguna
untuk mengidentifikasi perubahan program dalam perangkat lunak aplikasi. Kuesioner membantu
auditor mengidentifikasi pengendalian internal tertentu.
Penggunaan kuesioner dan bagan alur secara bersamaan berguna untuk memahami
rancangan pengendalian internal klien dan mengidentifikasi pengendalian internal dan defisiensi.
Bagan alir memberikan ikhtisar tentang sistem, sedangkan kuesioner menawarkan daftar periksa
yang berguna untuk mengingatkan auditor tentang berbagai jenis pengendalian internal yang
seharusnya ada.
Selain memahami desain pengendalian internal, auditor juga harus mengevaluasi apakah
mengevaluasi Internal
pengendalian yang dirancang telah diterapkan. Dalam praktiknya, pemahaman desain dan
Implementasi Kontrol
implementasi sering dilakukan secara bersamaan. Berikut ini adalah metode umum.
Perbarui dan evaluasi pengalaman auditor sebelumnya dengan entitas Sebagian besar audit
perusahaan dilakukan setiap tahun oleh kantor akuntan publik yang sama. Setelah audit tahun
pertama, auditor memulai dengan banyak informasi dari tahun-tahun sebelumnya tentang
pengendalian internal klien. Sangat berguna untuk menentukan apakah pengendalian yang
sebelumnya tidak beroperasi secara efektif telah diperbaiki.
Ajukan Pertanyaan kepada personel Klien Auditor harus meminta manajemen dan personel
lain untuk menjelaskan tugas mereka. Pertanyaan yang hati-hati dari personel yang tepat
membantu auditor mengevaluasi apakah karyawan memahami tugas mereka dan melakukan apa
yang dijelaskan dalam dokumentasi pengendalian klien.
memeriksa Dokumen dan catatan Lima komponen pengendalian internal semuanya melibatkan
pembuatan banyak dokumen dan catatan. Dengan memeriksa dokumen, catatan, dan file
komputer yang lengkap, auditor dapat mengevaluasi apakah informasi yang dijelaskan dalam
bagan alir, narasi, dan kuesioner telah diterapkan.
Mengamati Aktivitas dan Operasi Entitas Ketika auditor mengamati personel klien yang
melaksanakan aktivitas akuntansi dan pengendalian normal mereka, termasuk penyiapan
dokumen dan catatan mereka, hal ini semakin meningkatkan pemahaman dan pengetahuan auditor
bahwa pengendalian telah diterapkan. Melakukan
Panduan Sistem Akuntansi Dalam panduan, auditor memilih satu atau beberapa dokumen dari
jenis transaksi dan menelusurinya dari inisiasi melalui seluruh proses akuntansi. Pada setiap
tahap pemrosesan, auditor melakukan penyelidikan, mengamati aktivitas, dan memeriksa dokumen
dan catatan yang telah diselesaikan.
Panduan dengan mudah menggabungkan pengamatan, inspeksi, dan penyelidikan untuk
memastikan bahwa kontrol yang dirancang oleh manajemen telah diterapkan.
menilai risiko pengendalian

Auditor memperoleh pemahaman tentang desain dan penerapan pengendalian internal untuk Tujuan 12-2
membuat penilaian awal atas risiko pengendalian sebagai bagian dari penilaian auditor atas risiko
Menilai risiko kontrol dengan menghubungkan kunci
salah saji material secara keseluruhan. Seperti dijelaskan dalam Bab 9, auditor menggunakan kontrol dan defisiensi kontrol
penilaian awal atas risiko pengendalian ini untuk merencanakan audit untuk setiap golongan terkait dengan audit terkait transaksi
transaksi yang material. Namun, dalam beberapa hal, auditor mungkin mengetahui bahwa defisiensi tujuan.
pengendalian adalah signifikan sehingga laporan keuangan klien mungkin tidak dapat diaudit.
Sebagai contoh, jika manajemen kurang memiliki integritas atau catatan akuntansi kurang baik,
sebagian besar auditor tidak akan menerima perikatan tersebut.

Setelah memperoleh pemahaman tentang pengendalian internal, auditor membuat penilaian awal atas
Tentukan dinilai
risiko pengendalian sebagai bagian dari penilaian auditor atas risiko salah saji material secara
Pengendalian risiko Didukung keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor bahwa pengendalian internal akan
oleh Pemahaman mencegah terjadinya salah saji material atau mendeteksi dan mengoreksinya jika telah terjadi.
Diperoleh
Titik awal bagi sebagian besar auditor adalah penilaian pengendalian tingkat entitas. Berdasarkan
sifatnya, pengendalian tingkat entitas, seperti banyak elemen yang terdapat dalam lingkungan
pengendalian, penilaian risiko, dan komponen pemantauan, memiliki dampak menyeluruh pada sebagian
besar jenis transaksi utama dalam setiap siklus transaksi. Misalnya, dewan direksi yang tidak efektif atau
kegagalan manajemen untuk memiliki proses apa pun untuk mengidentifikasi, menilai, atau mengelola
risiko utama berpotensi merusak pengendalian untuk sebagian besar tujuan audit terkait transaksi
(sebagai contoh, lihat sketsa di bawah yang terkait dengan Linvent, Inc.). Jadi, auditor umumnya menilai
pengendalian tingkat entitas sebelum menilai pengendalian khusus transaksi.
Demikian pula, auditor harus mengevaluasi keefektifan pengendalian umum TI sebelum mengevaluasi
pengendalian aplikasi otomatis atau pengendalian manual yang bergantung pada keluaran TI.
Pengendalian umum yang tidak efektif menciptakan potensi salah saji material di seluruh aplikasi sistem,
terlepas dari kualitas pengendalian aplikasi individu.
Sebagai contoh, jika auditor mengamati bahwa arsip data tidak dilindungi secara memadai, auditor dapat
menyimpulkan bahwa ada risiko kehilangan data yang signifikan untuk setiap golongan transaksi yang
bergantung pada data tersebut untuk melakukan pengendalian aplikasi. Sebaliknya, jika pengendalian
umum efektif, auditor mungkin dapat lebih mengandalkan pengendalian aplikasi yang fungsinya
bergantung pada TI.
Setelah auditor menentukan bahwa pengendalian tingkat entitas, termasuk pengendalian umum,
dirancang dan dioperasikan, mereka selanjutnya membuat penilaian pendahuluan untuk setiap tujuan
audit terkait transaksi untuk setiap jenis transaksi utama dalam setiap siklus transaksi. Misalnya, dalam
siklus penjualan dan penagihan, jenis transaksi biasanya melibatkan penjualan, retur dan potongan
penjualan, penerimaan kas, dan penyisihan dan penghapusan piutang tak tertagih. Auditor juga membuat
penilaian pendahuluan atas pengendalian yang mempengaruhi tujuan audit untuk akun-akun neraca dan
penyajian serta pengungkapan dalam setiap siklus.
Banyak auditor menggunakan matriks risiko pengendalian untuk membantu dalam proses penilaian
Penggunaan risiko Pengendalian
risiko pengendalian pada tingkat transaksi. Tujuannya adalah untuk menyediakan cara yang mudah
Matriks untuk dinilai
untuk mengatur penilaian risiko pengendalian untuk setiap tujuan audit. Gambar 12-3 mengilustrasikan
Kontrol risiko
penggunaan matriks risiko pengendalian untuk tujuan audit transaksi penjualan dari Hillsburg Hardware Co.
Sedangkan Gambar 12-3 hanya mengilustrasikan matriks risiko pengendalian untuk audit terkait transaksi
Hantu Eksekutif senior di Linvent, Inc., Toronto pemilik teater aset dari pengeluaran. Teknik mereka termasuk
dan produser pertunjukan bergaya Broadway termasuk mengubah program komputer untuk menurunkan biaya
BUKU Show Boat, Ragtime, dan Phantom of the Opera, tanpa jejak untuk menyembunyikan penipuan dari
membawa sandiwara mereka ke tingkat yang baru ketika Auditor hidup. Selain itu, mereka membuat catatan
mereka diduga terlibat dalam penipuan yang meluas akuntansi "hantu" yang menunjukkan penyesuaian
untuk mendistorsi secara material. laporan keuangan sehingga manajemen senior dapat melacak entri penipuan
mereka selama periode delapan tahun. Menurut tuduhan dan mengetahui kondisi keuangan perusahaan yang sebenarnya.
yang diajukan oleh Securities and Exchange Commission, Pada akhirnya, distorsi mereka terungkap, dan para
mantan ketua dan CEO dan mantan presiden bersama- eksekutif menghadapi dakwaan baik di Amerika Serikat
sama membujuk beberapa rekan perusahaan lama maupun Kanada. Livent mengajukan kebangkrutan dan
mereka, termasuk CFO dan manajer TI, untuk berpartisipasi kemudian dijual ke tim yang dipimpin oleh mantan
dalam skema multifaset untuk memanipulasi keuntungan. eksekutif Walt Disney Company.
Selain mendalangi vendor suap
skema untuk menyedot jutaan dolar dan banyak Sumber: 1. Securities and Exchange Commission, Rilis Litigasi
perjanjian sisi pelanggan untuk memalsukan No. 16022, Washington, DC, Januari 1999; 2. Perusahaan Penyiaran
Kanada, “Livent Founders Charged with Fraud,”
pendapatan, manajemen senior memanipulasi
Seni Sekarang, Toronto, 10 Oktober 2002.
catatan akuntansi untuk mengalihkan biaya pertunjukan ke biaya tetap.

Gambar 12- 3 Matriks Risiko Kontrol untuk Hillsburg Hardware Co. — Penjualan
TUJUAN AUDIT TERKAIT TRANSAKSI PENJUALAN
(kelengkapan).
penjualan
Transaksi
dicatat
yang
ada Penjualan
tercatat
jumlah
adalah
untuk
yang dimasukkan
penjualan
Transaksi
piutang
dengan
dalam
benar
ke summarization).
diringkas
(posting
dengan
master
benar
dan
dan
file Penjualan
dengan
dicatat
benar
pengiriman
(kejadian).
pelanggan
dilakukan
Penjualan
nonfiktif
kepada
tercatat
benar-
adalah
benar
untuk
yang (akurasi).
dengan
dicatat
ditagih
dikirim
barang
benar
yang
dan diklasifikasikan
(klasifikasi)
penjualan
Transaksi
dengan
benar. (waktu).
tanggal
PENGENDALIAN INTERNAL
Kredit disetujui secara otomatis oleh komputer C

dibandingkan dengan batas kredit resmi (C1).
Pencatatan penjualan didukung oleh dokumen pengiriman C C

resmi dan pesanan pelanggan yang disetujui (C2).
Pemisahan tugas ada antara penagihan, pencatatan penjualan, C C C

dan penanganan penerimaan kas (C3).
Dokumen pengiriman diteruskan ke penagihan setiap hari dan ditagih C C

pada hari berikutnya (C4).
Dokumen pengiriman diberi nomor sebelumnya dan dihitung C C

KONTROL
mingguan (C5).
Jumlah batch jumlah yang dikirimkan dibandingkan dengan jumlah C C C

ditagih (C6).
Harga jual unit diperoleh dari master file daftar harga harga yang C
disetujui (C7).
Transaksi penjualan diverifikasi secara internal (C8). C
Laporan dikirimkan ke pelanggan setiap bulan (C9). C C C
Komputer secara otomatis memposting transaksi ke catatan C

pembantu piutang usaha dan ke buku besar (C10).
File induk piutang dagang direkonsiliasi ke buku besar secara C

bulanan (C11).
KEKURANGAN
Kurangnya verifikasi internal terhadap kemungkinan faktur penjualan D

dicatat lebih dari satu kali (D1).
Ada kurangnya kontrol untuk menguji perekaman tepat waktu (D2). D
risiko pengendalian yang dinilai Kedokteran Rendah Rendah Rendah Rendah Kedokteran
*Karena tidak ada penjualan tunai, klasifikasi tidak menjadi masalah.

C = Kontrol; D = Defisiensi Kontrol.
Catatan: Matriks ini dikembangkan dengan menggunakan kuesioner pengendalian internal, yang sebagian disertakan dalam Gambar 12-2 (hal. 370), serta
bagan alir dan dokumentasi lain tentang pemahaman auditor atas pengendalian internal.

tujuan audit, auditor menggunakan format matriks risiko pengendalian yang serupa untuk
menilai risiko pengendalian untuk tujuan audit terkait saldo dan penyajian serta
pengungkapan. Matriks risiko kontrol dapat mencakup kontrol aplikasi manual dan otomatis.
Kami sekarang membahas persiapan matriks.
Mengidentifikasi Tujuan audit Langkah pertama dalam penilaian adalah mengidentifikasi tujuan
audit untuk golongan transaksi, saldo akun, dan penyajian serta pengungkapan yang menjadi dasar
penilaian tersebut. Sebagai contoh, hal ini dilakukan untuk golongan transaksi dengan menerapkan
tujuan audit khusus terkait transaksi yang diperkenalkan sebelumnya, yang dinyatakan dalam bentuk
umum, untuk setiap jenis transaksi utama entitas. Sebagai contoh, auditor membuat penilaian atas
tujuan keterjadian untuk penjualan dan penilaian terpisah atas tujuan kelengkapan. Tujuan audit
terkait transaksi diperlihatkan untuk transaksi penjualan untuk Hillsburg Hardware di bagian atas
Gambar 12-3 (p. 373).
Identifikasi Pengendalian yang Ada Selanjutnya, auditor menggunakan informasi yang dibahas
pada bagian sebelumnya untuk mendapatkan dan mendokumentasikan pemahaman tentang
pengendalian internal untuk mengidentifikasi pengendalian yang berkontribusi dalam mencapai tujuan
audit terkait transaksi. Salah satu cara bagi auditor untuk melakukan ini adalah dengan mengidentifikasi
pengendalian untuk memenuhi setiap tujuan. Sebagai contoh, auditor dapat menggunakan
pengetahuan tentang sistem klien untuk mengidentifikasi pengendalian yang mungkin dapat mencegah
kesalahan atau kecurangan dalam tujuan audit terkait transaksi yang terjadi. Hal yang sama dapat
dilakukan untuk semua tujuan lainnya. Juga bermanfaat bagi auditor untuk menggunakan lima
aktivitas pengendalian (pemisahan tugas, otorisasi yang tepat, dokumen dan catatan yang memadai,
pemahaman tentang pengendalian fisik atas aset dan catatan, dan pemeriksaan independen atas kinerja) sebagai
pengendalian intern
pengingat pengendalian. Misalnya: Apakah ada pemisahan tugas yang memadai dan bagaimana cara
desain dan operasi
mencapainya? Apakah transaksi diotorisasi dengan benar? Apakah dokumen yang diberi nomor
sebelumnya diperhitungkan dengan benar? Apakah file master kunci dibatasi dengan benar dari akses
Menilai risiko pengendalian
tidak sah? Apakah verifikasi independen dari proses dilakukan?
Auditor harus mengidentifikasi dan memasukkan hanya pengendalian yang diharapkan
dan mengevaluasi memiliki dampak terbesar dalam memenuhi tujuan audit terkait transaksi. Ini sering disebut
pengujian pengendalian kontrol kunci. Alasan untuk memasukkan hanya pengendalian utama adalah bahwa
pengendalian tersebut akan cukup untuk mencapai tujuan audit terkait transaksi dan juga
Putuskan direncanakan
memberikan efisiensi audit. Contoh kontrol kunci untuk Perangkat Keras Hillsburg ditunjukkan
risiko deteksi dan pengujian
substantif pada Gambar 12-3. mengasosiasikan Pengendalian dengan Tujuan audit terkait Setiap
pengendalian memenuhi satu atau lebih tujuan audit terkait. Hal ini dapat dilihat pada
Gambar 12-3 untuk tujuan audit terkait transaksi. Badan matriks digunakan untuk
menunjukkan bagaimana setiap pengendalian berkontribusi pada pencapaian satu atau lebih tujuan audit
Dalam ilustrasi ini, C dimasukkan di setiap sel di mana kontrol sebagian atau seluruhnya
memenuhi tujuan. Matriks risiko pengendalian yang serupa akan dilengkapi untuk tujuan
audit terkait keseimbangan dan penyajian serta pengungkapan terkait. Misalnya, pengiriman
pernyataan kepada pelanggan memenuhi tiga tujuan dalam audit Hillsburg Hardware, yang
ditunjukkan dengan penempatan C pada baris pada Gambar 12-3 yang menjelaskan
pengendalian tersebut.
Mengidentifikasi dan mengevaluasi Defisiensi Pengendalian, Defisiensi Signifikan, dan
Kelemahan Material Auditor harus mengevaluasi apakah pengendalian utama tidak ada dalam
rancangan pengendalian internal atas pelaporan keuangan sebagai bagian dari evaluasi risiko
pengendalian dan kemungkinan salah saji laporan keuangan. Standar audit menentukan tiga tingkat
ketiadaan pengendalian internal:
1. Kendalikan defisiensi. Defisiensi pengendalian terjadi jika desain dan penerapan atau
pengoperasian pengendalian tidak mengizinkan personel perusahaan untuk mencegah atau
mendeteksi salah saji secara tepat waktu dalam pelaksanaan normal fungsi yang ditugaskan
kepada mereka. Kekurangan desain muncul jika kontrol yang diperlukan tidak ada, tidak
dirancang dengan baik, atau tidak diterapkan dengan benar. Kekurangan operasi muncul jika
pengendalian yang dirancang dengan baik tidak beroperasi seperti yang dirancang atau jika
orang yang melakukan pengendalian tidak memiliki kualifikasi atau wewenang yang memadai.

