Salinan Terjemahan BAB 8 AUDIT

BAB 8
Eksekusi audit —
pengujian pengendalian
TUJUAN PEMBELAJARAN
Setelah mempelajari bab ini Anda seharusnya mampu:

8.1 menjelaskan berbagai jenis pengendalian
8.2 membandingkan berbagai teknik untuk pengujian pengendalian
8.3 menjelaskan cara memilih dan merancang pengujian pengendalian
8.4 membandingkan dan membedakan hasil pengujian pengendalian
8.5 menjelaskan cara mendokumentasikan pengujian pengendalian.
STANDAR AUDIT DAN ASURANSI
INTERNASIONAL AUSTRALIA
Dokumentasi Audit ASA 230 Dokumentasi Audit ISA 230

ISA 260 Komunikasi dengan Pihak yang
ASA 260 Komunikasi dengan Pihak yang Bertanggung Jawab atas Tata Kelola
Bertanggung Jawab atas Tata Kelola
ISA 315 Mengidentifikasi dan Menilai Risiko Salah Saji
ASA 315 Mengidentifikasi dan Menilai Risiko Material melalui Pemahaman Entitas dan
Salah Saji Material melalui Pemahaman Entitas Lingkungannya
dan Lingkungannya
Keputusan penerimaan/kelanjutan klien

Bab 2
Tugas beresiko
Bab 3 & 4
Identifikasi yang signifikan
Dapatkan pemahaman tentang klien rekening dan transaksiTetapkan materialitas

perencanaan
Ikhtisar proses audit
Bab 1
mungkin salah Mengembangkan strategi
Dapatkan pemahaman audit
tentang pengendalian
internal utama
Identifikasi apa yang
Memperoleh pemahaman tentang sistem pengendalian internal klien

Bab 6
Dia
5
N
Dia
R
D
Dia
Ikhtisar respon risiko

Saya
T
di dalam
P
Dia
Bab 7 T
H
Saya
D
C
di dalam
Mengontrol strategi
Bab 8
Pengambilan sampel
audit
Bab 7
Penutup dan
pelaporan Bab 12
Strategi substantif
Bab 9–11
Acara selanjutnya
identifikasiPelaporan Kesimpulan
268 Audit: Pendekatan Praktis
AWAN 9
Cloud 9 Pty Ltd (Cloud 9) memiliki pengendalian internal yang efektif di tingkat entitas. Sharon
Gallagher, manajer audit, yakin bahwa jika dipertimbangkan pada tingkat tinggi, perusahaan
mempunyai lingkungan di mana potensi salah saji dapat dicegah atau dideteksi. Sharon telah
menginstruksikan tim audit untuk mengalihkan perhatiannya untuk mempertimbangkan pengendalian
di tingkat transaksi.
Josh dan kelompoknya memulai dengan mendokumentasikan berbagai proses akuntansi di
Cloud 9. Untuk setiap proses, mereka mengidentifikasi potensi salah saji yang dapat terjadi. Dengan
kata lain, mereka membuat daftar kemungkinan masalah pada area utama akun. Masalah-masalah
yang mungkin terjadi ini biasanya disebut dalam perusahaan audit sebagai WCGWs (“apa yang bisa
salah”). Kemudian, untuk setiap WCGW, mereka mengidentifikasi asersi laporan keuangan yang
akan terpengaruh.
Weijing Fei, anggota baru kelompok Josh, membutuhkan bantuan. Josh memintanya untuk
mengidentifikasi kontrol yang digunakan Cloud 9 untuk mencegah atau mendeteksi jenis salah saji yang
telah mereka identifikasi sejauh ini. Weijing tidak memahami perbedaan antara pengendalian
pencegahan dan deteksi. Selain itu, Josh memberi tahu Weijing bahwa dia membutuhkan hasil
pekerjaannya agar dia dapat merancang pengujian kontrol untuk Cloud 9. Dia ingin memfokuskan
pengujian pada kontrol penting. Weijing bingung. Dia berpendapat bahwa pendekatan risiko
pengendalian yang dinilai lebih rendah dalam suatu audit mengharuskan auditor untuk menguji semua
pengendalian. Bagaimana mereka bisa membenarkan pengujian hanya pada beberapa kontrol? Apa saja
pengendalian kritisnya?
Proses audit menjadi fokus

Seperti yang dibahas dalam bab 4, penilaian risiko audit melibatkan penilaian risiko bawaan dan risiko
pengendalian, lalu menetapkan risiko deteksi untuk setiap akun dan asersi signifikan. Penilaian risiko
pengendalian dilakukan pada sistem pengendalian internal klien (lihat bab 4 dan 6). Auditor tertarik pada
apakah kliennya mempunyai pengendalian yang dirancang untuk meminimalkan risiko kesalahan
penyajian material untuk setiap akun signifikan dan asersi signifikan terkait. Pengendalian ditetapkan
pada tingkat entitas dan juga pada tingkat transaksi. Pengendalian tingkat entitas telah dijelaskan secara
rinci di Bab 6. Meskipun penting untuk memahami (dan mendokumentasikan) pengendalian tingkat
entitas dalam suatu organisasi, pengendalian tersebut sangat jarang, jika pernah, cukup sensitif untuk
mencegah atau mendeteksi terjadinya salah saji material. . Selain itu, pengendalian ini sering kali
merupakan jenis pengendalian yang sangat sulit untuk diuji atau diperoleh bukti bahwa pengendalian
tersebut ada. Misalnya, kita dapat menguji efektivitas fungsi audit internal, namun akan sangat sulit
menguji ‘nada’ manajemen. Karena alasan inilah pengendalian tingkat entitas jarang diuji. Sebaliknya,
auditor berfokus pada pengujian pengendalian yang beroperasi pada tingkat yang jauh lebih rendah dan
memiliki peluang terbaik untuk mencegah terjadinya kesalahan dalam transaksi, atau mendeteksi adanya
kesalahan. Ini disebut sebagai kontrol tingkat transaksi.
Ketika risiko pengendalian dinilai rendah, auditor telah menentukan bahwa terdapat pengendalian yang
akan mereka uji. Hal ini akan memberikan bukti bahwa pengendalian yang diterapkan oleh organisasi
dirancang dan diterapkan dengan benar untuk mencegah terjadinya salah saji material, atau untuk
mendeteksi bahwa kesalahan penyajian tersebut telah terjadi dan kemudian memperbaiki salah saji
tersebut pada waktu yang tepat. Artinya, ketika risiko pengendalian dinilai rendah, maka tepat untuk
menguji pengendalian. Hal ini kemudian akan mengurangi kebutuhan untuk melakukan pengujian
substantif dalam jumlah besar. Artinya, ketika risiko pengendalian menurun, risiko deteksi meningkat
dan oleh karena itu jumlah pengujian substantif menurun. Ketika risiko pengendalian dinilai rendah,
strategi auditnya adalah menguji pengendalian tersebut dan mengurangi kebutuhan untuk melakukan
pengujian substantif terperinci dalam jumlah besar.
Ketika auditor memutuskan untuk memasukkan pengujian pengendalian dalam strategi auditnya,
mereka memilih pengendalian yang akan menghasilkan audit yang paling efisien dan efektif (yaitu,
memberikan jaminan yang diperlukan agar pengendalian tersebut berfungsi). Mereka juga hanya menguji
kontrol-kontrol yang mereka yakini penting bagi opini mereka. Artinya, mereka memilih pengendalian
yang cukup luas dan sensitif untuk memberikan keyakinan yang masuk akal bahwa pengendalian tersebut
beroperasi secara efektif sepanjang periode ketergantungan (yaitu, periode pelaporan).
Memutuskan pengendalian mana yang akan diuji akan dipengaruhi oleh jenis pengendalian, frekuensi
pelaksanaan pengendalian, dan tingkat keyakinan yang ingin diperoleh auditor dari pengendalian yang
dirancang dan diterapkan secara efektif.
BAB 8Eksekusi audit — pengujian pengendalian 269

Ada banyak teknik yang tersedia untuk menguji pengendalian yang diidentifikasi ketika merencanakan
audit, dan dalam bab ini kami akan memberikan gambaran umum tentang beberapa teknik pengujian
yang lebih umum. Ikhtisar ini akan mencakup contoh sejauh mana pengujian pengendalian harus
dilakukan (bergantung pada jenis pengendalian yang diuji) dan bagaimana cakupan pengujian ini akan
memengaruhi tingkat keyakinan yang kami peroleh terhadap kesimpulan (opini) audit secara
keseluruhan.
Terakhir, kita akan membahas tanggapan auditor terhadap setiap pengecualian atau kesalahan yang
ditemukan dalam pengujian pengendaliannya serta bagaimana mendokumentasikan hasil pengujiannya.
Dalam pembahasan hasil, kami juga akan menyertakan contoh bagaimana dampaknya terhadap penilaian
risiko secara keseluruhan dan prosedur audit substantif yang dilakukan.
8.1 Jenis kontrol

TUJUAN BELAJAR 8.1 Menjelaskan berbagai jenis pengendalian.
Seperti yang dijelaskan di atas dan di bab 6, ada dua jenis internalkontrol:pengendalian tingkat
entitasDankontrol tingkat transaksi. Bab ini akan fokus pada pengendalian tingkat transaksi.
Pengendalian tingkat transaksi berhubungan dengan salah satu dari lima komponen tingkat
entitaspengendalian internalsebagaimana diatur dalam ASA 315 (ISA 315)Mengidentifikasi dan
Menilai Risiko Salah Saji Material melalui Pemahaman Entitas dan Lingkungannya(yaitu, lingkungan
pengendalian, proses penilaian risiko klien, informasi dan komunikasi,kegiatan pengendaliandan
pemantauan). Pengendalian tingkat transaksi diterapkan oleh bisnis untuk mengurangi risiko salah saji
akibat kesalahan atau penipuan serta untuk memastikan bahwa proses beroperasi secara efektif di area di
mana manajemen mungkin tidak memiliki tingkat pengawasan pribadi yang akan mereka miliki jika
bisnis tersebut dikelola. lebih kecil. Pengendalian dapat mencakup prosedur apa pun yang digunakan dan
diandalkan oleh klien untuk mencegah terjadinya kesalahan selama pemrosesan transaksi, atau untuk
mendeteksi dan memperbaiki kesalahan yang mungkin terjadi dalam transaksi tersebut.
Pengendalian mempunyai dua tujuan utama: untuk mencegah atau mendeteksi salah saji dalam laporan
keuangan, atau untuk mendukung bagian otomatis bisnis dalam memfungsikan pengendalian yang ada.
Pengendalian pencegahan (juga disebut sebagai pengendalian pencegahan) adalah pengendalian yang
diterapkan pada setiap transaksi untuk menghentikan terjadinya penipuan atau kesalahan. Kontrol deteksi
(juga disebut sebagai kontrol deteksi) adalah kontrol yang diterapkan setelah trans
tindakan telah diproses untuk mengidentifikasi apakah telah terjadi penipuan atau kesalahan.
Konsep-konsep ini akan dijelaskan lebih rinci pada bagian 8.1.1.
Kontrol diklasifikasikan menjadi salah satu dari empat jenis:
1. panduan
2. otomatis (atau dikenal sebagai kontrol aplikasi)
3. pengendalian umum teknologi informasi (TI) (ITGC) (kontrol keseluruhan yang diterapkan untuk
mengelola perubahan pada aplikasi dan program, serta membatasi akses ke aplikasi tersebut hanya
untuk pengguna aplikasi TI yang sesuai)
4. kombinasi jenis pengendalian yang disebut sebagai pengendalian manual yang bergantung pada TI.
Gambar 8.1 mengilustrasikan jenis-jenis pengendalian dan keterkaitannya. Seperti yang juga
ditunjukkan pada gambar, setiap jenis pengendalian berpotensi menjadi pengendalian pencegahan atau
deteksi. Masing-masing jenis pengendalian ini dibahas lebih rinci di bagian 8.1.1.
Alasan pengklasifikasian pengendalian adalah untuk membantu auditor dalam memahami jenis risiko
yang ditangani oleh setiap pengendalian, bagaimana pengendalian menangani risiko tersebut, dan potensi
bukti audit yang disediakan oleh suatu pengendalian. Selain itu, klasifikasi membantu dalam
mempertimbangkan sifat, waktu, dan luas pengujian pengendalian serta dalam menentukan keterampilan
yang dibutuhkan untuk melakukan pengujian. Tidak penting apa label kontrol ini; yang penting adalah
apakah pengendalian tersebut dapat diuji, efektif, dan dapat diandalkan untuk memberikan bukti audit.
8.1.1 Mencegah dan mendeteksi pengendalian

Pengujian kontrol(ataumengontrol pengujian) adalah prosedur audit yang dilaksanakan untuk
menguji efektivitas operasi pengendalian dalam mencegah atau mendeteksi dan mengoreksi kesalahan
penyajian material pada tingkat asersi.

