A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN

Transkripsi

1 Menilai Risiko Pengendalian Dan Uji Pengendalian A. MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji yang material dalam laporan keuangan. Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material dalam asersi laporan keuangan. Penilaian resiko pengendalian melibatkan pengevaluasian terhadap efetivitas dari (1) rancangan dan (2) pengoperasian pengendalian. Menilai resiko pengendalian juga membantu auditor dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit. Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai bagian dari dasar yang memadai untuk mengeluarkan opini auditor. Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam asersi nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi, dan banyak aktifitas pengendalian berhubungan dengan pemrosesan suatu jenis transaksi tertentu. Oleh karena itu, adalah umum memulai dengan menilai resiko pengendalian atas asersi kelas transaksi seperti asersi keberadaan atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi untuk penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat dalam menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian yang relevan untuk penjualan dan penerimaan kas di anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual, bukan untuk pengendalian intern secara keseluruhan, komponen pengendalian intern individual, atau kebijakan atau prosedur individual. Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk : 1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas 2. Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas 3. Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah atau mendeteksi dan memperbaiki salah saji 4. Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian tersebut 5. Mengevaluasi bukti dan membuat penilaian Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam proses penilaian ini akan dibahas dalam bagian berikut. 1. Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures to obtain an understanding) mengenai pengendalian intern untuk asersi laporan keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal untuk menilai risiko pengendalian. Secara khusus, AU menyatakan

2 pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material, seperti apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur yang relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis dalam kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan arus dan memorandum naratif. Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian, serta memeriksa dokumendokumen. Dalam proses tersebut auditor mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai pengendalian intern. 2. Mengidentifikasi salah saji potensial Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa system pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan tertentu. Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah: Tabel salah saji material, pengendalian yang diperlukan, dan pengujian pengendalian transaksi pengeluaran kas Salah saji potensial Pengendalian yang diperlukan Pengujian pengendalian Suatu pengeluaran kas dapat dibuat untuk tujuan yang tidak diotorisasi (keberadaan atau keterjadian untuk transaksi yang valid) Komputer mencocokkan informasi cek dengan informasi yang mendukung tanda bukti dan hutang usaha untuk setiap transaksi pengeluaran Hanya personel dengan otorisasi yang diizinkan untuk menjalankan program dan mneangani cek yang dicetak dan ditandatangani komputer Pemisahan tugas dalam menyetujui tanda bukti (voucher) pembayaran dan menandatangani cek Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer Mengamati individu-individu yang menangani pengeluaran kas dan membandingkannya dengan daftar personel yang memiliki otorisasi Mengamati pemisahan tugas

3 Suatu tanda bukti mungkin dibayar dua kali (keberadaan dan keterjadian dari transaksi yang valid) Suatu cek dapat diterbitkan untuk jumlah yang salah atau dicatat dalam jumlah yang salah (penilaian atau alokasi) Komputer secara elektronik membatalkan tanda bukti dan informasi pendukung ketika cek diterbitkan Memberi tanda pada bukti pembayaran dan dokumen pendukung dengan tanda luns ketika cek diterbitkan Komputer mencocokkan informasi cek dengan informasi yag mendukung tanda bukti dan hutang usaha untuk setiap transaksi pengeluaran Komputer membandingkanjumlah cek yang diterbitkan dengan jumlah yang dicatat dalam pengeluaran kas Rekonsiliasi bank independen secara periodik Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer Mengemati pemberian cap kepada dokumen dan/ atau memeriksa sampael dari dokumen yang telah dibayar untuk memeriksa adanya tanda lunas Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer Mengamati kinerja rekonsiliasi bank dan/ atau memeriksa rekonsiliasi bank. 3. Mengidentifikasi pengendalian yang diperlukan. Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu dengan menggunakan perangkat lunak computer yang memroses jawaban kuesioner pengendalian intern atau dengan secara manual menggunakan daftar. Kolom kedua dalam dalam tabel diatas mengilustrasikan pengendalian potensial untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus, beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam kasus lain, suatu pengendalian tunggal dapat diaplikasikan. Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara rinkasan harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya pengujian independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.