2. Kekurangan yang signifikan. Defisiensi yang signifikan terjadi jika satu atau lebih defisiensi
pengendalian terjadi yang tidak separah kelemahan material (didefinisikan selanjutnya), tetapi
cukup penting untuk diperhatikan oleh mereka yang bertanggung jawab atas pengawasan
pelaporan keuangan perusahaan.
3. Kelemahan material. Kelemahan material ada jika defisiensi signifikan, dengan sendirinya atau
dalam kombinasi dengan defisiensi signifikan lainnya, menghasilkan kemungkinan yang masuk
akal bahwa pengendalian internal tidak akan mencegah atau mendeteksi salah saji laporan
keuangan yang material secara tepat waktu.
Untuk menentukan apakah defisiensi atau kekurangan pengendalian internal yang
signifikan merupakan kelemahan material, mereka harus dievaluasi dalam dua dimensi:
kemungkinan dan signifikansi. Garis horizontal pada Gambar 12-4 menggambarkan
kemungkinan kesalahan pernyataan akibat defisiensi yang signifikan, sedangkan garis vertikal
menggambarkan signifikansinya. Jika terdapat lebih dari satu kemungkinan (kemungkinan)
yang masuk akal bahwa salah saji material (signifikansi) dapat dihasilkan dari kekurangan atau
kekurangan yang signifikan, maka hal tersebut dianggap sebagai kelemahan material.
Pendekatan lima langkah dapat digunakan untuk mengidentifikasi defisiensi, defisiensi signifikan,
dan kelemahan material: Mengidentifikasi Kekurangan,
Kekurangan Signifikan,
1. Identifikasi pengendalian yang ada. Karena kekurangan dan kelemahan material adalah tidak dan Kelemahan Material
adanya pengendalian yang memadai, auditor harus terlebih dahulu mengetahui pengendalian
mana yang ada. Metode untuk mengidentifikasi pengendalian telah dibahas.
2. Identifikasi tidak adanya kontrol kunci. Kuesioner pengendalian internal, diagram alir, dan langkah-
langkah adalah alat yang berguna untuk mengidentifikasi di mana kontrol kurang dan
kemungkinan salah saji meningkat. Juga berguna untuk memeriksa matriks risiko pengendalian,
seperti yang ada pada Gambar 12-3, untuk mencari tujuan di mana tidak ada atau hanya sedikit
pengendalian untuk mencegah atau mendeteksi salah saji.
3. Pertimbangkan kemungkinan pengendalian kompensasi. Kontrol kompensasi adalah salah satu
di tempat lain dalam sistem yang mengimbangi tidak adanya kontrol kunci. Contoh umum
dalam bisnis kecil adalah keterlibatan aktif pemilik. Ketika kontrol kompensasi ada, tidak ada
lagi kekurangan atau kelemahan material yang signifikan.
4. Putuskan apakah ada kekurangan atau kelemahan material yang signifikan. Kemungkinan salah
saji dan potensi materialitasnya digunakan untuk mengevaluasi apakah terdapat defisiensi
signifikan atau kelemahan material.
5. Tentukan potensi salah saji yang dapat terjadi. Langkah ini dimaksudkan untuk mengidentifikasi
salah saji spesifik yang mungkin terjadi karena defisiensi signifikan atau kelemahan material.
Pentingnya kekurangan atau kelemahan material yang signifikan berhubungan langsung
dengan kemungkinan dan materialitas potensi
salah saji.
Gambar 12-4 Mengevaluasi Kekurangan Kontrol yang Signifikan
MAKNA
Bahan
Kelemahan Bahan
KEMUNGKINAN
Terpencil Wajar Mungkin
Tidak penting
Sumber:
Jurnal Sumber:
Oktober
Michael Michael
2004,Ramos,Ramos,
hlm. 43–48.
“Bagian“Bagian 404 Kepatuhan
404 Kepatuhan dalamdalam Laporan
Laporan Tahunan,”
Tahunan,” Jurnal Akuntansi,
Hak cipta oleh
dengan
American
Akuntansi,izin. Institute
Oktober of CPA.
2004, hlm. 43–48. Seluruh hak cipta. Digunakan

Gambar 12-5 Kekurangan dalam Pengendalian Internal
Klien Hillsburg Perangkat Keras Co. Jadwal P-3
Kekurangan dalam Pengendalian Internal JR

Disiapkan oleh
Penjualan dan Pengumpulan Periode 12/31/16

Siklus
Kompensasi Potensi Terserah

Kekurangan Kontrol Salah Saji Materialitas Bukti Audit
1. Diberi nomor sebelumnya Tidak ada Penjualan Berpotensi Gunakan perangkat lunak audit
faktur penjualan duplikat materi untuk mencari

tidak tercatat duplikat nomor
dicatat. faktur penjualan.
Melakukan prosedur
analitis penjualan dan
marjin kotor.
Pertimbangkan
implikasi untuk audit
pengendalian internal.
2. Tidak ada Tak tertandingi dan T/A T/A T/A

perbandingan tidak tercatat
independen pengirim
tanggal pada dokumen ditinjau setiap minggu.
pengiriman ke
tanggal dicatat.
Gambar 12-5 untuk Hillsburg Hardware mencakup dua kekurangan kontrol. Tidak ada kekurangan
yang dianggap sebagai kelemahan material; kelemahan pertama, yang terkait dengan faktur penjualan
yang diberi nomor sebelumnya, dianggap sebagai kekurangan yang signifikan.
mengasosiasikan Defisiensi Pengendalian dengan Tujuan audit terkait Sama seperti
pengendalian, setiap defisiensi signifikan atau kelemahan material dapat diterapkan pada satu atau
lebih tujuan audit terkait. Dalam kasus Perangkat Keras Hillsburg pada Gambar 12-3 (p. 373), ada
dua kekurangan kontrol, dan masing-masing hanya berlaku untuk satu tujuan yang berhubungan
dengan transaksi. Kekurangan kontrol ditunjukkan dalam tubuh gambar dengan D di kolom tujuan
yang sesuai. menilai Risiko
pengendalian untuk setiap tujuan audit terkait Setelah pengendalian dan defisiensi pengendalian
diidentifikasi dan dikaitkan dengan tujuan audit terkait transaksi, auditor dapat menilai risiko
pengendalian untuk tujuan audit terkait transaksi. Ini adalah keputusan penting dalam evaluasi
pengendalian internal. Auditor menggunakan semua informasi yang telah dibahas sebelumnya untuk
membuat penilaian risiko pengendalian subjektif untuk setiap tujuan. Ada berbagai cara untuk
mengungkapkan penilaian ini. Beberapa auditor menggunakan ekspresi subyektif seperti tinggi,
sedang, atau rendah. Lainnya menggunakan probabilitas numerik seperti 1,0, 0,6, atau 0,2.
Sekali lagi, matriks risiko pengendalian adalah alat yang berguna untuk membuat penilaian.
Mengacu pada Gambar 12-3, auditor menilai risiko pengendalian untuk setiap tujuan penjualan
Hillsburg dengan meninjau setiap kolom untuk pengendalian yang bersangkutan dan kekurangan
pengendalian dan menanyakan, “Seberapa besar kemungkinan bahwa salah saji material tidak akan
dicegah atau dideteksi, atau dikoreksi? jika itu terjadi, oleh kontrol ini, dan apa pengaruh dari
kekurangan atau kelemahan tersebut?” Jika kemungkinannya rendah, maka risiko pengendaliannya rendah, dan set

sebagainya. Gambar 12-3 untuk Hillsburg Hardware menunjukkan bahwa semua tujuan dinilai rendah
kecuali kejadian dan waktu, yang sedang.
Penilaian ini bukanlah yang terakhir. Sebelum membuat penilaian akhir pada akhir audit, auditor akan
menguji pengendalian dan melakukan pengujian substantif. Prosedur ini dapat mendukung penilaian awal
atau menyebabkan auditor melakukan perubahan. Dalam beberapa kasus, manajemen dapat memperbaiki
defisiensi dan kelemahan material sebelum auditor melakukan pengujian signifikan, yang memungkinkan
pengurangan risiko pengendalian.
Setelah penilaian awal risiko pengendalian dibuat untuk penjualan dan penerimaan kas, auditor dapat
melengkapi tiga baris risiko pengendalian lembar kerja perencanaan bukti yang diperkenalkan di Bab 9
pada halaman 282. Jika hasil pengujian pengendalian tidak mendukung penilaian awal risiko pengendalian,
auditor harus memodifikasi lembar kerja nanti. Sebagai alternatif, auditor dapat menunggu hingga pengujian
pengendalian selesai untuk menyelesaikan tiga baris risiko pengendalian pada lembar kerja. Lembar kerja
perencanaan bukti untuk Hillsburg Hardware dengan tiga baris untuk risiko pengendalian yang diselesaikan
diilustrasikan pada Gambar 15-6 di halaman 504.
tes kontrol
Kami telah memeriksa bagaimana auditor menghubungkan pengendalian dan kekurangan pengendalian
Tujuan 12-3
dengan tujuan audit terkait untuk menilai risiko pengendalian untuk setiap tujuan. Sekarang kita akan
Menjelaskan proses
membahas bagaimana auditor menguji pengendalian yang digunakan untuk mendukung penilaian risiko
perancangan dan
pengendalian. Misalnya, setiap pengendalian utama dalam Gambar 12-3 yang ingin diandalkan oleh auditor pelaksanaan pengujian pengendalian.
untuk mendukung risiko pengendalian di bawah maksimum harus didukung oleh pengujian pengendalian
yang memadai. Kami akan membahas pengujian pengendalian baik untuk audit pengendalian internal untuk
pelaporan keuangan maupun audit atas laporan keuangan.
Penilaian risiko pengendalian mengharuskan auditor untuk mempertimbangkan desain, penerapan, dan
tujuan pengujian
pengoperasian pengendalian untuk mengevaluasi apakah pengendalian tersebut akan efektif dalam
Pengendalian
memenuhi tujuan audit terkait. Selama fase pemahaman, auditor telah mengumpulkan beberapa bukti untuk
mendukung rancangan pengendalian dan penerapannya dengan menggunakan prosedur untuk memperoleh
pemahaman (lihat halaman 368–371).
Dalam kebanyakan kasus, auditor tidak akan mengumpulkan cukup bukti untuk mengurangi penilaian risiko
pengendalian ke tingkat yang cukup rendah. Oleh karena itu, auditor harus memperoleh bukti tambahan
tentang efektivitas operasi pengendalian selama, atau setidaknya sebagian besar, periode yang diaudit.
Prosedur untuk menguji keefektifan pengendalian untuk mendukung penurunan penilaian risiko pengendalian
disebut pengujian pengendalian.
Jika hasil pengujian pengendalian mendukung desain dan operasi pengendalian seperti yang
diharapkan, auditor menggunakan penilaian risiko pengendalian yang sama seperti penilaian awal. Namun,
jika pengujian pengendalian menunjukkan bahwa pengendalian tidak beroperasi secara efektif, penilaian
risiko pengendalian harus dipertimbangkan kembali. Sebagai contoh, pengujian mungkin menunjukkan
bahwa penerapan suatu pengendalian dibatasi pada pertengahan tahun atau bahwa orang yang
menerapkannya sering membuat salah saji. Dalam situasi tersebut, auditor menggunakan penilaian risiko
pengendalian yang lebih tinggi, kecuali pengendalian kompensasi untuk tujuan audit terkait yang sama telah
diidentifikasi dan terbukti efektif. Untuk audit terintegrasi, auditor juga harus mempertimbangkan dampak
pengendalian yang tidak beroperasi secara efektif terhadap laporan auditor atas pengendalian internal.
Auditor kemungkinan akan menggunakan empat jenis prosedur untuk mendukung efektivitas operasi prosedur untuk pengujian
pengendalian internal. Pengujian pengendalian internal oleh manajemen kemungkinan akan mencakup jenis Pengendalian
prosedur yang sama. Keempat jenis prosedur tersebut adalah sebagai berikut:
1. Tanyakan kepada personel klien yang sesuai. Meskipun penyelidikan bukanlah

sumber bukti yang sangat andal tentang operasi pengendalian yang efektif, itu tetap saja

sesuai. Misalnya, untuk menentukan bahwa personel yang tidak berwenang dilarang mengakses
file komputer, auditor dapat meminta keterangan kepada orang yang mengendalikan
perpustakaan komputer dan orang yang mengendalikan penetapan kata sandi keamanan akses
online.
2. Memeriksa dokumen, catatan, dan laporan. Banyak kontrol meninggalkan jejak bukti dokumen
yang jelas (baik elektronik maupun kertas) yang dapat digunakan untuk menguji kontrol.
Misalnya, ketika pesanan pelanggan diterima, pesanan itu digunakan untuk membuat pesanan
penjualan pelanggan, yang disetujui untuk kredit. (Lihat kontrol kunci pertama dan kedua pada
Gambar 12-3 di halaman 373.) Kemudian pesanan pelanggan dilampirkan ke pesanan penjualan
Dapatkan dan dokumentasikan sebagai otorisasi untuk diproses lebih lanjut. Auditor dapat menguji pengendalian tersebut
pemahaman tentang dengan memeriksa dokumen untuk memastikan bahwa dokumen tersebut lengkap dan benar-
pengendalian intern
benar cocok dan terdapat tanda tangan atau inisial yang diperlukan.
desain dan operasi
3. Amati aktivitas terkait kontrol. Beberapa kontrol tidak meninggalkan jejak bukti, yang berarti bahwa
di kemudian hari tidak mungkin untuk memeriksa bukti bahwa kontrol telah dilaksanakan.
Misalnya, pemisahan tugas bergantung pada orang tertentu yang melakukan tugas tertentu, dan
biasanya tidak ada dokumentasi dari kinerja terpisah tersebut. (Lihat pengendalian kunci ketiga
dan mengevaluasi pada Gambar 12-3.) Untuk pengendalian yang tidak meninggalkan bukti dokumenter, auditor
biasanya mengamati penerapannya di berbagai titik selama tahun berjalan.
Putuskan direncanakan
risiko deteksi dan pengujian
4. Lakukan kembali prosedur klien. Ada juga aktivitas terkait pengendalian yang memiliki dokumen
substantif dan catatan terkait, tetapi isinya tidak cukup untuk tujuan auditor dalam menilai apakah
pengendalian beroperasi secara efektif. Misalnya, asumsikan bahwa harga pada faktur penjualan
diperoleh dari daftar harga utama, tetapi tidak ada indikasi pengendalian yang didokumentasikan
pada faktur penjualan. (Lihat pengendalian kunci ketujuh pada Gambar 12-3.) Dalam kasus ini,
auditor biasanya melakukan kembali aktivitas pengendalian untuk melihat apakah hasil yang
diperoleh sudah sesuai.
Untuk contoh ini, auditor dapat melakukan kembali prosedur tersebut dengan menelusuri harga
jual ke daftar harga resmi yang berlaku pada tanggal transaksi. Jika tidak ada kesalahan
pernyataan yang ditemukan, auditor dapat menyimpulkan bahwa prosedur tersebut berjalan
sebagaimana mestinya.
Sejauh mana pengujian pengendalian diterapkan tergantung pada penilaian awal risiko pengendalian.
luasnya prosedur
Jika auditor menginginkan penilaian risiko pengendalian yang lebih rendah, pengujian pengendalian
yang lebih ekstensif diterapkan, baik dalam hal jumlah pengendalian yang diuji maupun luas
pengujian untuk setiap pengendalian. Misalnya, jika auditor ingin menggunakan penilaian risiko
pengendalian yang rendah, ukuran sampel yang lebih besar untuk prosedur inspeksi, observasi,
dan pelaksanaan ulang harus diterapkan.
Jangkauan pengujian juga bergantung pada frekuensi pengoperasian kontrol, dan apakah itu
manual atau otomatis. Misalnya, beberapa kontrol pelaporan keuangan hanya beroperasi pada akhir
tahun fiskal, atau triwulanan, berlawanan dengan operasi harian. Auditor akan menguji pengendalian
akhir tahun, tetapi juga akan menguji sampel pengendalian yang beroperasi setiap triwulan atau
bulanan. Untuk pengendalian manual, auditor akan memilih sampel transaksi dan menguji apakah
pengendalian beroperasi secara efektif.
Sebagai contoh, jika klien secara manual membandingkan pesanan pembelian, laporan penerimaan,
dan faktur vendor sebelum menyetujui pembayaran ke vendor, auditor dapat memilih sampel
pembelian yang dicatat sepanjang tahun dan memverifikasi bahwa dokumen tersebut telah
dicocokkan dengan benar dan disetujui untuk pembayaran. Karena kontrol manual dilakukan oleh
orang-orang, mereka selalu mengalami kesalahan atau manipulasi acak. Untuk kontrol otomatis,
selama komputer diprogram secara akurat dan program tersebut tetap tidak berubah, kontrol
otomatis akan bekerja secara konsisten seperti yang diprogram hingga aplikasi perangkat lunak
diubah. Dengan menggunakan contoh pembelian, pencocokan pesanan pembelian, laporan
penerimaan, dan faktur vendor dapat diotomatisasi dan komputer dapat menghasilkan daftar
pengecualian, daripada membandingkan secara manual oleh karyawan. Akibatnya, ketika ada
kontrol umum yang efektif dan otomatis

pengendalian aplikasi, auditor mungkin dapat membenarkan pengujian hanya satu transaksi dan mungkin
tidak perlu memilih sampel transaksi untuk diverifikasi. Oleh karena itu, tingkat pengujian akan bervariasi.
Auditor akan menggunakan salah satu dari beberapa pendekatan untuk menentukan apakah desain dan
penerapan pengendalian otomatis sudah tepat dan telah beroperasi secara efektif. Pendekatan ini dibahas
lebih lanjut nanti di bab saat kita membahas kontrol di lingkungan TI yang lebih kompleks. Ketergantungan
pada Bukti dari Audit Tahun Sebelumnya Ketika auditor
merencanakan untuk menggunakan bukti tentang efektivitas operasi pengendalian internal yang diperoleh
dalam audit sebelumnya, standar audit mensyaratkan pengujian efektivitas pengendalian setidaknya
setiap tahun ketiga.
Jika auditor menentukan bahwa pengendalian kunci telah diubah sejak terakhir kali diuji, mereka harus
mengujinya pada tahun berjalan. Ini berlaku untuk kontrol manual dan otomatis. Ketika ada sejumlah
pengendalian yang diuji dalam audit sebelumnya yang belum diubah, standar audit mengharuskan auditor
untuk menguji beberapa pengendalian tersebut setiap tahun untuk memastikan adanya rotasi pengujian
pengendalian selama periode tiga tahun. Pengujian Pengendalian yang Berkaitan dengan
Risiko Signifikan Seperti dijelaskan dalam Bab 9, risiko signifikan adalah risiko yang menurut auditor
memerlukan pertimbangan audit khusus.
Ketika prosedur penilaian risiko auditor mengidentifikasi risiko yang signifikan, auditor diharuskan untuk
menguji efektivitas operasi pengendalian yang mengurangi risiko tersebut dalam audit tahun berjalan, jika
auditor berencana untuk mengandalkan pengendalian tersebut untuk mendukung penilaian risiko
pengendalian di bawah 100%. Semakin besar risikonya, semakin banyak bukti audit yang harus diperoleh
auditor bahwa pengendalian beroperasi secara efektif. pengujian
Kurang dari seluruh periode audit Ingatlah bahwa laporan manajemen tentang pengendalian internal
berkaitan dengan efektivitas pengendalian internal pada akhir tahun fiskal. Standar audit PCAOB
mengharuskan auditor untuk melakukan pengujian pengendalian yang memadai untuk menentukan
apakah pengendalian beroperasi secara efektif pada akhir tahun. Oleh karena itu, waktu pengujian
pengendalian oleh auditor akan bergantung pada sifat pengendalian dan kapan perusahaan
menggunakannya. Untuk pengendalian yang diterapkan sepanjang periode akuntansi, biasanya praktis
untuk mengujinya pada tanggal interim. Auditor kemudian akan menentukan tambang nanti jika
perubahan kontrol terjadi pada periode tidak diuji dan memutuskan implikasi dari setiap perubahan.
Kontrol yang berhubungan dengan penyusunan laporan keuangan hanya terjadi setiap tiga bulan atau
pada akhir tahun dan karena itu juga harus diuji pada akhir kuartal dan akhir tahun.
Ada tumpang tindih yang signifikan antara pengujian pengendalian dan prosedur untuk mendapatkan
hubungan Antara tes
pemahaman. Keduanya meliputi penyelidikan, inspeksi, dan observasi. Ada dua perbedaan utama dalam
Kontrol dan
penerapan prosedur umum ini.
prosedur untuk
1. Dalam memperoleh pemahaman tentang pengendalian internal, prosedur untuk memperoleh Memperoleh Pemahaman
pemahaman diterapkan pada semua pengendalian yang teridentifikasi selama fase
tersebut. Pengujian pengendalian, di sisi lain, diterapkan hanya ketika penilaian risiko
pengendalian belum dipenuhi oleh prosedur untuk memperoleh pemahaman.
2. Prosedur untuk memperoleh pemahaman dilakukan hanya pada satu atau beberapa
tindakan transaksi atau, dalam kasus observasi, pada satu titik waktu. Pengujian
pengendalian dilakukan pada sampel transaksi yang lebih besar (mungkin 20 sampai
100), dan seringkali, observasi dilakukan pada lebih dari satu titik waktu.
Untuk pengendalian utama, pengujian pengendalian selain dari kinerja ulang pada dasarnya
merupakan perpanjangan dari prosedur untuk mendapatkan pemahaman. Oleh karena itu, dengan
asumsi auditor berencana untuk memperoleh penilaian risiko pengendalian yang rendah sejak awal audit,
mereka kemungkinan akan menggabungkan kedua jenis prosedur tersebut dan melaksanakannya secara bersamaan.
Tabel 12-1 (hal. 380) mengilustrasikan konsep ini secara lebih rinci. Salah satu pilihan adalah
melaksanakan prosedur audit secara terpisah, seperti yang ditunjukkan pada Tabel 12-1, di mana
prosedur minimum untuk memperoleh pemahaman tentang desain dan operasi dilakukan, diikuti dengan
pengujian pengendalian tambahan. Alternatifnya adalah menggabungkan kedua kolom dan melakukannya
secara bersamaan. Jumlah bukti yang sama terakumulasi dalam pendekatan kedua, tetapi lebih efisien.

