Add to collection(s) Add to saved
  1. Bisnis
  2. Akuntansi
  3. Akuntansi keuangan

Modul Auditing Lanjutan [TM9]

advertisement 
MODUL PERKULIAHAN
AUDITING LANJUTAN
Pengendalian Internal dan
Evaluasinya
Fakultas
Program Studi
PASCA SARJANA
MAGISTER
AKUNTANSI
MATERI
Kode MK
8
Disusun Oleh
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA,
CPAI
Abstract
Kompetensi
Pada pokok bahasan ini akan
dijelaskan :
Mahasiswa diharapkan mampu:
1. .
MATERI 1 - MEMAHAMI DAN MENGEVALUASI PENGENDALIAN INTERNAL
MEMAHAMI PENGENDALIAN INTERNAL
A.
Tujuan
Untuk memberikan petunjuk tentang langkah-langkah memahami pengendalian internal
dalam rangka suatu audit, yang mencakup evaluasi atas rancangan dan implementasi
pengendalian intern, dan dokumentasinya.
ISA 315 merupakan ISA acuan dalam
pembahasan ini.
ISA 315
Alinea 4c
Terjemahan dari ISA 315 Alinea yang Bersangkutan
Pengendalian
internal-proses
yang
dirancang,
diimplementasi,
dan
dipelihara oleh TCWG, manajemen dan karyawan lain untuk memberikan
asurans yang memadai tentang tercapainya tujuan entitas mengenai
keandalan pelaporan keuangan, efektif dan efisiennya operasi, dan
kepatuhan terhadap hukum dan ketentuan perundang-undangan.
Istilah
pengendalian bermakna satu atau beberapa unsur pengendalian internal.
Alinea 12
Auditor wajib memperoleh pemahaman tentang pengendalian internal yang
relevan dengan audit. Meskipun kebanyakan pengendalian yang relevan
dengan audit pada umumnya berkaitan dengan pelaporan keuangan, tidak
semua pengendalian yang berkaitan dengan pelaporan keuangan adalah
relevan dengan audit. Pertimbangan profesional auditor menentukan apakah
pengendalian, secara individual atau gabungan dengan pengendalian lain,
memang relevan dengan audit.
Alinea 13
Ketika memperoleh pemahaman tentang pengendalian yang relevan dengan
audit, auditor wajib mengevaluasi rancangan pengendalian tersebut dan
menentukan apakah pengendalian tersebut memang diimplementasi, dengan
melakukan prosedur tertentu di samping bertanya kepada karyawan entitas.
Alinea 18
Auditor wajib memperoleh pemahaman mengenai sistem informasi
(termasuk proses bisnis terkait) yang relevan bagi pelaporan keuangan
termasuk area berikut:
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
2
- Jenis transaksi dalam operasi entitas yang penting dalam laporan
keuangan.
- Prosedur, dan sistem IT (Information Technology) maupun non-IT
(manual system)yang digunakan untuk mengolah transaksi sejak
penyiapan, pencatatan, pengolahan, pembetulan, pemindahan ke buku
besar dan pelaporannya dalam laporan keuangan.
- Catatan akuntansi, yang mendukung informasi dan akun tertentu dalam
laporan keuangan yang digunakan untuk menyiapkan, mencatat,
mengolah, dan melaporkan transaksi, termasuk pembetulan informasi
yang salah, dan bagaimana informasi dipindahkan ke buku besar.
Catatan ini dapat terbentuk catatan elektronis dan non elektronis
(manual).
- Bagaimana sistem informasi merekam peristiwa dan keadaan (di luar
transaksi) yang penting dalam laporan keuangan.
- Proses pelaporan keuangan yang digunakan untuk menghasilkan laporan
keuangan entitas, termasuk estimasi akuntansi dan pengungkapan yang
penting.
- Pengendalian atas journal entries, termasuk non-standard journal entries
yang digunakan untuk mencatat transaksi yang tidak berulang (nonrecurring transactions), transaksi luar biasa (unusual transactions) atau
penyesuaian dan koreksi (adjustments).
Alinea 19
Auditor wajib memperoleh pemahaman mengenai bagaimana
entitas
mengomunikasikan peran dan tanggung jawab pelaporan keuangan dan halhal penting lainnya berkenaan dengan pelaporan keuangan, termasuk:
- Komunikasi antara manajemen dan TCWG; dan
- Komunikasi eksternal, misalnya dengan regulator.
Alinea 20
Auditor wajib memperoleh pemahaman mengenai kegiatan pengendalian
yang relevan untuk auditnya, yakni pengendalian yang dipandang auditor
adalah penting untuk menilai risiko salah saji yang material di tingkat asersi,
dan merancang prosedur audit lanjutan untuk menanggapi risiko tersebut.
Suatu audit tidak mewajibkan pemahaman semua kegiatan pengendalian
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
3
yang berkenaan dengan jenis transaksi, saldo akun, dan disclosure yang
penting dalam laporan keuangan atau mengenai setiap asersi.
Alinea 21
Dalam memahami kegiatan pengendalian entitas, auditor wajib memperoleh
pemahaman mengenai bagaimana entitas tersebut menanggapi risiko yang
timbul dari teknologi informasi.
Alinea 22
Auditor wajib memperoleh pemahaman mengenai kegiatan utama yang
digunakan entitas untuk memantau pengendalian internal atas pelaporan
keuangan, termasuk kegiatan pengendalian yang relevan dengan audit, dan
bagaimana entitas mengambil tindakan perbaikan terhadap kekurangan atau
kelemahan pengendalian.
Alinea 24
Auditor wajib memperoleh pemahaman mengenai sumber informasi yang
digunakan entitas untuk memantau kegiatan, dan dasar yang digunakan
manajemen untuk menyimpulkan bahwa informasi itu cukup andal untuk
tujuan pemantauan.
Pengendalian internal adalah proses, kebijakan dan prosedur yang dirancang
manajemen untuk memastikan pelaporan keuangan yang andal dan pembuatan laporan
keuangan sesuai dengan kerangka akuntansi yang berlaku.
Pemahaman yang cukup mengenai pengendalian internal adalah pemahaman mengenai
hal-hal yang relevan untuk melaksanakan audit. Ini meliputi pelaksanaan prosedur penilaian
risiko untuk mengidentifikasi pengendalian yang secara langsung atau tidak langsung
menanggulangi salah saji material.
Informasi yang diperoleh, akan membantu auditor dalam:

Menilai risiko residual (residual risk); risiko residual adalah risiko bawaan (inherent
risk) dan risiko pengendalian (control risk);