4 Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial untuk asersi tertentu. Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu pemahamandan mengidentifikasi salah saji material serta pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari pengendalian yang diperlukan. 4. Melaksanakan pengujian pengendalian Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas. Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang terencana. 5. Mengevaluasi bukti dan membuat penilaian Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan masalah pertimbangan professional. AU menyarankan agar auditor mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat pertimbangan tersebut. Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan daripada membuat pertanyaan mengenai individu. Namun demikian, auditor seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin tidak

5 dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika mengevaluasi batas waktu Pengujian pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian pengendalian umum komputer selama periode audit umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram dioperasikan secara konsisten selama periode audit. Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan menurun. Sebagai contoh, teknik audit dengan bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk ditindaklanjuti. Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif. Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor sering kali menggunakan petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai. Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti, terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga menghasilkan audit yang tidak efisien. B. MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI INFORMASI 1. Strategi untuk melaksanakan pengujian pengendalian Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah : Menilai risiko pengendalian berdasarkan pengendalian pemakai Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan pengendalian aplikasi Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada pengendalian umum dan tindak lanjut manual a) Pengendalian pemakai Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer. Sebagai contoh, manajer yang mengenal denagn baik transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar pembelian

6 yang dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen sumber yang mendukung transaksi. Meskipun kedua pengendalian ini dapat mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi dan diperbaiki. Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian pemakai yang berhubungan dengan suatu asersi secara langsung, serupa dengan pengujian pengendalian dalam struktur manual. Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap komplektisitas program komputer. b) Pengendalian Aplikasi. Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi komputer.dalam rangka melaksanakan strategi ini auditor seharusnya : 1. Menguji pengendalian aplikasi computer 2. Menguji pengendalian umum computer 3. Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian aplikasi Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama periode audit. c) Pengendalian umum dan prosedur tindak lanjutan Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji pengendalian umum, biasanya auditor akan mempelajari efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat membuat kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan yang melaksanakan prosedur tindak lanjut manual. 2. Teknik audit berbantuan komputer TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan pengendalian pemrosesan terprogram. Teknik audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk 1. Simulasi pararel, 2. Pengujian data, 3. Fasilitas pengujian terintegrasi, dan 4. Pemantauan yang berkelanjutan atas sistem real-time online.

7 a) Simulasi parallel Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan suatu program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki keuntungan sebagai berikut : 1. Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan menulusurinya ke dokumen sumber dan persetujuan 2. Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil. 3. Auditor dapat secara independen menjalankan pengujian Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan guna menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang berada diluar kapasitas perangkat lunak komputer. b) Data pengujian Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut pengendalian auditor dengan program computer klien. Metode ini memiliki beberapa kekurangan yaitu : Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian yang ada dan yang berfungsi yang diuji oleh program Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system Operator computer mengetahui bahwa data pengujian sedang dijalankan, sehigga dapat mengurangi validitas output Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang pengendalian dalam aplikasi c) Fasilitas pengujian integrasi Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam system teknologi informasi regular. Data pengujian, yang diberi kode secara khusus untuk berhubungan dengan file master buatan, diperkenalkan ke dalam system bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data klien. Selain itu, modifikasi juga mungkin diperlukan dalam program klien untuk mengakomodasi data buatan. d) Pemantauan yang berkelanjutan terhadap system OLRT Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki karakteristik penting bagi auditor. 1. Memberi label pada transaksi. Meliputi penempatan suatu indicator atau label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri melalui system ketika sedang diproses. 2. Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu, digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan auditor ketika mereka muncul pada titik tertentu dalam system. 3. Menilai pengendalian teknologi informasi Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan pengendalian manual, pengendalian yang mengambil keuntungan teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki

