Adinda Rizka Marvella – 143221026

Pengauditan Berbasis Risiko I (N)

RMK TM 10
Control Risk Assesment

Understand and Evaluate Internal Control

RiskAssessment Procedures
Auditor melakukan prosedur penilaian risiko untuk mendapatkan bukti tentang desain dan
implementasi kontrol yang relevan dengan audit. Kontrol yang relevan dengan audit umumnya
terkait dengan pelaporan keuangan, tetapi tidak semua kontrol semacam itu dianggap relevan.
Tujuan auditor adalah memahami kontrol internal dan mengevaluasi komponen sistem kontrol
internal melalui berbagai prosedur, termasuk inspeksi, konsultasi, observasi, dan pengujian
ulang.

Documenting the System of Internal Control

Terdapat tiga metode umum untuk mendokumentasikan sistem kontrol internal:
• Naratif: adalah deskripsi tertulis tentang kontrol internal klien.
• Flowchart: adalah representasi simbolik dan diagramatis dari dokumen klien beserta
alur berurutnya dalam organisasi. Diagram alur yang dipersiapkan dengan baik
membantu mengidentifikasi kekurangan dengan memudahkan pemahaman yang jelas
tentang bagaimana sistem beroperasi, termasuk pemisahan tugas.
• Internal Control Questionnaire Kuesioner: adalah kuesioner yang telah dirancang
sebelumnya dan terdiri dari serangkaian pertanyaan tentang kontrol dalam setiap area
audit, termasuk lingkungan kontrol, sebagai sarana untuk menunjukkan kepada auditor
aspek- aspek kontrol internal yang mungkin tidak memadai.
Evaluate System of Internal Control
• Menilai desain kontrol
• Menentukan apakah kontrol telah diimplementasikan
• Menilai kompetensi orang-orang yang menjalankan kontrol,
• Menilai ketersediaan teknologi informasi
Standar Audit (CAS 265) mendefinisikan tiga tingkat ketidakadaan kontrol internal:
• Kekurangan Kontrol: terjadi jika desain atau operasi kontrol tidak mendeteksi dan
memperbaiki kesalahan secara tepat waktu.
• Kekurangan Signifikan : terjadi jika satu atau kombinasi kekurangan kontrol yang ada,
menurut penilaian profesional auditor, cukup penting untuk mendapatkan perhatian dari
pihak yang bertanggung jawab.
• Kelemahan materiil: terjadi jika kekurangan signifikan, baik itu sendiri atau dalam
kombinasi dengan kekurangan signifikan lainnya.

Consider Whether Controls of Outsourced Systems Should Be Included in Control

Activities
Hampir semua organisasi menggunakan pusat layanan eksternal, seperti penyedia gaji atau
broker investasi. Saat klien menggunakan pusat layanan, auditor harus memahami kontrol yang
terkait.
Other Considerations in Evaluating Control Activities
Semua organisasi membutuhkan kontrol umum TI, namun sejauh mana diformalisasinya
bergantung pada kompleksitas lingkungan TI. Jika lingkungan TI kompleks, tim audit harus
menilai apakah memiliki keterampilan TI yang cukup atau perlu melibatkan spesialis TI seperti
ahli Blockchain atau kriptografi.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
Control Risk Assessment
Penilaian risiko kontrol adalah ukuran dari harapan auditor bahwa kontrol internal tidak akan
mencegah terjadinya penyajian materiil pada tingkat pernyataan dan tidak akan mendeteksi
serta memperbaikinya jika sudah terjadi. Auditor menggunakan prosedur penilaian risiko untuk
mengevaluasi desain dan implementasi kontrol internal yang relevan dengan audit. Fokus
penilaian risiko kontrol adalah pada kontrol dalam aktivitas pengendalian, tetapi auditor
mempertimbangkan juga kontrol tidak langsung yang menangani risiko keseluruhan.

Preliminary Control Risk Assessment

Harapan awal auditor terhadap efektivitas operasional kontrol didasarkan pada evaluasi desain
dan implementasi kontrol yang diidentifikasi dalam komponen aktivitas pengendalian. Ini
mencerminkan penilaian awal risiko kontrol untuk setiap pernyataan yang relevan.