2015
Merancang prosedur audit selanjutnya, untuk menanggapi risiko yang dinilai.
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
4
B.
Risiko dan Pengendalian
Gambar 1.
Risiko bawaan (inherent risks) yang merupakan risiko bisnis (business risks)
maupun risiko kecurangan (fraud risks) diidentifikasi dalam tahap identifikasi dan
penilaian risiko.
Manajemen menanggulangi risiko ini dengan merancang dan
mengimplemantasi pengendalian intern yang akan menurunkan risiko ini ke tingkat
rendah yang dapat diterima (acceptably low level).
Risiko yang “tersisa”, sesudah
pengendalian intern dirancang dan diimplementasi, disebut residual risk atau risiko
sisa, yang merupakan risiko salah saji material.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
5
Tujuan pengendalian ialah untuk menanggulangi risiko (to mitigate risk). Risiko
haru ada terlebih dahulu sebelum risiko itu ditanggulangi dengan pengendalian
manajemen.
C.
Pengendalian Internal Pervasif dan Spesifik
Pengendalian internal secara luas dapat dikategorikan ke dalam pengendalian
pervasif (pervasive controls) atau pengendalian di tingkat entitas (entity-level controls)
dan pengendalian spesifik (specific controls) atau pengendalian transaksional
(transactional controls).
Perbedaan di antara kedua katogori pengendalian ini
dijelaskan dalam gambar 2.
Gambar 2
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
6
1.
Pengendalian internal Pervasif
Pengendalian pervasif berurusan dengan governance dan general management.
Tujuannya adalah menciptakan lingkungan pengawasan menyeluruh (overall control
environment) yang memberikan “tone at the top”. Sifatnya mengayomi, mamayungi,
dan meneladani.
Proses pengendalian dalam kategori ini meliputi SDM, penanganan kecurangan,
risk assesment dan masalah management override, general IT management, pembutan
financial information (termasuk laporan keuangan dan estimasi yang mendasarinya),
dan pemantauan berjalan (ongoing monitoring) terhadap operasi entitas. Dalam entitas
kecil, pengendalian ini umumnya dan terutama berhubungan dengan sikap manajemen
(management’s attitudes) terhadap integritas dan pengendalian.
2.
Pengendalian internal Spesifik
Pengendalian transaksional adalah pengendalian atau proses yang spesifik
dirancang agar:
- Transaksi dicatat dengan benar untuk membuat laporan keuangan;
- Catatan pembukuan dibuat cukup rinci untuk mencerminkan secara benar dan wajar
smua transaksi dan penggunaan aset;
- Penerimaan dan pengeluaran hanya dibuat jika ada persetujuan manajemen; dan
- Akuisisi/pembelian, penggunaan, atau penghapusan aset dicegah atau terdeteksi
dengan cepat.
D.
Lima Komponen Pengendalian Internal
Berbagai jenis pengendalian internal dalam suatu entitas dibagi dalam 5 komponen inti
seperti dalam gambar 3 berikut ini: Financial Reporting Objectives - Tujuan Pelaporan
Keuangan
2015
1.
Control Environment-Lingkungan Pengendalian
2.
Risk Assessment-Penilaian Risiko
3.
Information System-Sistem Informasi
4.
Control Activities-Kegiatan Pengendalian
5.
Monitoring-Pemantauan
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
7
Gambar 3.
Setiap komponen pengendalian internal mendapat perhatian auditor sebagai:
-
Bagian dari pemahamannya terhadap pengendalian intern atas pelaporan keuangan;
-
Informasi untuk mempertimbangkan bagaimana berbagai aspek pengendalian internal
itu bisa mempengaruhi audit.
Dalam pengendalian pervasif terlihat control environment, risk management, dan
monitoring.
Dalam pengendalian spesifik terlihat control activities.
Sedangkan
information system menjembatani pengendalian pervasi dan pengendalian spesifik,
seperti terlihat dalam gambar 4.
Gambar 4.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
8
E.
Pengendalian Internal Entitas Kecil
Entitas kecil mempunyai pegawai relatif sedikit.
Kenyataan in imenjadi kendala
pemisahan tugas (segregation of duties) dan “jejak kertas” (paper rail).
Pengendalian internal pada entitas kecil berasal dari lingkungan pengendalian (control
environment):
komitmen manajemen atas nilai-nilai etika, kompetensi, sikap/cara pikir
mengenai pengendalian, dan sikap tindakan sehari-hari. Pengendalian internal pada entitas
kecil tidak berpusat pada pengendalian spesifik atas transaksi.
F.
Tidak Adanya Pengendalian Internal
Jika tidak ada banyak kegiatan pengendalian (control activities) yang bisa
diidentifikasi, auditor mempertimbangkan apakah:
1.
Mungkin menangani asersi-asersi relevan dengan melaksanakan prosedur audit
selanjutnya yang terutama merupakan prosedur substantif; atau
2.
Ketiadaan kegiatan pengendalian atau komponen pengendalian lainnya (sangat jarang
terjadi) tidak memungkinkan auditor memperoleh bukti audit yang cukup dan tepat.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
9
Hal-hal lain menimbulkan tanda tanya mengenai apakah audit seharusnya dijalankan,
seperti berikut:
1.
Keraguan mengenai integritas manajemen, perilaku non-etis, atau sikap yang
mengabaikan pengendalian internal.
Kelamahan dalam lingkungan pengendalian
cenderung mengerdilkan makna pengendalian dalam komponen pengendalian lainnya.
Hal itu juga meningkatkan risiko kebohongan oleh manajemen dan risiko kecurangan.
2.
Kekhawatiran mengenai kondisi dan keandalan catatan entitas yang membuat auditor
tidak mungkin memperoleh bukti audit yang cukup dan tepat untuk memberikan
pendapat wajar tanpa pengecualian.
Jika keraguan dan kekhawatiran di atas terjadi, auditor perlu mempertimbangan untuk
memodifikasi laporan auditornya atau mengundurkan diri dari penugasan sama sekali.
Jika pengunduran diri yang dipilih, auditor harus mempertimbangkan tanggung jawab
profesional dan hukumnya, termasuk kewajiban untuk melaporkan kepada orang yang
memberikan penugasan dan regulator. Auditor juga harus membahas pengunduran dirinya
dan alasan untuk itu dengan tingkat manajemen yang tepat atau dengan TCWG (Those
Charged With Governance).
G.
Pengendalian Memberantas Kecurangan
Management override atau peniadaan pengendalian oleh manajemen, dalam entitas
kecil, dapat dimitasi atau ditekan dengan menetapkan beberapa kebijakan dan prosedur inti
dan mendokumentasikannya.
Contoh, kebijakan tertulis mengenai semua non-routine
journal entries harus mendapat persetujuan; ini akan memberdayakan pemegang buku untuk
meminta atasannya menyetujui journal entries yang diusulkannya.
Kebijakan in itidak
menutup pintu bagi terjadinya management override, tetapi akan menjadi deterrent. Jika
anti-fraud policies and procedures (kebijakan dan prosedur pemberantasan kecurangan) tidak
ada atau tidak berfungsi, risiko terjadinya management override perlu ditanggi auditor
melalui pelaksanaan prosedur audit lainnya.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
10
Pengendalian mengenai kepatuhan terhadap ketntuan perundang-undangan yang tidak
relevan dengan audit (di mana ketidakpatuhan tidak menyebabkan salah saji material dalam
laporan keuangan) tidak perlu ditangani dalam audit tersebut.
H.
Pengendalian Internal yang Relevan untuk Audit
Tidak semua pengendalian relevan bagi audit itu. Ini berarti, pengendalian tertentu
dapat dikeluarkan dari lingkup audit, seperti pengendalian yang:
1.
Tidak berurusan dengan pelaporan keuangan.
Contoh: pengendalian operasional
(operational controls) di lantai produksi dalam proses manufaktur, dan
2.
Sekalipun tidak ada, kemungkinan terjadinya salah saji material dalam laporan
keuangan sangat kecil.
Gambar 5.
Dalam hal tertentu, mungkin ada tumpang tindih antara pengendalian keuangan
(financial controls) dan pengendalian operasional dan yang berurusan dengan tujuan
kepatuhan. Sebagai contoh, pengendalian yang berhubungan dengan data yang dievaluasi
atau digunakan auditor dalam menerapkan prosedur audit lain, antara lain:
1.
2015
Data yang diperlukan untuk prosedur analitikal (contoh: statistik produksi);
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
11
2.
Pengendalian yang mendeteksi ketidakpatuhan terhadap ketentuan perundangundangan;
3.
Pengendalian berupa pengamanan aset yang penting untuk pelaporan keuangan; dan
4.
Pengendalian terhadap lengkapnya dan akuratnya informasi yang digunakan sebagai
dasar untuk menhitung pengukuran kinerja utama (key performance measures).
MENGEVALUASI PENGENDALIAN INTERNAL
Tujuan
Pembahasan ini bertujuan untuk memberikan petunjuk mengenai mengevaluasi
rancangan dan implementasi pengendalian internal, dengan menggunakan empat langkah
kunci dan mendokumentasikan hasilnya, dengan acuan ISA 315.
ISA 315
Terjemahan dari ISA 315 mengenai kewajiban auditor sehubungan
dengan evaluasi pengendalian intern, dan pendokumentasian hasilnya
ISA 315.13:
Dalam memperoleh pemahaman mengenai pengendalian yang relevan
dengan audit, auditor wajib mengevaluasi rancangan dari pengendalian
tersebut
dan
menentukan
apakah
pengendalian
tersebut
sudah
diimplementasi, dengan melaksanakan prosedur tambahan di samping
bertanya kepada pegawai entitas.
ISA 315. 29:
Jika auditor sudah menentukan adanya risiko signifikan, auditor wajib
memperoleh pemahaman mengenai pengendalian entitas, termasuk kegiatan
pengendalian, yang relevan dengan risiko tersebut.
ISA 315.32:
Auditor wajib memasukkan dalam dokumentasi audit, antara lain:
-
pembahasan di antara anggota tim (penugasan) audit seperti yang
diharuskan dalam alinea 10 dan keputusan signifikan yang dicapai;
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
12
-
unsur utama pemahaman yang diperoleh mengenai setiap aspek tentang