pengendalian
T
Dia
C
T
Dia
Dia
T
D
Dia
DIA T
T
bergantung N
N Manual Manual otomatis Dia
di dalam
kontrol
Dia
Dia
di dalam
R
Dia
P
R
GAMBAR 8.1Jenis
kontrolCegah
Kontrol umum TI
T
Kontrol pencegahan dapat diterapkan pada setiap transaksi selama pemrosesan normal untuk
menghindari terjadinya kesalahan. Mencegah kesalahan selama pemrosesan merupakan tujuan penting
dari setiap sistem akuntansi. Agar efektif, pengendalian atas transaksi idealnya mencakup pengendalian
pencegahan dan deteksi. Hal ini karena tanpa pengendalian pencegahan yang mendasarinya,
pengendalian deteksi mungkin tidak cukup sensitif untuk mengidentifikasi dan mengoreksi salah saji.
Konsep ini dibahas lebih lanjut di bagian deteksi kontrol di bawah.
Saat merancang pengendalian, pertimbangan diberikan pada apa yang mungkin salah dalam transaksi
(risiko salah saji material), yang dapat mengakibatkan kesalahan. Ini kadang-kadang disebut
sebagaiWCGW(apa yang bisa salah). Pengendalian yang efektif harus mencegah terjadinya WCGW
(mencegah pengendalian), atau, jika memang terjadi, memastikan bahwa kesalahan terdeteksi dan
diperbaiki secepat mungkin (mendeteksi pengendalian).
Tabel 8.1 menunjukkan contoh pengendalian pencegahan dan beberapa WCGW yang dirancang untuk
dicegah oleh setiap pengendalian.
TABEL 8.1 Contoh pengendalian pencegahan
Penegasan WCGW Mencegah pengendalian

Kejadian, akurasi pelanggan telah melampaui batas
Terjadi penjualan yang tidak dapat Program komputer tidak akan kreditnya.
diperoleh kembali. mengizinkan penjualan diproses jika
arsip pajak yang valid dengan arsip induk karyawan.
Karyawan fiktif dibayar.
Akurasi Faktur penjualan diberi harga secara otomatis
Penjualan dicatat dengan nilai yang salah. menggunakan informasi dalam file induk harga.
Transaksi adalah Klasifikasi Pengkodean akun pada setiap pesanan

diklasifikasikan dan dikodekan ke akun yang salah. pembelian diperiksa oleh komputer ke tabel nomor akun
Jumlah Kejadian tidak dapat dibayarkan kepada yang valid, dan kemudian berbagai tes logika dilakukan
karyawan tanpa terlebih dahulu mencocokkan nomor oleh komputer.

Pengendalian pencegahan tidak selalu memiliki bukti fisik yang menunjukkan apakah pengendalian
telah dilakukan, siapa yang melakukannya, atau seberapa baik pengendalian tersebut dilakukan. Dalam
kasus lain, mungkin terdapat bukti bahwa pengendalian telah dilakukan, namun bukti mengenai
efektivitas pengendalian mungkin tidak tersedia. Misalnya, sifat tanda tangan barang di dalam anggota
staf pada map pengiriman atau bill of lading menunjukkan bahwa penandatangan setuju bahwa stok
secara fisik diterima di gudang tetapi tidak menjamin bahwa orang tersebut telah memeriksanya dengan
cermat atau bahwa mereka menyetujuinya. jumlah setiap item pada map pengiriman. Dokumentasi
tersebut mungkin ditandatangani hanya berdasarkan pandangan sekilas atau tanpa peninjauan sama
sekali. Dengan demikian, barang yang dicatat mungkin tidak ada, kelebihan barang mungkin sudah
diterima tetapi tidak dicatat, atau barang yang diterima mungkin tidak sesuai dengan barang yang dipesan
dan dicatat. Oleh karena itu, dalam contoh ini, kualitas bukti bahwa pengendalian akan mencegah
terjadinya salah satu kesalahan tersebut tidak memberikan bukti yang cukup persuasif bagi auditor untuk
menyimpulkan bahwa pengendalian tersebut beroperasi secara efektif sepanjang periode pelaporan.
Konsep ini dibahas lebih lanjut pada bagian teknik pengujian pengendalian.
Tidak adanya pengendalian pencegahan yang efektif akan meningkatkan risiko terjadinya kesalahan
atau kecurangan dan oleh karena itu meningkatkan kebutuhan akan pengendalian yang cukup sensitif
untuk mendeteksi kesalahan tersebut jika terjadi.
Deteksi kontrol
Tujuan dari pengendalian deteksi adalah untuk menemukan penipuan atau kesalahan yang mungkin
terjadi selama pemrosesan transaksi (meskipun ada pengendalian pencegahan) dan untuk memperbaiki
kesalahan tersebut. Seperti yang telah dibahas sebelumnya, perusahaan menerapkan pengendalian deteksi
untuk membantu manajemen memastikan WCGW tidak terjadi dan bisnis berfungsi sesuai rencana
melalui desain dan implementasi proses bisnisnya.
Umumnya, kontrol deteksi tidak diterapkan pada setiap transaksi selama aliran pemrosesan normal.
Sebaliknya, mereka diterapkan di luar aliran normal transaksi individual ke kelompok transaksi yang
telah diproses seluruhnya atau sebagian. Misalnya, sering kali ketika hutang dibayar, cek diproses untuk
mencetak cek namun transaksi tidak diselesaikan untuk mencatat debit ke rekening hutang dan
mengkredit ke rekening kas. Sebaliknya, transaksi tersebut hanya diproses sebagian dan kemudian
‘ditahan’ oleh sistem. Setelah cek ditandatangani sebagai persetujuan pembayaran, petugas bagian hutang
akan memproses sisa transaksi dengan 'melepaskan' pembayaran dan mengakui debit menjadi hutang dan
mengkredit menjadi uang tunai.
Pengendalian deteksi bervariasi dari klien ke klien lebih besar dibandingkan pengendalian pencegahan.
Deteksi pengendalian dapat bergantung pada sifat bisnis klien dan pada kompetensi, preferensi, dan
imajinasi orang yang melakukan pengendalian. Pengendalian deteksi dapat berupa prosedur yang
ditetapkan secara formal, seperti persiapan rekonsiliasi bulanan dan tindak lanjut selanjutnya atas
item-item yang direkonsiliasi atau tidak biasa. Atau, prosedur tersebut mungkin merupakan prosedur
yang dilakukan secara rutin dan biasanya didokumentasikan oleh karyawan meskipun hal tersebut tidak
diwajibkan secara formal oleh perusahaan. Misalnya, akuntan keuangan dapat menyimpan daftar jurnal
standar akhir bulan untuk digunakan sebagai dasar memeriksa entri setiap bulan saat dibuat, dan
menindaklanjuti setiap pengecualian. Pengendalian deteksi sering kali merupakan prosedur 'tidak resmi'
yang serupa dengan contoh ini yang dilakukan personel klien untuk memastikan bahwa informasi yang
menjadi tanggung jawab mereka akurat. Penting untuk mendeteksi kontrol:
1. menangkap semua data yang relevan secara lengkap dan akurat
2. mengidentifikasi semua kesalahan yang berpotensi signifikan
3. dilakukan secara konsisten dan teratur
4. mencakup tindak lanjut dan koreksi secara tepat waktu atas salah saji atau masalah yang
terdeteksi. Ada banyak contoh kontrol deteksi, antara lain sebagai berikut.
• Tinjauan tingkat manajemen dilakukan terhadap kinerja aktual versus anggaran, prakiraan, periode
sebelumnya, pesaing (jika tersedia) dan rata-rata industri (jika tersedia). Tindakan manajemen dalam
menganalisis dan menindaklanjuti varians yang tidak terduga merupakan pengendalian deteksi.
Misalnya, pengontrol keuangan dapat meninjau hasil bulanan dan membandingkan jumlah hari
penjualan yang belum dibayar dengan periode sebelumnya untuk memastikan penyisihan piutang
ragu-ragu adalah wajar.
• Indikator kinerja menghubungkan kumpulan data yang berbeda, baik operasional maupun keuangan,
satu sama lain. Indikator-indikator ini, bersama dengan analisis hubungan dan tindak lanjut anomali,
adalah

juga mengontrol aktivitas. Auditor perlu memahami apakah klien menggunakan informasi tersebut
untuk tujuan operasional saja (untuk membantu pengambilan keputusan operasional), atau apakah
mereka menggunakannya untuk menindaklanjuti hasil yang tidak terduga dalam sistem pelaporan
keuangan. Jika informasi tersebut hanya digunakan untuk tujuan operasional, kecil kemungkinannya
auditor akan mengumpulkan sejumlah besar bukti audit untuk membantu mereka dalam audit laporan
keuangan. Indikator kinerja mencakup, misalnya, varian harga pembelian, stok yang dipesan tetapi
belum diproduksi, dan persentase penjualan yang dikembalikan dibandingkan dengan total pesanan
penjualan. Dengan menyelidiki hasil yang tidak diharapkan atau tren yang tidak biasa, klien dapat
mengidentifikasi masalah dalam proses pengadaan dan manufaktur yang mendasarinya.
• Rekonsiliasi disiapkan, hal-hal yang direkonsiliasi atau tidak biasa kemudian diselidiki, dan
permasalahan diselesaikan atau dilakukan koreksi, jika diperlukan. Kinerja rekonsiliasi tanpa
menindaklanjuti item-item yang direkonsiliasi atau tidak biasa bukan merupakan suatu pengendalian.
Pengendaliannya adalah tindak lanjutnya. Rekonsiliasi tipikal dilakukan antara buku besar dan
beberapa bentuk bukti eksternal lainnya atau buku besar pembantu. Misalnya, rekonsiliasi bank
merekonsiliasi laporan bank dengan kas yang dicatat dalam buku besar. Rekonsiliasi debitur usaha
merekonsiliasi penjualan yang dicatat pada sub piutang usaha
buku besar tambahan (melalui buku besar penjualan) dengan piutang usaha yang dicatat dalam buku
besar umum. • Tinjauan laporan pengecualian — laporan dibuat secara otomatis yang menunjukkan
transaksi/kelompok tindakan transaksi yang berada di luar serangkaian parameter yang dipilih oleh klien.
Pengecualian ini kemudian ditinjau dan ditindaklanjuti (jika diperlukan). Misalnya, sebuah laporan dapat
dibuat yang menunjukkan semua penjualan yang dilakukan kepada pelanggan yang telah melampaui
batas kreditnya. Manajer kredit kemudian menindaklanjuti penjualan ini dengan penjual untuk
memastikan tidak ada penjualan lebih lanjut sampai saldo berada di bawah batas kredit. Alternatifnya,
jika perlu, dilakukan evaluasi ulang batas kredit pelanggan untuk meningkatkannya (jika sesuai). Tabel
8.2 menunjukkan contoh pengendalian deteksi dan beberapa WCGW yang dirancang untuk ditangani
oleh setiap pengendalian.
TABEL 8.2 Contoh kontrol deteksi
Kontrol Deteksi Pernyataan WCGW

penjualan atau penerimaan kas. yang belum dikliring oleh bank, cek
Kas diterima tetapi tidak dicatat Kelengkapan; kejadian; memotong yang disajikan oleh bank tetapi tidak
dalam buku besar, pembayaran dicatat dalam buku besar).
dilakukan tetapi tidak dicatat,
penerimaan atau pengeluaran kas Komputer melakukan perbandingan
tidak nyata atau tidak dicatat tepat Kelengkapan; kejadian harian antara jumlah yang dikirim
waktu. dengan jumlah yang ditagih. Jika
ditemukan perbedaan, laporan dibuat
Pengiriman tidak ditagih dan dicatat, untuk ditinjau dan ditindaklanjuti oleh
dan penagihan tidak terkait dengan Kelengkapan; klasifikasi penyelia penagihan.
pengiriman produk sebenarnya. Rekonsiliasi bank dan tindak lanjut
atas pos-pos tak terduga yang belum Tinjauan triwulanan atas saldo kredit
dibayar (misalnya simpanan tak dalam piutang untuk menentukan
Tagihan yang tidak tercatat dan terduga atau dalam jumlah besar penyebabnya.
kesalahan dalam mengklasifikasikan
Akurasi Manajer penjualan meninjau pengiriman harian,
Antara lain kesalahan jumlah unit atau harga satuan yang total penjualan, dan penjualan per unit yang dikirim.
dihitung atau penerapan yang tidak tepat.
Seperti yang diilustrasikan di bagian ini, pengendalian deteksi sering kali disertai dengan bukti fisik
seperti rekonsiliasi bulanan. Hal ini bertolak belakang dengan pencegahan pengendalian. Pengendalian
pencegahan sering kali didorong oleh pemrograman perangkat lunak tertentu yang digunakan oleh
perusahaan, dan oleh karena itu tidak ada bukti fisik dari pengendalian tersebut.
Ketika menilai pengendalian yang terdeteksi, auditor tidak perlu melakukan kembali seluruh langkah,
misalnya, menyiapkan rekonsiliasi untuk memperoleh bukti yang cukup bahwa pengendalian beroperasi
secara efektif. Biasanya cukup dengan memeriksa bukti bahwa rekonsiliasi telah diselesaikan dengan
benar dan bahwa peninjauan dan tindak lanjut yang tepat telah dilakukan oleh klien pada waktu yang
tepat.