Tabel 12-1 Hubungan Assesed Control Risk dan

Luasnya Prosedur
Risiko Pengendalian yang Dinilai
Tingkat Tinggi: Prosedur untuk Tingkat Bawah:

Jenis Prosedur Mendapatkan Pemahaman Pengujian Kontrol*
Pertanyaan Ya—luas Ya beberapa
Inspeksi Ya—dengan panduan transaksi Ya—menggunakan pengambilan sampel
Pengamatan Ya—dengan panduan transaksi Ya—berkali-kali
Performa ulang TIDAK

Ya—menggunakan perangkat lunak sampling atau audit
*Catatan: Dalam audit terintegrasi untuk perusahaan publik, auditor kemungkinan akan menggabungkan prosedur untuk memperoleh pemahaman
dengan pengujian pengendalian dan melaksanakannya secara bersamaan.
Penentuan ukuran sampel yang sesuai untuk pengujian pengendalian merupakan hal yang penting
keputusan audit tant. Topik itu tercakup dalam Bab 15.
Memahami Pengendalian Internal dalam Sistem yang Dialihdayakan Ketika klien

menggunakan pusat layanan untuk memproses transaksi, seperti penyedia layanan penggajian
atau broker untuk memproses transaksi investasi, auditor menghadapi kesulitan saat
memperoleh pemahaman tentang pengendalian internal klien untuk area transaksi ini. Banyak
pengendalian berada di pusat jasa, dan auditor tidak dapat berasumsi bahwa pengendalian
tersebut memadai hanya karena pusat tersebut adalah perusahaan independen. Standar audit
mengharuskan auditor untuk mempertimbangkan kebutuhan untuk memperoleh pemahaman
dan menguji pengendalian pusat layanan jika aplikasi pusat layanan melibatkan pemrosesan
data keuangan yang signifikan. Misalnya, banyak pengendalian untuk tujuan audit terkait
transaksi penggajian berada dalam program perangkat lunak yang dikelola dan didukung oleh
perusahaan layanan penggajian, bukan klien audit.
Ketika memperoleh pemahaman tentang dan menguji pengendalian pusat jasa, auditor harus
menggunakan kriteria yang sama yang digunakan dalam mengevaluasi pengendalian internal klien.
Kedalaman pemahaman auditor bergantung pada kompleksitas sistem dan sejauh mana pengendalian
diandalkan untuk mengurangi risiko pengendalian. Kedalaman pemahaman juga bergantung pada
sejauh mana pengendalian utama atas tujuan audit terkait transaksi berada di pusat layanan audit
pengendalian internal untuk perusahaan publik. Jika auditor menyimpulkan bahwa keterlibatan aktif di
pusat jasa adalah satu-satunya cara untuk melaksanakan audit, mungkin perlu untuk memperoleh
pemahaman tentang pengendalian internal di pusat jasa dan menguji pengendalian dengan
menggunakan data pengujian dan pengujian pengendalian lainnya.
ketergantungan pada auditor Pusat Layanan Dalam beberapa tahun terakhir, telah menjadi
semakin umum bagi pusat layanan untuk melibatkan kantor akuntan publik untuk memperoleh
pemahaman dan menguji pengendalian internal pusat layanan (sering disebut sebagai "kontrol
organisasi layanan" atau "SOC") dan menerbitkan laporan SOC untuk digunakan oleh semua
pelanggan dan auditor independen mereka. Tujuan dari penilaian independen ini adalah untuk
memberikan jaminan yang wajar kepada pelanggan pusat layanan tentang kecukupan kontrol
umum dan aplikasi pusat layanan dan untuk menghilangkan kebutuhan akan audit berlebihan
oleh auditor pelanggan. Jika pusat layanan memiliki banyak pelanggan dan masing-masing
memerlukan pemahaman tentang pengendalian internal pusat layanan oleh auditor
independennya sendiri, ketidaknyamanan dan biaya pusat layanan dapat menjadi besar.
Standar atestasi memberikan panduan kepada auditor yang menerbitkan laporan tentang
pengendalian internal organisasi jasa (auditor jasa), sedangkan standar auditing memberikan panduan
kepada auditor organisasi pengguna (auditor pengguna) yang mengandalkan laporan auditor jasa.
Auditor jasa dapat menerbitkan dua jenis laporan: • Laporan tentang
uraian manajemen tentang sistem organisasi jasa dan kesesuaian rancangan pengendalian (dirujuk
sebagai laporan Tipe 1)

• Laporan deskripsi manajemen tentang sistem organisasi jasa dan kesesuaian desain dan efektivitas
operasi pengendalian (disebut sebagai
laporan tipe 2)
Laporan Tipe 1 membantu auditor memperoleh pemahaman tentang pengendalian internal
untuk merencanakan audit. Namun, auditor juga memerlukan bukti tentang efektivitas operasi
pengendalian untuk menilai risiko pengendalian, khususnya ketika mengaudit pengendalian
internal atas pelaporan keuangan untuk perusahaan
publik. Bukti ini dapat: • Berdasarkan laporan Tipe 2 auditor jasa, yang mencakup
pengujian efektivitas pengendalian
operasi • Berasal dari pengujian pengendalian organisasi pengguna atas aktivitas
organisasi layanan
• Diciptakan ketika auditor pengguna melakukan pengujian yang tepat di organisasi jasa Jika auditor
pengguna memutuskan untuk mengandalkan laporan auditor jasa, permintaan keterangan yang tepat
pemahaman tentang
harus dibuat tentang reputasi auditor jasa. Standar audit menyatakan bahwa auditor pengguna tidak boleh desain dan operasi
mengacu pada laporan auditor jasa dalam memberikan opini atas laporan keuangan organisasi pengguna. pengendalian internal
pemeriksaan konsep
Merancang, melaksanakan,
dan mengevaluasi
1. Jelaskan empat langkah yang dilakukan oleh auditor ketika memperoleh pemahaman tentang
pengendalian internal dan menilai risiko pengendalian.
2. Apa tujuan dari matriks risiko pengendalian?
Memutuskan risiko
3. Apa empat jenis prosedur yang digunakan oleh auditor untuk menguji apakah pengendalian internal deteksi yang direncanakan
beroperasi secara efektif? dan pengujian substantif
memutuskan Risiko pendeteksian yang direncanakan dan

merancang pengujian substantif
Kami berfokus pada bagaimana auditor menilai risiko pengendalian untuk setiap tujuan audit
Tujuan 12-4
terkait dan mendukung penilaian risiko pengendalian dengan pengujian pengendalian. Memahami bagaimana risiko
Penyelesaian aktivitas ini cukup untuk audit pengendalian internal atas pelaporan keuangan, pengendalian berdampak pada risiko
meskipun laporan tersebut tidak akan diselesaikan sampai auditor menyelesaikan audit atas deteksi dan desain pengujian substantif.
laporan keuangan.
Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian pengendalian
untuk menentukan risiko deteksi yang direncanakan dan pengujian substantif terkait untuk audit atas
PCAOB sering mengeluarkan peringatan praktik untuk menyoroti menyimpulkan bahwa tidak cukup bukti yang diperoleh untuk
PCAOB
keadaan baru atau penting atau untuk meringkas temuan dari membentuk opini atas efektivitas pengendalian internal atas
IDENTIFIKASI proses inspeksi mereka. Pada Oktober 2013, PCAOB mengeluarkan pelaporan keuangan. PCAOB juga menunjukkan bahwa kegagalan
KEKURANGAN Peringatan Praktik Audit Staf no. 11, berjudul “Pertimbangan untuk menilai risiko pengendalian dengan tepat sering
Audit Pengendalian Internal atas Pelaporan Keuangan.” mengakibatkan kegagalan untuk mengumpulkan bukti yang cukup
Dalam AUDIT
Peringatan praktik ini membahas tema-tema umum yang dan tepat untuk audit laporan keuangan.
DARI INTERNAL diidentifikasi selama inspeksi perikatan audit terintegrasi. Peringatan praktik audit biasanya menghasilkan tanggapan
Mengendalikan Defisiensi audit yang paling umum terkait dengan audit tingkat nasional oleh perusahaan audit. Perusahaan audit,
pengendalian internal mencakup kegagalan dalam identifikasi dan khususnya perusahaan terbesar, akan meningkatkan pelatihan
Keuangan
pengujian pengendalian yang ditujukan untuk mengatasi risiko internal mereka terkait dengan hal-hal yang diidentifikasi
Pelaporan salah saji material; menilai kontrol tinjauan manajemen secara oleh PCAOB, meningkatkan tingkat pengujian mereka pada
tidak tepat; kegagalan untuk memperbarui pengujian semua audit terintegrasi, dan meningkatkan dokumentasi dalam
pengendalian sementara dengan benar; pengujian kontrol yang kertas kerja audit untuk menunjukkan kepada PCAOB bahwa
tidak memadai atas data yang dihasilkan sistem; kegagalan untuk mereka adalah berusaha untuk meningkatkan kualitas audit.
melakukan tes yang sesuai ketika mengandalkan pekerjaan
orang lain; dan kegagalan untuk menilai tingkat keparahan Sumber: Peringatan Praktik Audit PCAOB no. 11, “Pertimbangan
defisiensi pengendalian yang teridentifikasi dengan tepat. Audit Pengendalian Internal atas Pelaporan Keuangan,”
Dalam banyak kasus, PCAOB 24 Oktober 2013 (pcaobus.org).

laporan keuangan. Auditor melakukannya dengan menghubungkan penilaian risiko pengendalian

dengan tujuan audit terkait saldo untuk akun-akun yang dipengaruhi oleh jenis transaksi utama
dan dengan empat tujuan audit penyajian dan pengungkapan. Tingkat risiko deteksi yang sesuai
untuk setiap tujuan audit terkait saldo kemudian diputuskan dengan menggunakan model risiko
audit. Hubungan tujuan audit terkait transaksi dengan tujuan audit terkait keseimbangan dan
pemilihan serta rancangan prosedur audit untuk pengujian substantif atas saldo laporan
keuangan dibahas dan diilustrasikan dalam Bab 13.
Pelaporan Audit Pada Kendali Internal

Sebagai bagian dari pemahaman pengendalian internal dan penaksiran risiko pengendalian,
Tujuan 12-5
auditor diharuskan untuk mengomunikasikan hal-hal tertentu kepada pihak yang bertanggung
Memahami persyaratan jawab atas tata kelola. Informasi ini dan rekomendasi lain tentang pengendalian juga sering
pelaporan auditor atas
pengendalian internal. dikomunikasikan kepada manajemen.
Komunikasi kepada Pihak yang Bertanggung Jawab atas Tata Kelola Auditor harus
mengomunikasikan defisiensi signifikan dan kelemahan material secara tertulis kepada
Komunikasi ke pihak yang bertanggung jawab atas tata kelola segera setelah auditor menyadari
yang Dibebankan dengan keberadaannya. Komunikasi biasanya ditujukan kepada komite audit dan manajemen.
Pemerintahan dan Komunikasi yang tepat waktu dapat memberi manajemen kesempatan untuk mengatasi
Surat Manajemen kekurangan pengendalian sebelum laporan manajemen tentang pengendalian internal harus
diterbitkan. Dalam beberapa kasus, defisiensi dapat dikoreksi cukup dini sehingga baik
manajemen maupun auditor dapat menyimpulkan bahwa pengendalian beroperasi secara
efektif pada tanggal neraca. Terlepas dari itu, komunikasi ini harus dilakukan selambat-
lambatnya 60 hari setelah rilis laporan audit. Contoh laporan yang digunakan dalam audit
perusahaan non publik disajikan pada Gambar 12-6.
Surat Manajemen Selain hal-hal ini, auditor sering mengidentifikasi masalah terkait pengendalian
internal yang kurang signifikan, serta peluang bagi klien untuk melakukan perbaikan operasional.
Ini juga harus dikomunikasikan kepada klien. Bentuk komunikasi seringkali berupa surat tersendiri
untuk tujuan itu, yang disebut surat manajemen. Meskipun surat manajemen tidak disyaratkan
oleh standar auditing, auditor umumnya menyiapkannya sebagai layanan nilai tambah audit.
Berdasarkan penilaian dan pengujian auditor atas pengendalian internal, auditor diharuskan untuk
Bagian 404 persyaratan menyiapkan laporan audit atas pengendalian internal atas pelaporan keuangan untuk perusahaan
pelaporan publik pelapor yang dipercepat yang tunduk pada persyaratan pelaporan Bagian 404(b).
Seperti dijelaskan dalam Bab 3, auditor dapat menerbitkan laporan audit terpisah atau gabungan
atas laporan keuangan dan pengendalian internal atas pelaporan keuangan. Contoh laporan
terpisah diilustrasikan pada Gambar 3-4 di halaman 53.
Cakupan laporan auditor atas pengendalian internal terbatas untuk memperoleh keyakinan
memadai bahwa kelemahan material dalam pengendalian internal telah teridentifikasi. Oleh
karena itu, audit tidak dirancang untuk mendeteksi defisiensi dalam pengendalian internal yang
secara individual, atau secara keseluruhan, tidak separah kelemahan material. Perbedaan antara
defisiensi, defisiensi signifikan, dan kelemahan material telah dibahas sebelumnya.
Opini Wajar Tanpa Pengecualian Auditor akan mengeluarkan opini wajar tanpa
jenis Opini
pengecualian atas pengendalian internal atas pelaporan
keuangan jika terdapat dua kondisi: • Tidak ada kelemahan material yang
teridentifikasi pada akhir tahun buku. • Tidak ada pembatasan ruang lingkup pekerjaan auditor.
Opini tidak wajar Jika terdapat satu atau lebih kelemahan material, auditor harus
menyatakan opini tidak wajar atas efektivitas pengendalian internal. Penyebab paling
umum dari opini tidak wajar dalam laporan auditor tentang pengendalian internal adalah
ketika manajemen mengidentifikasi kelemahan material dalam laporannya.

Gambar 12-6 Surat Mengenai Defisiensi Signifikan dalam Pengendalian Internal
JOHNSON DAN SEYGROVES

Akuntan Publik Bersertifikat
Jalan Desa 2016
Troy, Michigan 48801
12 Februari 2017
Komite Audit
Perusahaan Mesin Kedap Udara
1729 Jalan Athena
Troy, MI 48801
Dalam merencanakan dan melaksanakan audit kami atas laporan keuangan Perusahaan Mesin Kedap Udara per dan
untuk tahun yang berakhir pada tanggal 31 Desember 2016, sesuai dengan standar auditing yang berlaku umum di
Amerika Serikat, kami mempertimbangkan pengendalian internal Perusahaan Mesin Kedap Udara atas pelaporan
keuangan. (pengendalian internal) sebagai dasar untuk merancang prosedur audit yang tepat dalam situasinya untuk
tujuan menyatakan pendapat kami atas laporan keuangan, tetapi bukan untuk tujuan menyatakan pendapat atas efektivitas
pengendalian internal Perusahaan Mesin Kedap Udara. Oleh karena itu, kami tidak menyatakan pendapat atas efektivitas
pengendalian internal perusahaan.
Pertimbangan kami atas pengendalian internal adalah untuk tujuan terbatas yang dijelaskan dalam paragraf sebelumnya dan
tidak dirancang untuk mengidentifikasi semua defisiensi dalam pengendalian internal yang mungkin merupakan defisiensi
signifikan atau kelemahan material. Namun, seperti yang dibahas di bawah, kami mengidentifikasi kekurangan tertentu dalam
pengendalian internal yang kami anggap sebagai kekurangan yang signifikan.
Defisiensi dalam pengendalian internal terjadi ketika desain atau operasi pengendalian tidak memungkinkan manajemen
atau karyawan, dalam pelaksanaan normal fungsi yang ditugaskan, untuk mencegah, atau mendeteksi dan mengoreksi,
salah saji secara tepat waktu. Defisiensi signifikan adalah defisiensi pengendalian, atau kombinasi dari defisiensi
pengendalian, yang berdampak negatif terhadap kemampuan entitas untuk menginisiasi, mengotorisasi, mencatat,
memproses, atau melaporkan data keuangan secara andal sesuai dengan prinsip akuntansi yang berlaku umum yang
lebih ringan daripada kelemahan material , namun cukup penting untuk mendapatkan perhatian dari pihak yang
bertanggung jawab atas tata kelola. Kami menganggap kekurangan berikut sebagai kekurangan yang signifikan dalam pengendalian internal:
Ada kekurangan verifikasi independen atas entri kunci nama pelanggan, nomor produk, kuantitas yang dikirim, harga
yang digunakan, dan ekstensi matematis terkait pada faktur penjualan dan memo kredit. Sebagai konsekuensinya,
kesalahan dalam aktivitas ini dapat terjadi dan tetap tidak diperbaiki, yang berdampak negatif terhadap penjualan
bersih yang dicatat dan piutang usaha. Kekurangan ini signifikan karena besarnya rata-rata penjualan di Perusahaan
Mesin Kedap Udara.
Komunikasi ini dimaksudkan semata-mata untuk informasi dan penggunaan manajemen dan dewan direksi dan tidak
dimaksudkan untuk dan tidak boleh digunakan oleh siapa pun selain pihak-pihak yang ditentukan ini.
Sangat milikmu,
Johnson dan Seygroves, CPA
Opini Dengan Pengecualian atau Penyangkalan Suatu pembatasan ruang lingkup mensyaratkan
auditor untuk menyatakan pendapat dengan pengecualian atau pendapat tidak menyatakan
pendapat tentang pengendalian internal atas pelaporan keuangan. Jenis opini ini dikeluarkan
ketika auditor tidak dapat menentukan apakah terdapat kelemahan material, karena pembatasan
ruang lingkup audit pengendalian internal atas pelaporan keuangan atau keadaan lain di mana
auditor tidak dapat memperoleh bukti yang cukup dan tepat.
Opini auditor atas keefektifan pengendalian internal adalah pada akhir
tahun fiskal. Auditor membuktikan keefektifan pengendalian internal pada
tanggal tersebut daripada membuktikan keefektifan pengendalian selama periode fiskal.