entitas dan lingkungannya seperti yang disebutkan dalamn alinea 11
dan setiap komponen pengendalian intern yang disebutkan dalam alinea
14-24; sumber informasi dari mana pemahaman itu diperoleh; dan
prosedur penilaian risiko yang dilaksanakan;
-
risiko (salah saji material) yang diidentifikasi dan dinilai pada tingkat
laporan keuangan dan pada tingkat aserti seperti yang diharuskan dalam
alinea 25; dan
-
risiko yang diidentifikasi, dan pengendalian terkait yang dipahami,
sebagai hasil (pelaksanaan) kewajiban dalam alinea 27-30.
Auditor wajib mengevaluasi rancangan dan implementasi pengendalian, apakah ia
akhirnya akan melaksanakan atau tidak melaksanakan uji pengendalian (tests of controls)
untuk mengumpulkan bukti. Evaluasi ini merupakan suatau proses yang terdiri dari empat
langkah yaitu:
Langkah 1 - Risiko apa yang harus dimitigasi:
Identifikasi risiko bawaan mengenai salah saji material (yang terdiri atas risiko bisnis dan
risiko kecurangan), dan apakah risiko ini bersifat pervasif yang mempengaruhi semua asersi
atau merupakan risiko spesifik yang mempengaruhi area laporan keuangan dan asersi
tertentu.
Langkah 2 - Apakah pengendalian yang dirancang manajemen, memitigasi risiko itu?
Idenfitikasi proses bisnis apa saja yang sudah ada:
- Wawancarai personalia entitas untuk mengidentifikasi pengendalian apa yang memitigasi
risiko yang diidentifikasi dalam Langkah-1 tersebut.
- Review hasilnya, apakah benar pengendalian itu memang memitigasi risikonya.
- Komunikasikan setiap kelemahan signifikan yang diidentifikasi dalam pengendalian intern
entitas kepada manajemen dan TCWG (Those Charged With Governance)
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
13
Langkah 3 - Apakah pengendalian yang memitigasi risiko itu berfungsi?
Amati atau inspeksi operasi pengendalian internal yang relevan untuk memastikan bahwa
pengendalian intern tersebut sudah diimplementasikan.
Perhatikan, prosedur bertanya
(inquiry) saja tidak cukup. Auditor harus memastikan apakah pengendalian internal yang
relevan memang diimplementasikan.
Langkah 4 - Apakah operasi pengendalian yang relevan, sudah didokumentasikan?
Langkah ini dapat terdiri atas penjelasan naratif sederhana (dibuat oleh manajemen atau
auditor) mengenai proses-proses utama, yang menggambarkan operasi pengendalian intern
yang relevan.
Dokumentasi tidak perlu dimasukkan:
- Deskripsi rinci tentang proses bisnis atau arus dokumen dalam entitas; atau
- Pengendalian internal yang mungkin ada, tetapi tidak relevan untuk audit.
A.
Langkah 1 : Risiko Apa Yang Harus Dimitigasi?
Langkah pertama adalah mengidentifikasi dan kemudian menilai faktor risiko yang
signifikan dan faktor risiko lain yang ada. Kalau tidak, evaluasi atas pengendalian
internal dilakukan tanpa memahami risiko apa yang harus dimitigasi atau ditanggulangi
dengan pengendalian internal.
Tabel berikut ini menampilkan bagaimana mengikhtisarkan beberapa sumber risiko
yang sering ditemukan dan jenis pengendalian yang dapat memitigasi risiko tersebut.
Tabel 1
Apa yang Bisa Salah?
Sumber Risiko
Pengendalian
Penaggulangan (Mitigating
Controls)
Laporan
keuangan
tidak
andal
2015
yang Faktor industri/eksternal
(risiko
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pengendalian
dan
proses
pada entitas
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
14
pervasive)
Sifat entitas
Pengendalian TI (Teknologi
Kebijakan akuntansi
Tujuan dan sasaran entitas
Informasi) umum
Pengendalian transaksional
Pengukuran kinerja
Kecurangan
Salah
saji
menyiapkan
ketika Estimasi akuntansi
laporan
keuangan (risiko pervasive)
Pengendalian pada tingkat
entitas
Penyisihan
Kebijakan akuntansi
Penggunaan lembar kerja
Pengendalian TI (Teknologi
Informasi) umum
Pengendalian transaksional
Transaksi nonrutin
Journal entries, rekonsiliasi
Info untuk pengungkapan
(disclosure)
Transaksi yang tidak diolah Mengidentifikasi/pencatatan
atau dicatat dengan akurat
transaksi yang sudah disetujui
Klasifikasi transaksi
Pengukuran, pisah batas
Pengendalian transaksional
Pengendalian aplikasi TI
Beberapa pengendalian pada
tingkat entitas, yang spesifik
Pengamanan aset
Dalam “Pengendalian Penanggulangan” untuk risiko yang bersifat pervasif ada:
entitiy-level controls (pengendalian pada tingkat entitas), general IT controls (pengendalian
teknologi informasi umum), dan transactional controls (pengendalian transaksional).
Sedangkan pengendalian untuk risiko yang bersifat spesifik:
transactional controls
(pengendalian transaksional), IT application controls (pengendalian aplikasi), dan beberapa
entity-level controls (pengendalian pada tingkat entitas) yang spesifik.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
15
B.
Langkah 2 : Apakah Pengendalian Memitigasi Risiko?
Langkah 2 perlu dikaji untuk kelima unsur pengendalian (control components) dalam
pengendalian internal. Apakah ada kelemahan signifikan dalam pengendalian?
Dalam mengevaluasi apakah suatu pengendalian sudah dirancang dengan tepat oleh
manajemen, auditor menilai apakah pengendalian yang diidentifikasi benar-benar akan
menangkal atau memitigasi faktor risiko.
Ini berarti, manajemen harus memperhatikan
apakah pengendalian itu efektif untuk:
- Mencegah (preventing) terjadinya salah saji material; atau
- Menemukan/mengungkapkan (detecting) dan mengoreksi (correcting) salah saji material,
setelah salah saji itu terjadi.
Ada dua cara yang lazim digunakan untuk menyandingkan pengendalian internal
dengan faktor risiko atau tujuan pengedaliannya yang dirancang untuk menangkal risiko.
Kedua pendekatan ini adalah one-risk-to-many controls (satu risiko dengan banyak
pengedalian) dan many-risks-to-many controls (banyak risiko dengan banyak pengendalian).
One-Risk-to-Many Controls
Dalam pendekatan ini, setiap faktor risiko dipertimbangkan satu per satu.
Semua
pengendalian yang menangani faktor risiko tersebut, diidentifikasi. Pendekatan ini sangat
bermanfaat khususnya dalam memetakan atau menyandingkan faktor risiko pervasif pada
tingkat entitas besarta pengendaliannya. Contoh pendekatan.
Tabel 2
Faktor Risiko/
Asersi
Pengendalian yang Menangani Risiko
Tujuan Pengendalian
Faktor Risiko
2015
C
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
1. Prosedur pengendalian A
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
16
2. Prosedur pengendalian B
3. Prosedur pengendalian C
4. Prosedur pengendalian D
Faktor Risiko
EA
1. Prosedur pengendalian E
2. Prosedur pengendalian F
3. Prosedur pengendalian G
4. Prosedur pengendalian H
Faktor Risiko
A
1. Prosedur pengendalian I
2. Prosedur pengendalian J
3. Prosedur pengendalian K
4. Prosedur pengendalian L
Faktor Risiko
CA
1. Prosedur pengendalian M
2. Prosedur pengendalian N
3. Prosedur pengendalian O
4. Prosedur pengendalian P
Singkatan Asersi: C (Completeness), E (existence), A (accuracy)
Beberapa pengendalian yang dapat dirancang dan diimplementasikan oleh manajemen
untuk menangani pervasife risk (risiko pervasif) ini, antara lain:
- Manajemen terus menerus menunjukkan, dengan kata dan perbuatan, komitmen terhadap
standar etika yang tinggi;
- Manajemen menghilangkan atau mengurangi insentif atau godaan yang menyebabkan
pegawai berbuat tidak jujur atau tidak etis;
- Ada kode perilaku/etik atau semacamnya yang menetapkan standar etika dan perilaku
moral yang tinggi;
- Pegawai dengan jelas memahammi dan dapat membedakan perilaku yang dapat dan tidak
dapat diterima, dan mengetahui apa yang harus dilakukan jika mereka berperilaku buruk;
dan
- Pegawai selalu dikenakan disiplin/sanksi untuk perilaku tidak terpuji.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
17
Pertama-tama, auditor akan membaca risiko atau tujuan pengendalian dari daftar risiko
seperti contoh di atas dan kemudian mengidentifikasi pengendalian yang mungkin ada untuk
memitigasi risiko. Sebagai hasilnya, auditor membuat dokumentasi seperti disajikan dalam
tabel 3 berikut.
Tabel 3
Komponen
Faktor Risiko
Pengendalian
Pengendalian yang
Rancangan
Diidentifikasi
Pengendalian
Internal
Lingkungan
Tidak menekankan
Kode etik atau pakta
Sudah
membaca
Pengendalian
integritas atau etika.
integritas
kode etik dan kode
ditandatangani
etik
pegawai setiap tahun
menekankan
dan ditegakkan
integritas
melalui disiplin.
perilaku etis.
itu
Pegawai yang tidak Ada ketentuan
Sudah
kompeten
spesifikasi
pun mengenai pengetahuan
mungkin direkrut.
memang
dan
mereview
tugas
dan kemahiran yang
untuk posisi kunci,
wjib dimilik pegawai.
dan spesifikasi itu
dapat diterima.
Penilaian Risiko
Manajemen sering
Risiko bisnis
Sudah mereview
kali terkejut dengan
diidentifikasi dan
rencana bisnis;
peristiwa yang
dinilai setiap tahun
risiko sudah
sebenarnya dapat
sebagai bagian dari
diidentifikasi,
diduga.
perencanaan bisnis.
dimutakhirkan, dan
dinilai.
Many-Risks-to-Many Control
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
18
Untuk risiko spesifik dan risiko transaksional, pendekatan paling umum dalam
mengevaluasi rancangan pengendalian, ialah menggunakan apa yang disebut “control design
matrix” atau “matriks rancangan pengendalian”. Matrik ini memungkinkan auditor secara
sekilas dengan cepat dapat melihat:
- Hubungan “banyak-dengan-banyak” (many-to-many relationships) antara risiko dan
pengendalian;
- Di mana kuatnya pengendalian internal;
- Di mana lemahnya pengendalian internal; dan
- Pengendalian utama yang menanggapi banyak risiko/asersi dan dapat diuji efektif/tidaknya
pengendalian tersebut.
Bagaimana Mengidentifikasi PI yang Relevan