Mencegah dan mendeteksi kontrol dibandingkan
Hanya ada sedikit pengendalian pencegahan manual, sebaliknya cenderung bergantung pada TI (yaitu,
pengendalian manual yang bergantung pada TI). Keahlian khusus TI mungkin diperlukan untuk
mengaudit kontrol manual yang bergantung pada TI, bergantung pada seberapa canggih sistem TI klien.
Namun penting untuk dicatat bahwa deteksi pengendalian hanya efektif dan oleh karena itu hanya
memberikan jaminan audit ketika data dan transaksi yang mendasarinya (dan oleh karena itu
pengendalian pencegahan) dapat diandalkan. Oleh karena itu, penting untuk memperoleh pemahaman
tentang (dan mungkin menguji) pengendalian pencegahan selain pengendalian deteksi yang terkait
dengannya.
Misalnya, peninjauan dan tindak lanjut laporan manajemen bulanan yang membandingkan hasil aktual
dengan hasil anggaran tidak akan efektif jika tidak ada bukti yang menunjukkan bahwa jumlah yang
dianggarkan adalah jumlah yang disetujui dan jumlah sebenarnya adalah total transaksi. dicatat dalam
buku besar. Selain itu, auditor perlu memperoleh bukti bahwa transaksi yang mendasarinya telah
ditangkap dan dicatat dengan benar. Hal ini biasanya dilakukan melalui identifikasi dan pengujian di
bawah
berbohong mencegah kontrol. Selain itu, perbandingan bulanan harus dilakukan pada tingkat informasi
yang cukup rinci untuk mengidentifikasi salah saji material, dan peninjauan serta tindak lanjut perlu
dilakukan tepat waktu.
Karena pengendalian deteksi dapat diterapkan pada kelompok transaksi dibandingkan berdasarkan
transaksi per transaksi, pengendalian ini biasanya lebih jarang dilakukan dibandingkan pengendalian
pencegahan. Oleh karena itu, tingkat kepastian yang tinggi bahwa mereka beroperasi secara efektif
sepanjang periode ketergantungan dapat diperoleh dengan memeriksa sejumlah kecil bukti.
Seperti disebutkan sebelumnya, hal ini tidak berarti bahwa auditor tidak pernah menganggap
pelaksanaan pengujian atas transaksi individual dapat meyakinkan bahwa suatu pengendalian telah
digunakan dan berfungsi sebagaimana mestinya. Selain melakukan pengujian transaksi sebagai bagian
dari pengujian pencegahan pengendalian, auditor melakukan pengujian transaksi sebagai cara untuk
memastikan bahwa pemahaman mereka tentang arus transaksi dari awal hingga pelaporan sudah benar
(seperti dijelaskan dalam bab 4). Dalam lingkungan yang terkomputerisasi, pengendalian pencegahan
sering kali dapat diuji sama efektif dan efisiennya dengan pengendalian deteksi. Hal ini karena
pencegahan pengendalian disertai dengan bukti langsung mengenai efektivitas operasinya (misalnya,
peninjauan dan tindak lanjut laporan pengecualian) atau auditor dapat melakukan kembali pengendalian
untuk memastikan pengendalian tersebut beroperasi secara efektif. Hal ini dibahas secara lebih rinci di
bagian pengendalian otomatis.
AWAN 9
Weijing bertanya kepada Josh tentang jenis kontrol yang biasanya digunakan di perusahaan seperti
Cloud 9. Josh menjelaskan bahwa akan berguna untuk memulai dengan mengklasifikasikan kontrol
sebagai kontrol otomatis, manual, manual yang bergantung pada TI, atau kontrol umum TI. Namun,
fokus Weijing harus pada mempertimbangkan apakah masing-masing kontrol ini mencegah terjadinya
kesalahan, atau dirancang untuk mendeteksi kesalahan yang telah terjadi sehingga dapat diketahui oleh
seseorang.
Josh memberi Weijing contoh pengendalian pencegahan di Cloud 9. Berdasarkan percakapannya
dengan Carla Johnson, pengontrol keuangan, dia menemukan bahwa sistem pemeriksaan kredit
terkomputerisasi di Cloud 9 tidak akan mengizinkan pemrosesan penjualan jika pelanggan telah melebihi
batas kreditnya. Pengendalian ini mencegah pesanan pelanggan menjadi penjualan kecuali klien telah
dinilai mampu membayar jumlah tersebut. Hal ini juga membantu mencegah beberapa kesalahan
administrasi, misalnya 10 unit salah dimasukkan sebagai 1000 unit (karena hal ini biasanya akan
mengakibatkan pesanan pelanggan melebihi batas kredit pelanggan). Kontrol ini dirancang untuk
beroperasi pada setiap pesanan, namun tampaknya tidak ada apa pun di sistem Cloud 9 yang
menunjukkan apakah dan kapan hal tersebut dilakukan, sehingga tidak mudah untuk mengetahui
apakah kontrol tersebut beroperasi secara efektif.
Josh juga memberi Weijing contoh kontrol deteksi di Cloud 9. Carla Johnson melakukan rekonsiliasi
bank bulanan yang ditinjau dan disetujui oleh David Collier, pengontrol keuangan. Namun, Josh
menjelaskan kepada Weijing bahwa dia belum mengetahui apakah ada tindak lanjut atas hal-hal tidak
biasa yang ditemukan selama rekonsiliasi dan peninjauan. Jika tindak lanjut ini dilakukan, maka
seharusnya pengendalian mendeteksi kesalahan pada rekening bank.

8.1.2 Pengendalian manual dan otomatis
Pada bagian ini kita mempertimbangkan pengendalian manual dan otomatis, serta ITGC dan
pengendalian aplikasi (bagian dari pengendalian otomatis) dan pengendalian manual yang bergantung
pada TI (yang menggabungkan karakteristik pengendalian manual dan otomatis).
Kontrol manual
Kontrol yang murni manual adalah kontrol yang tidak bergantung pada lingkungan TI klien untuk
pengoperasiannya. Contohnya adalah kandang stok yang terkunci untuk barang-barang bernilai dolar
tinggi yang hanya dapat diakses oleh beberapa staf yang berwenang. Namun, pengendalian manual
mungkin menggunakan informasi yang dihasilkan TI dari pihak ketiga. Misalnya, klien dapat
merekonsiliasi jumlah stok konsinyasi yang dihitung secara manual selama inventarisasi dengan jumlah
yang tercantum dalam laporan stok konsinyasi yang dihasilkan komputer milik pihak ketiga.
Sangat sedikit, jika ada, perusahaan yang tidak menggunakan suatu bentuk TI untuk membantu
pemrosesan transaksi, dan sebagian besar pengendalian bergantung pada TI dalam beberapa hal (lihat
bagian pengendalian manual yang bergantung pada TI). Dalam sebagian besar situasi, pengendalian yang
murni manual merupakan pengendalian pencegahan, dan oleh karena itu, pertimbangan untuk
pengendalian pencegahan yang efektif, yang tercantum di bagian pengendalian pencegahan, sangatlah
penting.
Kontrol otomatis
Kontrol umumnya bergantung pada aplikasi TI klien (atau perangkat lunak) dalam beberapa hal. Penting
untuk mengidentifikasi tingkat ketergantungan suatu pengendalian terhadap TI untuk menentukan
pengaruh TI terhadap evaluasi pengendalian. Pertimbangan utama dalam mengandalkan aspek
pengendalian otomatis adalah untuk menentukan apakah klien memiliki ITGC yang efektif atau tidak.
Kontrol umum TI (ITGC)
ITGC mendukung fungsi berkelanjutan dari aspek pengendalian pencegahan dan deteksi yang
terotomatisasi (terprogram) dan juga memberikan dasar bagi auditor untuk mengandalkan bukti audit
elektronik. Auditor perlu mengidentifikasi, memahami, menelusuri, menguji, dan mengevaluasi ITGC
yang telah diterapkan untuk aplikasi komputer yang akan mereka andalkan, seperti yang dilakukan untuk
jenis pengendalian lainnya.
Biasanya, suatu entitas memiliki tiga jenis ITGC.
1. Pengendalian perubahan program — hanya perubahan yang diberi otorisasi, diuji, dan disetujui secara
tepat yang dilakukan terhadap aplikasi, antarmuka, basis data, dan sistem operasi.
2. Kontrol akses logis — hanya personel yang berwenang yang memiliki akses ke data dan aplikasi dan
hanya dapat melakukan tugas dan fungsi yang berwenang. Misalnya, petugas bagian piutang tidak
mempunyai akses atau otorisasi terhadap aplikasi pembayaran tunai; manajer penggajian mungkin
memiliki akses ke aplikasi transfer dana elektronik, namun tidak dapat memproses pembayaran apa
pun tanpa persetujuan tambahan (dan penggunaan kata sandi) dari pengontrol keuangan.
3. ITGC lainnya (termasuk operasi TI) — seringkali sulit diidentifikasi di organisasi yang lebih kecil dan
mencakup pengendalian seperti memastikan pencadangan data secara teratur dan tepat waktu,
menindaklanjuti dan menyelesaikan kesalahan dan kesalahan program secara tepat waktu,
menindaklanjuti setiap penyimpangan dari pemrosesan terjadwal secara tepat waktu, dan
merencanakan peningkatan program dan aplikasi secara tepat waktu.
ITGC penting karena berdampak pada efektivitas pengendalian aplikasi dan pengendalian manual yang
bergantung pada TI, serta berpotensi mempengaruhi keandalan bukti audit elektronik yang dapat
diandalkan oleh auditor selama audit. Misalnya, jika klien mengandalkan aplikasi yang mencatat
penjualan dan kemudian secara otomatis mencatat dan memperbarui buku besar piutang untuk nilai
tersebut.
pelanggan tertentu, klien juga mengandalkan prosedur dan keamanan perubahan program TI untuk
memverifikasi bahwa program dan kontrol khusus ini tidak diubah tanpa persetujuan dan pengujian yang
sesuai. Contoh pengujian pengendalian atas perubahan program dan akses terhadap file data mencakup: •
pengendalian perubahan program — memeriksa dokumentasi untuk mencari bukti (misalnya, tanda
tangan pada formulir perubahan program) bahwa perubahan tersebut telah disahkan, diuji, dan disetujui
oleh personel yang berwenang (untuk Misalnya, pengguna, pemrogram, manajer TI)
• kontrol akses — memeriksa apakah opsi perangkat lunak kontrol akses yang berlaku telah disetujui
dengan benar dan apakah opsi yang dipilih masuk akal; menguji atau mengamati upaya untuk masuk
ke terminal dan

mengakses file menggunakan ID pengguna yang tidak sah; meninjau laporan pelanggaran akses atau
pengecualian terkait untuk menentukan apakah semua upaya dicatat dengan benar.
Kontrol aplikasi
Pengendalian aplikasi adalah pengendalian yang sepenuhnya otomatis yang berlaku pada pemrosesan
tindakan transaksi individual. Ini adalah kontrol yang digerakkan oleh aplikasi perangkat lunak tertentu
yang digunakan, oleh karena itu dinamakan kontrol 'aplikasi'. Hal ini mencakup kontrol seperti
pemeriksaan edit, validasi, penghitungan, antarmuka, dan otorisasi. Kontrol aplikasi mungkin juga
penting dalam menegakkan pemisahan tugas yang tidak sesuai, khususnya di organisasi besar.
Biasanya sulit bagi organisasi yang lebih kecil agar pengendalian aplikasi menjadi efektif kecuali
terdapat cukup karyawan untuk memastikan bahwa pemisahan tugas secara fisik dicerminkan oleh
pembatasan akses yang sesuai untuk aplikasi tertentu.
Kontrol manual yang bergantung pada TI
Dalam banyak situasi, auditor mengidentifikasi pengendalian pencegahan atau deteksi yang memiliki
aspek manual dan otomatis. Ini disebut sebagai kontrol manual yang bergantung pada TI. Untuk
pengendalian ini, pertimbangan diberikan pada aspek manual dan otomatis. Misalnya, manajemen
meninjau laporan varians bulanan dan menindaklanjuti varians yang signifikan. Karena manajemen
bergantung pada laporan yang dihasilkan komputer untuk mengidentifikasi varians, auditor juga perlu
memeriksa apakah terdapat pengendalian untuk memastikan bahwa laporan varians sudah lengkap dan
akurat.
Saat mengevaluasi kelengkapan dan keakuratan informasi yang dihasilkan komputer, sebelum auditor
dapat mengandalkan informasi tersebut, mereka perlu mengidentifikasi sumber dan pengendalian yang
memastikan informasi tersebut lengkap dan akurat. Seperti yang diilustrasikan sebelumnya, klien sering
kali mengandalkan kontrol umum aplikasi dan TI untuk memastikan informasi yang dihasilkan komputer
lengkap dan akurat. Jika mereka tidak menguji pengendalian aplikasi dan ITGC dan menentukan bahwa
pengendalian tersebut efektif (yang berkaitan dengan laporan atau data tertentu), auditor berisiko terlalu
mengandalkan laporan atau data.
dihasilkan oleh sistem TI klien. Auditor perlu memastikan bukti apa pun yang mereka rencanakan untuk
diandalkan (meskipun bukti tersebut berbentuk laporan yang dihasilkan sistem internal) akurat, lengkap,
dan dapat diandalkan. Pengujian ini dapat dilakukan secara langsung pada laporan yang dipermasalahkan
atau, alternatifnya, pengujian dapat dilakukan pada keseluruhan aplikasi yang menghasilkan laporan dan
ITGC terkait, yang kemudian menghilangkan kebutuhan untuk menguji laporan sebenarnya.
LINGKUNGAN PROFESIONAL
Kerangka pengendalian internal COSO