8 salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat penilaian. Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur pengendalian manual dan komputer terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi SIK). a) Pengendalian Umum SIK Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi: a. Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi aktivitas SIK, yang mencakup: (1) Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian. (2) Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan, pemrograman, dan operasi komputer). b. Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk menciptakan pengendalian atas: (1) Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem yang direvisi. (2) Perubahan terhadap sistem aplikasi. (3) Akses terhadap dokumentasi sistem. (4) Pemerolehan sistem aplikasi dan listing program dari pihak ketiga. c. Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk memberikan keyakinan memadai bahwa: (1) Sistem digunakan hanya untuk tujuan yang telah diotorisasi. (2) Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi. (3) Hanya program yang telah diotorisasi yang digunakan. (4) Kekeliruan pengolahan dapat dideteksi dan dikoreksi. d. Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui proses otorisasi semestinya, termasuk: (1) Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru dan modifikasi perangkat lunak sistem. (2) Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi karyawan yang telah mendapatkan otorisasi. e. Pengendalian terhadap entry data dan program-didesain untuk memberikan keyakinan bahwa: (1) Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam sistem. (2) Akses ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi. Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan pengolahan SIK. Hal ini meliputi: a. Pembuatan cadangan data program komputer di lokasi di luar perusahaan. b. Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau penghancuran data baik yang disengaja maupun yang tidak disengaja.

9 c. Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi bencana. b) Pengendalian Aplikasi SIK Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi mencakup: a. Pengendalian atas masukan-didesain untuk memberikan keyakinan memadai bahwa: 1. Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan komputer. 2. Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan dicatat dalam file data komputer. 3. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya. 4. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu. b. Pengendalian atas pengolahan dan file data komputer-didesain untuk memberikan keyakinan memadai bahwa 1. Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer. 2. Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya. 3. Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu. c. Pengendalian atas keluaran-didesain untuk memberikan keyakinan memadai bahwa: (1) Hasil pengolahan adalah cermat. (2) Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapatkan otor (3) Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan oton semestinya. d. Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line (1) Pengendalian masukan pada sistem on-line-didesain untuk memberikan key bahwa: - Transaksi di-entry ke terminal yang semestinya. - Data di-entry dengan cermat. - Data di-entry ke periode akuntansi yang semestinya. - Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai transaks' sah (valid). - Data yang tidak sah (invalid) tidak di-entry pada saat transmisi. - Transaksi tidak di-entry lebih dari sekali. - Data yang di-entry tidak hilang selama masa transmisi berlangsung. - Transaksi yang tidak berotorisasi tidak di-entry selama transmisi berlangsung. (2) Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan keyakinan bahwa: (i) Hasil penghitungan telah diprogram dengan benar. (ii) Logika yang digunakan dalam proses pengolahan adalah benar. (iii) File yang digunakan dalam proses pengolahan adalah benar. (iv) Record yang digunakan dalam proses pengolahan adalah benar. (v) Operator telah memasukkan data ke komputer console yang semestinya. (vi) Tabel yang digunakan selama proses pengolahan adalah benar. (vii) Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya. (viii) Data yang tidak sah tidak digunakan dalam proses pengolahan.

10 (ix) Proses pengolahan tidak menggunakan program dengan versi yang salah. (x) Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan kebijakan manajemen entitas. (xi) Data masukan yang diolah adalah data yang berotorisasi. (3) Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa: (i) Keluaran yang diterima oleh entitas adalah tepat dan lengkap. (ii) Keluaran yang diterima oleh entitas adalah terklasifikasi. (iii) Keluaran didistribusikan ke personel yang berotorisasi. Tabel dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial serta pengendalian yang diperlukan untuk pengendalian umum dan pengendalian aplikasi. Salah saji potensial Pengendalian yang Kemungkinan pengujian diperlukan pengendalian PENGENDALIAN ORGANISASI DAN OPERASI Operator komputer dapat memodifikasi program ke dalam pengendalian terprogram Personel teknologi informasi dapt memulai dan memproses transaksi tanpa otorisasi Pemisahan tugas dalam teknologi informasi untuk pemrograman komputer dan pengoperasian komputer Pemisahan tugas antar departemen pemakai dan teknologi informasi untuk memulai dan memproses transaksi Mengamati pemisahan tugas dalam teknologi informasi Mengamati pemisahan tugas antara departemen pemakai dan pemrosesan data elektronik PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN Rancangan sistem Partisipasi personel dari Pertanyaan mengenai mungkin tidak memenuhi departemen pemakai dan partisipan yang terlibat kebutuhan departemen audit internal dalam dalam perancangan sistem pemakai atau auditor merancang dan menyetujui sistem baru baru, memeriksa bukti untuk persetujuan sistem baru Perubahan program yang tidak diotorisasi dapat menghasilkan kekeliruan pemrosesan yang tidak diantisipasi Pemeriksaan intern mengenai otorisasi yang tepat, pengujian dan pendokumentasian dari perubahan program sebelum pengimplementasian Memeriksa bukti verifikasi intern; menelusuri perubahan program ke dokumentasi yang mendukung PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM Kerusakan peralatan dapat Pengendalian perangkat Memeriksa spesifikasi menghasilkan kekeliruan pemrosesan keras dan perangkat lunak sistem untuk mendeteksi kerusakan perangkat keras dan lunak sistem

