A.

Obtain and Document Understanding of Internal Control

Prosedur memperoleh pemahaman, meliputi : pengumpulan bukti tentang rancangan
pengendalian internal dan apakah pengendalian itu sudah diimplementasikan lalu
menggunakan informasi itu sebagai dasar audit terpadu.
Bukti yang digunakan auditor biasanya berupa dokumentasi, tanya jawab dengan
personil entitas, mengamati karyawan yang melakukan proses pengendalian dan
melakukan kembali dengan menelusuri satu atau beberapa transaksi melalui sistem
akuntansi dari awal sampai akhir.
Tiga jenis dokumen untuk memperoleh dan mendokumentasikan pemahamannya
atas perancangan pengendalian internal :
Naratif
Yaitu uraian tertulis tentang pengendalian internal klien. Naratif yang baik
menguraikan 4 hal :
a) Asal-usul setiap dokumen dan catatan dalam sistem;
b) Semua pemrosesan yang berlangsung;
c) Disposisi setiap dokumen dan catatan dalam sistem;
d) Petunjuk tentang pengendalian yang relevan dengan penilaian risiko
pengendalian
Bagan arus
Yaitu diagram yang menunjukkan dokumen klien dan aliran urutannya dalam
organisasi. Bagan arus memiliki 2 keunggulan dibandingkan dengan naratif yaitu
lebih mudah dibaca dan lebih mudah diperbarui.
Kuesioner pengendalian internal.
Kuesioner pengendalian internal mengajukan serangkaian pertanyaan tentang
pengendalian dalam setiap area audit sebagai sarana untuk mengidentifikasi defisiensi
pengendalian internal. Dua kelemahan utama kuesioner : tidak mampu memberikan
gambaran yang menyeluruh tentang sistem klien dan tidak dapat diterapkan pada
beberapa audit, terutama ynag lebih kecil.
Mengevaluasi pengimplementasian pengendalian internal
Metode yang umum digunakan :
1. Memutakhirkan dan mengevaluasi pengalaman auditor sebelumnya dengan entitas
2. Melakukan tanya jawab dengan personil klien
3. Menelaah dokumen dan catatan
 4. Mengamati aktivitas dan operasi entitas
5. Melakukan penelusuran sistem akuntansi