tahun. Jika kelemahan material teridentifikasi sebelum akhir tahun fiskal, auditor masih
dapat mengeluarkan opini wajar tanpa pengecualian jika kelemahan material telah diperbaiki
dan pengendalian yang direvisi telah diuji untuk memastikannya dirancang, diterapkan, dan
beroperasi secara efektif.
Karena audit atas laporan keuangan dan audit pengendalian internal atas pelaporan
keuangan terintegrasi, auditor harus mempertimbangkan hasil prosedur audit yang dilakukan
untuk menerbitkan laporan audit atas laporan keuangan ketika menerbitkan laporan audit
atas pengendalian internal. Misalnya, asumsikan auditor mengidentifikasi salah saji material
dalam laporan keuangan yang awalnya tidak teridentifikasi oleh pengendalian internal
perusahaan. Empat tanggapan berikut terhadap temuan ini kemungkinan besar:
1. Karena terdapat kesalahan material dalam laporan keuangan, auditor harus mempertimbangkan
apakah kesalahan penyajian tersebut mengindikasikan adanya kelemahan material.
Penentuan apakah salah saji sebenarnya merupakan kelemahan material atau kekurangan
yang signifikan melibatkan penilaian dan bergantung pada sifat dan ukuran
salah saji.
2. Auditor dapat mengeluarkan opini wajar tanpa pengecualian atas laporan keuangan jika klien
menyesuaikan laporan tersebut untuk mengoreksi salah saji sebelum diterbitkan.
3. Manajemen kemungkinan akan mengubah laporannya tentang pengendalian internal untuk menegaskan
bahwa pengendalian tidak beroperasi secara efektif.
4. Auditor harus mengeluarkan opini tidak wajar atas pengendalian internal atas pelaporan
keuangan jika kekurangan tersebut dianggap sebagai kelemahan material.
Gambar 12-7 mengilustrasikan definisi kelemahan material dan paragraf pendapat dari
laporan terpisah auditor tentang pengendalian internal ketika auditor mengungkapkan opini
tidak wajar atas efektivitas pengendalian internal atas pelaporan keuangan karena adanya
kelemahan material. Jika kelemahan material belum dimasukkan dalam penilaian
manajemen, laporan harus mencatat bahwa kelemahan material telah diidentifikasi tetapi
tidak termasuk dalam manajemen.
penilaian ment.
Gambar 12-7 Sebagian Bagian 404 Laporan Auditor tentang Pengendalian Internal kapan
Kelemahan Material Ada (tebal ditambahkan)*
LAPORAN KANTOR AKUNTAN PUBLIK TERDAFTAR MANDIRI
[Definisi paragraf kelemahan material]

Kelemahan material adalah kekurangan, atau kombinasi kekurangan, dalam pengendalian internal atas
pelaporan keuangan, sedemikian rupa sehingga ada kemungkinan yang masuk akal bahwa salah saji material
laporan keuangan interim atau tahunan perusahaan tidak dapat dicegah atau dideteksi secara tepat waktu.
[Paragraf opini]
Menurut pendapat kami, sebagai akibat dari kelemahan material yang diuraikan di atas terhadap
pencapaian tujuan kriteria pengendalian, Perusahaan Kincannon tidak mempertahankan pengendalian
internal yang efektif atas pelaporan keuangan per 31 Desember 2016, berdasarkan kriteria yang ditetapkan
di Internal Kontrol—Kerangka Kerja Terintegrasi yang dikeluarkan oleh Komite Organisasi Sponsor Komisi
Treadway (Kerangka Kerja 2013).
Kellum & Kellum, LLP

Brentwood, Tennessee
2 Februari 2017
*Pengantar, ruang lingkup, definisi pengendalian internal, batasan bawaan pengendalian internal, dan pengacuan pendapat
pada paragraf laporan keuangan menggunakan kata-kata baku dan tidak dicantumkan. Paragraf penjelas yang
menggambarkan sifat kelemahan juga tidak disertakan.

mengevaluasi, melaporkan, dan menguji kontrol internal untuk

nOnPublic dan yang lebih kecil
Perusahaan publik
Sebagian besar konsep dalam bab ini berlaku sama untuk audit perusahaan publik besar
Tujuan 12-6
(pelapor yang dipercepat), perusahaan publik yang lebih kecil, dan perusahaan nonpublik. Jelaskan perbedaan dalam
Berikut ini mengidentifikasi dan membahas perbedaan paling penting dalam mengevaluasi, mengevaluasi, melaporkan,
melaporkan, dan menguji pengendalian internal untuk perusahaan nonpublik dan perusahaan dan menguji pengendalian
publik yang lebih kecil yang tidak tunduk pada audit pengendalian internal Bab 404(b). internal untuk perusahaan publik
kecil dan nonpublik.
1. Persyaratan pelaporan. Dalam audit perusahaan nonpublik dan filter yang tidak dipercepat,
tidak ada persyaratan untuk audit pengendalian internal atas pelaporan keuangan. Oleh
karena itu, auditor berfokus pada pengendalian internal hanya sejauh yang diperlukan
untuk menilai risiko salah saji material dan melakukan audit yang berkualitas atas laporan
keuangan. Dewan Standar Audit AICPA baru-baru ini memindahkan panduan dari standar
pengesahan ke standar audit yang berlaku ketika entitas nonpublik melibatkan auditor
untuk melakukan pemeriksaan desain dan efektivitas operasi pengendalian internal atas
pelaporan keuangan yang terintegrasi dengan audit laporan keuangan. pernyataan.
Pendekatan untuk audit terintegrasi perusahaan nonpublik berdasarkan standar pengesahan
konsisten dengan pendekatan audit terintegrasi perusahaan publik berdasarkan standar
audit PCAOB.
2. Tingkat pengendalian internal yang diperlukan. Ukuran perusahaan berpengaruh signifikan

terhadap sifat pengendalian internal dan pengendalian khusus yang diterapkan.
Jelas, lebih sulit untuk menetapkan pemisahan tugas yang memadai di perusahaan kecil.
Juga tidak masuk akal untuk mengharapkan perusahaan kecil memiliki auditor internal.
Namun, jika berbagai komponen pengendalian internal diperiksa, menjadi jelas bahwa
sebagian besar dapat diterapkan baik untuk perusahaan besar maupun kecil.
Meskipun mungkin tidak umum untuk memformalkan kebijakan dalam manual, tentu saja
perusahaan kecil dapat memiliki (1) personel yang kompeten dan dapat dipercaya dengan
garis wewenang yang jelas; (2) prosedur yang tepat untuk otorisasi, pelaksanaan, dan
pencatatan transaksi; (3) dokumen, catatan, dan laporan yang memadai; (4) kontrol fisik
atas aset dan catatan; dan, (5) sampai batas tertentu, pemeriksaan independen terhadap
kinerja.
3. Tingkat pemahaman yang dibutuhkan. Standar auditing mengharuskan auditor memperoleh
pemahaman yang memadai tentang pengendalian internal untuk menilai risiko salah saji
material pada tingkat laporan keuangan secara keseluruhan dan pada tingkat asersi yang
relevan. Risiko ini dinilai untuk merancang prosedur audit yang efektif. Dalam praktiknya,
prosedur untuk memperoleh pemahaman tentang pengendalian internal sangat bervariasi
dari satu klien ke klien lainnya. Untuk perusahaan yang lebih kecil, jika auditor menentukan
bahwa pengendalian tidak dirancang atau diimplementasikan dengan benar, atau tidak
beroperasi secara efektif, auditor menilai risiko pengendalian maksimum dan merancang
serta melaksanakan prosedur substantif yang terperinci. Untuk klien nonpublik yang lebih
besar, pemahaman kontrol bisa sama dengan perusahaan publik.
4. Menilai risiko pengendalian. Perbedaan terpenting dalam perusahaan nonpublik dalam menilai
risiko pengendalian adalah penilaian risiko pengendalian maksimum untuk setiap atau
semua tujuan terkait pengendalian ketika pengendalian internal untuk tujuan atau sasaran
tidak ada atau tidak efektif. Karena ekspektasi bahwa perusahaan publik harus memiliki
pengendalian internal yang efektif untuk semua transaksi dan akun yang signifikan, ada
anggapan awal bahwa risiko pengendalian rendah dalam audit laporan keuangan
perusahaan publik. Dengan demikian, kecil kemungkinan auditor perusahaan publik akan
membuat penilaian awal atas risiko pengendalian secara maksimal.

Gambar 12- 8 Perbedaan Ruang Lingkup Pengendalian yang Diuji dalam Audit atas
Pengendalian Internal dan Audit atas Laporan Keuangan
Kontrol Internal Atas Pelaporan Keuangan
Pengendalian Internal Digunakan untuk Menilai Pengendalian

Risiko Di Bawah Maksimum
Pengendalian yang harus diuji dalam audit Pengendalian yang harus diuji dalam audit
pengendalian internal atas laporan keuangan
5. Tingkat pengujian pengendalian yang diperlukan. Auditor tidak akan melakukan pengujian
pengendalian ketika auditor menilai risiko pengendalian maksimum, baik karena
pengendalian yang tidak memadai, atau karena audit dapat diselesaikan secara lebih
efisien dengan tidak mengandalkan dan menguji pengendalian. Ketika risiko
pengendalian dinilai di bawah maksimum, auditor merancang dan melaksanakan
kombinasi pengujian pengendalian dan prosedur substantif untuk memperoleh keyakinan
memadai bahwa laporan keuangan telah disajikan secara wajar. Perbedaan tingkat
pengujian ditampilkan secara grafis pada Gambar 12-8.
pemeriksaan konsep
1. Mengapa temuan audit laporan keuangan relevan dengan opini auditor atas efektivitas pengendalian
internal atas pelaporan keuangan?
2. Jelaskan perbedaan persyaratan pelaporan tentang efektivitas pengendalian internal atas pelaporan
keuangan untuk audit terintegrasi versus audit laporan keuangan saja.
DAMPAK LINGKUNGAN TERHADAP PENILAIAN DAN

PENGUJIAN RISIKO PENGENDALIAN
Dampak dari pengendalian umum dan pengendalian aplikasi pada audit cenderung bervariasi
Tujuan 12-7
tergantung pada tingkat kompleksitas di lingkungan TI. Bahkan dalam lingkungan TI yang tidak
Jelaskan bagaimana kompleksitas
penilaian risiko pengendalian dampak
terlalu kompleks, auditor tetap bertanggung jawab untuk memperoleh pemahaman tentang
lingkungan TI dan pengendalian komputer umum dan aplikasi karena pengetahuan tersebut berguna dalam
pengujian. mengidentifikasi risiko yang dapat memengaruhi laporan keuangan. Namun, sejauh mana
pengujian akan bergantung pada penilaian risiko pengendalian, seperti yang telah dibahas
sebelumnya. Pada bagian ini, kami membahas audit dalam lingkungan TI yang lebih kompleks
dan peluang serta tantangan yang diberikannya bagi auditor.
Ketika organisasi memperluas penggunaan TI mereka, kontrol internal seringkali disematkan

audit di Selengkapnya
dalam aplikasi yang hanya tersedia secara elektronik. Ketika dokumen sumber tradisional
Kompleks It
seperti faktur, pesanan pembelian, catatan tagihan, dan catatan akuntansi seperti jurnal
lingkungan
penjualan, daftar persediaan, dan catatan pembantu piutang hanya tersedia secara elektronik,
auditor harus mengubah pendekatan mereka terhadap audit.
Pendekatan ini sering disebut audit melalui komputer. Auditor menggunakan tiga

pendekatan untuk menguji efektivitas kontrol otomatis saat mengaudit melalui komputer:
pendekatan data uji, simulasi paralel, dan pendekatan modul audit tertanam.
pendekatan data pengujian Dalam pendekatan data pengujian, auditor memproses data
pengujian mereka sendiri dengan menggunakan sistem komputer klien dan program aplikasi
untuk menentukan apakah pengendalian otomatis memproses data pengujian dengan benar.
Auditor merancang data uji untuk memasukkan transaksi yang harus diterima atau ditolak
oleh sistem klien. Setelah data pengujian diproses pada sistem klien, auditor membandingkan
output aktual dengan output yang diharapkan untuk menilai efektivitas pengendalian
otomatis program aplikasi. Gambar 12-9 mengilustrasikan penggunaan pendekatan data uji.
Saat menggunakan pendekatan data uji, auditor memiliki tiga pertimbangan utama:
1. Data pengujian harus mencakup semua kondisi relevan yang ingin diuji oleh auditor.
Auditor harus merancang data pengujian untuk menguji semua pengendalian utama
berbasis komputer dan memasukkan data realistis yang mungkin menjadi bagian
dari pemrosesan normal klien, termasuk transaksi yang valid dan tidak valid. Misalnya,
asumsikan aplikasi penggajian klien berisi pemeriksaan batas yang melarang transaksi
penggajian yang melebihi 80 jam per minggu. Untuk menguji pengendalian ini, auditor
dapat menyiapkan transaksi penggajian dengan 79, 80, dan 81 jam untuk setiap
minggu sampel dan memprosesnya melalui sistem klien dengan cara yang ditunjukkan
pada Gambar 12-9. Jika kontrol pemeriksaan batas beroperasi secara efektif, sistem
klien harus menolak transaksi selama 81 jam, dan daftar kesalahan klien harus
melaporkan kesalahan transaksi 81 jam.
Gambar 12-9 Pendekatan Data Uji
Diprediksi Auditor
Tes Masukan Hasil Kontrol Tombol
Transaksi ke Prosedur Berdasarkan
Uji Kontrol Kunci Pemahaman tentang
Prosedur Pengendalian Internal
Program Aplikasi
File Transaksi
File Induk (Asumsikan Sistem Batch)
(Terkontaminasi?)
Tes Kontrol
Hasil
Terkontaminasi
File Induk
Auditor
Membuat
Perbandingan
Perbedaan
Antara Aktual
Hasil dan
Hasil Prediksi

2. Program aplikasi yang diuji dengan data pengujian auditor harus sama dengan yang digunakan
klien sepanjang tahun. Salah satu pendekatannya adalah dengan menjalankan data pengujian
berdasarkan kejutan, mungkin secara acak sepanjang tahun, meskipun hal itu memakan biaya
dan waktu. Metode lain adalah mengandalkan kontrol umum klien dalam fungsi pustakawan
dan pengembangan sistem untuk memastikan bahwa program yang diuji adalah program
yang digunakan dalam pemrosesan normal.
3. Data uji harus dihilangkan dari catatan klien. Jika auditor memproses data pengujian sementara
klien sedang memproses transaksinya sendiri, auditor harus menghilangkan data pengujian
dalam file induk klien setelah pengujian selesai untuk mencegah file induk dan file transaksi
terkontaminasi secara permanen oleh pengujian auditor. Auditor dapat melakukannya dengan
mengembangkan dan memproses data yang membalikkan pengaruh data pengujian.
Karena kerumitan program perangkat lunak aplikasi banyak klien, auditor yang
menggunakan pendekatan data pengujian sering mendapatkan bantuan dari spesialis audit
komputer. Banyak perusahaan CPA yang lebih besar memiliki staf yang didedikasikan untuk
membantu dalam pengujian kontrol
aplikasi otomatis klien. Simulasi paralel Auditor sering menggunakan perangkat lunak yang
dikendalikan oleh auditor untuk melakukan operasi yang sama seperti yang dilakukan oleh
perangkat lunak klien, menggunakan file data yang sama. Tujuannya adalah untuk menentukan
keefektifan kontrol otomatis dan untuk mendapatkan bukti tentang saldo akun elektronik.
Pendekatan pengujian ini disebut pengujian simulasi paralel. Gambar 12-10 menunjukkan
simulasi paralel tipikal. Apakah pengujian pengendalian atau saldo akhir, auditor membandingkan
keluaran dari perangkat lunak auditor dengan keluaran dari sistem klien untuk menguji keefektifan perangkat
Gambar 12-10 Simulasi Paralel
Produksi
Arsip Induk
Transaksi
Auditor Mempersiapkan a
Aplikasi Klien
Program untuk Mensimulasikan Disiapkan Auditor
Semua atau Sebagian Klien
Sistem
Program
Program
Sistem Aplikasi
Hasil Auditor Hasil Klien
Membuat Auditor
Perbandingan Antara
Aplikasi Klien
Keluaran Sistem dan
Disiapkan Auditor
Keluaran Program
Laporan pengecualian
Memperhatikan
Perbedaan

TABEL 12- 2 Penggunaan Umum Perangkat Lunak Audit Umum
Penggunaan
Keterangan Contoh
memverifikasi ekstensi dan pijakan memverifikasi keakuratan perhitungan klien dengan menghitung Foot account piutang percobaan neraca
informasi secara mandiri
Memeriksa catatan untuk kualitas, kelengkapan, Pindai semua catatan menggunakan kriteria yang ditentukan Tinjau file penggajian untuk karyawan yang diberhentikan
konsistensi, dan kebenaran
Bandingkan data pada file terpisah Tentukan informasi itu dalam dua atau lebih data Bandingkan perubahan saldo piutang antara dua tanggal
file setuju dengan menggunakan penjualan dan penerimaan kas dalam
file transaksi
Meringkas atau mengurutkan ulang data dan Mengubah atau menggabungkan data Menyusun ulang item inventaris berdasarkan lokasi untuk
melakukan analisis memfasilitasi pengamatan fisik
Pilih sampel audit Pilih sampel dari data yang dapat dibaca mesin Pilih piutang secara acak
konfirmasi
Cetak permintaan konfirmasi Mencetak data untuk item sampel yang dipilih untuk pengujian Cetak nama pelanggan, alamat, dan saldo rekening
konfirmasi informasi dari file induk
Bandingkan data yang diperoleh melalui prosedur audit Bandingkan data yang dapat dibaca mesin dengan audit evi Bandingkan respons konfirmasi dengan file induk piutang
lain dengan catatan perusahaan dence dikumpulkan secara manual, yang diubah menjadi usaha
bentuk yang dapat dibaca mesin
untuk menentukan apakah saldo klien sudah benar. Berbagai perangkat lunak tersedia untuk membantu
auditor.
Auditor biasanya melakukan pengujian simulasi paralel menggunakan perangkat lunak audit umum
(GAS), yaitu program yang dirancang khusus untuk tujuan audit.
Perangkat lunak audit yang tersedia secara komersial, seperti ACL dan IDEA, dapat dengan mudah
dioperasikan pada komputer desktop atau laptop auditor. Auditor mendapatkan salinan database klien
yang dapat dibaca mesin atau file induk dan menggunakan perangkat lunak audit umum untuk melakukan
berbagai pengujian terhadap data elektronik klien. Alih-alih GAS, beberapa auditor menggunakan
perangkat lunak spreadsheet untuk melakukan tes simulasi paralel sederhana. Yang lain mengembangkan
perangkat lunak audit khusus mereka sendiri.
Perangkat lunak audit umum memberikan tiga keuntungan: relatif mudah untuk melatih staf audit
dalam penggunaannya, bahkan jika mereka memiliki sedikit pelatihan TI terkait audit; perangkat lunak
dapat diterapkan ke berbagai macam klien dengan penyesuaian minimal; dan memiliki kemampuan untuk
melakukan pengujian audit lebih cepat dan lebih detail daripada menggunakan prosedur manual
tradisional. Tabel 12-2 mencakup beberapa penggunaan perangkat lunak audit umum yang umum. Dua
diperiksa secara rinci:
1. Perangkat lunak audit umum digunakan untuk menguji pengendalian otomatis. Seorang
auditor memperoleh salinan file master batas kredit pelanggan klien dan file pesanan
pelanggan, dan kemudian menginstruksikan komputer auditor untuk membuat daftar
transaksi yang melebihi batas kredit resmi pelanggan. Auditor kemudian membandingkan
keluaran audit dengan daftar pesanan pelanggan klien yang ditolak karena melebihi batas
kredit yang diotorisasi.
2. Perangkat lunak audit umum digunakan untuk memverifikasi saldo akun klien. Seorang
auditor dapat menggunakan perangkat lunak untuk menjumlahkan file induk piutang
pelanggan untuk menentukan apakah totalnya sesuai dengan saldo buku besar.
pendekatan Modul audit tertanam Ketika menggunakan pendekatan modul audit tertanam, auditor
memasukkan modul audit ke dalam sistem aplikasi klien untuk mengidentifikasi jenis transaksi tertentu.
Misalnya, auditor mungkin menggunakan modul tersemat untuk mengidentifikasi semua pembelian yang
melebihi $25.000 untuk ditindaklanjuti dengan lebih detail.

pemeriksaan untuk terjadinya dan akurasi tujuan audit terkait transaksi.