11 Perubahan yang tidak diotorisasi dalam perangkat lunak sistem dapat menghasilkan kekeliruan pemrosesan PENGENDALIAN AKSES Pemakai tanpa otorisasi dapat memeperoleh akses terhadap peralatab teknologi informasi Arsip data dan program dapat diperbarui oelh pemakai yang tidak memiliki otorisasi Persetujuan dan pendokumentasian dari semua perubahan. Keamanan fisik dan fasilitas teknologi informasi; tinjauan manajemen mengenai laporan penggunaan. Penggunaan perpusatakaan, pustakawan, dan log untuk membatasi dan mengawasi pemakaian PENGENDALIAN DATA DAN PROSEDUR Kekeliruan dapat terjadi Penggunaan kelompok dalam memasukkan atau memproses data dan mendistribusikan keluaran pengendalian data yang bertanggungjawab untuk memelihara pengendalian terhadap data masukan, pemrosesan dan output. Kontinuitas pengoperasian dapat terganggu oleh suatu bencana seperti kebakaran atau banjir Arsip data dan program dapat rusak atau hilang Rencana kontijensi termasuk pengaturan untuk penggunaan fasilitas cadangan Penyimpanan arsip cadangan dan program off premise; ketentuan untuk rekonstruksi arsip data Memeriksa bukti dan persetujuan pendokumentasian perubahan. Memeriksa pengaturan keamanan dan laporan penggunaan Memeriksa fasilitas dan log Mengamati pengopersian kelompok pegendalian data Memeriksa rencana kontijensi Memeriksa fasilitas penyimpanan; mengevalusasi kemampuan rekonstruksi arsip Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian umum pemrosesan data elektronik (EDP) Salah saji potensial Pengedalian yang Kemungkinan pengujian diperlukan pengendalian PENGENDALIAN INPUT Data untuk transaksi yang tidak diotorisasi dapat diserahkan untuk diproses Otorisasi dan persetujuan data dari departemen pemakai; pengendalian aplikasi membandingkan Memeriksa dokumen sumber dan untuk membuktikan persetujuan; pengujian aplikasi,

12 Data yang valid dapat secara tidak benar dikonversikan dalam bentuk yang dapat dibaca oleh mesin Kekeliruan pada dokumen sumber tidak dapat diperbaiki dan diserahkan ulang data dengan otorisasi sebelumnya Pemeriksaan; komputer, total pengendalian Pemeliharaan dari log kekeliruan; pengembalian kepada departemen pengguna untuk diperbaiki; tindak lanjut manual PENGENDALIAN PEMROSESAN Arsip yang salah mungkin Penggunaan label arsip diproses dan diperarui eksternal dan internal Data mungkin hilang, ditambahkan, digandakan, atau diubah selam pemrosesan Penggunaan total pengendalian, batasan dan pengujian, pengujian urutan PENGENDALIAN OUTPUT Output mungkin tidak Rekonsiliasi total oleh benar kelompok pengendalian data atau departemen pengguna Output mungkin didistribusikan kepada pemakai yang tidak memiliki otorisasi Penggunaan lembar pengendalian distribusi laporan; monitoring kelompok pengendalian data. pengendalian dengan CAATs, dan mneguji tindak lanjut manual Mengamati verifikasi data prosedur, menggunakan CAATs untuk menguji rutinitas dan menguji tindak lanjut manual; memeriksa rekonsiliasi total pengendalian. Memeriksa log dan bukti tindak lanjut. Mengamati penggunaan label arsip eksternal; memeriksa pendokumentasian label arsip internal Memeriksa bukti pengendalian rekonsiliasi total, menggunakan CAAT untuk menguji pengendalian komputer dan menguji tindak lanjut manual Memeriksa bukti rekonsiliasi Memeriksa lembar pengendalian pendistribusian laporan, mengamati monitoring kelompok pengendalian data. Tabel pertimbangan penilaian risiko pengendalian untuk pengendalian aplikasi komputer C. DAMPAK DARI STRATEGI AUDIT PENDAHULUAN