Umumnya melalui diskusi atau wawancara dengan mereka yang bertanggungjawab
untuk mengelola suatu risiko. Atau, istilah sederhananya, mereka yang mengelola proses
tertentu. Dalam entitas yang lebih kecil, orang ini adalah pemilik merangkap pengelola
(owner-manager) atau seorang manajer senior (senior manager).
Menyimpulkan Rancangan Pengendalian
Langkah terakhir dalam menilai rancangan pengendalian ialah menarik kesimpulan
mengenai apakah pengendalian yang diidentifikasi memang benar-benar memitigasi faktor
risiko tertentu.
Untuk setiap asersi yang relevan atau faktor risiko, perhatikan apakah
tanggapan manajemen cukup untuk menekan risiko salah saji material ke tingkat rendah yang
dapat diterima (acceptably low level). Ringkasan evaluasi pengendalian menyeluruh untuk
kelima komponen pengendalian disajikan dalam gambar berikut ini.
Gambar 6.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
19
C.
Langkah 3 : Apakah Pengendalian itu Berfungsi?
Langkah 3 ini ingin memastikan bahwa pengendalian yang diidentifikasi, benar-benar
berfungsi sesuai yang dirancang.
Sekedar bertanya kepada manajemen tidak cukup untuk mengevaluasi rancangan
prosedur pengandalian internal atau apakah prosedur pengendalian internal itu sudah
diimplementasi.
Auditor perlu mengamati pengendalian yang berjalan, observe internal control in
action! Alasannya adalah:
- Proses dapat berubah dengan perubahan waktu, mungkin karena adanya produk atau jasa
baru, adanya efisiensi dalam operasi, pergantian pegawai, dan implementasi dari aplikasi
IT pendukung yang baru;
- Pegawai entitas mungkin menjelaskan bagaimana suatu sistem seharusnya berfungsi, dan
bukan bagaimana sistem itu dalam kenyataannya berfungsi; dan
- Beberapa aspek dari suatu sistem secara tidak sengaja terabaikan dalam upaya memahami
pengendalian intern.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
20
Prosedur penilaian risiko (risk assessment procedures) yang diwajibkan untuk
memperolah bukti audit mengenai diimplementasikannya pengendalian meliputi:
- Bertanya (inquiry) kepada pegawai entitas;
- Mengamati (observing) atau mengulangi (re-performing) aplikasi dari pengendalian
tertentu;
- Menginspeksi dokumen dan pelaporan; dan
- Menelusuri satu atau beberapa transaksi melalui sistem informasi yang relevan untuk
pelaporan keuangan. Penelusuran ini sering disebut walkthrough (napak tilas).
Implementasi atas pengendalian membuktikan apakah pengendalian benar-benar
dilaksanakan pada waktu-waktu ertentu.
Pemeriksaan mengenai implementasi ini tidak
membuktikan bahwa pengendalian ini efektif selama periode yang diaudit. Bukti mengenai
efektifnya pengendalian akan diperoleh melalui uji pengendalian (test of controls) yang
mengumpulkan bukti mengenai berfungsinya pengendalian selama periode yang diaudit,
misalnya 1 tahun.
Sesudah disimpulkan bahwa pengendalian intern yang relevan untuk audit, sudah
dirancang dan diimplementasi, barulah saatnya mempertimbangkan:
- Uji pengendalian atas efektifnya operasi yang mana (jika ada) akan menurunkan
kebutuhan untuk uji substantif lainnya; dan
- Pengendalian mana uji pengendalian, karena tidak ada cara lain untuk memperoleh bukti
audit yang cukup tepat.
D.
Langkah 4 : Apakah Pengendalian Sudah Didokumentasi?
Langkah 4 ingin memastikan konteks beroperasinya pengendalian, sejak awal sampai
pelaporan keuangan.
Tujuan dari langkah ini adalah untuk memberikan informasi tentang beroperasinya
pengendalian yang relevan, yang diidentifikasi dalam langkah 2. Bebearpa luas/banyaknya
dokumentasi, ditentukan oleh kearifan profesional auditor.
Dokumenasi yang baik akan membantu auditor:
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
21
- Memahami sifat, operasi (menyiapkan, memproses, mencatat dan seterusnya), dan konteks
(seperti siapa yang melaksanakan pengendalian, dimana pengendalian dilaksanakan,
berapa sering dan pendokumentasian hasilnya) dari pengendalian yang diidentifikasi; dan
- Menentukan apakah pengendalian itu andal dan berfungsi efektif. Jika memang demikian,
dapat diuji sebagai bagian dari tanggapan audit terhadap assessed risks/risiko yang dinilai.
Jika keputusan dibuat untuk menguji efektifnya pengendalian, dokumentasi ini juga akan
membantu auditor dalam merancang pengujiannya, seperti menetapkan populasi yang
digunakan untuk memilih sampel, atribut pengendalian apa yang akan dipilih, siapa yang
melaksanakan pengendalian, dan dimana dokumentasi dapat ditemukan.
Beberapa hal yang perlu dipertimbangan dalam mendokumentasikan pengendalian
intern yang relevan, yang diidentifikasi dalam langkah 2 adalah:
- Bagaimana transaksi signifikan disiapkan, diotorisasi, dicatat, diolah, dan dilaporkan;
- Arus transaksi dalam detail yang cukup untuk menentukan titik-titik di mana salah saji
material yang disebabkan oleh kesalahan atau kecurangan dapat terjadi; dan
- Pengendalian intern selama periode proses pelaporan keuangan, termasuk estimasi
akuntansi yang signifikan dan pengungkapannya.
Bentuk dokumentasi yang paling umum dibuat oleh manajemen atau auditor adalah:
- Penjelasan naratif (narrative descriptions) atau memo (memoranda);
- Bagan arus (flow chars);
- Kombinasi antara flow charts dan narrative descriptions; dan
- Kuesioner (questionnaires) dan daftar uji (checklists).
Sifat dan luas/banyaknya dokumentasi yang diperlukan, ditentukan oleh kearifan
profesional auditor. Faktor-faktor yang perlu diperhatikan adalah:
- Sifat, ukuran, dan kompleksitas entitas dan pengendalian intern;
- Tersedianya informasi pada entitas;
- Metodologi dan teknologi audit yang digunakan.
Pemutakhiran Dokumentasi di Tahun Mendatang
Auditor dapat menggunakan dokumentasi yang dibuat atau didapat dalam audit periode
yang lalu, ketika merencanakan audit tahun berikutnya. Pemutakhiran ini meliputi:
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
22
- Buat salinan (copy) dari kertas kerja tahun yang lalu, sebagai tolok ukur pemutahhiran di
tahun berjalan.
Jika tidak ada perubahan, evaluasi control implementation.
Jika
pengendalian sudah diimplementasikan dan risikonya tidak berubah, rancangannya dapat
diterima;
- Memutakhirkan daftar risiko yang dimitigasi oleh pengendalian;
- Identifikasikan perubahan dalam pengendalian intern pada tingkat entitas dan tingkat
transaksional;
- Jika ditemukan ada perubahan (risiko atau pengendalian), tentukan apakah pengendalian
intern yang baru sudah dirancang dan diimplementasikan;
- Memutakhirkan keterkaitan antara pengendalian intern dengan faktor risiko yang tepat;
- Memutakhirkan kesimpulan pada risiko pengendalian.
Representasi Tertulis tentang Pengendalian Internal
Representasi atau pernyataan tertulis tentang pengendalian intern harus diminta dari
manajemen yang mengakui bertanggungjawab untuk mengadakan dan memelihara
pengendalian intern yang menurutnya diperlukan untuk membuat laporan keuangan yang
bebas dari salah saji yang material, yang disebabkan oleh kesalahan atau kecurangan.
MATERI
2
-
MENGKOMUNIKASIKAN
KELEMAHAN
PENGENDALIAN
INTERNAL
Pelaporan pengendalian internal menurut section 404
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
23
Berdasarkan penilaian dan pengujian auditor atas pengendalian internal, auditor
diharuskan oleh UU Sarbanes-Oxley untuk menyusun laporan audit mengenai pengendalian
internal atas laporan keuangan. Auditor dapat mengeluarkan laporan audit terpisah atau
gabungan laporan keuangan dan pengendalian internal atas laporan keuangan.
Laporan auditor mengenai pengendalian internal harus mencakup dua pendapat auditor :
1. Pendapat auditor mengenai apakah penilaian manajemen terhadap keefektifan
pengendalian internal atas laporan keuangan per akhir periode fiskal telah dinyatakan
secara wajar, dalam semua hal yang material.
2. Pendapat auditor mengenai apakah perusahaan telah menyelenggarakan, dalam semua hal
yang material, pengendalian internal yang efektif atas laporan keuangan per tanggal yang
disebutkan .
Dalam praktik, tidak mungkin bagi auditor untuk mengeluarkan pendapat selain
pendapat wajar tanpa pengecualian mengenai apakah penilaian manajemen telah dinyatakan
secara wajar. Jika auditor menyimpulkan bahwa manajemen belum mengidentifikasi dan
melaporkan semua kelemahan yang material, hal terbaik yang harus dilakukan manajemen
adalah merevisi penilaiannya agar sesuai dengan kesimpulan auditor. Manajemen mungkin
akan merevisi penilaiannya untuk menunjukkan bahwa mereka tidak menyelenggarakan
pengendalian internal yang efektif.
Jadi, pendapat auditor dapat menyatakan bahwa penilaian semacam itu telah dinyatakan
secara wajar. Sebaliknya, pendapat auditor tentang efektivitas pelaksanaan pengendalian
internal perusahaan mungkin akan lebih bervariasi, tergantung pada ada tidaknya kelemahan
yang material.
Lingkup laporan auditor mengenai pengendalian internal seperti yang diisyaratkan oleh
PCAOB Standard 2, terbatas pada perolehan kepastian yang layak bahwa kelemahan yang
material dalam pengendalian internal telah teridentifikasi. Jadi, audit tidak dirancang untuk
mendeteksi defisiensi pengendalian internal yang secara individual, atau secara agregat, lebih
ringan ketimbang kelemahan yang material.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
24
Jenis – jenis pendapat :
1.
Pendapat Wajar Tanpa Pengecualian (Unqualified Opinion)
Auditor akan mengeluarkan pendapat wajar tanpa pengecualian mengenai
pengendalian internal atas laporan keuangan apabila dua kondisi berikut berlaku:
2.