Dalam beberapa kasus, auditor kemudian menyalin transaksi yang teridentifikasi ke file data terpisah dan
kemudian memproses transaksi tersebut menggunakan simulasi paralel untuk menduplikasi fungsi yang dilakukan
oleh sistem klien. Auditor kemudian membandingkan keluaran klien dengan keluaran auditor. Perbedaan dicetak
pada laporan pengecualian untuk tindak lanjut auditor.
Pendekatan modul audit tertanam memungkinkan auditor untuk terus mengaudit transaksi dengan
mengidentifikasi transaksi aktual yang diproses oleh klien, dibandingkan dengan data pengujian dan pendekatan
simulasi paralel, yang hanya memungkinkan pengujian intermiten.
Audit internal juga dapat menemukan teknik ini berguna.
Meskipun auditor dapat menggunakan satu atau beberapa kombinasi pendekatan pengujian, mereka
biasanya menggunakan:
• Data pengujian untuk melakukan pengujian pengendalian dan pengujian

substantif atas transaksi • Simulasi paralel untuk pengujian substantif, seperti
penghitungan ulang jumlah transaksi dan footing master file catatan pembantu
saldo akun • Modul audit tertanam untuk mengidentifikasi transaksi yang tidak biasa untuk substantif
pengujian
ringkasan
Bab ini berfokus pada tanggung jawab auditor untuk memahami, mengevaluasi, dan menguji
pengendalian internal, termasuk audit terpadu atas laporan keuangan dan pengendalian internal atas
pelaporan keuangan berdasarkan Pasal 404 Sarbanes–Oxley Act dan persyaratan PCAOB. Untuk
mengandalkan pengendalian internal klien untuk melaporkan pengendalian internal atas pelaporan
keuangan dan untuk mengurangi bukti audit yang direncanakan untuk audit atas laporan keuangan,
auditor pertama-tama harus memperoleh pemahaman tentang masing-masing dari lima komponen
pengendalian internal. Pengetahuan tentang rancangan lingkungan pengendalian klien, penilaian
risiko, aktivitas pengendalian, informasi dan komunikasi, serta aktivitas pemantauan dan informasi
tentang apakah komponen pengendalian internal telah diterapkan membantu auditor dalam menilai
risiko pengendalian untuk setiap tujuan audit.
Bab ini juga membahas perbedaan dalam audit perusahaan publik kecil dan nonpublik karena
mereka tidak tunduk pada Bagian 404(b) dan persyaratan PCAOB untuk melaporkan pengendalian
internal atas pelaporan keuangan. Untuk perusahaan nonpublik, auditor memiliki pilihan untuk menilai
tingkat risiko pengendalian yang lebih tinggi, tergantung pada kualitas pengendalian internal klien dan
pertimbangan biaya-manfaat.
Bab ini diakhiri dengan diskusi tentang dampak lingkungan teknologi informasi yang lebih
kompleks terhadap penilaian dan pengujian risiko pengendalian. Pengetahuan tentang pengendalian
umum memberikan dasar bagi auditor untuk mengandalkan pengendalian aplikasi otomatis dan dapat
mengurangi luasnya pengujian pengendalian otomatis utama dalam audit atas laporan keuangan dan
pengendalian internal. Beberapa pengujian pengendalian oleh auditor dapat dilakukan oleh komputer,
seringkali sebagai cara untuk mencapai audit yang lebih efektif dan efisien.
Proses yang diikuti oleh auditor dalam menilai risiko pengendalian untuk audit terpadu atas
laporan keuangan dan pengendalian internal atas pelaporan keuangan dan audit atas laporan
keuangan saja dirangkum dalam Gambar 12-11.
istilah esensial
Penilaian risiko pengendalian— ukuran Audit melalui komputer— audit dengan
ekspektasi auditor bahwa pengendalian internal menguji pengendalian internal otomatis dan
tidak akan mencegah terjadinya salah saji saldo akun secara elektronik, umumnya karena
material atau mendeteksi dan mengoreksinya ada pengendalian umum yang efektif
jika telah terjadi

Gambar 12-11 Rangkuman Pemahaman Pengendalian Internal dan Penilaian Risiko Pengendalian
Audit Terintegrasi dari

Laporan keuangan
dan Pengendalian Internal atas
Audit Laporan Keuangan Pelaporan Keuangan
Suci untuk mengaudit Memperoleh pemahaman tentang Suci untuk mengaudit

laporan keuangan desain dan operasi pengendalian internal atas LANGKAH 1
pengendalian internal pelaporan keuangan
Bervariasi bergantung pada luas dan Memutuskan risiko Putuskan rendah untuk semua tujuan
efektivitas pengendalian dan rencana pengendalian pada tingkat kecuali ada kekurangan yang
ketergantungan auditor pada tujuan untuk setiap jenis transaksi signifikan atau kelemahan
pengendalian material LANGKAH 2
Tiga alternatif
Maksimum Intermediat Rendah
Bervariasi tergantung Merencanakan dan melakukan Tes ekstensif untuk semua

pada tingkat risiko pengujian pengendalian dan tujuan
pengendalian yang dinilai mengevaluasi hasilnya
LANGKAH 3
Revisi untuk pengujian Merevisi risiko pengendalian Revisi untuk pengujian hasil kontrol
hasil kontrol
yang dinilai jika sesuai
Kemungkinan akan lebih Merencanakan risiko deteksi dan Kemungkinan kurang ketergantungan
ketergantungan pada substantif melakukan pengujian substantif pengujian substantif karena
tes, tergantung pada dengan mempertimbangkan pengendalian pengujian pengendalian yang ekstensif
risiko pengendalian yang dinilai risiko dan faktor model
opsi dipilih risiko audit lainnya
LANGKAH 4
Harus mengkomunikasikan Menerbitkan laporan atau Harus mengeluarkan laporan

secara tertulis kepada pihak yang tentang pengendalian internal atas
surat pengendalian internal
bertanggung jawab atas tata kelola pelaporan keuangan dan mengeluarkan
yang menjelaskan defisiensi komunikasi tertulis kepada komite
signifikan atau kelemahan material. audit yang menjelaskan kekurangan yang
signifikan atau kelemahan
material
Kontrol kompensasi — kontrol lain di mana dalam oleh TI dimana auditor menyematkan modul dalam
sistem yang mengimbangi tidak adanya kontrol kunci perangkat lunak aplikasi klien untuk mengidentifikasi
transaksi dengan karakteristik yang menarik bagi
auditor; auditor kemudian dapat menganalisis
Defisiensi pengendalian— kekurangan dalam
rancangan atau pengoperasian pengendalian yang transaksi ini secara real-time, terus menerus saat
transaksi klien diproses
tidak memungkinkan personel perusahaan untuk
mencegah atau mendeteksi dan mengoreksi salah
saji secara tepat waktu Flowchart— representasi diagramatik dari dokumen
dan catatan klien serta urutan pemrosesannya
Matriks risiko pengendalian—suatu metodologi
yang digunakan untuk membantu auditor menilai
risiko pengendalian dengan mencocokkan Perangkat lunak audit umum (GAS)—program
pengendalian internal utama dan defisiensi komputer yang digunakan oleh auditor yang
pengendalian internal dengan tujuan audit terkait transaksimenyediakan pengambilan data, manipulasi data,
Pendekatan modul audit tertanam—suatu metode dan kemampuan pelaporan yang secara khusus
berorientasi pada kebutuhan auditor
untuk mengaudit transaksi yang diproses

Kuesioner pengendalian internal— serangkaian penggunaan perangkat lunak audit, baik yang
pertanyaan tentang pengendalian di setiap area dibeli atau diprogram oleh auditor, untuk
audit yang digunakan sebagai sarana untuk mereplikasi beberapa bagian dari sistem aplikasi klien
menunjukkan kepada auditor aspek pengendalian Prosedur untuk memperoleh pemahaman —
internal yang mungkin tidak memadai
prosedur yang digunakan oleh auditor untuk
Pengendalian kunci —pengendalian yang mengumpulkan bukti tentang rancangan dan
diharapkan memiliki dampak terbesar dalam penerapan pengendalian tertentu
memenuhi tujuan audit
Defisiensi signifikan— defisiensi pengendalian,
Surat manajemen— surat opsional yang ditulis atau kombinasi dari defisiensi pengendalian,
oleh auditor kepada manajemen klien yang yang tidak separah kelemahan material, tetapi
berisi rekomendasi auditor untuk meningkatkan cukup penting untuk diperhatikan oleh mereka
setiap aspek bisnis klien yang bertanggung jawab untuk mengawasi
pelaporan keuangan perusahaan
Kelemahan material— defisiensi signifikan

dalam pengendalian internal yang, dengan Pendekatan data uji— metode audit sistem TI
sendirinya atau bersama dengan defisiensi yang menggunakan data uji auditor untuk
signifikan lainnya, menghasilkan kemungkinan menentukan apakah program komputer klien
yang masuk akal bahwa salah saji material memproses transaksi yang valid dan tidak valid
laporan keuangan tidak dapat dicegah atau dengan benar
dideteksi
Pengujian pengendalian— prosedur audit untuk
Narasi— deskripsi tertulis tentang pengendalian menguji efektivitas operasi pengendalian dalam
internal klien, termasuk asal, pemrosesan, dan mendukung penurunan risiko pengendalian
disposisi dokumen dan catatan, serta prosedur yang dinilai
pengendalian yang relevan
Walkthrough— penelusuran transaksi yang
dipilih melalui sistem akuntansi untuk menentukan
Pengujian simulasi paralel— pendekatan bahwa kontrol sudah ada
pengujian audit yang melibatkan auditor
meninjau Pertanyaan
12-1 (Tujuan 12-1, 12-6) Apa tanggung jawab auditor untuk memperoleh pemahaman tentang
pengendalian internal? Bagaimana tanggung jawab tersebut berbeda untuk audit perusahaan publik dan
nonpublik?
12-2 (Tujuan 12-1) Jeanne Maier, CPA, percaya bahwa adalah tepat untuk memperoleh pemahaman
tentang pengendalian internal sekitar pertengahan audit, setelah dia terbiasa dengan operasi klien dan
cara kerja sistem yang sebenarnya. Dia telah menemukan melalui pengalaman bahwa mengisi kuesioner
pengendalian internal dan bagan alur di awal perikatan tidak bermanfaat karena sistem jarang berfungsi
sebagaimana mestinya. Nantinya dalam perikatan tersebut, auditor dapat menyusun bagan alir dan
kuesioner dengan relatif mudah karena pengetahuan yang telah diperolehnya tentang audit.
Evaluasi pendekatannya.
12-3 (Tujuan 12-1) Apa itu walkthrough pengendalian internal? Apa tujuannya?
12-4 (Tujuan 12-2) Jelaskan bagaimana sifat bukti yang digunakan untuk mengevaluasi lingkungan
pengendalian berbeda dari sifat bukti yang digunakan untuk mengevaluasi aktivitas pengendalian.
12-5 (Tujuan 12-2, 12-5) Membedakan defisiensi signifikan dalam pengendalian internal dari kelemahan
material dalam pengendalian internal. Bagaimana kehadiran satu defisiensi signifikan akan memengaruhi
laporan auditor tentang pengendalian internal berdasarkan standar PCAOB? Bagaimana kehadiran satu
kelemahan material mempengaruhi laporan auditor tentang pengendalian internal berdasarkan standar
PCAOB?

12-6 (Tujuan 12-3, 12-6) Membedakan tanggung jawab auditor untuk menguji pengendalian dalam audit
terintegrasi perusahaan publik dari tanggung jawab untuk menguji pengendalian dalam audit perusahaan nonpublik.
12-7 (Tujuan 12-3) Selama audit tahun sebelumnya dari McKimmon, Inc., sebuah perusahaan swasta, auditor
melakukan pengujian pengendalian untuk semua asersi laporan keuangan yang relevan. Beberapa kontrol terkait
bersifat manual sementara yang lain otomatis. Jelaskan sejauh mana auditor dapat mengandalkan pengujian
pengendalian yang dilakukan pada tahun-tahun sebelumnya.
12-8 (Tujuan 12-2, 12-3) Prosedur penilaian risiko auditor mengidentifikasi beberapa risiko yang dianggap oleh
auditor sebagai risiko signifikan. Ada beberapa pengendalian internal yang dirancang untuk memitigasi risiko yang
teridentifikasi. Jelaskan tanggung jawab auditor untuk mempertimbangkan pengendalian tersebut dalam audit
saat ini.
12-9 (Tujuan 12-3) Klien Anda telah mengalihkan sebagian besar sistem informasi akuntansi ke pusat data
pihak ketiga. Apa dampaknya terhadap audit Anda atas laporan keuangan?
12-10 (Tujuan 12-4) Bagaimana auditor menggunakan informasi yang diperoleh dari penilaian risiko pengendalian
dan pengujian pengendalian untuk merencanakan prosedur audit?
12-11 (Tujuan 12-4) Jika auditor menilai risiko pengendalian setinggi untuk tujuan audit terkait transaksi, apa
implikasinya terhadap risiko deteksi dan tingkat pengujian substantif?
12-12 (Tujuan 12-5) Dua kondisi apakah yang harus dipenuhi auditor untuk mengeluarkan opini wajar tanpa
pengecualian atas pengendalian internal atas pelaporan keuangan? Kondisi apa yang akan menyebabkan auditor
mengeluarkan pendapat wajar dengan pengecualian atau tidak menyatakan pendapat tentang pengendalian
internal atas pelaporan keuangan?
12-13 (Tujuan 12-6) Jelaskan bagaimana penilaian risiko pengendalian berbeda untuk audit terintegrasi versus
audit laporan keuangan saja.
12-14 (Tujuan 12-7) Jelaskan apa yang dimaksud dengan audit melalui komputer, dan jelaskan tantangan dan
manfaat pendekatan ini dalam audit klien yang menggunakan TI secara ekstensif untuk memproses informasi
akuntansi.
12-15 (Tujuan 12-7) Jelaskan apa yang dimaksud dengan pendekatan data uji. Apa kesulitan utama dalam
menggunakan pendekatan ini? Definisikan simulasi paralel dengan perangkat lunak audit dan berikan contoh
bagaimana simulasi tersebut dapat digunakan untuk menguji sistem penggajian klien.
PERTANYAAN PILIHAN GANDA DARI PEMERIKSAAN CPA

12-16 (Tujuan 12-2, 12-5) Pertanyaan-pertanyaan berikut berkaitan dengan kekurangan dalam pengendalian
internal. Pilih respons terbaik.
A. Manakah dari berikut ini yang merupakan contoh dari defisiensi operasi dalam pengendalian internal?
(1) Perusahaan tidak memiliki kode etik yang harus diperhatikan karyawan.
(2) Kasir memiliki kemampuan online untuk memposting penghapusan piutang
akun.
(3) Pegawai yang melakukan rekonsiliasi bulanan atas rekening antar perusahaan tidak memahami sifat
salah saji yang dapat terjadi dalam rekening tersebut.
(4) Manajemen tidak memiliki proses untuk mengidentifikasi dan menilai risiko secara berulang
dasar.
B. Kelemahan material dalam pengendalian internal merupakan kekurangan pengendalian yang

(1) lebih dari jarak jauh mempengaruhi kemampuan perusahaan untuk menginisiasi, mengesahkan, mencatat,
memproses, atau melaporkan laporan keuangan eksternal secara andal. (2)
menghasilkan kemungkinan yang masuk akal bahwa pengendalian internal tidak akan mencegah atau mendeteksi
salah saji laporan keuangan yang material. (3) ada
karena kontrol yang diperlukan tidak ada atau tidak dirancang dengan benar. (4) mengurangi
efisiensi dan efektivitas operasi entitas.

C. Auditor perusahaan publik besar mengidentifikasi kelemahan material dalam pengendalian internal
trol. Auditor (1) tidak
akan dapat mengeluarkan pendapat wajar tanpa pengecualian atas laporan keuangan. (2) harus
mengeluarkan pendapat wajar dengan pengecualian atau tidak menyatakan pendapat tentang pengendalian intern atas keuangan
pelaporan.
(3) mungkin masih dapat mengeluarkan pendapat wajar tanpa pengecualian atas pengendalian internal keuangan -
pelaporan resmi.
(4) harus mengeluarkan opini tidak wajar atas pengendalian internal atas pelaporan keuangan.
12-17 (Tujuan 12-2, 12-4) Pertanyaan-pertanyaan berikut berkaitan dengan penilaian risiko pengendalian dalam audit
laporan keuangan. Pilih respons terbaik.
A. Pengujian pengendalian oleh auditor mengungkapkan bahwa persetujuan yang diperlukan atas pengeluaran kas tidak
ada untuk sejumlah besar sampel transaksi yang diperiksa. Manakah dari berikut ini yang paling tidak mungkin
menjadi respons auditor yang tepat?
(1) Auditor akan mengomunikasikan defisiensi tersebut kepada pihak yang bertanggung jawab atas tata kelola.
(2) Auditor akan meningkatkan risiko deteksi yang direncanakan.
(3) Auditor tidak akan memilih lebih banyak item sampel untuk diaudit.
(4) Auditor akan melakukan pengujian substantif yang lebih ekstensif seputar kas
pengeluaran.
B. Seorang auditor menggunakan risiko pengendalian yang dinilai untuk
(1) mengevaluasi efektivitas pengendalian internal entitas. (2) mengidentifikasi

transaksi dan saldo akun yang memiliki risiko inheren
maksimum.
(3) menunjukkan apakah ambang materialitas untuk tujuan perencanaan dan evaluasi cukup tinggi. (4) menentukan
tingkat risiko deteksi yang
dapat diterima untuk asersi laporan keuangan. C. Atas dasar bukti audit yang dikumpulkan dan dievaluasi, auditor
memutuskan untuk meningkatkan risiko pengendalian yang dinilai dari yang semula direncanakan. Untuk mencapai
tingkat risiko audit (AcAR) yang secara substansial sama dengan tingkat risiko audit yang direncanakan (AAR),
auditor akan (1) meningkatkan risiko inheren. (2) meningkatkan tingkat materialitas. (3) menurunkan pengujian
substantif. (4) mengurangi risiko
deteksi terencana.
12-18 (Tujuan 12-7) Pertanyaan-pertanyaan berikut berkaitan dengan audit sistem TI yang kompleks.
Pilih respons terbaik.
A. Ketika kontrol TI umum melemah, auditor kemungkinan besar akan (1) mengurangi
pengujian kontrol aplikasi otomatis yang dilakukan oleh komputer. (2) tingkatkan pengujian kontrol TI
umum untuk menyimpulkan apakah mereka beroperasi
secara efektif.
(3) memperluas pengujian pengendalian aplikasi otomatis yang digunakan untuk mengurangi risiko pengendalian
untuk mencakup porsi yang lebih besar dari tahun fiskal yang diaudit.
(4) mengabaikan memperoleh pengetahuan tentang desain kontrol TI umum dan apakah
mereka telah dilaksanakan. B. Sebelum
diproses, sistem memvalidasi urutan item untuk mengidentifikasi setiap jeda dalam urutan dokumen masukan. Kontrol
otomatis ini terutama dirancang untuk memastikan (1) akurasi input. (2) otorisasi entri data. (3) kelengkapan input. (4)
pembatasan
entri rangkap. C. Auditor akan

menggunakan pendekatan data pengujian
untuk mendapatkan jaminan tertentu
sehubungan dengan
(1) memasukkan
data. (2) kapasitas mesin. (3)
prosedur yang terkandung dalam program. (4) tingkat akurasi
entri data.
394 Bagian 2 / Proses Audi T