B. Menilai Risiko Pengendalian

1. Menentukan Penuilaian Resiko Pengendalian yang Didukukng oleh Pemahaman
yang Diperoleh Dengan mengasumsikan Pengendalian Telah Dilaksanakan
Setelah mendapatkan pemahaman atas pengendalian internal, Auditor membuat
penilaian awal resiko pengendalian sebagai bagian dari penilaian keseluruhan auditor
terhadap resiko salah saji internal.Penilaian ini merupakan ukuran dari espektasiauditor
bahwa pengendalian internal mempu mencegah terjadinya salah saji internal atau
mendeteksi dan memperbaiki jika telah terjadi.
Auditor membuat penilaian awal materialitas untuk setiap tujuan audit terkait
transaksi untuk setiap jenis transaksi utama dari setiap siklus transaksi.sebagai contoh
dalam siklus penjualan dan penagihan, jenis transaksi yang biasanya terlibat adalah
penjualan, retur penjualan dan pengurangan harga,penerimaan kas dan penyisihan dan
penyisihan untuk piutang tak tertagih.
2. Menggunakan Matriks Resiko Pengendalian untuk Menilai Resiko Pengendalian
Banyak auditor yang menggunakan matriks resiko pengendalian untuk
membatu mereka dalam proses mengukur resiko pengendalian.Tujuan dari penggunaan
matriks tersebut adalah memberikan cara yang mudah untuk mengorganisasikan resiko
pengendalian kesetiaptujuan pengauditan.
3. Mengidentifikasi tujuan audit
Langkah pertama dalam pengukuran adalah mengidentifikasi tujuan audit untuk
kelompok transaksi, salso akun serta penyajian dan pengungkapan yang diterapkan
dalam penilaian tersebut. Sebagai contoh, hal ini dilakukan untuk kelompok transaksi
dengan menerrapkan tujuan audit spesifik terkait transaksi yang sudah di bahas
sebelumnya, yang dinyatakan dalam bentuk umum, untuk setiap jenis transaksi suatu
entitas.
4. Mengidentifikasi Pengendalian yang Ada
Selanjutnya, audtor menggunakan informasi yang telah dibahas dibagian
sebelumnya dalam mendapatkan dan mendokumentasikan pemahaman atas
pengendalian internal untuk mengidentifikasi pengendalian yang berpengaruh pada
pencapaian tujuan audit terkait transaksi.Salah satu cara bagi auditor untuk melakukan
hal tersebut yang dengan mengidentifijkasi resiko-resiko untik memenuhi setiap tujuan
 audit.Misalnaya, auditor dapat menggunakan pengetahuan atas sistem klien untuk
mengidentifikasi pebgendalian yang mungkin dapat mencegah keselahan ataupun
kecurangan dalam tujuan pengendalain audit teskait transaksi.
Audtor harus mengidentifikasi dan hanya memasukkan pengendalian-
pengendalian yang diperkirakan dapat berpenagaruh besat terhadap pencapaian tujuan
audit terkait transaksi.hal tersebut sering kali disebut dengan pengendalian
kunci.Alasan untuk hanya memasukkan pengendalian kunci adalah karena
pengendalain kunci tesebut akan memadai untuk pencapaian tujuan audit terkait
transaksi, dan juga memberikan efesiensi audit.
5. Menghubungkan Pengendalaian Dengan Tujuan Audit Terkait
Setiap pengendalain memenuhi satu atau lebih tujuan audit.Matriks resiko
Pengendalian serupa akan dilengkapi untuk tujuan audit terkait saldo serta penyajian
dan pengungkapan.Sebagi contoh pengiriman laporan tagihan bulanan kepada setiap
pelanggan memenuhi tiga tujuan dalam audit atas PT Perkakas Prima.
6. Mengidentifikasi Dan Mengevaluasi Kekurangan Pengendalian
Kekurangan-Kekurangan yang Signifikan dan Kelemahan-Kelemahan
Material Standar audit mendefinisikan tiga tingkat ketiadaan pengendalian internal,
sebagai berikut.
a. Kekurangan pengendalian, Suatu kekurangan pengendalian terjadi jika rancangan
atau pelaksanaan pengendalian tidak memungkinkan personel perusahaan untuk
mencegah ataupun mendeteksi salah saji dengan tepat waktu.Kekurangan dalam
kecurangan muncul jika pengendalian penting tidak ada atau tidak dirancang
dengan tepat, Kekurangan dalam pelaksanaan muncul ketika pengendalian yang
telah dirancang dengan baik tidak dijalankan sebagaimana direncanakan atau jika
orang yang melaksanakan pengendalian tesebut tidak memilki dan otorisasi
yangmemadai.
b. Kekurangan signifikan. Suatu Kekurangan signifikan terjadi ketiak saru atau
lebuh kekurangan pengendalian muncul sebagai akibat dari kemungkinan yang
lebih kecil bahwa suatu salah saji yang cukup meterial tidak dapat dicegah atau
dideteksi, Sehingga, untuik menjadi kekurangan yang signifikan, kemungkinan
terjadinya salah kecil dan besarannya cukup signifikan.
c. Kelemahan material, Suatu Kelemahan material mucul jika suatu kekurangan
signifikan, dengan sendirinya atau bersama-sama dengan kekurangan signifikan
lainya melibatkan kemungkinan yang lebih dari kecil.bahwa pengendalian internal
 tidak mampu mencegah atau mendeteksi salah saji material dalam laporan
keuangan.
Identifikasi Kekurangan, kekurangan signifikan dan Kelemahan Meterial.
7. Pendekatan lima langkah dapat digunakan dalam mengidentifikasi kekurangan-
kekurangan signifikan.
1. Mengidentifikasi pengendalian yang ada.Karebna kekurangan dan kelemahan
meterial muncul akibat ketiadaan pengendalian yang memadai, maka auditor
pertama kali harus mengetahui pengendalian mana yang sudah ada.
2. Mengidentifikasi pengendalian Kunci yang tidak ada.Kuesioner pengendalian
internal,bagan arus dalam penelusuran merupakan alat yang berguna untuik
mengidentifrikasi dimana terjadinya kekurangan dalam pengendalian dan
kemungkinan terdapat terjadi salah saji dengan demikian akan meningkan
3. Mempertimbangkan kemungkinan dalam pengendalian pengganti.
Pengendalian pengganti merupakan pengendalian yang ada dalam suatu sistem
yang dapat menutupi kelemahan pengendalian kunci.
4. Menentukna apakah terdapat kekurangan signifikanatau kelemahan
material.kemungkinan salah saji dan materialitasnya digunakan untuk
mengevaluasi apakah terdapat kekurangan sifnifikan atau kelemahan signifikan.
5. Menentukan potensi salah saji yang dapat terjadi.langkah ini dimaksudkan
untuk mengidentifikasi salah saji spesifik yang kemungkinan muncul akibat dari
kekurangan signifikan atau kelemahan material.
8. Menghubungkan kekurangan signifikan dan Kelemahan signifikan
Dengan tujuan Audit yang terkait sama halnya seperti untuk pengendalian,
masing-masing kekurangan signifikan atau kelemahan material dapat diterapkan disatu
atau lebih tujuan audit.
9. Menilai Resiko Pengendalaian untuk Setuap Tujuan Audit yang Terkait
Setelah pengendalian, kekurangan signifikan, dan kelemahan material
diidentifikasi dan kelemahan material diidentifikasi dan dihubungkan dengan tujuan
audit terkait transaksi.
Setelah melakukan penilaian awal resiko pengendalian untuk penjualan dan
penerimaan kas, auditor dapa melengkapi ketiga baris resiko pengendalian dikertas
kerja pencatatan bukti telah disajikan .