Tidak ada kelemahan material yang teridentifikasi

Tidak ada pembatasan atas ruang lingkup pekerjaan auditor
Pendapat Tidak Wajar (Adverse Opinion)
Bila ada kelemahan yang material, auditor harus menyatakan pendapat tidak wajar
mengenai efektivitas pengendalian internal. Penyebab paling umum dikeluarkannya
pendapat tidak wajar dalam laporan auditor mengenai pengendalian internal adalah
apabila manajemen mengidentifikasi suatu kelemahan yang meterial dalam laporan.
3.
Pendapat Wajar Dengan Pengecualian atau Menolak Memberikan Pendapat
(Qualified or Disclaimer of Opinion)
Pembatasan ruang lingkup mengharuskan auditor untuk menyatakan pendapat wajar
dengan pengecualian atau menolak memberikan pendapat mengenai pengendalian
internal atas laporan keuangan. Jenis pendapat ini dikeluarkan apabila auditor tidak
dapat menentukan apakah ada kelemahan yang material, akibat pembatasan ruang
lingkup audit terhadap pengendalian internal atas laporan keuangan atau situasi
lainnya dimana auditor tidak dapat memperoleh bukti yang mencukupi.
Oleh karena audit laporan keuangan dan audit pengendalian internal atas laporan
keuangan terintegrasi, auditor harus memperhitungkan hasil prosedur audit yang dilakukan
untuk mengeluarkan laporan audit mengenai laporan keuangan ketika mengeluarkan laporan
audit mengenai pengendalian internal. Sebagai contoh, anggaplah auditor mengidentifikasi
salah saji yang material dalam laporan keuangan yang sebelumnya tidak teridentifikasi oleh
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
25
pengandalian internal perusahaan. Dari temuan tersebut dapat muncul empat respons berikut
ini :
1.
Karena ada kesalahan yang material dalam laporan keuangan, PCAOB Standard 2
mengharuskan auditor untuk melakukan temuan ini setidaknya sebagai defisiensi yang
signifikan, dan mungkin sebagai kelemahan yang material dalam pengendalian internal
atas laporan keuangan karena salah saji yang material itu tidak tercegah atau terdeteksi
oleh pengendalian internal. Penentuan apakah salah saji itu merupakan suatu
kelemahan yang material atau defisiensi yang signifikan memerlukan pertimbangan
dan tergantung pada sifat serta besar salah saji.
2.
Auditor dapat mengeluarkan pendapat wajar tanpa pengecualian atas laporan keuangan
jika klien menyesuaikan laporannya untuk mengoreksi salah saji sebelum diterbitkan.
3.
Manajemen mungkin akan mengubah laporannya mengenai pengendalian internal
untuk menegaskan bahwa pengendalian tidak berjalan efektif.
4.
Auditor kemudian dapat mengeluarkan pendapat wajar tanpa pengecualian tentang
penilaian manajemen atas pengendalian internal, tetapi auditor harus mengeluarkan
pendapat tidak wajar mengenai pengendalian internal atas laporan keuangan, jika
defisiensi itu dianggap sebagai kelemahan yang material.
MATERI 3 - PROSEDUR PENILAIAN RESIKO
ISA 315.5
Auditor wajib melakukan prosedur penelian resiko untuk mengidentifikasi dan menilai resiko
salah saji yang material pada tingkat laporan keuangan dan pada tingkat asersi. Prosedur
penilaian resiko itu sendiri tidak memberikan bukti audit yang cukup dan tepat sebagai dasar
pemberian opini audit.
ISA 315.6
Prosedur penilaian resiolo meliputi berikut ini.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
26
a) Bertanya kepada manajemen dan pihak lain dalam entitas yang menurut auditor mungkin
mempunyai informasi yang dapat membantu mengidentifikasi resiko salah saji material
yang disebabkan oleh kecurangan atau kekeliruan.
b) Prosedur analitikal
c) Pengamatan dan inspeksi
ISA 315. 11
Auditor wajib memperoleh pemahaman mengenai berikut ini.
a) Industri terkait ketentuan perundangan, dan faktor ekteral lainnya, termasuk kerangka
pelaopran keuangan yang diterapkan.
b) Sifat entitas, termasuk :
i.
Operasinya;
ii.
Struktur kepemilikan dan governance-nya ;
Jenis investasi atau penanaman yang dilakukan entitas dan rencana penanaman
lainya, termasuk investasi dalam entitas bertujuan khusus; dan bagaimana struktur
keuangan entitas untuk memahami jenis transaksi, saldo akun, dan pengungkapan
yang seharusnya ada dalam laporan keuangan.
c) Pemlihan dan penerapan kebijakan akuntans, termasuk alasan untuk mengubah kebijakan
akuntansi. Auditor wajib mengevaluasi apakah kebijakan akuntansi yang diterapkan
entitas cocok untuk bisnis itu dan konsisiten dengan kerangka pelaporan yang diterapkan
dan kebijakan akuntansi yang diterapkan dalam industri itu.
d) Pengukuran dan review kinerja keuangan entitas.
ISA 315. 12
Auditor wajib memperoleh pemahaman mengenai pengendalian internal yang relevan bagi
auditnya. Meskipun kebanyakan pengdelian yang relevan dengan audit, sangat berhubungan
dengan pelporan keuangan, namun, tidak semua pengendalian yang berhubngan dengan
pelaporan keuangan, adalah relevan dengan audit. Dengan kearifan profesionalnya, auditor
menilai apakah suatu pengendalian, secara individu atau dalam kombinasi dengan
pengendalian lain, adalah relevan dengan auditnya;.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
27
BUTIR PERTIMBANGAN
ISAS yang berikut memberikan garis besar dari hal-hal khusu yang perlu diingat dalam
merancang sifat dan luasnya prosedur penilian resiko.
ISA 240.16 Kecurangan Dalam Audit Atas Laporan Keuangan
Ketika melaksanakan prosedur penilaian resiko dan kegiatan terkait untuk memperoleh
pemahaman mengenai entitas dan lingkungannya, termasuk pengendalian internalnya, sesuai
ketentuan ISA 315, auditor wajib melaksanakan prosedur dalam alinea 17-24 (dari ISA 240)
untuk memperoleh informasi yang akan digunakan untuk mengidentifikasi resiko salah saji
kearena kecurangan.
ISA 540.8 Auditing Atas Estimasi Akuntansi
Ketika melaksanakan prosedur penilaian resiko dan kegiatan terkait untuk memperoleh
pemahaman mengenai entitas dan lingkungannya, termasuk pengendalian internalnya, sesuai
ketentuan ISA 315, auditor wajib memperoleh pemahaman mengenai hal-hal berikut untuk
memperoleh informasi yang akan digunakan untuk mengidentifikasi resiko salah saji karena
estimasi akuntansi.
a) Ketentuan mengenai estimasi akuntansi, termauk pengungkapannya, sesuai kerangka
pelopran keuangan yang diterapkan.
b) Bagaimana manajamen mengidentifikasi transaksi, peristiwa, dan keadaaan yang
mungkin membutuhkan estimasi akuntansi yang akan dimasukkan atau diungkapkan
dalam laporan keuangan. Auditor wajib menanyakan kepada manajemen tentang
perubahan keadaan yang mungkin memerlukan estimasi akuntansi baru atau memerlukan
revisi atau estimasi akuntansi yang ada.
c) Bagaimana manajemen membuat estimasi akuntansi dan pemahaman tentang data yang
digunakan sebagai dasar, termasuk :
i.
2015
Metode atau model yang digunakan untuk membuat estimasi akuntansi;
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
28
ii.
Pengendalian yang relevan;
iii.
Apakah manajemen mengunakan tenaga ahli;
iv.
Asumsi yang mendasari estimasi akuntansi;
v.
Apakah ada perubahan atau seharusnya ada perubahan dari tahun lalu, dalam
membuat estimasi akuntansi, dan jika demikian, mengapa; dan
vi.
Apakah manajemen menilai dampak ketidakpastian estimasi (estimation
uncertainnty), dan jika demikian, bagaimana manajemen menilai dampak tersebut.
ISA 550.11 Pihak-Pihak Yang Berelasi (Related Parties)
Sebagai bagian prosedur penilaian resiko dan kegiatan terkait sesuai ketentuan ISA 315 dan