PERTANYAAN PILIHAN GANDA DARI

ULASAN UJIAN CPA Becker
12-19 (Tujuan 12-2, 12-3, 12-4, 12-5) Berikut adalah pertanyaan umum tentang penilaian risiko
pengendalian, pengujian pengendalian, dan pelaporan pengendalian internal. Pilih respons terbaik.
A. Selama tahap perencanaan audit, auditor pada awalnya menilai risiko inheren dan risiko pengendalian
pada tingkat yang tinggi. Pengujian lebih lanjut atas pengendalian internal klien mengarahkan auditor
untuk mengurangi penilaian risiko pengendalian. Manakah dari berikut ini yang kemungkinan besar
akan terjadi sebagai hasilnya?
(1) Auditor dapat mengurangi penilaian risiko inheren agar sesuai dengan risiko pengendalian, karena
risiko tersebut dinilai pada tingkat yang sama selama perencanaan awal.
(2) Auditor dapat menurunkan tingkat risiko deteksi yang diperbolehkan.
(3) Auditor hanya dapat mengandalkan prosedur analitis, tanpa prosedur substantif yang dilaksanakan.
(4) Auditor dapat mengurangi jumlah prosedur substantif yang dilakukan. B. Dalam skenario
manakah di bawah ini auditor kemungkinan besar akan meningkatkan pengujian

kontrol?
(1) Ketika sistem TI klien terintegrasi secara ekstensif di seluruh sistem akuntansi perusahaan (2)
Ketika sistem akuntansi
klien sebagian besar didasarkan pada proses manual (3) Ketika auditor telah memutuskan
untuk tidak mengandalkan pengendalian internal dan sebaliknya memilih untuk meningkatkan
substantif pengujian
(4) Ketika penilaian auditor atas risiko inheren rendah
C. Jefferson, CPA, telah mengidentifikasi lima defisiensi signifikan dalam pengendalian internal selama
audit Portico Industries, sebuah perusahaan nonpublik. Dua dari kondisi ini dianggap sebagai
kelemahan material. Manakah yang paling menggambarkan kebutuhan komunikasi Jefferson?
(1) Komunikasikan dua kelemahan material tersebut kepada manajemen Portico dan pihak yang
bertanggung jawab atas tata kelola, tetapi bukan tiga defisiensi signifikan yang bukan merupakan
kelemahan material.
(2) Komunikasikan kelima defisiensi signifikan kepada manajemen Portico dan pihak yang bertanggung
jawab atas tata kelola, dengan membedakan antara kelemahan material dan defisiensi signifikan.
(3) Mengomunikasikan kelima defisiensi signifikan kepada manajemen Portico dan pihak yang
bertanggung jawab atas tata kelola, tetapi hanya meminta tanggapan manajemen sehubungan
dengan dua kelemahan material tersebut.
(4) Komunikasikan kelima defisiensi signifikan kepada manajemen Portico dan pihak yang bertanggung
jawab atas tata kelola, tanpa membeda-bedakan defisiensi tersebut.
PERTANYAAN DAN PERMASALAHAN DISKUSI

12-20 (Tujuan 12-2, 12-3, 12-4) Masing-masing pengendalian internal berikut diambil dari kuesioner
pengendalian internal standar yang digunakan oleh KAP untuk menilai risiko pengendalian dalam siklus
penggajian dan personalia.
1. Persetujuan kepala departemen atau mandor pada catatan waktu diperlukan sebelum prepar
dalam penggajian.
2. Semua catatan waktu yang diberi nomor sebelumnya diperhitungkan sebelum memulai entri data
persiapan penggajian.
© 2017 DeVry/Becker Educational Development Corp. Semua hak dilindungi undang-undang.

3. Komputer menghitung gaji kotor dan bersih berdasarkan jam yang dimasukkan dan informasi dalam file
induk karyawan, dan personel akuntansi penggajian memeriksa ulang akurasi matematis berdasarkan
tes.
4. Semua cek gaji yang dibatalkan dan rusak akan dimutilasi dan disimpan dengan benar.
5. Kebijakan sumber daya manusia mensyaratkan penyelidikan terhadap lamaran pekerjaan dari karyawan
baru. Investigasi termasuk memeriksa latar belakang karyawan, mantan majikan, dan referensi.
6. Aplikasi software akuntansi penggajian tidak menerima input data nomor pegawai yang tidak terdapat
dalam file induk pegawai.
7. Orang yang menyiapkan daftar gaji tidak melakukan tugas-tugas penggajian lainnya (misalnya,
pencatatan waktu atau distribusi cek) juga tidak memiliki akses ke file induk data gaji atau uang tunai.
8. Pemberitahuan penghentian tertulis, dengan alasan penghentian yang didokumentasikan dengan baik,
dan persetujuan oleh pejabat yang tepat diperlukan.
9. Semua cek dan pemberitahuan pembayaran elektronik yang tidak dibagikan kepada pegawai
dikembalikan kepada bendahara untuk diamankan dan ditindaklanjuti.
10. Kemampuan online untuk menambah karyawan atau mengubah tarif gaji ke file induk penggajian dibatasi
melalui kata sandi untuk personel sumber daya manusia yang berwenang.
diperlukan A. Untuk setiap pengendalian internal, identifikasi jenis aktivitas (atau aktivitas) pengendalian tertentu yang
diterapkan (seperti dokumen dan catatan yang memadai atau pengendalian fisik atas aset dan catatan).
B. Untuk setiap
pengendalian internal, identifikasi tujuan audit terkait transaksi yang menjadi tujuan audit
itu berlaku.
C. Untuk setiap pengendalian internal, identifikasi salah saji spesifik yang mungkin terjadi
dicegah jika pengendalian itu ada dan efektif.
D. Untuk setiap pengendalian, buatlah daftar salah saji spesifik yang dapat diakibatkan oleh ketiadaan
kontrol.
e. Untuk setiap pengendalian, identifikasi satu pengujian audit yang dapat digunakan auditor untuk
mengungkap pernyataan yang salah akibat tidak adanya pengendalian.
12-21 (Tujuan 12-1, 12-2, 12-3, 12-6) Lew Pherson dan Vera Collier adalah teman yang bekerja di perusahaan
CPA yang berbeda. Suatu hari saat makan siang mereka membahas pentingnya pengendalian internal dalam
menentukan jumlah bukti audit yang diperlukan untuk suatu perikatan. Pherson mengungkapkan pandangan
bahwa pengendalian internal harus dievaluasi dengan hati-hati di semua perusahaan, terlepas dari ukurannya
atau apakah mereka dimiliki publik, dengan cara yang sama. Perusahaan CPA-nya membutuhkan kuesioner
kontrol internal standar pada setiap audit serta bagan alur dari setiap area transaksi. Selain itu, dia mengatakan
perusahaan memerlukan evaluasi sistem yang cermat dan modifikasi bukti yang terkumpul berdasarkan
kontrol dan kekurangan dalam sistem.
Collier menjawab dengan mengatakan bahwa dia percaya bahwa pengendalian internal tidak dapat
memadai di banyak perusahaan kecil yang dia audit; oleh karena itu, dia mengabaikan pengendalian internal
dan bertindak berdasarkan asumsi pengendalian yang tidak memadai. Dia melanjutkan dengan mengatakan,
“Mengapa saya harus menghabiskan banyak waktu untuk mendapatkan pemahaman tentang pengendalian
internal dan menilai risiko pengendalian ketika saya tahu itu memiliki segala macam kelemahan sebelum saya
mulai? Saya lebih suka menghabiskan waktu untuk mengisi semua formulir itu untuk menguji apakah
pernyataan itu benar.”
diperlukan A. Nyatakan secara umum perbedaan paling penting antara sifat dari
kontrol potensial yang tersedia untuk perusahaan besar dan kecil.
B. Mengkritik posisi yang diambil oleh Pherson dan Collier, dan mengungkapkan pendapat Anda sendiri
tentang persamaan dan perbedaan yang seharusnya ada dalam memahami pengendalian internal dan
menilai risiko pengendalian untuk perusahaan dengan ukuran berbeda.
C. Diskusikan apakah pendekatan Collier dapat diterima di bawah standar audit yang ada baik untuk
perusahaan publik maupun non publik. D. Jelaskan
prosedur tambahan apa yang harus dilakukan Pherson jika mengaudit laporan keuangan perusahaan
publik besar.

12-22 (Tujuan 12-2) Berikut ini adalah sebagian deskripsi pengendalian internal untuk perusahaan yang
bergerak dalam bisnis manufaktur: 1. Ketika Mr. Clark
memesan bahan, salinan elektronik dari pesanan pembelian dikirimkan ke departemen penerimaan.
Selama pengiriman bahan, Tuan Smith, petugas penerima, mencatat tanda terima pengiriman pada
pesanan pembelian ini dan kemudian mengirimkan pesanan pembelian ke departemen akuntansi, di
mana pesanan ini digunakan untuk mencatat pembelian bahan dan hutang dagang. Material diangkut
ke area penyimpanan dengan forklift. Jumlah pembelian tambahan dicatat pada catatan penyimpanan.
2. Setiap hari, ratusan karyawan masuk menggunakan kartu identitas karyawan mereka di Generous
Motors Corporation. Data pada catatan waktu ini digunakan dalam persiapan catatan distribusi biaya
tenaga kerja, jurnal penggajian, dan pembayaran elektronik serta cek penggajian. Bendahara, Angela
Lee, membandingkan jurnal penggajian dengan catatan penggajian, menandatangani cek, dan
mengembalikan pemberitahuan penggajian dan cek ke Charles Strode, penyelia departemen komputer.
Cek daftar gaji dan pemberitahuan pembayaran didistribusikan kepada karyawan oleh Strode.
3. Cabang terkecil Connor Cosmetics mempekerjakan Mary Cooper, manajer cabang, dan asisten
penjualannya, Janet Hendrix. Cabang menggunakan rekening bank untuk membayar pengeluaran.
Akun tersebut disimpan atas nama “Connor Cosmetics—Special Account.” Untuk membayar
pengeluaran, cek harus ditandatangani oleh Cooper atau bendahara, John Winters. Cooper menerima
cek yang dibatalkan dan laporan mutasi bank. Dia merekonsiliasi sendiri rekening cabang dan
mengajukan cek yang dibatalkan dan laporan mutasi bank dalam catatannya. Dia juga secara berkala
menyiapkan laporan pengeluaran kas dan mengirimkannya ke kantor pusat. A. Daftar
kekurangan dalam pengendalian internal untuk masing-masing situasi ini. Untuk mengidentifikasi diperlukan
kekurangan, gunakan metodologi yang dibahas dalam bab ini.
B. Untuk setiap kekurangan, nyatakan jenis salah saji yang mungkin terjadi. Menjadi
sespesifik mungkin. C.
Bagaimana Anda meningkatkan pengendalian internal untuk masing-masing dari ketiga
perusahaan tersebut?* 12-23 (Tujuan 12-3) Pengendalian internal 1 sampai 5 diuji dalam audit sebelumnya.
Mengevaluasi setiap pengendalian internal secara independen dan menentukan pengendalian mana yang
harus diuji dalam audit tahun berjalan atas laporan keuangan 31 Desember 2016. Pastikan untuk menjelaskan
mengapa pengujian diperlukan atau tidak diperlukan pada tahun berjalan.
1. Sistem perangkat lunak akuntansi buku besar secara otomatis merekonsiliasi total di masing-masing
file induk pembantu untuk piutang, hutang, dan akun persediaan ke masing-masing akun buku besar.
Kontrol ini paling baru diuji pada tahun sebelumnya. Tidak ada perubahan pada perangkat lunak yang
dilakukan sejak pengujian dan terdapat kontrol yang efektif atas keamanan TI dan perubahan program
perangkat lunak.
2. Petugas hutang mencocokkan faktur vendor dengan pesanan pembelian terkait dan laporan penerimaan
dan menyelidiki setiap perbedaan yang dicatat. Pengendalian ini diuji dalam audit akhir tahun buku
2015. Tidak ada perubahan pada kontrol ini atau personel yang terlibat yang terjadi sejak pengujian
dilakukan.
3. Sistem penjualan secara otomatis menentukan apakah pesanan pembelian pelanggan dan saldo
piutang terkait berada dalam batas kredit pelanggan. Risiko pengiriman barang ke pelanggan yang
melebihi batas kreditnya dianggap sebagai risiko yang signifikan. Pengendalian ini terakhir diuji pada
tanggal 31 Desember 2014, audit laporan keuangan.
4. Sistem persediaan perpetual secara otomatis memperpanjang harga satuan dikali kuantitas persediaan
yang ada. Pengendalian ini terakhir diuji pada audit 31 Desember 2014, laporan keuangan. Selama
tahun 2016, klien melakukan perubahan pada sistem perangkat lunak ini.
5. Sistem akuntansi pembelian klien diperoleh dari vendor perangkat lunak terkemuka beberapa tahun
lalu. Sistem ini berisi banyak kontrol otomatis. Auditor menguji kontrol tersebut paling baru dalam audit
tahun 2015. Tidak ada perubahan yang dilakukan pada salah satu kontrol ini sejak pengujian dan
kontrol klien atas keamanan TI dan perubahan program perangkat lunak sangat baik.
*Berdasarkan kertas pertanyaan AICPA, American Institute of Certified Public Accountants.

Tanggal
PERUSAHAAN MANUFAKTUR MENENGAH Disiapkan oleh

FLOWCHART FUNGSI PEMBELIAN BAHAN BAKU
Disetujui oleh
DIVISI MANUFAKTUR AKUN HUTANG
TOKO KANTOR PEMBELIAN DIVISI PENGENDALI RUANG PENERIMA
Pembelian Permintaan
A
permintaan 1 pembelian2
Pembelian
permintaan 1 Dengan permintaan

2 B TIDAK.
3
Pesanan
pembelian Surat
Dengan permintaan 1
TIDAK. 2 pesanan 3
Untuk penjual 34
5 Surat
6 pesanan 4
Pembelian
pesanan 5
Pembelian
permintaan 1 Dengan
Permintaan
pesanan pembelian Oleh vendor
pembelian3
C
C Surat
Surat pesanan 3
pesanan 6
Pembelian
1
pesanan 5 Persyaratan
D
3
Persyaratan Surat
pesanan 4
Dengan
Surat
pesanan pembelian
pesanan 3
Menerima
Catatan Penjelasan
laporan 1
Menerima
A. Siapkan permintaan pembelian (3 Pembelian
laporan 1
salinan) sesuai kebutuhan. pesanan 6 2 Inv.
B. 3
Siapkan pesanan pembelian (6
1
Persyaratan
salinan).
C. Lampirkan permintaan pembelian ke

Dari
pesanan pembelian.
Menerima F
vendor
laporan 1 Oleh vendor
D. Barang diterima, dihitung, dan
2
laporan penerimaan (3 eksemplar)
Voucher dengan
disusun berdasarkan hitungan dan
dokumen
pesanan pembelian. Faktur
e. Cocokkan pesanan pembelian,

permintaan pembelian, e
laporan penerimaan, dan faktur. G
F. Siapkan voucher setelah
membandingkan data pesanan Menerima
Menerima
pembelian, faktur, laporan penerimaan.
laporan 2 laporan 1
G. Untuk kas pengeluaran di
divisi controller untuk 6
PO Inv.
pembayaran. 1
Persyaratan
Persyaratan Permintaan
pembelian PO
Pesanan pembelian Inv. Faktur Dengan
pesanan pembelian
12-24 (Tujuan 12-1, 12-2) Anthony Liu, CPA, menyiapkan flowchart di atas yang menampilkan
fungsi pembelian bahan baku dari salah satu klien Anthony, Perusahaan Manufaktur Menengah, dari
persiapan dokumen awal hingga vouching tagihan untuk pembayaran dalam hutang dagang.
Asumsikan bahwa semua dokumen diberi nomor sebelumnya.
diperlukan Mengidentifikasi kekurangan dalam pengendalian internal yang dapat ditentukan dari flowchart.
Gunakan metodologi yang dibahas dalam bab ini. Sertakan defisiensi pengendalian internal yang
diakibatkan oleh aktivitas yang dilakukan atau tidak dilakukan.*

12-25 (Tujuan 12-5) Berikut ini adalah situasi independen di mana Anda akan merekomendasikan laporan audit
yang tepat atas pengendalian internal atas pelaporan keuangan seperti yang dipersyaratkan oleh standar audit PCAOB:
1. Auditor mengidentifikasi salah saji material dalam laporan keuangan yang

tidak terdeteksi oleh manajemen perusahaan.
2. Auditor tidak dapat memperoleh bukti tentang efektivitas operasi pengendalian internal atas pelaporan keuangan.
3. Auditor mengidentifikasi beberapa defisiensi signifikan dalam pengendalian internal. Karena defisiensi signifikan
tersebut, auditor yakin bahwa terdapat kemungkinan yang masuk akal bahwa pengendalian internal tidak akan
mencegah atau mendeteksi salah saji material secara tepat waktu.
4. Auditor menentukan bahwa terdapat defisiensi dalam pengendalian internal yang tidak akan terjadi sebelumnya
mengungkapkan atau mendeteksi salah saji material dalam laporan keuangan.
5. Selama pengujian interim, auditor mengidentifikasi dan mengomunikasikan defisiensi pengendalian yang
signifikan kepada manajemen. Manajemen segera memperbaiki kekurangan tersebut dan auditor dapat menguji
secara memadai pengendalian internal yang baru dilembagakan sebelum akhir periode fiskal.
6. Sebagai hasil dari pelaksanaan pengujian pengendalian, auditor mengidentifikasi defisiensi yang signifikan
dalam pengendalian internal atas pelaporan keuangan; namun, auditor tidak percaya bahwa hal tersebut
merupakan kelemahan material dalam pengendalian internal.
Untuk setiap situasi, nyatakan laporan audit yang sesuai dari alternatif berikut: • Pendapat wajar tanpa diperlukan
pengecualian atas pengendalian internal atas pelaporan keuangan • Pendapat wajar
atau tidak menyatakan pendapat atas pengendalian internal atas pelaporan keuangan • Pendapat tidak
wajar atas pengendalian internal atas pelaporan keuangan 12-26 ( Tujuan 12 -2,
12-3) Meyers Pharmaceutical Company memiliki sistem berikut untuk penagihan dan pencatatan piutang usaha: 1.
Pesanan pembelian pelanggan yang masuk diterima di
departemen pesanan oleh petugas, yang menyiapkan pesanan penjualan perusahaan bernomor informasi terkait,
seperti nama dan alamat pelanggan, nomor rekening pelanggan, serta barang dan jumlah yang dipesan,
dimasukkan. Setelah pesanan penjualan disiapkan, pesanan pembelian pelanggan ditempelkan padanya.
2. Pesanan penjualan kemudian diteruskan ke bagian kredit untuk persetujuan kredit. Perkiraan kasar dari nilai
penagihan pesanan dibuat di departemen kredit untuk akun-akun yang dikenakan pembatasan kredit. Setelah
penyelidikan, persetujuan kredit dicatat pada pesanan penjualan.
3. Selanjutnya, pesanan penjualan diteruskan ke departemen penagihan, di mana petugas memasukkan informasi
pesanan penjualan ke dalam file data, termasuk harga penjualan unit yang diperoleh dari daftar harga yang
disetujui. File data digunakan untuk menyiapkan faktur penjualan.
Aplikasi penagihan secara otomatis mengumpulkan total harian nomor rekening pelanggan dan jumlah
faktur untuk memberikan total "hash" dan mengontrol jumlah. Total ini, yang dimasukkan ke dalam buku catatan
harian, berfungsi sebagai total batch yang telah ditentukan sebelumnya untuk verifikasi input komputer.
Penagihan dilakukan pada formulir bernomor, terus menerus, multisalin yang memiliki sebutan berikut: (a)
Salinan pelanggan (b) Salinan departemen penjualan, untuk tujuan
informasi (c) Salinan file
(d) Salinan departemen pengiriman, yang berfungsi sebagai pesanan
pengiriman
Bills of lading juga disiapkan sebagai produk sampingan dari prosedur penagihan.
4. Salinan faktur dan bill of lading departemen pengiriman kemudian dikirim ke departemen pengiriman. Setelah
pesanan dikirimkan, salinan bill of lading dikembalikan ke departemen penagihan. Salinan faktur departemen
pengiriman disimpan di departemen pengiriman.
5. Di departemen penagihan, satu salinan bill of lading dilampirkan pada salinan faktur pelanggan dan keduanya
dikirim ke pelanggan. Salinan bill of lading lainnya, bersama dengan pesanan penjualan, kemudian ditempelkan
ke salinan file faktur dan disimpan dalam urutan nomor faktur.