Audit Approach
Auditor memiliki tiga pilihan saat mengembangkan pendekatan audit yang sesuai untuk
mengatasi risiko penyajian materiil pada tingkat pernyataan yang diidentifikasi (CAS 330 A4):
• Melakukan pengujian kontrol saja;
• Melakukan prosedur substantif saja; atau
• Melakukan pendekatan kombinasi dengan menggunakan baik pengujian kontrol
maupun prosedur substantif.

Perform Tests of Controls Only

Melakukan Pengujian Kontrol Saja, standar audit mensyaratkan auditor untuk melakukan
prosedur substantif untuk semua risiko yang signifikan, bahwa mungkin ada risiko di mana
prosedur substantif saja tidak dapat memberikan cukup bukti audit yang sesuai.

Substantive vs. Combined Approach

Pilihan auditor dalam mengembangkan pendekatan audit dapat bersifat substansif, melibatkan
hanya pengujian kontrol, atau menggunakan pendekatan gabungan. Jika risiko berasal dari
transaksi rutin yang sangat terotomatisasi, auditor mungkin memilih pendekatan substansif
atau gabungan, tergantung pada efektivitas kontrol internal.

Test of Controls
Auditor melakukan pengujian kontrol dalam dua situasi berikut:
• Ketika penilaian auditor terhadap RMM pada tingkat pernyataan mencakup harapan
bahwa kontrol beroperasi secara efektif, atau
• Ketika prosedur substansif tidak dapat memberikan cukup bukti audit yang sesuai.

Purpose of Tests of Controls

Auditor melakukan pengujian kontrol untuk memberikan bukti apakah kontrol, terutama yang
berada dalam aktivitas pengendalian, benar-benar berfungsi sepanjang periode dan efektif
dalam mencegah, mendeteksi, dan/atau memperbaiki kesalahan.

Which Controls to Test

Pengujian kontrol hanya dilakukan pada kontrol yang dirancang dengan baik untuk mencegah
atau mendeteksi dan memperbaiki kesalahan materiil dalam pernyataan yang relevan, dan
auditor berencana untuk menguji kontrol-kontrol tersebut (CAS 330 A20).
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
Types of Procedures
Saat mengembangkan prosedur untuk menguji efektivitas kontrol, auditor akan merancang
prosedur audit yang mencakup tanya jawab, inspeksi, observasi, dan pengulangan, dan
mempertimbangkan bebrapa hal.

Extent of Tests
• Frekuensi Operasi Kontrol :Sejauh mana pengujian tergantung pada frekuensi operasi
kontrol dan apakah itu manual atau otomatis
• Tingkat Deviasi yang Diharapkan: Untuk menguji kontrol-kontrol tersebut, auditor
seringkali mengandalkan pengambilan sampel dan memilih sampel transaksi untuk
diuji apakah kontrol beroperasi secara efektif.
• Uji Rotasional: Pendekatan rotasional digunakan untuk menguji sebagian proporsi
kontrol setiap tahun.
• Bukti dari Pengujian Kontrol Lainnya: Auditor menguji beberapa kontrol untuk setiap
pernyataan, dan jika ada beberapa pengujian kontrol yang berbeda, sejauh pengujian
dapat dikurangi.

Auditor Reporting on Internal Control

Menurut CAS 265, auditor wajib menyampaikan kelemahan kontrol yang signifikan secara
tertulis kepada komite audit atau pihak yang bertanggung jawab atas tata kelola. Rekomendasi
kelemahan ini biasanya disertakan dalam laporan akhir tahun atau surat pengendalian internal
kepada komite audit. Manajemen bertanggung jawab untuk menanggapi dan menindaklanjuti
kelemahan yang dilaporkan.

Reporting on Internal Controls for Some Public Companies

Untuk beberapa perusahaan publik, selain memberikan opini audit atas laporan keuangan,
auditor juga melaporkan penilaian manajemen terhadap pengendalian internal. Laporan
semacam itu diwajibkan oleh Bagian 404(b) dari Sarbanes-Oxley Act tahun 2002, yang
mempengaruhi perusahaan-perusahaan Kanada yang merupakan anak perusahaan dari
perusahaan-perusahaan Amerika atau yang mendaftarkan sekuritas untuk dijual di Amerika
Serikat.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
REVIEW QUESTIONS
9-1 What is the auditor’s responsibility for obtaining an understanding of internal control? 9-2
What is a walk-through of internal control? What is its purpose?
9-3 Distinguish between obtaining an understanding of internal control and assessing control
risk at the assertion level. Also, explain the methodology the auditor uses for each.
9-6 Explain what is meant by “significant deficiencies” as they relate to internal control. What
should the auditor do when he or she has discovered significant deficiencies in internal control?
9-10 Why must control testing cover the entire period in order for the auditor to reach the
conclusion that a control is effective?