13 1. Pendekatan substantif utama Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah satu dari hal-hal : Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi Setiap pengendalian intern yang relevan mungkin tidak efektif Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas pengendalian intern yang relevan Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi, yang diperlukan oleh pendekatan substantive utama. 2. Tingkat risiko pengendalian yang dinilai lebih rendah Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang disebutkan dalam bagian sebelumnya bersinggungan. Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko pengendalian yang direncanakan pada tingkat sedang atau rendah. Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai. D. MERANCANG PENGUJIAN PENGENDALIAN Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari rancangan maupun efektivitas dari pengoperasian pengujian pengendalian. Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian diterapkan. AU menyatakan bahwa pengujian untuk memperoleh bukti semacam ini normalnya meliputi: 1. Pertanyaan terhadap personel entitas yang sesuai 2. Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan pengendalian 3. Pengamatan atas penerapan pengendalian 4. Pelaksanaan ulang dari penerapan pengendalian oleh auditor Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan teknik audit berbbantuan

14 komputer/caat. Pengguna dapat menyediakan bukti mengenai baik rancangan yang efektif maupun pengopersaian pengendalian. Menurut IAPI (SPAP ), Apabila auditor menaksir risiko pengendalian di bawah tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan kepada auditor pada waktu mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit. a) Tipe Bukti Audit Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut. Untuk beberapa pengendalian, dokumentasi desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas desain atau operasinya. Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada untuk beberapa faktor lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan b) Sumber Bukti Audit Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan keyakinan yang lebih besar daripada bukti audit yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan, misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang menerapkan prosedur pengendalian, biasanya memberikan keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak dilaksanakan dengan cara yang sama, jika auditor tidak hadir. Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan operasi pengendalian tertentu. Apabila auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan mengenai efektivitas desain dan operasi pengendalian tersebut. c) Ketepatan Waktu Bukti Audit Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu, pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa yang tidak termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan

15 untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang diarahkan terhadap desain dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama masa yang diaudit. Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan operasi pengendalian tersebut yang dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya. Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan pertimbangan mengenai hal yang diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain dan operasi yang harus diperoleh dalam periode sekarang. Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama masa interim, is harus menentukan bukti audit tambahan apa yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel, yang terjadi setelah masa interim d) Keterkaitan Bukti Audit Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya; auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang mengoperasikan komputer. Karena pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan bagaimana usaha tersebut dicegah atau dideteksi

16 Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit, auditor harus mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Walaupun salah satu komponen pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masingmasing komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu. Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti audit mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif, auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan pengendalian antara lain dengan menerapkan prosedur audit pada lokasi tambahan. Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya, lingkungan pengendalian yang tampaknya memungkinkan perubahan yang tidak diotorisasi dalam program komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy program dan mempergunakan teknik audit berbantuan komputer untuk membandingkan copy tersebut dengan program yang dipakai perusahaan untuk memproses data. Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup pengujian pengendalian lain yang sudah direncanakan untuk menaksir risiko pengendalian. Di samping itu, mungkin ada informasi yang masuk ke dalam perhatian auditor sebagai hasil pelaksanaan pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam menaksir risiko pengendalian. Sebagai contoh, luasnya salah saji yang ditemukan auditor ketika melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk seluruh atau sebagian asersi laporan keuangan. E. PENGUJIAN KEPATUHAN Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi tentang desain struktur pengendalian intern dan informasi apakah desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of controls). Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua macam pengendalian: 1. Pengujian adanya kepatuhan terhadap struktur pengendalian intern.