ISA 240, auditor wajib melaksanakan prosedur audit dan kegiatan terkait seperti disebutkan
dalam alinea 12-17 (dari ISA 550) untuk memperoleh informasi yang relevan guna
mengidentifikasi risiko salah gaji yang material berkaitan dengan pihak-pihak yang berelasi
(related-party relationships) dan transaksi di antara pihak-pihak tersebut.
ISA 570.10 Going Concern
Ketika melaksanakan prosedur penilaian resiko sesuai ketentuan ISA 315, auditor wajib
mempertimbangkan apakah ada peristiwa atau kondisi yang membuat kemampuan entitas
untuk mempertahankan hidupnya (atau melanjutkan bisnisnya sebagai suatu going concern)
diragukan.
Prosedur penilaian resiko yang disebutkan dalam ISA yang disebutkan dalam ISA 315.6
yakni :
a) Bertanya kepada manajemen dan pihak lain (inquiries of management and others);
b) pengamatan dan inspeksi (observation and inspection); dan
c) prosedur analitikal (analytical procedures).
Selayang Pandang
Tujuan prosedur penilaian resiko adalah mengidentifikasi dan menilai resiko salah saji yang
material dalam laporan keuangan. Tujuan ini dapat dicapai melalui pemahaman mengenai
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
29
entitas dan lingkungannya, termasuk pemahaman mengenai pengendalian intern dari entitas
tersebut. Informasi dapat diperoleh dari sumber-sumber eksternal, seperti dari internet dan
publikasi yang diterbitkan asosiasi/industri yang bersangkutan maupun dari sumber-sumber
internal seperti karyawan. Pemahaman entitas merupakan upaya yang berkesimbangungan
dan proses yang dinamis dalam mengumpulkan, memutakhirkan, serta mengalisis informasi
selama audit berlangsung.
Bukti Audit
Prosedur penilaian resiko memberikan bukti audit untuk mendukung penilaian resiko pada
tingkat laporan keuangan dan pada tingkat asersi. Namun, bukti itu saja tidak cukup. Bukti
dari prosedur penilaian resiko harus dilengkapi dengan prosedur audit lanjutan yang
merupakan tanggapan atas resiko yang diidentifikasi, seperti pengujian pengendalian dan/atau
prosedur substantif.
Auditor menggunakan kearifan professionalnya untuk menentukan prosedur penilaian risiko
yang harus dilaksanakannya, dan beberapa dalam ia perlu memahami entitas itu. Dalam audit
tahun pertama, auditor menggunakan banyak waktu untuk memperoleh dan
mendokumentasikan informasi ini. Jika informasi ini didokumentasikan dengan baik di tahun
pertama, waktu untuk mengumpulkan informasi di tahun berikutnya seharusnya tidak
sebanyak pada tahun pertama.
Auditor perlu melaksanakan prosedur penilaian risiko yang cukup untuk mengidentifikasi
risiko bisnis dan risiko kecurangan yang bisa berdampak pada salah saji yang material.
Auditor menyelidiki dengan seksama keadaan yang menimbulkan keraguan tentang
kemampuan entitas melanjutkan usahanya (going concern).
Lingkup dan luasnya pemahaman terhadap entitas disajikan dalam alinea 11 dan 12 ISA 315.
Pemahaman auditor tidak sedalam pemahaman manajemen, kecuali jika auditor itu pernah
bekerja di entitas itu atau perusahaan sejenis.
Ketiga Prosedur Penilaian Resiko
Seperti disebutkan di awal bab ini, ketiga prosedur penilaian risiko ini terdiri atas :
a) prosedur menyanyakan kepada manajemen dan pihak lain (inquiries of managment and
others);
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
30
b) pengamtan dan inspeksi (observation and inspection);
c) prosedur analitikal (analytical procedures).
Ketiga prosedur penilaian risiko ini dilakukan selama berlangsungnya audit. Dalam
banyak situasi, hasil dari satu prosedur akan membawa pada prosedur lain. Contoh, dalam
wawancara dengan manager penjualan, terungkap adanya kontrak penjualan yang tidak biasa.
Wawancara ini (prosedur inquiry) diikuti dengan prosedur inspeksi atas kontrak penjualan
dan dilanjutkan dengan analisis (analytical procedure) mengenai dampaknya terhadap
margin penjualan. Atau, temuan dari pelaksanaan analytical procedures atas angka-angka
dalam draf laporan laba rugi mungkin memicu pertanyaan bagi manajemen. Jawaban atas
pertanyaan-pertanyaan itu dan membawa auditor ke prosedur inspeksi atas dokumen tertentu
atau prosedur pengamatan atas kegiatan tertentu.
Sifat dan penggunaan masing-masing prosedur dari ketiga prosedur penilaian risiko ini akan
dibahas berikutnya.
Menanyakan Kepada Manajemen dan Pihak Lain
Kutipan dari ISA 240 tentang prosedur “Menanyakan kepada manajemen dan pihak
lain”, termasuk menanyakan masalah kecurangan, disajikan di bawah.
ISA 240.17
Auditor wajib menanyakan kepada manajemen tentang :
a) penilaian oleh manajemen mengenai risiko salah salah saji yang material dalam laporan
keuangan karena kecurangan, termasuk tentang sifat, luas dan berapa seringnya penilaian
tersebut dilakukan.
b) Proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko
kecurangan dalam entitas itu, termasuk risiko kecurangan yang diidentifikasi oleh
manajemen atau yang dilaporkan kepada manajemen, atau risiko kecurangan mungkin
terjadi dalam jenis transaksi, salso, akun, atau pengungkapan.
c) Komunikasi manajemen dengan TCWG mengenai proses yang dilakukan manajemen
untuk mengidentifikasi dan menanggapi risiko kecurangan dalam entitas itu; dan
d) Komunikasi manajemen dengan karyawan, jika ada, tentang pandangan manajemen
mengenai praktik-praktik bisnis dan perilaku etis.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
31
ISA 240.18
Auditor wajib menyanyakan kepada manajemen, dan pihak lain di dalam entitas (jika perlu),
untuk menentukan apakah mereka mengetahui kecurangan yang terjadi, atau yang
dituduhkan, yang mempunyai dampak pada entitas.
ISA 240.20
Kecuali jika TCWG terlibat dalam mengelola entitas, auditor wajib memperoleh pemahaman
tentang bagaimana TWGC melaksanakan pengawasan terhadap proses yang dilakukan
manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan dalam entitas itu dan
pengendalian intern yang dibangun manajemen untuk menanggulangi risiko tersebut.
ISA 240.21
Kecuali jika TCWG terlibat dalam mengelola entitas, auditor wajib menanyakan kepada
TCWG untuk menentukan apakah TCWG mengetahui tentang kecurangan yang terjadi, yang
dicurigai, atau yang dituduhkan, yang berdampak pada entitas. Pertanyaan ini diajukan untuk
memperkuat tanggapan atas pertanyaan serupa kepada manajemen.
Prosedur bertanya digunakan auditor dalam hubungannya dengan prosedur penilaian risiko
lainnya, untuk mengidentifikasi risiko salah saji yang material. Perhatian utama dalam
pertanyaaan yang diajukan adalah pemahaman mengenai setiap aspek yang wajib diketahui
(lihat alinea 11 dan 12 dari ISA 315).
Kebanyakan informasi dalam prosedur inquiry diperoleh dari manajemen dan mereka yang
bertanggung jawab atas pelaporan keuangan. Namun, bertanya kepada orang lain dalam
entitas itu dan pegawai dengan jenjang otoritas yang berlainan dapat memberikan perspektif
yang berbeda, dan juga informasi tambahan yang dapat berguna untuk mengidentifikasi risiko
salah saji yang material yang mungkin terabaikan. Sebagai contoh, pembicaraan dengan
manajer penjualan mengungkapkan adanya transaksi penjualan yang dilakukan pada saat-saat
terakhir penutupan tahun buku dan dicatat tidak sesuai dengan kebijakan pengakuan
pendapatan estitas tersebut.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
32
Wawancara untuk menanyakan hal-hal
1. TCWG