JAWAB
9-1 auditor’s responsibility for obtaining an understanding of internal control:
• Memahami Lingkungan Pengendalian:
• Menilai Risiko
• Memahami Aktivitas Pengendalian
• Aktivitas Pemantauan
• Komunikasi dan Dokumentasi
• Pengujian Kontrol
• Pelaporan Kelemahan

9-2 Walk-through (pengujian) pengendalian internal adalah metode yang digunakan oleh
auditor untuk memahami sistem pengendalian internal suatu entitas. Walk-through melibatkan
pelacakan transaksi atau serangkaian transaksi melalui sistem akuntansi untuk mengamati dan
menilai efektivitas pengendalian internal yang diterapkan. Tujuan utama dari walk-through
pengendalian internal adalah:
• Memahami Proses
• Mengidentifikasi Titik Pengendalian
• Menilai Efektivitas Desain
• Menilai Efektivitas Operasional
• Mengidentifikasi Kelemahan
• Mendokumentasikan Prosedur

9-3 Pengendalian Internal:

Metodologi:
• Melakukan wawancara dengan manajemen dan personel terkait untuk memahami
kebijakan dan prosedur.
• Meninjau dokumentasi seperti manual, diagram organisasi, dan dokumen kebijakan.
• Mengamati dan memeriksa operasi entitas untuk memahami bagaimana pengendalian
diterapkan.
• Melakukan "walk-through" (pengujian langkah-langkah) transaksi tertentu untuk
memastikan bahwa pengendalian diterapkan secara efektif.
• Mendokumentasikan pemahaman terhadap pengendalian internal untuk menjadi dasar
perencanaan audit lebih lanjut.

Menilai Risiko Pengendalian:

Metodologi:
• Mengidentifikasi pernyataan keuangan spesifik terkait saldo akun, transaksi, dan
pengungkapan.
Adinda Rizka Marvella – 143221026
Pengauditan Berbasis Risiko I (N)
• Menilai risiko kesalahan materi (RMM) untuk setiap pernyataan berdasarkan
pemahaman auditor terhadap pengendalian internal dan risiko inherent.
• Jika pengendalian dianggap efektif dan risikonya rendah, auditor dapat menetapkan
risiko pengendalian pada tingkat rendah, memungkinkan pengurangan pengujian
substansif.
• Jika pengendalian tidak efektif atau risikonya tinggi, auditor dapat menetapkan risiko
pengendalian pada tingkat yang lebih tinggi, memerlukan pengujian substansif yang
lebih ekstensif.
• Mendokumentasikan penilaian risiko pengendalian, termasuk dasar penentuan tingkat
risiko.

9-6 Significant deficiencies mengacu pada kelemahan dalam sistem pengendalian internal
suatu entitas yang cukup penting untuk diberitahukan kepada mereka yang bertanggung jawab
atas pengawasan, biasanya manajemen dan pihak yang bertanggung jawab atas tata kelola.
auditor do when he or she has discovered significant deficiencies in internal control:
• Berkomunikasi dengan Manajemen dan Pihak yang Bertanggung Jawab atas Tata
Kelola
• Mendokumentasikan Temuan
• Penilaian Kelemahan Materi.
• Penyesuaian Prosedur Audit
• Pertimbangan terhadap Pengaruh pada Opini Audit
• Melakukan Prosedur Tindak Lanjut

9-10 Auditor melakukan pengujian kontrol untuk memberikan bukti apakah kontrol, terutama
yang berada dalam aktivitas pengendalian, benar-benar berfungsi sepanjang periode dan efektif
dalam mencegah, mendeteksi, dan/atau memperbaiki kesalahan. Berbeda dengan prosedur
substansif, yang berfokus pada kesalahan dan dilakukan untuk memberikan bukti guna menguji
pernyataan yang relevan pengujian kontrol berfokus pada pemeriksaan apakah kontrol tersebut
berfungsi atau tidak.