6. File data diupdate untuk pengiriman yang berbeda dengan billing sebelumnya.
Setelah perubahan ini dilakukan, file tersebut digunakan untuk menyiapkan jurnal penjualan dalam pesanan
faktur penjualan dan untuk memperbarui file induk piutang. Total harian dicetak agar sesuai dengan total
kontrol yang disiapkan sebelumnya. Total ini dibandingkan dengan "hash" dan kontrol total oleh orang yang
independen. A. Identifikasi pengendalian penting dan tujuan audit
diperlukan terkait transaksi penjualan terkait. B. Cantumkan prosedur yang akan digunakan CPA dalam audit transaksi
penjualan untuk menguji pengendalian yang teridentifikasi dan aspek substantif transaksi penjualan.
12-27 (Tujuan 12-2, 12-7) Sebagian besar toko kelontong menggunakan teknologi pemindaian kode batang
yang berinteraksi dengan mesin kasir yang digunakan untuk memproses pembelian pelanggan. Kasir
menggunakan pemindai untuk membaca label kode batang yang dilampirkan pada setiap produk, yang kemudian
digunakan sistem untuk mendapatkan harga satuan, menghitung total transaksi, termasuk pajak penjualan, dan
memperbarui basis data persediaan perpetual. Demikian pula, kasir memindai kode batang pada kupon atau
kartu diskon anggota yang diberikan oleh pelanggan untuk memproses diskon. Seiring dengan teknologi
pemindaian, bahan makanan menggunakan teknologi point-of-sale yang memungkinkan pelanggan menggesek
kartu debit dan kredit untuk pembayaran, sambil tetap mempertahankan kemampuan pelanggan untuk membayar dengan uang tu
diperlukan A. Akun laporan keuangan mana yang terpengaruh oleh penggunaan teknologi ini
toko kelontong biasa?
B. Identifikasi risiko yang melekat pada proses bisnis ini di toko kelontong yang mungkin memengaruhi akun
laporan keuangan yang diidentifikasi di bagian a. Untuk setiap risiko, jelaskan bagaimana teknologi ini
membantu mengurangi risiko bawaan. C. Bagaimana
seorang auditor dapat menggunakan teknologi untuk menguji keefektifan pengoperasian kode batang
sistem check-out berbasis pemindai?
12-28 (Tujuan 12-3, 12-7) Klien CPA, Boos & Baumkirchner, Inc., adalah produsen produk berukuran sedang
untuk pasar aktivitas waktu senggang (peralatan berkemah, perlengkapan selam, busur dan anak panah, Dan
seterusnya). Selama tahun lalu, sistem komputer dipasang dan catatan inventaris barang jadi dan suku cadang
diubah menjadi pemrosesan komputer. File induk inventaris disimpan secara elektronik. Setiap catatan file berisi
informasi berikut: • Nomor barang atau suku cadang • Nilai total persediaan yang ada pada harga perolehan •
Tanggal penjualan atau penggunaan terakhir
• Deskripsi • Kuantitas yang digunakan atau dijual tahun ini • Ukuran • Kode satuan ukuran • Kuantitas
tangan • Nomor pesanan ekonomis • Kuantitas di
kode vendor utama • Nomor kode vendor sekunder • Biaya per unit Dalam
persiapan persediaan akhir tahun, klien memiliki dua set kartu hitungan persediaan
pracetak yang identik. Satu set untuk penghitungan inventaris klien, dan set lainnya untuk
audit. Informasi digunakan CPA untuk menghitung pengujian
berikut ada di setiap kartu: • Nomor barang atau suku cadang • Deskripsi Dalam mengambil persediaan
akhir tahun, personel klien akan menulis jumlah yang dihitung sebenarnya di muka setiap kartu. Ketika semua
hitungan selesai, jumlah yang dihitung akan dimasukkan ke dalam sistem. Kartu akan diproses
berdasarkan basis data •

inventaris, dan Ukuran • Kode satuan ukuran
jumlah yang ada di tangan akan disesuaikan untuk mencerminkan jumlah sebenarnya. Daftar edit yang
dibuat oleh komputer akan disiapkan untuk menampilkan kartu hitungan inventaris yang hilang dan semua
penyesuaian kuantitas dengan nilai lebih dari $100. Barang-barang ini akan diselidiki oleh personel klien, dan
semua penyesuaian yang diperlukan akan dilakukan. Ketika penyesuaian telah selesai, saldo akhir tahun akan
dihitung dan diposting ke buku besar.
CPA telah menyediakan perangkat lunak audit umum yang akan berjalan di komputer klien dan dapat
memproses catatan elektronik klien.
diperlukan A. Secara umum dan tanpa memperhatikan fakta dalam kasus ini, diskusikan sifat perangkat lunak audit
yang digeneralisasikan dan buat daftar berbagai jenis dan
kegunaannya. B. Buat daftar dan jelaskan setidaknya lima cara perangkat lunak audit umum dapat digunakan
untuk membantu semua aspek audit inventaris Boos & Baumkirchner, Inc. (Misalnya,

perangkat lunak dapat digunakan untuk membaca file induk inventaris dan mencantumkan item dan suku
cadang dengan biaya satuan atau nilai total yang tinggi. Item tersebut dapat dimasukkan dalam hitungan
pengujian untuk meningkatkan cakupan dolar dari verifikasi audit.)*
12-29 (Tujuan 12-2, 12-3) Berikut ini adalah 10 pengendalian internal utama dalam siklus penggajian untuk
Gilman Stores, Inc.
Kontrol Kunci
1. Untuk memasukkan jam kerja, petugas akuntansi penggajian memasukkan nomor Jaminan Sosial
karyawan. Sistem tidak mengizinkan input jam kerja untuk nomor karyawan yang tidak valid.
2. Aplikasi penggajian diprogram sehingga hanya personel sumber daya manusia yang dapat menambahkan
nama karyawan ke file induk karyawan.
3. Menu input membedakan penggajian eksekutif, penggajian administrasi, dan penggajian pabrik.
4. Sistem secara otomatis menghitung pembayaran pada waktu setengah jam kerja melebihi 80 dalam
periode pembayaran 2 minggu.
5. Sistem mengakumulasikan total setiap periode pembayaran dari cek karyawan yang diproses dan
mendebet akun buku besar beban gaji untuk jumlah total.
6. Setiap periode pembayaran, petugas akuntansi penggajian menghitung jumlah lembar waktu yang
diajukan oleh kepala departemen untuk diproses dan membandingkan totalnya dengan jumlah cek yang
dicetak oleh sistem untuk memastikan bahwa setiap lembar waktu memiliki cek.
7. Untuk personel pabrik, sistem penggajian mencocokan nomor ID karyawan dengan nomor ID yang
tercantum pada tiket penetapan biaya pekerjaan sebagai tenaga kerja langsung per sistem akuntansi biaya.
Tujuan rekonsiliasi adalah untuk memverifikasi bahwa jumlah yang dibayarkan kepada setiap karyawan
sesuai dengan jumlah yang dibebankan pada produksi selama periode waktu tersebut.
8. Sistem menghasilkan daftar berdasarkan nama karyawan dari cek yang diproses. Kepala departemen
meninjau daftar ini untuk memastikan bahwa setiap karyawan benar-benar bekerja selama periode
pembayaran.
9. Berdasarkan pengujian, personel akuntansi penggajian mendapatkan daftar tarif gaji dan dengan
menyimpan informasi untuk sampel karyawan dari sumber daya manusia untuk menghitung ulang gaji
kotor dan bersih.
10. Sistem secara otomatis menolak memproses gaji pegawai jika jam yang diinput melebihi 160 jam untuk
masa gaji 2 minggu.
Untuk setiap kontrol: diperlukan
A. Identifikasi apakah kontrol tersebut adalah kontrol aplikasi otomatis (AC) atau kontrol manual yang
dilakukan oleh karyawan Gilman (MC).
B. Identifikasi tujuan audit terkait transaksi yang dipengaruhi oleh pengendalian. C. Identifikasi
kontrol mana, jika diuji dalam audit dua tahun terakhir sebelumnya, yang tidak perlu diuji ulang pada tahun
berjalan, dengan asumsi ada kontrol umum TI yang efektif dan tidak ada perubahan pada kontrol yang
dicatat telah dibuat sejak pengujian auditor selesai.
12-30 (Tujuan 12-2, 12-4, 12-7) Parts for Wheels, Inc., secara historis menjual suku cadang mobil langsung ke
konsumen melalui toko ritelnya. Karena tekanan persaingan, Parts for Wheels memasang sistem penjualan
berbasis Internet yang memungkinkan pelanggan melakukan pemesanan melalui situs Web perusahaan.
Perusahaan menyewa konsultan desain situs web luar untuk membuat sistem penjualan karena personel TI
perusahaan tidak memiliki pengalaman yang diperlukan.
Pelanggan menggunakan tautan ke daftar suku cadang inventaris di situs Web untuk melihat deskripsi dan
harga produk. Daftar suku cadang inventaris diperbarui setiap minggu. Untuk membuat sistem online dengan
cepat, manajemen memutuskan untuk tidak menghubungkan sistem pesanan dengan sistem akuntansi
penjualan dan persediaan. Pelanggan melakukan pemesanan produk melalui sistem online dan memberikan
informasi kartu kredit untuk pembayaran. Setiap hari, pegawai departemen akuntansi mencetak pesanan yang
dikirimkan dari sistem online. Setelah otorisasi kredit diverifikasi dengan agen kartu kredit, departemen akuntansi
memasukkan penjualan ke dalam jurnal penjualan. Departemen akuntansi kemudian mengirimkan salinan
pesanan ke personel gudang, yang memproses pengiriman. Sistem inventaris diperbarui berdasarkan informasi
bill of lading yang diteruskan ke akunting setelah pengapalan.

Pelanggan dapat mengembalikan suku cadang untuk mendapatkan pengembalian dana penuh jika dikembalikan dalam waktu 30 hari
setelah mengirimkan pesanan secara online. Perusahaan setuju untuk mengembalikan biaya pengiriman yang dikeluarkan oleh pelanggan
untuk barang yang dikembalikan.
diperlukan A. Jelaskan kekurangan dalam sistem penjualan online Parts for Wheels yang mungkin mengarah pada jodoh
salah saji nyata dalam laporan keuangan.
B. Identifikasi perubahan dalam prosedur manual yang dapat dilakukan untuk meminimalkan risiko, dengan
keluar harus memprogram ulang sistem online saat ini.
C. Apa tujuan audit terkait transaksi dan saldo yang paling diperhatikan oleh auditor berdasarkan proses yang
ada saat ini? D. Jelaskan bagaimana auditor dapat menggunakan perangkat
lunak audit umum untuk mengatasi masalah yang diidentifikasi di bagian c.
12-31 (Tujuan 12-3) Berdasarkan analisis biaya-manfaat, manajemen di First Community Bank memutuskan
untuk mengontrak Technology Solutions, operator pusat data lokal, untuk menampung semua aplikasi pelaporan
keuangan bank. Untuk menghindari biaya yang signifikan dalam mengembangkan dan memelihara pusat datanya
sendiri, First Community mengadakan kontrak dengan Technology Solutions untuk menyediakan akses server TI
di fasilitas pusat data yang sangat aman dan terkendali lingkungan yang dimiliki oleh Technology Solutions. Mirip
dengan First Community, bisnis lain juga mengontrak Solusi Teknologi untuk menghosting aplikasi di pusat data
yang sama.
Bank terhubung langsung melalui jalur telekomunikasi yang sangat aman ke pusat data, yang memungkinkan
personel bank mengirimkan data ke dan dari pusat data seolah-olah pusat data tersebut dimiliki oleh First
Community. Dengan biaya bulanan, Solusi Teknologi mendukung perangkat keras server di lingkungan dengan
banyak kontrol cadangan jika daya terputus atau terjadi kegagalan perangkat keras lainnya. Personil Bank
bertanggung jawab untuk memilih dan memelihara semua perangkat lunak aplikasi yang dimuat di server Solusi
Teknologi, dan personel bank terpilih memiliki akses ke server tersebut yang terletak di pusat data Solusi
Teknologi. Personel bank memasukkan semua data, menjalankan aplikasi yang dihosting di Solusi Teknologi,
dan mengambil laporan yang meringkas pemrosesan semua transaksi bank.
diperlukan A. Risiko apa yang mungkin ditanggung First Community dengan pendekatan dukungan sistem TI ini? B.
Bagaimana penggunaan Solusi Teknologi berdampak pada internal Komunitas Pertama
kontrol?
C. Apa dampaknya, jika ada, ketergantungan pada Solusi Teknologi sebagai pro pusat data
yang Anda miliki tentang audit atas laporan keuangan First Community?
12-32 (Tujuan 12-3) Beds and Spreads, Inc., mengkhususkan diri pada perabot tempat tidur dan kamar mandi.
Sistem inventarisnya terhubung melalui Internet ke pemasok utama. Auditor mengidentifikasi pengendalian
internal berikut dalam siklus persediaan: 1. Komputer
melakukan pemesanan hanya ketika tingkat persediaan perpetual berada di bawah tingkat persediaan yang
ditentukan sebelumnya dalam file induk persediaan.
2. Manajer departemen penjualan dan pembelian meninjau poin pemesanan ulang inventaris setiap bulan
untuk kewajaran. Perubahan yang disetujui pada titik pemesanan ulang dimasukkan ke dalam file induk
oleh manajer departemen pembelian dan cetakan yang diperbarui dibuat untuk tinjauan akhir. Kedua
manajer memverifikasi bahwa semua perubahan telah dimasukkan dengan benar dan inisial cetakan akhir,
menunjukkan persetujuan akhir. Hasil cetak ini disimpan di departemen pembelian.
3. Komputer akan memulai pesanan pembelian hanya untuk nomor produk inventaris yang disimpan dalam
file induk inventaris.
4. Manajer departemen pembelian meninjau laporan pengecualian yang dihasilkan komputer
yang menyoroti pembelian mingguan yang melebihi $10.000 per vendor.
5. Petugas penjualan mengirimkan barang dagangan yang rusak di rak toko ke ruang penyimpanan belakang.
Manajer departemen penjualan memeriksa barang dagangan yang rusak setiap bulan dan menyiapkan
daftar yang menunjukkan perkiraan nilai sisa berdasarkan nomor produk. Departemen akuntansi
menggunakan daftar tersebut untuk menyiapkan penyesuaian bulanan terhadap nilai persediaan yang
tercatat. A. Pertimbangkan
diperlukan masing-masing kontrol sebelumnya secara terpisah. Identifikasi apakah kontrol adalah (n) (1) kontrol otomatis
yang disematkan dalam perangkat lunak komputer. (2) kontrol manual
dengan efektifitas berdasarkan informasi yang dihasilkan TI secara signifikan.

(3) pengendalian manual dengan efektivitas yang tidak terlalu bergantung pada TI yang dihasilkan
informasi.
B. Jelaskan bagaimana tingkat pengujian setiap kontrol akan terpengaruh di tahun-tahun berikutnya jika
kontrol umum efektif, khususnya kontrol atas perubahan program dan file induk.
12-33 (Tujuan 12-5) Standar Audit PCAOB No. 5, berjudul “Audit Pengendalian Internal Atas Pelaporan
Keuangan yang Terintegrasi dengan Audit atas Laporan Keuangan,” memberikan panduan bagi auditor dalam
melakukan audit terintegrasi. Kunjungi situs Web PCAOB (pcaobus.org) dan lihat tab “Standar”. Baca standar
auditing untuk menjawab pertanyaan-pertanyaan berikut.
A. Dalam situasi apa standar audit terintegrasi berlaku? B. Menurut standar, diperlukan
apa tujuan audit pengendalian internal atas pelaporan keuangan? Apa tujuan dilakukannya audit atas
laporan keuangan? C. Apa peran penilaian risiko yang berkaitan dengan audit pengendalian internal
atas pelaporan keuangan?
D. Bagaimana seharusnya auditor menentukan pengendalian mana yang

akan diuji? e. Bagaimana auditor menggunakan bukti yang diperoleh dalam audit atas laporan keuangan
ketika menyimpulkan efektivitas pengendalian internal atas pelaporan keuangan?
12-34 (Tujuan 12-5) Bagian 404(a) Sarbanes–Oxley Act mewajibkan manajemen perusahaan publik untuk
mengeluarkan laporan tentang pengendalian internal atas pelaporan keuangan (ICOFR) pada akhir tahun fiskal
perusahaan. Banyak perusahaan telah melaporkan bahwa ICOFR mereka beroperasi secara efektif, sementara
yang lain melaporkan bahwa kontrol tersebut tidak efektif dalam desain atau operasi.
1. Kunjungi situs Web SEC (www.sec.gov) dan cari formulir 10-K untuk Bob diperlukan
Evans Farms, Inc., untuk tahun fiskal yang berakhir pada 25 April 2014.
2. Temukan Laporan Tahunan Manajemen tentang Pengendalian Internal Atas Pelaporan Keuangan
untuk menjawab pertanyaan-pertanyaan
berikut: (a) Siapa yang bertanggung jawab untuk menetapkan dan menerapkan pengendalian internal
yang efektif? (b) Jenis pengendalian internal apa yang ditangani oleh
laporan tersebut? (c) Kerangka apa yang digunakan manajemen untuk mengevaluasi
pengendalian internalnya? (d) Apa kesimpulan manajemen tentang efektivitas operasi internal
kontrol?
(e) Informasi apa yang disediakan untuk membantu pembaca memahami mengapa manajemen
sampai pada kesimpulan itu?
(f) Perubahan apa, jika ada, yang telah dilakukan manajemen untuk meningkatkan pengendalian internal?
3. Temukan laporan kantor akuntan publik terdaftar independen. Informasi apa, jika ada, yang diberikan
oleh firma audit tentang evaluasinya atas pengendalian internal atas pelaporan keuangan?
kasus
12-35 (Tujuan 12-2, 12-3) Departemen teknologi informasi (TI) di Jacobsons, Inc., terdiri dari delapan
karyawan, termasuk Manajer TI, Melinda Cullen. Cullen bertanggung jawab atas pengawasan harian fungsi TI
dan melapor kepada chief operating officer (COO) Jacobsons. COO adalah wakil presiden senior yang
bertanggung jawab atas keseluruhan operasi ritel yang melapor langsung kepada presiden dan chief executive
officer. COO menghadiri rapat dewan direksi untuk memberikan pembaruan tentang masalah kinerja operasi
utama. Karena Cullen berperan aktif dalam mengelola departemen TI, COO jarang membahas masalah TI
dengan dewan direksi atau CEO. Cullen dan COO mengidentifikasi kebutuhan perangkat keras dan perangkat
lunak dan berwenang untuk menyetujui pembelian tersebut.
Selain Cullen, departemen TI terdiri dari tujuh orang lainnya: tiga pemrogram, tiga operator, dan satu
petugas kontrol data. Cullen telah dipekerjakan oleh Jacobsons selama 12 tahun, meniti karir melalui berbagai
posisi di departemen tersebut.
Untungnya, dia mampu mempertahankan staf yang cukup stabil dan mengalami perputaran yang minimal.
Semua personel TI telah bekerja di posisi mereka saat ini sejak pertengahan 2009.