Semua perusahaan mendapat manfaat dari sistem pengendalian internal yang efektif karena
pengendalian internal membantu organisasi mencapai tujuannya. Selain itu, perusahaan yang menjalani
audit laporan keuangan eksternal dapat memperoleh manfaat dari sistem pengendalian internal yang
lebih efektif karena sistem pengendalian internal yang efektif berarti audit laporan keuangan menjadi
lebih efisien dan efektif.
Committee of Sponsoring Organizations (COSO) dari Treadway Commission menghasilkan kerangka
kerja terpadu mengenai pengendalian internal pada tahun 1992 setelah dikeluarkannya rekomendasi
Treadway Commission. Kerangka kerja ini memberikan panduan berbasis prinsip untuk merancang dan
menerapkan pengendalian internal yang efektif. Saat ini, kerangka pengendalian internal ini paling
banyak digunakan di Amerika Serikat dan diadopsi oleh banyak negara dan dunia usaha di seluruh
dunia.1 COSO merilis Pengendalian Internal — Kerangka Kerja Terintegrasi yang diperbarui pada tahun
2013.2 COSO mengharapkan kerangka kerja tahun 2013 dapat membantu organ
Organisasi-organisasi tersebut menyesuaikan pengendalian internalnya dengan perubahan kondisi
bisnis, termasuk kompleksitas yang lebih besar, dan untuk memitigasi risiko operasi serta meningkatkan
kualitas pengambilan keputusan. Contoh perubahan cepat dalam bisnis adalah praktik penyimpanan
data dan file di internet, yang juga dikenal sebagai komputasi awan. Publikasi COSO terbaru lainnya
memberikan panduan bagi organisasi yang menggunakan komputasi awan untuk memenuhi kebutuhan
teknologi mereka.3Fokus proyek COSO adalah mempertimbangkan risiko dan manfaat penggunaan
komputasi awan, serta membantu manajemen dan dewan direksi

mengintegrasikan manajemen risiko komputasi awan dengan praktik manajemen risiko organisasi
lainnya. Salah satu risiko penggunaan komputasi awan yang diidentifikasi oleh COSO adalah
ketergantungan organisasi pada kompetensi teknis dan kelayakan finansial penyedia layanan cloud
(CSP). Artinya, organisasi yang memiliki data menjadi lebih bergantung pada pihak eksternal, sehingga
berpotensi mengurangi biaya namun meningkatkan risiko. Risikonya lebih besar karena CSP mungkin
berlokasi di yurisdiksi hukum lain. Auditor eksternal wajib mempertimbangkan sifat pengendalian atas
integritas data yang disimpan melalui komputasi awan sebagai bagian dari audit (Pertimbangan Audit
ASA 402/ISA 402 Terkait dengan Entitas yang Menggunakan Organisasi Jasa).
SEBELUM ANDA MELANJUTKAN

• Apa saja jenis-jenis pengendalian?
• Apa perbedaan antara pengendalian aplikasi dan pengendalian umum TI? • Jenis
pengendalian yang manakah, mencegah atau mendeteksi, yang biasanya merupakan jenis
pengendalian yang lebih efisien untuk diuji?
8.2 Teknik pengujian pengendalian

TUJUAN BELAJAR 8.2 Membandingkan berbagai teknik untuk pengujian pengendalian.Pengujian
pengendalian mencakup penyelidikan, observasi, inspeksi bukti fisik, dan kinerja ulang. Biasanya,
kombinasi teknik pengujian inilah yang memberikan bukti bahwa pengendalian telah dilaksanakan
sebagaimana dimaksud sepanjang periode dimana auditor ingin mengandalkan pengendalian tersebut.
Masing-masing tes sekarang dibahas.
8.2.1 Penyelidikan
Teknik ini melibatkan auditor yang menggunakan keterampilan bertanya untuk menentukan bagaimana
pengendalian diselesaikan dan apakah pengendalian tersebut tampaknya telah dilaksanakan dengan benar
dan tepat waktu. Misalnya, auditor dapat bertanya kepada karyawan yang menyiapkan rekonsiliasi bank
bagaimana item-item yang direkonsiliasi diidentifikasi, alasannya, dan prosedur yang diterapkan untuk
memastikan bahwa catatan akuntansi dikoreksi secara tepat waktu. Mereka mungkin juga menanyakan
kepada manajemen bagaimana mereka memastikan rekonsiliasi dipersiapkan dengan benar dan tepat
waktu.
8.2.2 Observasi
Teknik ini melibatkan auditor mengamati pengendalian sebenarnya yang dilakukan. Misalnya, mereka
mungkin mengamati persiapan rekonsiliasi bank. Keterbatasan teknik ini adalah bahwa karyawan dapat
melakukan prosedur dengan lebih tekun ketika mereka tahu bahwa mereka sedang diawasi.
8.2.3 Pemeriksaan bukti fisik

Teknik ini bergantung pada auditor yang menguji bukti fisik untuk memverifikasi bahwa suatu
pengendalian telah dilakukan dengan benar. Misalnya, auditor dapat menelusuri jumlah tertentu dalam
rekonsiliasi bank ke catatan akuntansi atau dokumen lain (misalnya laporan bank) untuk memperoleh
bukti bahwa prosedur telah dilaksanakan dengan benar. Selain itu, mereka juga dapat membaca sebagian
atau seluruh rekonsiliasi untuk periode lain dan memeriksa item-item yang direkonsiliasi untuk
menentukan apakah rekonsiliasi secara rutin mendeteksi kesalahan dan apakah kesalahan tersebut
tampaknya telah ditangani dengan tepat.
8.2.4 Kinerja ulang

Teknik ini melibatkan auditor untuk melakukan kembali pengendalian untuk menguji efektivitasnya.
Misalnya, auditor dapat menguji pengendalian penerapan pembayaran tunai untuk memastikan karyawan
yang tidak berwenang tidak dapat melakukan pembayaran tunai (dan upaya tidak sah untuk melakukan
hal tersebut dicatat dalam laporan pengecualian).

AWAN 9
Weijing dapat melihat bahwa ada beberapa kemungkinan pengujian yang dapat mereka gunakan
untuk menguji rekonsiliasi bank dan kontrol tindak lanjut di Cloud 9. Selain mengamati Carla dan
David melakukan tugasnya, auditor dapat menanyakan prosesnya kepada mereka, dengan referensi
khusus pada tindak lanjut dari hal-hal yang tidak biasa. Auditor dapat memeriksa rekonsiliasi bank
yang telah selesai dan mereka dapat melakukan kembali prosesnya. Pengujian terakhir ini akan
menjadi yang paling dapat diandalkan dan akan digunakan jika Josh memutuskan bahwa rekonsiliasi
bank dan tindak lanjut item-item yang tidak biasa merupakan pengendalian yang penting.
Weijing kurang yakin tentang bagaimana mereka dapat menguji pemeriksaan batas kredit yang
dilakukan dalam sistem manajemen inventaris dan penjualan. Namun, karena proses di Cloud 9
sepenuhnya otomatis, Josh menjelaskan bahwa salah satu pengujian yang mungkin dilakukan adalah
memasukkan data dummy ke dalam sistem untuk melihat apakah penjualan yang melebihi batas kredit
klien ditolak. Selain itu, mereka dapat menggunakan teknik audit terkomputerisasi untuk
menginterogasi program klien dan menghasilkan laporan untuk mendiagnosis kinerja bagian program
tersebut.

• Kapan auditor kemungkinan besar akan melakukan prosedur observasi dan penyelidikan atas
suatu pengendalian? • Sebutkan empat teknik berbeda untuk menguji pengendalian.
• Berikan contoh kapan pemeriksaan bukti fisik dapat digunakan untuk menguji suatu pengendalian.
8.3 Memilih dan merancang pengujian pengendalian

TUJUAN BELAJAR 8.3 Menjelaskan cara memilih dan merancang pengujian pengendalian.Dua bidang yang
memerlukan penerapan pertimbangan profesional tingkat tinggi adalah memutuskan pengendalian mana
yang harus dipilih untuk pengujian dan menentukan luas pengujian audit yang akan dilakukan.
Bidang-bidang ini dijelaskan pada bagian berikut.
8.3.1 Pengendalian manakah yang harus dipilih untuk pengujian?

Seperti dijelaskan di atas, kontrol diterapkan untuk mencegah atau mendeteksi terjadinya kesalahan (atau
WCGW benar-benar melakukan kesalahan). Ketika auditor memutuskan untuk memasukkan pengujian
pengendalian dalam pendekatannya, mereka memilih pengendalian yang akan memberikan bukti audit
yang paling efisien dan efektif (yaitu, memberikan jaminan yang diperlukan agar pengendalian tersebut
berfungsi). Untuk meningkatkan efisiensi, mereka hanya menguji pengendalian yang mereka yakini
penting bagi pendapat mereka. Artinya, pengendalian manakah yang memberikan keyakinan memadai
bahwa pengendalian tersebut beroperasi secara efektif sepanjang periode ketergantungan? Memutuskan
pengendalian mana yang akan diuji akan dipengaruhi oleh jenis pengendalian, frekuensi pengendalian
yang dilakukan, dan tingkat keyakinan yang ingin diperoleh auditor dari pengendalian yang dirancang
dan diterapkan secara efektif. Sebagai aturan umum, pengendalian terbaik untuk diuji adalah
pengendalian yang paling efektif menangani WCGW dengan jumlah pengujian yang diperlukan paling
sedikit (strategi pengujian yang efisien). Jika satu pengendalian menangani beberapa WCGW maka
masuk akal bahwa pengendalian ini akan dipilih daripada memilih beberapa pengendalian yang berbeda
untuk mendapatkan tingkat jaminan yang sama bahwa WCGW tidak terjadi.
8.3.2 Berapa banyak pengujian yang perlu dilakukan auditor?

Kita telah membahas jenis-jenis kontrol dan sekarang akan membahas berapa banyak pengujian yang
harus dilakukan, yang sangat dipengaruhi oleh frekuensi kontrol yang dimaksud. Misalnya, apakah
kontrolnya beroperasi setiap hari, mingguan, bulanan, atau untuk setiap transaksi yang diproses?
Saat menguji pengendalian, teknik pengambilan sampel berdasarkan statistik (seperti dijelaskan dalam
bab 7) atau pertimbangan profesional dapat digunakan untuk menentukan sejauh mana pengujian. Ada
sejumlah faktor yang perlu dipertimbangkan ketika memutuskan sejauh mana pengujian pengendalian
akan diuji. Semakin banyak jaminan yang diinginkan auditor