Lingkungan dimana laporan keuangan dibuat.

Pengawasan (oversight) terhadap proses manajemen untuk mengidentifikasi dan
menanggapi risiko kecurangan atau kesalahan dalam entitas, dan pengendalian intern
yang dibangun manajemen untuk menagkai risiko ini.

Informasi tentang kecurangan yang terjadi, yang dicuragai, atau yang dituduhkan,
yang berdampak pada entitas.

Pertimbangan menghadiri pertemuan TCWG dan bca risalah rapat pertemuan yang
lalu.
2. Manajemen dan TCWG

Penilaian risiko oleh manajemen bahwa laporan keuangan mungkin mengandung
salah saji yang material karena kecurangan, termasuk bertanya tentang sifat, luas, dan
seringnya penilaian tersebut dilakukan.

Komunikasi manajemen dengan karyawan, jika ada, tentang pandangan manajemen
mengenai praktik-praktik bisnis dan perilaku etis.

Budaya entitas (nilai-nilai dan etika).

Gaya kepemimpinan manajemen, khususnya dalam operasi entitas.

Skema insentif untuk manajemen.

Potensi manajemen “potong kembali” (management override).

Informasi tentang kecurangan (yang terjadi atau yang dicurigai).

Bagaimana estimasi akuntansi dibuat.

Proses pembuatan dan revisi laporan keuangan.

Jika ada, komunikasi manajemen dengan TCWG
3. Pegawai Kunci

Tren dalam bisnis dan peristiwa luar biasa (unusual events).

Bagaimana transaksi yang rumit atau luar biasa: dimulai, diolah, atau dicatat.

Praktik manajemen “potong kendali” (apakah pegawai pernah diminta oleh
manajemen untuk mengabaikan atau melanggar pengendalian intern?)