Saat mempekerjakan personel, Cullen melakukan pemeriksaan latar belakang yang ekstensif terhadap
calon karyawan, termasuk referensi, kredit, dan pemeriksaan kriminal. Cullen telah mengembangkan
kepercayaan dengan setiap karyawan dan, sebagai hasilnya, mendelegasikan secara ekstensif kepada
setiap individu. Ini sangat bermanfaat karena Cullen menghabiskan sebagian besar waktunya bekerja
dengan departemen pengguna dalam peran analis sistem, mengidentifikasi perubahan yang diperlukan
untuk aplikasi yang ada. Dia melakukan pertemuan departemen TI mingguan pada Selasa pagi. Setiap
anggota staf hadir, termasuk operator malam, untuk membahas masalah yang memengaruhi kinerja departemen.
Tiga programmer bertanggung jawab untuk memelihara dan memperbarui sistem dan perangkat lunak
aplikasi. Pemrogram utama bertanggung jawab untuk menugaskan tugas di antara staf pemrograman.
Ketiga pemrogram memiliki pengalaman yang luas dengan perangkat lunak pengoperasian, utilitas,
keamanan, dan pustaka serta semua paket perangkat lunak aplikasi Jacobsons. Penugasan pemrograman
dibuat berdasarkan siapa yang paling tidak sibuk di antara staf pemrograman pada saat itu. Metode
manajemen ini membuat semua pemrogram terbiasa dengan sebagian besar paket perangkat lunak yang
digunakan di Jacobsons dan membuat pemrogram bersemangat tentang tugas pekerjaan karena beragam
tugas yang mereka terima. Cullen mendorong setiap pembuat program untuk mengambil kursus pendidikan
berkelanjutan agar tetap mengikuti perkembangan teknis terkini. Selain tanggung jawab pemrograman,
staf pemrograman memelihara perpustakaan program dan kaset data, yang terletak di ruang terkunci di
dekatnya. Staf pemograman menyimpan log ekstensif penggunaan tape dan perubahan yang dilakukan
pada file program.
Ketiga operator tersebut terdiri dari operator siang dan operator dua malam. Sebagian besar aplikasi
didasarkan pada penginputan online dari berbagai departemen pengguna untuk pemrosesan batch dalam
semalam. Dengan demikian, volume pemrosesan terberat terjadi selama shift malam, meskipun ada
beberapa pemrosesan aplikasi penggajian dan buku besar di siang hari. Semua operator bertanggung
jawab untuk memantau pengoperasian peralatan dan mengoreksi kesalahan yang disebabkan oleh sistem.
Selain itu, mereka melakukan prosedur pencadangan bulanan rutin. Operator komputer memiliki pengalaman
pemrograman dengan bahasa program yang digunakan dalam program aplikasi. Kadang-kadang, ketika
perubahan kecil diidentifikasi untuk program aplikasi, Cullen meminta operator shift siang untuk
mengimplementasikan perubahan itu untuk menghindari beban berlebih pada staf pemrograman.
Operator mengikuti jadwal produksi yang disiapkan oleh Cullen, yang berkonsultasi dengan departemen
pengguna untuk menyusun jadwal. Operator shift siang meninjau log pekerjaan yang diproses (yang secara
kronologis merinci pekerjaan yang diproses) yang dihasilkan pada akhir shift malam sebelumnya untuk
penyimpangan dari jadwal, dan operator shift malam utama meninjau log yang diproses pekerjaan yang
dihasilkan pada akhir jam kerja. shift hari sebelumnya untuk penyimpangan dari jadwal. Jika pekerjaan yang
diproses sesuai dengan jadwal pekerjaan, log pekerjaan yang diproses akan dibuang. Ketika ada
penyimpangan, operator yang melakukan peninjauan meninggalkan salinan untuk Cullen, menyoroti
penyimpangan tersebut. Sebelum melakukan pekerjaan pemrosesan batch, operator membuat laporan
daftar input yang meringkas jumlah entri input online yang dikirimkan pada siang hari untuk diproses. Jumlah
ini dicatat dan kemudian dibandingkan oleh operator dengan keluaran komputer yang dihasilkan setelah
pemrosesan batch dan pembaruan file terjadi. Ini memberikan angka cek dari jumlah transaksi yang
diproses. Ketika angkanya cocok, output diserahkan ke petugas kontrol data. Ketika jumlahnya tidak sesuai,
operator mengidentifikasi kesalahan dan mengirimkan kembali aplikasi untuk diproses.
Petugas kontrol data menyusun semua keluaran komputer, termasuk laporan keluaran dan daftar
pengecualian. Petugas kontrol data meninjau laporan pengecualian dan menyiapkan formulir koreksi untuk
diproses ulang. Contoh perubahan yang mungkin dilakukan petugas kontrol data termasuk mengoreksi
kesalahan input (misalnya, jumlah yang tidak sengaja dialihkan) dan menyiapkan formulir permintaan
perubahan untuk perubahan pada file induk yang ada (contohnya termasuk merevisi daftar harga penjualan
dan nomor produk inventaris dalam file induk penjualan dan menambahkan nama, alamat, dan nomor
Jaminan Sosial karyawan baru ke file induk penggajian).
Setelah semua koreksi dilakukan, petugas kontrol data mendistribusikan semua keluaran komputer ke
berbagai departemen pengguna. Departemen pengguna sangat menghargai staf TI. Laporan keluaran
direkonsiliasi dengan laporan masukan oleh pengguna berdasarkan pengujian triwulanan.
diperlukan Anda adalah auditor senior yang ditugaskan untuk mengaudit Jacobsons. Mitra audit telah meminta Anda
untuk membantu dalam melakukan tinjauan kontrol umum TI. Mitra telah meminta Anda untuk meninjau
informasi naratif ini dan menanggapi pertanyaan-pertanyaan berikut:

1. Kendali dan kekurangan apa yang ada dalam jalur pelaporan dari TI ke manajemen senior? Jika Anda
mencatat ada kekurangan, berikan rekomendasi yang bisa disertakan dalam management letter.
2. Apa penilaian Anda tentang bagaimana Melinda Cullen memenuhi tanggung jawab manajemen TI-
nya? Identifikasi tugas yang dia lakukan yang memperkuat departemen. Manakah dari tugasnya yang
membuat Anda khawatir? Perubahan apa dalam tanggung jawabnya sehari-hari yang akan Anda buat?
3. Apa penilaian Anda terhadap fungsi pemrograman di Jacobsons? Apa kekuatannya? Apa
kekurangannya? Membuat rekomendasi untuk perbaikan.
4. Apa penilaian Anda terhadap fungsi operasi TI di Jacobsons? Apa kekuatannya? Apa kekurangannya?
Membuat rekomendasi untuk perbaikan.
5. Apa penilaian Anda terhadap fungsi kontrol data di Jacobsons? Apa kekuatannya? Apa kekurangannya?
Membuat rekomendasi untuk perbaikan.
6. Membuat rekomendasi untuk meningkatkan kontrol atas keterlibatan pengguna.
acl Masalah
12-36 (Tujuan 12-7) Masalah ini memerlukan penggunaan perangkat lunak ACL, yang dapat diakses
melalui situs Web buku teks. Informasi tentang pengunduhan dan penggunaan ACL dan perintah yang
digunakan dalam soal ini juga dapat ditemukan di situs Web buku teks. Anda harus membaca semua bahan
referensi sebelum instruksi tentang “Quick Sort” sebelum menemukan perintah yang tepat untuk menjawab
bagian a. melalui f. Untuk masalah ini, gunakan file berlabel “Purchase_Orders” di subfolder
“Acquisitions_Payment” dari proyek ACL_Rockwood. Perintah yang disarankan atau sumber informasi lain
yang diperlukan untuk menyelesaikan persyaratan masalah disertakan di akhir setiap pertanyaan.
A. Tentukan jumlah total semua pembelian (Total). B. Untuk lebih

memahami aktivitas pembelian, stratifikasi dan cetak pembelian berdasarkan jumlah pembelian. Gunakan
$100 sebagai nilai minimum dan $100.000 sebagai nilai maksimum, dan buat 10 strata. Lapisan
mana yang menyumbang jumlah pembelian terbesar? (Stratifikasi) c. Tentukan apakah ada
duplikat atau nomor pesanan pembelian yang hilang dalam file.
Nyatakan masalah audit Anda dengan celah atau duplikat apa pun. Berikan penjelasan yang mungkin
untuk celah atau duplikat yang Anda temukan. (Kesenjangan dan Duplikat)
d. Berapa banyak pesanan pembelian terkait dengan pembelian yang tidak memiliki daftar permintaan
(berdasarkan kolom Nomor Permintaan)? Berapa jumlah dolar total pembelian yang dilakukan tanpa
permintaan? (Meringkaskan). Nyatakan kekhawatiran audit Anda terkait dengan pembelian tanpa
permintaan.
e. Tentukan dan cetak persentase total pembelian berdasarkan nomor vendor. Apakah ada vendor yang
menyumbang lebih dari 5% dari total pembelian? (Klasifikasikan dan Sortir Cepat). F.
Rockwood memerlukan persetujuan kedua untuk semua pembelian yang melebihi $100.000. Pilih semua
pembelian yang lebih besar dari $100.000 dan cetak daftar untuk pengujian tindak lanjut atas
persetujuan yang tepat. (Saring)
APLIKASI KASUS TERINTEGRASI—

Manufaktur puncak: Bagian iv
12-37 (Tujuan 12-1, 12-2) Dalam Bagian I dan II kasus ini, Anda melakukan prosedur analitis pendahuluan
dan menilai risiko audit yang dapat diterima dan risiko bawaan untuk Pinnacle Manufacturing. Di Bagian III,
Anda mempertimbangkan risiko penipuan. Tim Anda telah diberi tanggung jawab untuk mengaudit siklus
akuisisi dan pembayaran dan satu akun neraca terkait, hutang dagang. Pendekatan umum yang akan
diambil adalah mengurangi penilaian risiko pengendalian ke tingkat yang rendah, jika mungkin, untuk dua
jenis transaksi utama yang mempengaruhi utang usaha: akuisisi dan pengeluaran kas. Berikut ini disajikan
sebagai informasi latar belakang: •Ringkasan informasi penting dari audit siklus akuisisi dan pembayaran
serta utang usaha pada tahun
sebelumnya, yang diambil dari file audit firma audit sebelumnya (Gambar 12-12, hal. 406 )

Gambar 12-12 Informasi Audit Hutang Usaha — Tahun Sebelumnya
Hutang dagang, 31-12-15

Jumlah akun 452
Total hutang dagang $9.460.776
Kisaran saldo individu $33,27–$677.632,97
Materialitas kinerja untuk hutang dagang $230.000
Transaksi, 2015
Akuisisi:
Jumlah akuisisi 16.243
Total akuisisi $92.883.712
Pengeluaran tunai: ÿÿ
Jumlah pencairan 23.661

Jumlah pengeluaran kas $87.280.031
Hasil prosedur audit—pengujian pengendalian dan pengujian substantif transaksi

untuk akuisisi (ukuran sampel 100):
Pesanan pembelian tidak disetujui 1
Kuantitas pembelian, harga, dan/atau ekstensi tidak benar 1
Transaksi dibebankan ke rekening buku besar yang salah 2

Transaksi dicatat dalam periode yang salah 1
Tidak ada pengecualian lain
Hasil prosedur audit—pengeluaran kas (ukuran sampel 100):

Pengeluaran kas dicatat pada periode yang salah 2
Tidak ada pengecualian lain
Hasil prosedur audit—hutang dagang: (50% dari saldo

vendor telah diverifikasi; jumlah pengurangan bersih gabungan
diproyeksikan ke populasi sebagai berikut):
Tiga pernyataan yang salah $52.349
Satu perbedaan jumlah karena perselisihan dan diskonto Tidak $9.552
diperlukan penyesuaian karena total salah saji yang diproyeksikan tidak material.
•Deskripsi diagram alir sistem akuntansi dan pengendalian internal untuk siklus akuisisi dan
pembayaran (Gambar 12-13)—diagram alir tersebut menunjukkan bahwa meskipun masing-
masing dari tiga divisi perusahaan memiliki departemen penerimaannya sendiri, fungsi
pembelian dan hutang dagang terpusat
Tujuan Bagian IV adalah untuk memperoleh pemahaman tentang pengendalian internal dan menilai
risiko pengendalian untuk transaksi akuisisi dan pengeluaran kas Pinnacle Manufacturing.
A. Biasakan diri Anda dengan sistem pengendalian internal untuk akuisisi dan pengeluaran kas
dengan mempelajari informasi pada Gambar 12-12 dan Gambar 12-13. B. Siapkan
matriks risiko pengendalian untuk akuisisi dan matriks terpisah untuk pengeluaran kas
menggunakan Gambar 12-3 di halaman 373 sebagai panduan. Matriks risiko kontrol yang
telah diformat tersedia secara online. Tujuan tersebut harus berupa tujuan audit khusus
terkait transaksi untuk akuisisi matriks pertama dan pengeluaran kas untuk matriks kedua.
Lihat halaman 611–615 di Bab 18 untuk tujuan audit terkait transaksi untuk akuisisi dan
pengeluaran kas. Dalam mengerjakan Bagian IV, disarankan langkah-langkah berikut:
(1) Kontrol
a. Identifikasi kontrol utama untuk akuisisi dan pengeluaran kas. Setelah Anda memutuskan
kontrol kunci, sertakan setiap kontrol di salah satu dari dua matriks. B. Sertakan
"C" dalam matriks di setiap kolom untuk tujuan yang diterapkan setiap kontrol. Beberapa
kontrol harus memenuhi beberapa tujuan.

Figure 12- 13 Manufaktur Puncak — Siklus Akuisisi dan Pembayaran
TERPUSAT AKUN UANG TUNAI
PEMBELIAN MENERIMA DIBAYAR PENCAIRAN

DEPARTEMEN DEPARTEMEN STAF STAF
Siapkan pesanan Review paket

pembelian
Menerima Menerima dokumen
dari dan memeriksa faktur untuk kelengkapan,
permintaan vendor
barang inisial, dan tanggal
yang disetujui; penulisan pada invoice
PO disetujui oleh supervisor
Menerima INV Masukkan

Pembelian
laporan kunci dan proses uang tunai
memesan
data transaksi
RR RR
PO pencairan
PO
REQ
REQ
File Paket
transaksi dokumen
1 Cocokkan dokumen pengeluaran
voucher
Untuk penjual Periksa harga uang tunai
Periksa ekstensi
Hitung diskon
Siapkan voucher 2
Mencetak laporan
Catatan tentang kontrol

Masukkan
•
Bagan akun — perusahaan menggunakan dan proses
bagan akun terperinci yang memadai. data jurnal
• Dokumen yang diberi nomor sebelumnya—semua dokumen transaksi pembelian pengeluaran kas
ditampilkan diberi nomor sebelumnya.
Mereka dipertanggungjawabkan oleh fungsi
Memeriksa
selain penyusun. File Voucher
• dokumen
Rekonsiliasi bank—dilakukan setiap bulan oleh transaksi
bendahara. pembelian kemasan*
• Memperbarui
Prosedur diterapkan setiap hari. Backlog ke penjual;
akun
diselesaikan segera dengan mengotorisasi lembur. tertanda oleh
• file induk
bendahara
Total file induk utang usaha direkonsiliasi ke
yang harus dibayar
total buku besar bulanan. Mencetak
(dukungan ulasan)
laporan
File induk
Deskripsi file 1.
utang
Kronologis
jurnal akuisisi usaha
2. Numerik
*Termasuk voucher, faktur vendor, laporan penerimaan, pesanan pembelian, dan daftar permintaan pembelian.
(2) Kekurangan
a. Mengidentifikasi kekurangan utama untuk akuisisi dan pengeluaran kas. Setelah Anda
menentukan kekurangannya, cantumkan setiap kekurangan di bagian bawah salah satu
dari dua matriks.
B. Sertakan "D" dalam matriks di setiap kolom untuk tujuan masing-masing
defisiensi kontrol berlaku.
(3) Menilai risiko pengendalian sebagai tinggi, sedang, atau rendah untuk setiap tujuan
menggunakan penilaian terbaik Anda. Lakukan ini untuk matriks akuisisi dan pengeluaran kas.

Auditing Chapter 12 B.indo

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Auditing Chapter 12 B.indo

Diunggah oleh

Hak Cipta:

Format Tersedia

Machine Translated by Google www.freebookslides.

Menilai risiko Pengendalian Bab

Dan melaporkan Pengendalian

pemahaman tentang pengendalian

pengendalian berdampak pada risiko

Memperoleh dan mendokumentasikan pemahaman

pemahaman tentang pengendalian internal.

Memahami pengendalian internal

Gambar 12-1 Proses untuk Memahami Pengendalian Internal dan

Dapatkan dan dokumentasikan

Langkah 2 Menilai risiko pengendalian

368 Bagian 2 / Proses Audit

harus dijelaskan. dan mengevaluasi

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 369

Gambar 12-2 Kuesioner Kontrol Internal Parsial untuk Penjualan

Klien Hillsburg Hardware Co. 30/9/16 Tanggal Audit 12/31/16

Auditor MSW Tanggal Selesai Diperiksa oleh FR Tanggal Selesai 10/1/16

Tujuan (kotak putih) dan Pertanyaan Menjawab Perkataan

A. Penjualan yang tercatat adalah untuk pengiriman yang benar-

3. Apakah ada pemisahan tugas yang memadai antara

pengujian substantif yang diperlukan.

1. Apakah catatan pengiriman dipelihara?

3. Apakah dokumen pengiriman sudah diberi nomor dan

C. Penjualan yang dicatat adalah sebesar jumlah barang

1. Apakah ada perbandingan kuantitas yang independen pada

D. Transaksi penjualan dimasukkan dengan benar ke dalam file

1. Apakah komputer secara otomatis memposting

E. Transaksi penjualan yang dicatat diklasifikasikan

370 Bagian 2 / Proses Audit

menilai risiko pengendalian

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 371

372 Bagian 2 / Proses Audit

TUJUAN AUDIT TERKAIT TRANSAKSI PENJUALAN

Kredit disetujui secara otomatis oleh komputer C

Pencatatan penjualan didukung oleh dokumen pengiriman C C

Pemisahan tugas ada antara penagihan, pencatatan penjualan, C C C

Dokumen pengiriman diteruskan ke penagihan setiap hari dan ditagih C C

Dokumen pengiriman diberi nomor sebelumnya dan dihitung C C

Jumlah batch jumlah yang dikirimkan dibandingkan dengan jumlah C C C

Transaksi penjualan diverifikasi secara internal (C8). C

Laporan dikirimkan ke pelanggan setiap bulan (C9). C C C

Komputer secara otomatis memposting transaksi ke catatan C

File induk piutang dagang direkonsiliasi ke buku besar secara C

Kurangnya verifikasi internal terhadap kemungkinan faktur penjualan D

Ada kurangnya kontrol untuk menguji perekaman tepat waktu (D2). D

*Karena tidak ada penjualan tunai, klasifikasi tidak menjadi masalah.

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 373

374 Bagian 2 / Proses Audit

Gambar 12-4 Mengevaluasi Kekurangan Kontrol yang Signifikan

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 375

Gambar 12-5 Kekurangan dalam Pengendalian Internal

Klien Hillsburg Perangkat Keras Co. Jadwal P-3

Kekurangan dalam Pengendalian Internal JR

Penjualan dan Pengumpulan Periode 12/31/16

Kompensasi Potensi Terserah

faktur penjualan duplikat materi untuk mencari

2. Tidak ada Tak tertandingi dan T/A T/A T/A

376 Bagian 2 / Proses Audit

1. Tanyakan kepada personel klien yang sesuai. Meskipun penyelidikan bukanlah

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 377

378 Bagian 2 / Proses Audit

Bab 12 / Menilai Risiko Pengendalian Dan Melaporkan Pengendalian Internal 379

Tabel 12-1 Hubungan Assesed Control Risk dan