dari kinerja kontrol, semakin banyak pengujian yang perlu mereka lakukan. Artinya, jika mereka
bermaksud mengurangi risiko pengendalian ke tingkat serendah mungkin, maka mereka akan melakukan
lebih banyak pengujian dibandingkan jika mereka berencana untuk memperoleh jaminan terbatas dari
pengujian mereka (dan mengurangi risiko pengendalian hanya dalam jumlah terbatas). Faktor-faktor
yang perlu dipertimbangkan ketika memutuskan sejauh mana pengujian meliputi:
• seberapa sering pengendalian dilakukan
• sejauh mana auditor bermaksud mengandalkan pengendalian sebagai dasar untuk membatasi pengujian
substantifnya
• persuasifnya bukti yang dihasilkan oleh pengendalian
• kebutuhan untuk dipenuhi bahwa pengendalian dijalankan sebagaimana dimaksud sepanjang periode
ketergantungan. Untuk beberapa pengendalian, mereka mungkin memerlukan bukti hanya pada akhir
tahun, sedangkan untuk sebagian besar pengendalian, mereka memerlukan bukti bahwa pengendalian
tersebut beroperasi sepanjang tahun.
• adanya kombinasi pengendalian yang dapat mengurangi tingkat jaminan yang mungkin diperlukan dari
salah satu pengendalian
• kepentingan relatif dari pertanyaan atau pernyataan ‘apa yang mungkin salah’ yang dipertimbangkan. •
faktor-faktor lain yang berhubungan dengan kemungkinan bahwa suatu pengendalian dijalankan
sebagaimana mestinya. Dalam menentukan luas pengujian suatu pengendalian, auditor
mempertimbangkan beberapa faktor lain yang memengaruhi persepsi kemungkinan bahwa suatu
pengendalian dioperasikan sebagaimana dimaksud sepanjang periode ketergantungan, termasuk: –
kompetensi (dan integritas) orang yang melakukan pengujian tersebut kontrol
– kualitas lingkungan pengendalian seperti potensi manajemen untuk mengesampingkan
pengendalian atau untuk mengabaikan pengendalian
– perubahan sistem akuntansi yang mungkin terjadi
– perubahan yang tidak dapat dijelaskan pada saldo akun terkait
– pengalaman auditor pada periode sebelumnya dengan perikatan tersebut.
Meskipun faktor-faktor di atas dapat mengurangi ekspektasi kesalahan, pengujian auditor atas suatu
pengendalian harus cukup ekstensif untuk memberikan keyakinan memadai bahwa pengendalian tersebut
beroperasi secara efektif sepanjang periode keandalan.
Jika pengendalian diterapkan setiap bulan, auditor dapat memutuskan untuk menguji penerapan
pengendalian secara rinci selama satu bulan dan menelaah sebelas bulan sisanya untuk item-item yang
tidak biasa. Jika pengendalian diterapkan lebih sering (misalnya mingguan atau harian), auditor dapat
menguji lebih dari satu penerapan pengendalian secara rinci dan menelaah sampel penerapan yang tersisa
untuk item-item yang tidak biasa.
Pengujian pengendalian pencegahan yang hanya disertai dengan bukti inferensial (bukan bukti fisik)
mengenai efektivitas pelaksanaan pengendalian tersebut mencakup, misalnya, peninjauan dokumen untuk
membuat inisial atau tanda tangan dan melakukan kembali prosedur pemeriksaan itu sendiri (misalnya,
jika inisial menandakan bahwa harga, perpanjangan dan penambahan telah diperiksa, auditor memeriksa
harga, perpanjangan dan penambahan). Luasnya pengujian tersebut bergantung pada pertimbangan
profesional, namun secara umum, ukuran sampel yang besar tidak diperlukan. Dalam keadaan normal,
sampel acak yang terdiri dari, katakanlah, 25 hingga 30 item, dengan asumsi tidak ada pengecualian
pengendalian (penyimpangan) yang teramati, bila digabungkan dengan bukti yang diperoleh dari
profesional audit lain.
prosedur yang dilakukan pada akun-akun terkait, memberikan bukti bahwa pengendalian dijalankan
sebagaimana mestinya (yaitu, pengendalian tersebut efektif). Contoh ukuran sampel ini telah dihitung
menggunakan tabel risiko audit dan teknik yang disebutpengambilan sampel atribut, suatu teknik
pengambilan sampel yang digunakan untuk mencapai suatu kesimpulan tentang suatu populasi ditinjau
dari tingkat (frekuensi) kemunculannya. Misalnya, sampel pembayaran tunai dapat diperiksa untuk
mencari tanda tangan yang diperlukan sebagai bukti persetujuan yang tepat. Jumlah tanda tangan yang
hilang (pengecualian) kemudian digunakan untuk memperkirakan tingkat pengecualian keseluruhan
untuk seluruh berkas pembayaran. Setiap item sampel memberikan satu dari hanya dua kemungkinan
hasil: atribut yang diuji (misalnya, a
tanda tangan, harga atau saldo tercatat) benar atau salah, ada atau tidak ada, sah atau tidak sah. Biasanya,
pengambilan sampel atribut dengan sendirinya tidak memberikan perkiraan langsung terhadap nilai dolar,
seperti jumlah dolar pengecualian. Itulah sebabnya pengambilan sampel atribut paling sering digunakan
untuk pengujian pengendalian (bukan sebagai pengujian substantif atas saldo akun). Namun, dengan
menggunakan teknik pengambilan sampel ini, auditor dapat menentukan dengan tingkat keyakinan
tertentu (90 persen atau lebih) bahwa tingkat kesalahan untukpengecualian kontrolcukup rendah;
artinya, mereka mungkin tidak perlu melakukan pengujian pengendalian tambahan

untuk mengurangi risiko pengendalian lebih lanjut. Jika tujuan audit adalah untuk memperoleh bukti
secara langsung mengenai jumlah dolar yang diperiksa, auditor umumnya menggunakan teknik
pengambilan sampel yang berbeda (seperti pemilihan sistematis). Mungkin ada keadaan di mana lebih
banyak atau lebih sedikit pengujian dilakukan. Terlepas dari ukuran sampelnya, semua pengecualian
pengendalian (penyimpangan) (termasuk pengecualian yang disertai kesalahan) diselidiki oleh auditor
(lihat bagian 8.4). Auditor berhati-hati untuk tidak mengabaikan pengecualian pengendalian yang diamati
sebagai kejadian acak dan tidak sistematis. Oleh karena itu, deteksi satu pengecualian pengendalian
mengakibatkan auditor memperluas ukuran sampel (ketika auditor mengantisipasi tidak akan ditemukan
pengecualian pengendalian lebih lanjut), mengubah keputusannya untuk mengandalkan pengendalian
tersebut dan/atau mempertimbangkan apakah tersedia pengendalian lain yang dapat dilakukan.
menggantikan pengendalian yang sedang diuji (sering disebut sebagai pengendalian kompensasi).
AWAN 9
Berbicara dengan Josh tentang faktor-faktor yang harus dipertimbangkan ketika memutuskan seberapa
banyak pengujian kontrol yang harus dilakukan membantu Weijing menghargai tugasnya. Dia menyadari
bahwa pemahaman sebelumnya tentang strategi risiko pengendalian dengan tingkat penilaian yang lebih
rendah terlalu sederhana. Mengumpulkan bukti tentang efektivitas pengendalian untuk mengurangi
ketergantungan pada pengujian substantif tidak berarti auditor harus menguji setiap pengendalian
dengan cara yang sama.
Weijing menyadari bahwa jika bukti yang dihasilkan dari pengujian suatu pengendalian tidak terlalu
persuasif, maka tidak ada gunanya mencurahkan banyak upaya untuk menguji pengendalian tersebut.
Misalnya, pengendalian pencegahan dimana supervisor mengotorisasi suatu transaksi hanya
menghasilkan bukti ada atau tidaknya tanda tangan, bukan bukti apakah supervisor melakukan tugas
meninjau transaksi secara efektif. Memperoleh banyak bukti bahwa tanda tangan supervisor ada pada
formulir yang sesuai tidak akan memberikan banyak jaminan mengenai efektivitas pengendalian.
Selain itu, Weijing kini mulai memahami apa yang dimaksud Josh dengan 'kontrol kritis'. Josh
ingin mengetahui pengendalian mana yang diidentifikasi untuk setiap pernyataan yang mungkin
paling efektif dalam mencegah terjadinya WCGW atau mendeteksinya jika hal tersebut benar-benar
terjadi. Josh ingin memfokuskan pengujian pada pengendalian ini dan mengumpulkan bukti yang
cukup dan tepat untuk membenarkan pengurangan pengujian substantif.
Misalnya, biasanya terdapat beberapa pengendalian yang dirancang untuk mencegah atau
mendeteksi kesalahan dan salah saji dalam persediaan dan penjualan. Di area penjualan grosir di Cloud
9, kontrol ini mencakup tanda terima pengiriman yang ditandatangani, kebijakan yang mengharuskan
barang yang tidak terkirim dikembalikan ke gudang pada malam hari, dan penggunaan kandang
pengiriman yang terkunci. Pengendalian lainnya mencakup penggunaan pemindai elektronik dan
pencocokan serta otorisasi dokumen dalam proses pengiriman dan pembuatan faktur. Namun, terlepas
dari semua pengendalian ini, Josh juga telah mengidentifikasi dari percakapannya dengan Carla
Johnson bahwa kecuali pengendalian atas sistem perangkat lunak manajemen inventaris diuji secara
menyeluruh, pengendalian tersebut tidak akan dapat membenarkan pengurangan pengujian substantif.
Hal ini karena sebagian besar pencocokan dan otorisasi dokumen bergantung pada pengoperasian
program yang benar.
Kontrol aplikasi
Auditor dapat memutuskan untuk mengandalkan pengendalian aplikasi yang diidentifikasi dan dievaluasi
sebelumnya dalam audit. Fungsi pengendalian aplikasi diuji untuk menentukan apakah pengendalian
tersebut dapat diandalkan sebagai pengendalian yang efektif. Auditor juga menguji efektivitas operasi
pengendalian selama periode ketergantungan dengan salah satu atau kedua metode berikut.
1. Berfokus pada prosedur tindak lanjut manual yang mendukung pengendalian aplikasi. Misalnya,
komputer menentukan harga faktur menggunakan data dalam file induk harga. Kontrol aplikasi adalah
laporan pengecualian yang dihasilkan komputer yang mencantumkan semua pesanan penjualan yang
dimasukkan tanpa harga pada file induk. Auditor dapat memilih untuk fokus pada bagaimana klien
menindaklanjuti pengecualian ini.
2. Menguji kontrol atas perubahan program, dan/atau akses ke file data. Di sini auditor sedang menguji
ITGC (seperti yang dibahas sebelumnya). Dengan menggunakan contoh pada (1) di atas, auditor dapat
memilih untuk menguji pengendalian untuk memastikan bahwa semua penambahan, penghapusan,
dan perubahan pada file induk penetapan harga telah disetujui.
Jika strategi pengujian ini tidak layak, auditor masih dapat mengandalkan pengendalian penerapan
dengan mengujinya sepanjang periode ketergantungan. Dengan menggunakan contoh file induk harga di
atas, auditor dapat

pilih untuk memilih contoh faktur dari seluruh periode dan bandingkan harga dengan lembar harga yang
disetujui, daripada hanya menguji pada satu titik waktu.
Ketika klien mengandalkan pengendalian atas perubahan program dan/atau akses ke file data (ITGC),
maka akan efisien bagi auditor untuk menguji pengendalian ini karena pengendalian tersebut dapat
mendukung ketergantungan pada beberapa pengendalian aplikasi lainnya. Misalnya, mereka mungkin
memutuskan untuk melakukan pengujian akses sistem secara keseluruhan terhadap file data untuk
pengendalian yang berlaku pada lebih dari satu tujuan atau aplikasi pengendalian.
Terlepas dari strategi pengujian mana yang dipilih, auditor menetapkan dasar untuk menyimpulkan
bahwa pemrosesan data yang mendasarinya telah lengkap dan akurat. Teknik untuk menguji
pengendalian atas perubahan program dan/atau akses ke file data serupa dengan yang digunakan untuk
menguji pengendalian manual. Mereka biasanya melibatkan penyelidikan, observasi dan pemeriksaan
bukti fisik. Pengujian berlaku untuk aplikasi tertentu
kepentingan (misalnya, pengujian perubahan program terbatas pada perubahan pada aplikasi penjualan
saja) jika memungkinkan dan efisien untuk dilakukan.
Menyadari bahwa pengendalian aplikasi beroperasi secara sistematis, auditor mungkin dapat
membatasi pengujian pengendalian tersebut pada jenis transaksi signifikan. Misalnya, perhitungan bunga
yang terkomputerisasi mungkin secara konsisten menggunakan rumus yang sama (pokokdikalikan
dengansuku bunga dari file induk suku bunga). Atau, pemeriksaan edit yang terkomputerisasi tidak akan
memungkinkan penyelesaian pembayaran yang lebih besar dari $100.000 tanpa otorisasi yang sesuai.
Dalam contoh ini, auditor dapat membatasi pengujiannya pada 'pengujian satu' per jenis transaksi (yaitu,
menguji satu perhitungan bunga atau mencoba memproses permintaan cek yang melebihi $100.000)
daripada menguji sampel menggunakan tabel risiko audit. . Pengujian terhadap salah satu hal ini
mungkin dilakukan sebagai bagian dari penelusuran, yang dilakukan ketika auditor memperoleh
pemahaman tentang transaksi, WCGW, dan pengendaliannya.
Pembandingan
Benchmarking adalah strategi pengujian audit yang dapat digunakan untuk meneruskan manfaat
pengujian pengendalian aplikasi tertentu ke periode audit mendatang. Hal ini juga dapat membantu
dalam mengurangi atau menghilangkan prosedur audit substantif tertentu pada periode audit saat ini dan
berikutnya.
Benchmarking didasarkan pada premis bahwa komputer akan terus melakukan prosedur tertentu
dengan cara yang persis sama hingga program (atau aplikasi) diubah. Jika auditor dapat memverifikasi
bahwa program tertentu yang menjalankan suatu proses atau pengendalian tidak berubah sejak pengujian
terakhir, mereka dapat memutuskan untuk tidak mengulangi prosedur audit tertentu pada periode
berikutnya. Periode ini dapat diperpanjang, misalnya, dari interim hingga akhir tahun dan seterusnya
hingga periode audit masa depan.
Auditor menetapkan tolok ukurnya pada suatu titik waktu (misalnya, pada tanggal interim) dengan
melakukan pengujian pengendalian penerapan menggunakan prosedur audit normal. Kemudian, di
kemudian hari, mereka menentukan bahwa aplikasi tersebut belum diubah atau dimodifikasi sejak
mereka melakukan pengujian terhadap kontrol aplikasi. Untuk memverifikasi bahwa tidak ada
perubahan, tim audit mungkin perlu menggunakan anggota tim yang memiliki keahlian spesialis jaminan
TI.
Pembandingan tepat dilakukan ketika:
• pengendalian terprogram dapat dicocokkan dengan program tertentu dalam suatu aplikasi (misalnya,
auditor mungkin dapat menentukan tolok ukur program spesifik yang melakukan penghitungan
perpanjangan faktur atau penghitungan bunga)
• penerapannya stabil (yaitu, hanya sedikit perubahan yang terjadi atau diperkirakan akan terjadi dari
periode ke periode)
• Terdapat jejak perubahan program yang dapat diandalkan (lihat diskusi sebelumnya mengenai ITGC).
Catatan atau jejak perubahan program ini digunakan untuk mengidentifikasi setiap perubahan yang
telah dilakukan pada aplikasi dan bagaimana perubahan ini dapat berdampak pada pendekatan audit.
Ini adalah masalah pertimbangan profesional mengenai kapan perlunya melakukan tolok ukur ulang
suatu aplikasi. Faktor-faktor yang perlu dipertimbangkan dalam melakukan penilaian ini adalah
efektivitas ITGC, sifat dan waktu pengujian terkait lainnya serta konsekuensi kesalahan yang terkait
dengan pengendalian aplikasi yang dijadikan tolok ukur. Dalam beberapa kasus, auditor dapat memilih
untuk mengandalkan pengendalian yang dijadikan acuan dari tahun ke tahun
tahun dan, dalam kasus lain, mereka mungkin memilih untuk hanya mengandalkan pengendalian yang
dijadikan patokan antara interim dan akhir tahun.