2015
Apakah kebijakan akuntansi sudah tepat? Dilaksanakan?
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
33
4. Bagian Penjualan

Tren dalam strategi penjualan dan pemasaran

Insentif kinerja penjualan

Perjanjian/kontrak dengan pelanggan

Praktik manajemen “potong kendali” (apakah pegawai pernah diminta oleh
manajemen untuk mengabaikan atau melanggar kebijakan akuntansi mengenai
pengakuan pendapatan?)
Butir Pertimbangan
Dalam audit entitas kecil, jangan dibatasi pertanyaan kepada owner-manager dan
akuntansi/pemegang buku. Tanya kepada pegawai lain (misalnya yang menangani penjualan,
produksi, dan lain-lain), mengenai tren, peristiwa luar biasa, risiko bisnis yang besar,
berfungsi/tidaknya pengendalian intern, dan contoh manajemen “potong kendali”.
Prosedur Analitikal
Prosedur analitikal sebagai prosedur penilaian risiko membantu mengidentifikasi hal-hal
yang mempunyai implikasi laporan keuangan dan audit. Sebagai contoh, segala sesuatu yang
bersifat luar biasa, seperti transaksi atau peristiwa luar biasa, angka-angka yang terlalu tinggi,
rasio-rasio yang “melenceng” dan tren yang ganjil.
Di samping sebagai prosedur penilaian risiko, prosedur analitikal juga dapat digunakan
sebagai prosedur audit selanjutnya dalam :

Memperoleh bukti mengenai asersi laporan keuangan. Ini adalah prosedur analitikal
substantif yang dibahas dalam Bab 31 (Prosedur Audit Selanjutnya); dan

Melakukan reviu menyeluruh atas laporan keuangan pada atau menjelang akhir audit.
Kebanyakan prosedur analatikal tidak terlalu detail atau rumit. Prosedur analitikal pada
umumnya menggunakan data agregatif. Ini berarti, hasil dari prosedur analitikal hanya
memberi indikasi awal yang sangat luas/umum mengenai terjadinya salah saji yang material.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
34
Tentukan Hubungan Antardata
Kembangkan ekspetasi mengenai hubungan yang sangat mungkin (plausible relationship) di
antara berbagai informasi. Sedapat mungkin, gunakan informasi independen/eksternal.
Informasi keuangan dan non-keuangan antara lain terdiri atas :
 Laporan keuangan dengan pembanding tahun-tahun yang lalu:
 Budget, prakiraan (forecast), dan ekstrapolasi (termasuk ekstrapolasi dengan data
interim dan data tahunan); dan
 Informasi tentang industri dimana entitas beroperasi dan kondisi ekonomi pada saat
ini.
Bandingkan
Bandingkan ekspetasi dengan jumlah yang dicatat atau rasio berdasarkan jumlah yang dicatat.
Evaluasi Hasilnya
Jika ditemukan hubungan luar biasa atau tak terduga (unusual or unexpected relationships),
pertimbangkan potensi salah saji yang material.
Hasil prosedur analitikal dibandingkan dengan informasi yang dikumpulkan untuk :
 Mengidentifikasi risiko salah saji yang material mengenai asersi yang terkandung
dalam unsur-unsur laporan keuangan yang signifikan; dan
 Membantu merancang sifat, waktu, dan luasnya prosedur audit selanjutnya.
Entitas kecil mungkin tidak dapat menyediakan informasi keuangan yang mutakhir. Mereka
mungkin tidak menyiapkan laporan keuangan bulanan. Dalam hal ini, beberapa informasi
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
35
mungkin diperoleh melalui prosedur inquiry, prosedur inquiries yang lebih detail harus
menunggu sampai draf awal laporan keuangan sudah tersedia.
Observasi (Pengamatan) dan Inspeksi
Observasi atau pengamatan dan inspeksi (observation and inspection) mempuyai dua fungsi
yaitu :
 mendukung prosedur inquiries (bertanya) kepada manajemendan pihak-pihak lain;
dan
 menyediakan informasi tambahan mengenai entitas dan lingkungannya.
Prosedur pengamatan dan inspeksi biasanya meliputi prosedur dan penerapan dari
1. Observasi
Pertimbangan untuk mengamati :

bagaimana entitas beroperasi dan dikelola;

bangunan, pabrik, dan fasiltas lainnya yang digunakan atau dimiliki entitas;

gaya kepemimpinan manajemen dalam bidang operasional dan sikapnya terhadap
pengendalain intern;

pelaksanaan berbagai prosedur pengendalian intern; dan

kepatuhan terhadap kebijakan utama.
2. Inspeksi
Pertimbangan untuk menginspeksi dokumen seperti:
2015

rencana bisnis, strategi, dan proposal bisnis;

kajian industri dan laporan media mengenai entitas;

kontrak dan komitmen besar;

ketentuan perundangan dan korespondensi dengan regulator;

kebijakan dan catatan akuntansi;
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
36

buku pedoman (manuals) pengendalian intern;

laporan yang dibuat manajemen (seperti data kinerja dan laporan keuangan interim);
dan

laporan lain, seperti risalah rapat TCWG dan laporan konsultan, dan lain-lain.
Rancangan dan Impelementasi Pengendalian Internal
Prosedur penilaian risiko meliputi prosedur evaluasi atas rancangan atau desain dan
implementasi pengendalian Internal.
Sumber Lain Mengenai Risiko :
1. Prosedur Menerima/Melanjutkan Klien.
Ini adalah prosedur yang dilakukan sebelum audit dimulai, yakni untuk memutuskan
apakah KAP akan menerima atau meneruskan audit untuk entitas yang sudah manjadi
klien tahun lalu. Ada informasi penting dari prosedur ini, yang relevan dalam menilai
risiko.
2. Penugasan Masa Lalu
Pengalaman dari penugasan audit atau penugasan lain di entitas tersebut pada masa yang
lalu, bisa di manfaatkan untuk menilai risiko tahun ini. Contoh :

hal-hal yang menjadi perhatiam dalam audit yang lalu;

kelemahan dalam pengendalian intern;

perubahan struktur organisasi, proses bisnis, dan pengendalian intern; dan

salah saji di masa yang lalu dan apakah salah saji dikoreksi tepat waktu.
3. Informasi Eksternal
2015

Inquiries pada pengecara atau ahli penilaian yang digunakan entitas.

Reviu atas laporan yang dibuat bank atau lembaga pemeringkat (rating agencies)
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
37

Informasi mengenai industri yang bersangkutan dan keadaan ekonomi (dari internet,
terbitan asosiasi perusahaan sejenis, jurnal-jurnal ekonomi dan keuangan, dan lainlain.
4. Diskusi Tim Audit

Diskusi tim audit (termasuk enggement partner-nya) mengenai kerawanan laporan
keuangan entitas tersebut terhadap risiko-risiko tertentu.
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
38
Daftar Pustaka
1.
Tuanakotta Theodorus M, Audit Kontemporer, 2015.
2.
Randal J. Elder, Mark S. Beasley, Alvin A. Arens, Auditing and Assurance Service, 15
th Edition, 2013.
3.
Institut Akuntan Publik Indonesia, Standar Profesional Akuntan Publik, 2015 .
4.
Ikatan Akuntan Indonesia, Standar Akuntansi Keuangan, 2015
5.
Undang-undang no 5 tahun 2011 tentang Akuntan Publik,
2015
Auditing Lanjutan
Dr. Yudhi Herliansyah, Ak, MSi, CA, CSRA, CPAI
Pusat Bahan Ajar dan eLearning
http://www.mercubuana.ac.id
39
Related documents
1 - Universitas Mercu Buana
1 - Universitas Mercu Buana
Perbandingan Antara Audit Keuangan dan
Perbandingan Antara Audit Keuangan dan
Lingkungan pelaporan keuangan - Hasbiana Dalimunthe, SE, M.Ak
Lingkungan pelaporan keuangan - Hasbiana Dalimunthe, SE, M.Ak
Dalam sebuah perusahaan pihak yang mengelola serta
Dalam sebuah perusahaan pihak yang mengelola serta
Modul Sistem Informasi dan Pengendalian Internal [TM2]
Modul Sistem Informasi dan Pengendalian Internal [TM2]
Modul Sistem Informasi dan Pengendalian Internal [TM1]
Modul Sistem Informasi dan Pengendalian Internal [TM1]
MODUL 3 AUDITING_Legal Liability-ok
MODUL 3 AUDITING_Legal Liability-ok
Download
advertisement