Perlu dicatat bahwa benchmarking mungkin bukan strategi yang efisien jika kompleksitas
penerapannya menyulitkan identifikasi dan pengujian dengan mudah fungsi atau aplikasi yang ingin diuji
dan diandalkan oleh auditor. Misalnya, ketentuan jaminan mungkin didasarkan pada perhitungan yang
dilakukan oleh suatu aplikasi, yang bergantung pada banyak aplikasi yang saling terkait, dan klien tidak
dapat membantu auditor dalam mengidentifikasi aplikasi mana yang benar-benar melakukan perhitungan
tersebut. Dalam situasi ini, mungkin akan lebih efisien untuk menguji ulang data atau informasi yang
mendasarinya pada periode audit berikutnya.
Waktu pengujian pengendalian
Pengujian pengendalian biasanya dilakukan pada tanggal interim (yaitu sebelum akhir tahun). Sebaiknya
pengujian pengendalian tingkat entitas dan ITGC dilakukan pada awal proses audit karena hasil
pengujian ini dapat berdampak pada sifat dan luas prosedur lain yang akan dilakukan auditor. Misalnya,
jika ITGC ditemukan tidak efektif dan oleh karena itu tidak dapat diandalkan, pengujian pengendalian
aplikasi yang lebih ekstensif perlu dilakukan jika auditor berencana untuk mengandalkan aplikasi dan
bukti audit yang dihasilkan komputer.
Auditor memperbarui evaluasi pengendaliannya sejak prosedur interim dilakukan hingga tanggal akhir
tahun. Mereka memperbarui evaluasinya dengan mengidentifikasi perubahan, jika ada, pada lingkungan
pengendalian dan pengendalian itu sendiri. Jika perubahan teridentifikasi, pertimbangan diberikan
terhadap dampak perubahan tersebut terhadap evaluasi pengendalian. Pembaruan ini sering dilakukan
melalui penyelidikan, observasi dan, dalam beberapa kasus, pengujian kontrol lagi pada akhir tahun.
Dalam kebanyakan kasus, klien tidak akan membuat perubahan signifikan dalam lingkungan
pengendalian atau pengendalian antara penyelesaian pekerjaan sementara dan akhir tahun. Ketika hal ini
terjadi dan auditor telah mencatat lingkungan pengendalian yang efektif, mereka memuaskan diri mereka
sendiri dengan penyelidikan dan observasi bahwa pengendalian terus berfungsi sepanjang sisa periode
tanpa memerlukan pengujian pengendalian tambahan yang signifikan dan terperinci.
Ringkasan sejauh mana pengujian
Tabel 8.3 adalah contoh berapa banyak pengujian setiap kontrol yang dapat dilakukan tergantung pada
frekuensi kontrol yang dimaksud. Pemilihan berapa banyak contoh kontrol yang akan diuji merupakan
area penilaian yang signifikan. Tabel 8.3 hanya merupakan contoh dan dua auditor yang berbeda
kemungkinan besar akan merancang dua tingkat pengujian yang berbeda. Misalnya, jika ini merupakan
pengendalian bulanan dan auditor ingin memperoleh tingkat keyakinan yang lebih dari terbatas dari
pengujian pengendalian, maka dua pengendalian (misalnya, rekonsiliasi bank bulanan) akan diuji
sepanjang tahun. Namun, jika hanya diperlukan tingkat jaminan terbatas dari pengujian pengendalian,
maka hanya satu pengendalian yang akan diuji sepanjang tahun. ‘Lebih dari terbatas’ dalam contoh ini
tidak sama dengan jaminan yang masuk akal (yaitu keyakinan 95 persen).
TABEL 8.3 Contoh tabel pengujian sejauh mana

Lebih dari jaminan terbatas dari Kepastian terbatas dari pengujian
pengujian pengendalian pengendalian
Frekuensi
> 1000 contoh 25–40 10–20 Setiap hari 25–40 10–20 Mingguan 5 2 Bulanan 2 1 Kuartalan 2 1 Tahunan 1 1
Pertimbangan profesional lainnya Pertimbangan profesional Pengendalian aplikasi (ITGC yang efektif) 1 1
Pengendalian aplikasi (ITGC yang tidak efektif) 25–30 25–30

Tingkat keyakinan terbatas mungkin direncanakan ketika bukti tambahan dari pengujian lain telah
tersedia bagi auditor (seperti bukti dariprosedur substantif(disebut jugapengujian substantifatautes
detail), yang merupakan prosedur audit yang dilakukan untuk mendeteksi salah saji material pada tingkat
asersi), atau yang mungkin merupakan strategi yang efisien untuk menguji beberapa pengendalian dan
melaksanakan beberapa prosedur substantif tambahan. Kepastian lebih dari terbatas dapat direncanakan
ketika tidak ada bukti audit tambahan yang tersedia dari pengujian lain, atau ketika pengujian dan
mengandalkan pengendalian lebih efisien tanpa melakukan pengujian substantif dalam jumlah besar.
Untuk memperoleh ‘kepastian yang masuk akal’ dan oleh karena itu dapat menyimpulkan dengan
keyakinan 95 persen bahwa pengendalian beroperasi secara efektif, beberapa pengendalian harus diuji
untuk setiap asersi dan saldo material. Ini adalah bidang yang memerlukan tingkat penilaian profesional
yang signifikan.
AWAN 9
Memastikan bahwa pengujian mencakup pengendalian penting dan memberikan bukti yang cukup
dan tepat mengenai efektivitas pengendalian memungkinkan auditor mengurangi risiko pengendalian
atas asersi laporan keuangan terkait. Josh dan Weijing berdiskusi tentang bagaimana mereka dapat
merancang pengujian kendali mereka untuk dapat menyimpulkan bahwa setiap kendali:
• dioperasikan sesuai pemahaman pengoperasiannya
• diterapkan sepanjang periode ketergantungan yang diinginkan
• diterapkan secara tepat waktu
• mencakup semua transaksi yang berlaku
• didasarkan pada informasi yang dapat dipercaya
• menghasilkan koreksi tepat waktu atas setiap kesalahan yang teridentifikasi.
Josh menjelaskan bahwa jika mereka dapat memenuhi tujuan di atas dalam desain mereka dan tidak
ada pengecualian yang ditemukan saat mereka melakukan pengujian, maka pengendalian akan
dianggap efektif. Jika ditemukan pengecualian, mereka perlu menyelidiki keadaannya. Mereka perlu
berhati-hati untuk tidak menganggap pengecualian apa pun sebagai kejadian acak, dan kemungkinan
besar bukan merupakan gejala masalah yang lebih luas. Lebih lanjut, mereka mungkin perlu melakukan
prosedur tambahan untuk memperoleh keyakinan yang memadai, atau mengurangi ketergantungan
mereka pada pengendalian. Tindakan terakhir ini mungkin memerlukan pengujian tambahan terhadap
pengendalian kompensasi lainnya atau peningkatan pengujian substantif.

• Sebutkan tiga faktor yang perlu dipertimbangkan ketika memutuskan sejauh mana
pengujian yang akan dilakukan. • Kapan pengujian pengendalian aplikasi memerlukan
pengujian lebih dari satu? • Mengapa auditor memperbarui evaluasi pengendalian
interim pada akhir tahun?
8.4 Hasil pengujian auditor

TUJUAN BELAJAR 8.4 Membandingkan dan membedakan hasil pengujian pengendalian.Sebelum auditor
menguji pengendalian, mereka harus meninjau dokumentasi pengendalian internal (seperti yang
dijelaskan dalam bab 6). Hal ini biasanya berbentuk narasi, diagram logika, diagram alur, daftar periksa,
kuesioner, atau kombinasi dari semuanya. Jika pengujian pengendalian mengkonfirmasi evaluasi awal
auditor atas pengendalian (dan risiko pengendalian), prosedur audit substantif yang direncanakan tidak
dimodifikasi. Jika hasil pengujian tidak mengkonfirmasi evaluasi awal atas pengendalian (dan risiko
pengendalian), auditor merevisi penilaian risiko audit secara keseluruhan untuk akun terkait dan strategi
audit yang direncanakan (yaitu, meningkatkan tingkat prosedur substantif). Misalnya, jika pengujian
pengendalian menunjukkan bahwa pengendalian tertentu tidak seefektif yang diyakini semula atau tidak
berfungsi sebagaimana mestinya dan pengendalian pengganti (yang memberikan kompensasi) tidak
tersedia atau tidak efektif, auditor merevisi penilaian risiko auditnya (meningkatkan risiko pengendalian)
, mengurangi atau menghilangkan ketergantungan yang diharapkan, dan mengurangi risiko deteksi
dengan merancang lebih banyak

prosedur audit substantif yang ekstensif (yang dimaksudkan untuk mendeteksi dan memperkirakan
dampak kesalahan dalam saldo akun signifikan terkait). Seperti disebutkan sebelumnya, ketika suatu
pengendalian tidak berjalan sebagaimana mestinya, hal itu disebut sebagai pengecualian pengendalian
(deviasi).
Gambar 8.2 mengilustrasikan pohon keputusan atau proses pemikiran yang dilalui auditor ketika
menilai hasil pengujian pengendaliannya.
Untuk pengecualian kontrol apa pun

diidentifikasi, apakah ada
kontrol kompensasi
kamu bisa mengujinya?
ya Tidak
Dokumentasikan hasil Anda dan
dampaknya terhadap program
audit substantif akhir tahun (jika
Uji ada).
kompensasi
kontrol.
GAMBAR 8.2Hasil pengujian
Auditor perlu menginvestigasi setiap pengecualian pengendalian (penyimpangan) yang mereka

identifikasi selama pengujian untuk mengetahui, sejauh praktis, penyebabnya (misalnya, apakah
pengecualian tersebut dapat mengindikasikan pola pengecualian serupa), jumlah yang terlibat, akun
laporan keuangan yang terpengaruh, dan potensi dampaknya terhadap prosedur audit lainnya. Auditor
diharuskan untuk mendokumentasikan penyelesaian setiap penipuan
pengecualian pengendalian (termasuk dampak terhadap pendekatan audit yang tersisa) dan melaporkan
pengecualian pengendalian dalam surat manajemen kepada pihak yang bertanggung jawab atas tata
kelola, karena pengecualian tersebut dianggap sebagai kepentingan tata kelola sesuai dengan SA 260
(ISA 260)Komunikasi dengan Pihak yang Bertanggung Jawab atas Tata Kelola(lihat gambar 6.6).
Jika auditor memperluas pengujiannya dan pengecualian pengendalian lainnya teridentifikasi, auditor
harus mengubah keputusannya untuk mengandalkan pengendalian tersebut dan, jika pengendalian lain
(yang bersifat kompensasi) tidak tersedia untuk menggantikan pengendalian yang sedang diuji, atau hal
tersebut dianggap tidak efisien untuk dilakukan. melanjutkan pengujian pengendalian, memperbarui (dan
berpotensi meningkatkan) sifat, waktu dan luas prosedur substantif yang direncanakan. Artinya, strategi
audit diubah dan risiko deteksi berkurang.
Dalam mencoba menentukan apakah diperlukan pengujian pengendalian tambahan yang rinci,
faktor-faktor berikut ini dipertimbangkan.
•Hasil penyelidikan dan observasi. Jika, dalam permintaan keterangan atau pengamatannya pada tahap
selanjutnya dalam proses audit, auditor mengidentifikasi bahwa telah terjadi perubahan signifikan
terhadap proses dan pengendalian, pengujian pengendalian sebelumnya yang dilakukannya mungkin
tidak lagi memberikan dasar untuk mengandalkan pengendalian tersebut. Oleh karena itu, mereka
mungkin perlu mengidentifikasi dan menguji pengendalian lain, melakukan pengujian pengendalian
tambahan atau meningkatkan tingkat pengujian substantif yang dilakukan pada akhir tahun. Perubahan
terhadap proses atau pengendalian menjadi signifikan hanya jika perubahan tersebut mempunyai
implikasi terhadap kelangsungan fungsi dan efektivitas pengendalian yang menjadi landasan auditor.
•Bukti diberikan oleh tes lain. Pengujian saldo akun (pengujian substantif) sering kali dapat memberikan
bukti tentang kelangsungan fungsi pengendalian. Misalnya, ketika auditor memeriksa faktur vendor untuk
mendukung kreditur akhir tahun dan saldo akun pengeluaran, mereka mengetahui apakah pengendalian
yang berkaitan dengan pencatatan transaksi ini terus berfungsi. Sepanjang prosedur audit lainnya
memberikan bukti efektivitas pengendalian sejak tanggal interim

pekerjaan sampai akhir periode yang diaudit, pengujian tambahan yang mungkin diperlukan dapat
dikurangi.
•Perubahan dalam lingkungan kendali secara keseluruhan. Lingkungan pengendalian tingkat entitas
yang efektif memungkinkan auditor membatasi pengujian pengendaliannya hanya pada penyelidikan
dan observasi selama periode antara saat auditor menguji pengendalian tersebut (interim) dan akhir
tahun. Jika mereka menyadari adanya perubahan yang merugikan dalam lingkungan pengendalian
entitas secara keseluruhan, seperti hilangnya karyawan dan manajemen kunci yang melaksanakan
pengendalian utama dan yang memberikan bukti mengenai efektivitas lingkungan pengendalian entitas
secara keseluruhan, pengujian pengendalian tambahan mungkin dilakukan. diperlukan.

• Apa yang dilakukan auditor ketika mereka mengidentifikasi pengecualian pengendalian?
• Mengapa auditor mempertimbangkan lingkungan pengendalian entitas secara keseluruhan ketika
melakukan pengujian pengendalian?
• Mengapa auditor selalu menyelidiki pengecualian pengendalian?
8.5 Mendokumentasikan kesimpulan

TUJUAN BELAJAR 8.5 Menjelaskan bagaimana mendokumentasikan pengujian pengendalian.
Setelah pengendalian diuji, auditor mendokumentasikan pekerjaannya dalam kertas kerja. Dalam kertas
kerja ini, auditor biasanya menetapkan tujuan pengujian pengendalian yang diidentifikasi. Hal ini
membantu dalam melaksanakan pengujian dengan mengingatkan auditor tentang tujuan keseluruhan
pengujian pengendalian. Jika auditor mengidentifikasi pengecualian atau masalah apa pun, auditor dapat
memutuskan apakah terdapat dampak terhadap strategi pengujiannya dengan mempertimbangkan apakah
pengecualian pengendalian berarti bahwa pengendalian tersebut tidak lagi memenuhi tujuan pengujian.
Misalnya, asumsikan bahwa pengendalian yang dipilih untuk pengujian adalah rekonsiliasi bank dan
tujuan pengujian tersebut adalah untuk memverifikasi bahwa peninjauan oleh pengontrol keuangan
dilakukan tepat waktu. Namun ketika melakukan pengujian, tercatat bahwa walaupun ada bukti
peninjauan (tanda tangan), namun tidak ada tanggalnya, sehingga ketepatan waktu tidak dapat
diverifikasi. Oleh karena itu, auditor dapat menyimpulkan bahwa pengendalian telah dilaksanakan namun
mereka tidak dapat menyimpulkan apakah pengendalian tersebut dilaksanakan secara tepat waktu. Perlu
ditentukan apakah pengendalian kompensasi harus diuji, atau apakah ketepatan waktu peninjauan tidak
penting bagi kemampuan auditor untuk mengandalkan rekonsiliasi bank sebagai bukti audit.
Auditor juga mendokumentasikan pengujian yang dilakukan, pengendalian aktual yang dipilih untuk
pengujian, dan hasil pengujian. Pengendalian yang dipilih harus memiliki rincian yang cukup agar
auditor lain dapat meninjau kertas kerja, melakukan kembali langkah-langkah tersebut (jika perlu) dan
mencapai kesimpulan yang sama seperti auditor yang menyiapkan kertas kerja. Hasilnya sering kali
dituangkan dalam tabel untuk memudahkan peninjauan dan mengidentifikasi dengan cepat pengecualian
apa (jika ada) yang diidentifikasi selama pengujian. Sebelum kesimpulan keseluruhan dicapai untuk
setiap bagian pekerjaan yang dilakukan, tabel hasil juga membantu orang yang meninjau kertas kerja
untuk menentukan apakah cukup pekerjaan yang telah dilakukan dan apakah kesimpulan yang benar
mengenai pengujian pengendalian telah tercapai. Kertas kerja juga harus memuat kesimpulan spesifik
mengenai apakah hasil tes mendukung tujuan tes secara keseluruhan. Ini adalah standar dokumentasi
yang diwajibkan oleh ASA 230 (ISA 230)Dokumentasi Audit.
Terlepas dari cara mereka menyiapkan kertas kerja dan mendokumentasikan hasilnya, cakupan
dokumentasi auditor akan meningkat seiring dengan meningkatnya kompleksitas operasi, sistem, dan
pengendalian klien. Selain itu, semakin kompleks operasi klien dan pengendalian internalnya, auditor
yang melakukan pekerjaan tersebut harus semakin berpengalaman.
Seperti yang juga diilustrasikan dalam bab 7, gambar 8.3 adalah contoh kertas kerja yang berkaitan
dengan pengujian pengendalian. Bagian pertama dari Gambar 8.4 mengilustrasikan dalam format tabel
dampak pengujian pengendalian terhadap jumlah pengujian substantif selanjutnya yang perlu dilakukan.
Misalnya, jika risiko inheren rendah dan tingkat keyakinan yang wajar telah diperoleh dari pengujian
pengendalian (yaitu, pengendalian beroperasi
secara efektif), kemungkinan hanya prosedur peninjauan analitis keseluruhan yang perlu dilakukan untuk
mengurangi risiko deteksi (dan risiko audit) ke tingkat yang dapat diterima agar dapat membuat
kesimpulan tentang pernyataan akun signifikan. Namun, jika risiko inheren tinggi dan tidak ada jaminan
yang diperoleh dari pengujian pengendalian, prosedur substantif ekstensif yang dirancang untuk
memperkirakan nilai dolar dari setiap kesalahan dalam saldo perlu dilakukan.
Bagian kedua dari gambar 8.4 mengilustrasikan informasi yang sama dalam format grafik. Artinya,
semakin tinggi tingkat keyakinan yang diperoleh dari pengujian pengendalian, semakin rendah tingkat
keyakinan yang diperlukan untuk diperoleh dari prosedur substantif agar dapat mengambil kesimpulan.
CONTOH UJI KERTAS KERJA KONTROL
Nama klien: CAMTRAC Pty Ltd Akhir tahun: 31 Desember 2016
Kertas kerja: Pengujian pengendalian kas
Tujuan tes:
Tujuan pengujian ini adalah untuk memverifikasi bahwa pengendalian rekonsiliasi bank telah
dirancang dan diterapkan secara memadai untuk 12 bulan yang berakhir pada tanggal 31
Desember 2016.
Pekerjaan yang dilakukan:

Memilih dua rekonsiliasi bank dari bulan yang berbeda, mengikat saldo sesuai laporan bank dengan
laporan bank dan sertifikat audit bank, mengikat saldo sesuai buku besar ke neraca saldo dan
menjamin semua item rekonsiliasi antara laporan bank dan neraca saldo lebih dari $50.000 untuk
dokumentasi pendukung untuk memastikan item rekonsiliasi valid dan rekonsiliasi telah dilakukan
dengan benar. Memastikan rekonsiliasi telah disiapkan dan ditinjau secara tepat waktu.
Temuan/hasil pengujian:
Rekonsiliasi bank terpilih untuk bulan April dan September 2016. Tidak ditemukan kesalahan
dalam penyusunan rekonsiliasi. Keduanya disiapkan dan ditinjau dalam waktu empat hari pada
akhir bulan. Menganggap ini tepat waktu.
Kesimpulan:
Berdasarkan pengujian yang dilakukan, rekonsiliasi bank tampaknya telah dirancang, diterapkan dan
beroperasi secara efektif untuk 12 bulan yang berakhir pada tanggal 31 Desember 2016.
Disiapkan oleh: Diperiksa oleh: Indeks: C1:1

ITU 13/10/16 FMC 15/10/16
GAMBAR 8.3Contoh pengujian kertas kerja kendali
AWAN 9
Josh dan tim audit lainnya telah menyelesaikan pengujian dan menilai kontrol di Cloud 9. Jika
diperlukan, mereka melakukan pengujian tambahan untuk menyelidiki penyimpangan atau pengecualian
yang ditemukan selama pengujian awal. Mereka mengirimkan kertas kerja lengkap mereka kepada
Sharon Gallagher, manajer audit, dan Jo Wadley, partner. Anggota tim audit yang lebih senior harus
meninjau hasil pengujian pengendalian dan menilai apakah terdapat bukti yang cukup dan tepat untuk
mendukung keputusan untuk terus menggunakan pendekatan risiko pengendalian dengan tingkat
penilaian yang lebih rendah dalam audit.
Josh sibuk selama beberapa hari terakhir menjawab pertanyaan dari Sharon dan rekannya tentang
aspek tertentu dari pengujian kontrol, tetapi sekarang tampaknya semua masalah dan permasalahan
telah diselesaikan dengan memuaskan. Meskipun tim audit telah berkonsentrasi pada pengujian
pengendalian, rencana untuk pengujian substantif sudah maju dan perhatian kini beralih ke fase audit
ini.

N
pengujian
Dia
S
Beberapa Besar
substantif pengujian Prosedur
Dia
95%
S
Prosedur Tidak ada jaminanekstensif berfokus
S
Tingkat jaminan
Tingkat terbatas diperoleh dari
A
Di dalam
yang wajar dari pada
k
HAI jaminan dari mengontrol memperkirakan
S
pengujian
Saya L
mengontrol pengujian kesalahan dalam
pengendalian
R
T
pengujian keseimbangan
N
Sedikit/terbatas
Dia
Dia
H substantif
Prosedur
H
G
N Saya
SAYA
T H Besar
Dia HAI
HAI
R
Saya
di dalam
T
A
D
N
Dia
Saya
0%
kepercayaan diri
C
HAI
Jaminan dari pengujian
R
M
pengendalian
P
HAI
Jaminan dari substantif
S
N
F
Prosedur
C
Rendah sedang Tinggi

Risiko salah saji material
Luasnya pengujian substantif tambahan
GAMBAR 8.4Dampak pengujian pengendalian pada tingkat pengujian substantif
LINGKUNGAN PROFESIONAL
Kualitas audit dan kertas kerja

Siapa yang mengaudit auditor? Komisi Sekuritas dan Investasi Australia (ASIC) diwajibkan oleh
undang-undang (Undang-undang Program Reformasi Ekonomi Hukum Perusahaan (Reformasi Audit dan
Pengungkapan Perusahaan) tahun 2004, yang dikenal sebagai CLERP 9) untuk memeriksa kepatuhan
perusahaan audit terhadap persyaratan kualitas audit dan independensi auditor. ASIC bertugas
menerbitkan laporan mengenai program inspeksi untuk memberikan informasi yang lebih baik kepada
perusahaan, masyarakat investor, perusahaan, komite audit, dan pemangku kepentingan lainnya yang
berkepentingan.4
Setiap 12 hingga 18 bulan, ASIC menerbitkan hasil program inspeksi terbaru terhadap perusahaan
audit Australia, termasuk perusahaan kecil. Perusahaan kecil cenderung tidak memiliki sistem yang
canggih namun tetap diharuskan untuk memastikan bahwa kertas kerjanya berisi bukti yang cukup
untuk membenarkan kepatuhan mereka terhadap standar audit wajib. Laporan tertanggal Juni 2014
berisi hasil pemeriksaan mereka terhadap 107 berkas audit yang dilakukan selama periode 2012–13.5

(lanjutan)
ASIC menyimpulkan bahwa meskipun perusahaan audit mengambil langkah-langkah positif untuk
meningkatkan kualitas audit, dampak dari langkah-langkah tersebut belum tercermin dalam temuan
pemeriksaan berbasis risiko. ASIC menyatakan bahwa di 20 persen dari 454 area audit utama yang
ditinjau untuk perusahaan audit dengan ukuran berbeda, auditor tidak memperoleh keyakinan yang
memadai bahwa laporan keuangan secara keseluruhan bebas dari salah saji material – tingkat yang
sama dengan tingkat sebelumnya. laporan (18 persen). Penting untuk dicatat bahwa ASIC tidak
menyimpulkan bahwa laporan keuangan mengandung salah saji material, namun auditor tidak
mengumpulkan bukti yang cukup untuk mendukung temuan mereka. Secara khusus, ASIC menyatakan
bahwa auditor tidak menunjukkan skeptisisme profesional yang memadai dan mungkin terlalu
bergantung pada pekerjaan para ahli dan auditor lainnya. Banyak kekurangan yang terkait dengan
estimasi akuntansi, seperti penurunan nilai aset dan pilihan kebijakan akuntansi.6

• Tingkat rincian apa yang perlu dicantumkan auditor dalam kertas kerja audit ketika
mendokumentasikan hasil pengujian pengendaliannya?
• Standar audit manakah yang menetapkan tingkat minimum dokumentasi yang diperlukan dalam kertas
kerja yang disimpan dalam file audit?
• Apa dampaknya terhadap luasnya pengujian substantif yang diperlukan jika risiko inheren tinggi dan
tidak ada jaminan yang diperoleh dari pengujian pengendalian?
RINGKASAN
8.1 Jelaskan berbagai jenis pengendalian.
Ada empat jenis pengendalian yang berbeda: manual, otomatis (atau dikenal sebagai pengendalian
aplikasi), pengendalian umum TI (ITGC) atau kombinasi jenis pengendalian yang disebut sebagai
pengendalian manual yang bergantung pada TI. Masing-masing jenis ini dapat digambarkan sebagai
kontrol pencegahan atau kontrol deteksi. Mencegah kontrol, seperti namanya, mencegah terjadinya
kesalahan. Kontrol deteksi mendeteksi kesalahan setelah terjadi dan memperbaiki kesalahan secara
tepat waktu.
8.2 Bandingkan berbagai teknik untuk pengujian pengendalian.
Ada empat teknik utama yang digunakan untuk menguji pengendalian: penyelidikan (pertanyaan
diajukan mengenai pengoperasian pengendalian), observasi (pengoperasian pengendalian diamati
saat terjadi), inspeksi (bukti fisik yang dihasilkan dari kinerja pengendalian) dan kinerja ulang
(ketika auditor melakukan kembali pengendalian untuk menguji efektivitasnya).
8.3 Menjelaskan cara memilih dan merancang pengujian pengendalian.
Pemilihan kontrol mana yang akan diuji merupakan masalah penilaian profesional. Memutuskan
pengendalian mana yang akan diuji akan dipengaruhi oleh jenis pengendalian, frekuensi
pengendalian yang dilakukan, dan tingkat keyakinan yang akan diperoleh auditor dari pengendalian
yang dirancang dan diterapkan secara efektif. Sebagai aturan umum, pengendalian terbaik untuk
diuji adalah pengendalian yang paling efektif menangani WCGW dengan jumlah pengujian yang
diperlukan paling sedikit.
Luasnya pengujian pengendalian (yaitu, berapa banyak yang akan diuji) juga merupakan masalah
pertimbangan profesional, meskipun terdapat teknik pengambilan sampel yang tersedia (dibahas
dalam bab 6). Luasnya pengujian dipengaruhi oleh banyak faktor, termasuk seberapa sering
pengendalian dilakukan, sejauh mana ketergantungan akan ditempatkan pada pengendalian sebagai
bagian dari audit, persuasif bukti yang dihasilkan oleh pengendalian, kebutuhan untuk dipenuhi.
bahwa pengendalian tersebut dijalankan sebagaimana dimaksud sepanjang periode ketergantungan,
adanya kombinasi pengendalian yang dapat mengurangi tingkat jaminan yang mungkin diperlukan
dari satu pengendalian, pentingnya pertanyaan atau pernyataan WCGW yang dipertimbangkan, dan
setiap faktor lain seperti kompetensi orang yang membawa
pengendalian, kualitas lingkungan pengendalian dan setiap perubahan dalam sistem akuntansi.8.4
Membandingkan dan membedakan hasil pengujian pengendalian.
Jika pengendalian yang diuji dianggap efektif dan dapat diandalkan untuk tujuan mengurangi risiko
audit secara keseluruhan untuk akun dan asersi signifikan tertentu, maka tingkat pengujian substantif
tambahan yang diperlukan akan berkurang. Jika pengendalian yang diuji dianggap tidak efektif dan
tidak mampu memberikan bukti audit apa pun yang mengurangi risiko audit secara keseluruhan
secara signifikan.
tidak dapat dipertanggungjawabkan dan ditegaskan, maka tingkat pengujian substantif tambahan
yang diperlukan akan meningkat.8.5 Menjelaskan cara mendokumentasikan pengujian pengendalian.
Tujuan pengujian pengendalian, pemilihan pengendalian yang akan diuji, hasil pengujian
pengendalian yang dilakukan, dan kesimpulan mengenai desain dan penerapan pengendalian,
semuanya didokumentasikan dalam kertas kerja. Kertas kerja ini kemudian direview oleh auditor
yang lebih berpengalaman untuk menentukan apakah pekerjaan telah dilakukan secara memadai dan
apakah kesimpulan yang tepat telah dicapai.
ISTILAH UTAMA
Pengambilan sampel atributSuatu teknik pengambilan sampel yang digunakan untuk mencapai suatu
kesimpulan tentang suatu populasi ditinjau dari tingkat (frekuensi) kemunculannya.
Kegiatan pengendalianKebijakan dan prosedur yang membantu memastikan bahwa arahan manajemen
dilaksanakan. Aktivitas pengendalian merupakan salah satu komponen pengendalian internal.
Pengecualian kontrolSuatu kondisi yang diamati yang memberikan bukti bahwa pengendalian yang
diuji tidak beroperasi sebagaimana mestinya.

Kontrol(Rujuk aktivitas pengendalian) istilah pengendalian internal, pengendalian, sistem pengendalian
internal dan komponen pengendalian internal dapat digunakan untuk merujuk pada proses yang sama.
Kontrol tingkat entitasPenilaian kolektif terhadap lingkungan pengendalian klien, proses penilaian
risiko, sistem informasi, aktivitas pengendalian, dan pemantauan pengendalian.
Pengendalian internalProses yang dirancang, diterapkan, dan dipelihara oleh pihak yang bertanggung
jawab atas tata kelola, manajemen, dan personel lainnya untuk memberikan keyakinan memadai
mengenai pencapaian tujuan entitas sehubungan dengan keandalan pelaporan keuangan, efektivitas
dan efisiensi operasi, serta kepatuhan terhadap peraturan perundang-undangan yang berlaku.
Prosedur substantif (pengujian substantifatautes detail)Prosedur audit dirancang untuk mendeteksi
salah saji material pada tingkat asersi.
Pengujian pengendalian (pengujian pengendalian)Prosedur audit yang dirancang untuk
mengevaluasi efektivitas operasi pengendalian dalam mencegah, atau mendeteksi dan
mengoreksi, kesalahan penyajian material pada tingkat asersi.
Kontrol tingkat transaksiPengendalian yang mempengaruhi transaksi atau kelompok transaksi
tertentu.WCGWDimana salah saji material akibat kesalahan atau kecurangan dapat terjadi dalam suatu
arus transaksi atau sumber dan penyusunan informasi yang mempengaruhi asersi laporan keuangan
yang relevan.
SOAL PILIHAN GANDA

8.1Manakah dari berikut ini yang bukan merupakan faktor yang dipertimbangkan auditor ketika
memutuskan pengendalian mana yang akan diuji?LO1(a) Jenis pengendalian
(b) Risiko deteksi
(c) Frekuensi pengendalian yang dilakukan
(d) Tingkat keyakinan yang ingin diperoleh auditor
8.2Tujuan pengendalian adalah untuk:LO1(a) mendeteksi salah saji dalam laporan keuangan.
(b) mencegah salah saji dalam laporan keuangan.
(c) mendukung bagian otomatis suatu bisnis dalam memfungsikan pengendalian.
(d) semua hal di atas.
8.3Manakah dari berikut ini yang bukan merupakan jenis kontrol?LO1(a) Kontrol manual
(b) Kontrol otomatis
(c) Pengendalian substantif
(d) Pengendalian manual yang bergantung pada TI
8.4Kontrol deteksi tidak mencakup:LO1(a) rekonsiliasi.
(b) pengkodean akun.
(c) indikator kinerja.
(d) tinjauan tingkat manajemen.
8.5ITGC penting karena:LO1(a) mencegah keandalan bukti audit elektronik.
(b) mencegah personel yang berwenang memiliki akses ke data dan aplikasi.
(c) mempengaruhi efektivitas pengendalian aplikasi dan pengendalian manual yang bergantung
pada TI. (d) mengizinkan staf klien untuk mengubah program komputer tanpa perlu menerima
otorisasi untuk perubahan tersebut.
8.6Contoh kontrol aplikasi meliputi:LO1
(a) pemeriksaan edit. (b) validasi. atas.
(c) perhitungan. (d) semua hal di

Salinan Terjemahan BAB 8 AUDIT

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Salinan Terjemahan BAB 8 AUDIT

Diunggah oleh

Hak Cipta:

Format Tersedia

BAB 8

Setelah mempelajari bab ini Anda seharusnya mampu:

STANDAR AUDIT DAN ASURANSI

Dokumentasi Audit ASA 230 Dokumentasi Audit ISA 230

Keputusan penerimaan/kelanjutan klien

Identifikasi yang signifikan

Dapatkan pemahaman tentang klien rekening dan transaksiTetapkan materialitas

Memperoleh pemahaman tentang sistem pengendalian internal klien

Ikhtisar respon risiko

Proses audit menjadi fokus

BAB 8Eksekusi audit — pengujian pengendalian 269

8.1 Jenis kontrol

8.1.1 Mencegah dan mendeteksi pengendalian

270 Audit: Pendekatan Praktis

N Manual Manual otomatis Dia

TABEL 8.1 Contoh pengendalian pencegahan

Penegasan WCGW Mencegah pengendalian

Transaksi adalah Klasifikasi Pengkodean akun pada setiap pesanan

BAB 8Eksekusi audit — pengujian pengendalian 271

272 Audit: Pendekatan Praktis

TABEL 8.2 Contoh kontrol deteksi

Kontrol Deteksi Pernyataan WCGW

BAB 8Eksekusi audit — pengujian pengendalian 273

274 Audit: Pendekatan Praktis

BAB 8Eksekusi audit — pengujian pengendalian 275

Kerangka pengendalian internal COSO

276 Audit: Pendekatan Praktis

SEBELUM ANDA MELANJUTKAN

8.2 Teknik pengujian pengendalian

8.2.3 Pemeriksaan bukti fisik

8.2.4 Kinerja ulang

BAB 8Eksekusi audit — pengujian pengendalian 277

SEBELUM ANDA MELANJUTKAN

8.3 Memilih dan merancang pengujian pengendalian

8.3.1 Pengendalian manakah yang harus dipilih untuk pengujian?

8.3.2 Berapa banyak pengujian yang perlu dilakukan auditor?

278 Audit: Pendekatan Praktis

BAB 8Eksekusi audit — pengujian pengendalian 279

280 Audit: Pendekatan Praktis

BAB 8Eksekusi audit — pengujian pengendalian 281

TABEL 8.3 Contoh tabel pengujian sejauh mana

Pengendalian aplikasi (ITGC yang tidak efektif) 25–30 25–30

282 Audit: Pendekatan Praktis

SEBELUM ANDA MELANJUTKAN

8.4 Hasil pengujian auditor

BAB 8Eksekusi audit — pengujian pengendalian 283

Untuk pengecualian kontrol apa pun

GAMBAR 8.2Hasil pengujian

Auditor perlu menginvestigasi setiap pengecualian pengendalian (penyimpangan) yang mereka

284 Audit: Pendekatan Praktis

SEBELUM ANDA MELANJUTKAN

8.5 Mendokumentasikan kesimpulan

Nama klien: CAMTRAC Pty Ltd Akhir tahun: 31 Desember 2016

Kertas kerja: Pengujian pengendalian kas

Pekerjaan yang dilakukan:

Disiapkan oleh: Diperiksa oleh: Indeks: C1:1

GAMBAR 8.3Contoh pengujian kertas kerja kendali

286 Audit: Pendekatan Praktis

Rendah sedang Tinggi

GAMBAR 8.4Dampak pengujian pengendalian pada tingkat pengujian substantif

Kualitas audit dan kertas kerja

BAB 8Eksekusi audit — pengujian pengendalian 287

SEBELUM ANDA MELANJUTKAN