C. Test of Controls
1. Tujuan pengujian pengendalian
2. Prosedur pengujian pengendalian
Auditor akan menggunakan empat jenis prosedur berikut untuk mendukung
efektifitas pelaksanaan pengendalian internal. Berikut keempat jenis prosedur
tersebut.
a. Melakukan Tanya jawab dengan personal klien yang tepat. Meskioun Tanya
jawab tidak memiliki keandalan yang tinggi sebagai sumber bukti audit
efektivitas pelaksanaan pengendalian, namun tetap dianggap tepat. Sebagai
contoh untuk menentukan apakah personel yang tidak mendapatkan otorisasi
ditolak aksesnya untuk membuka arsip-arsip computer, maka auditor dapat
melakukan Tanya jawab dengan orang yang mengendalikan data computer dan
dengan orang yang mengendalikan pemberian akses pengaman kata kunci
secara online.
b. Menguji dokumen, catatan, dan laporan. Banyak pengendalian yang
meninggalkan jejak bukti catatan yang jelas yang dapat digunakan dalam
menguji pengendalian. Misalnya ketika sebuah pesanan pelanggan diterima,
kemudian pesanan tersebut digunakan sebagai dasar untuk membuat perintah
pesanan pelanggan, yang mana disetujui . auditor dapat menguji pengendalian
dengan memeriksa dokumen-dokumen untuk memastikan bahwa dokumen
tersebut telah lengkap dan telah sesuai dan bahwa tanda tangan atau inisial yang
diperlukan sudah ada.
c. Mengamati aktivitas terkait pengendalian. Beberapa pengendalian tidak
meninggalkan jejak bukti, yang berarti bahwa tidak mungkin untuk memeriksa
dokumen untuk memastikan bahwa pengendalian telah dilaksanakan. Sebagai
contoh, pemisahan tugas bergantung pada orang tertentu , dan biasanya tidak
terdapat dokumentasi atas pemisahan tugas tersebut.untuk pengendalian yang
tidak meninggalkan bukti dokumen, auditor biasanya mengamati penerapannya
di beberapa titik selama tahun berjalan.
d. Mengerjakan ulang prosedur klien. Terdapat aktivitas terkait pengendalian
dimana tersedia dokumen dan catatan yang terkait, namun isiya tidak memadai
dengan efektif.sebagai contoh harga dalam faktur penjualan secara otomatis
didapatkan dari arsip utama daftar harga, namun tidak ada indikasi bahwa
pengendalian yang terotomatisasi tersebut didokumentasikan dalam faktur
penjualan.
3. Keluasan Prosedur
Keluasan pengujian pengendalian yang diterapkan bergantung pada penilaian
awal risiko pengendalian. Jika auditor menginginkan untuk menurunkan penilaian
risiko pengendalian, makin luas pengujian atas pengendalian yang harus dilakukan
maupun keluasan pengujia atas setiap pengendalian.
Menguji Pengendalian Terkait Dengan Risiko Yang Signifikan . risiko yang
signifikan merupakan risiko yang diyakini auditor memerlukan pertimbangan audit
yang khusus. Ketika prosedur penilaian risiko yang dilakukan auditor
mengindikasikan adanya risiko yang signifikan, auditor diharuskan untuk
melakukan pengujian atas efektifitas pelaksanaan pengendalian yang dapat
mencegah risiko-risiko tersebut dalam pengauditan di tahun berjalan, jika auditor
merencanakan untuk mengandalkan pengendalian tersebut untuk mendukung
penilaian awal risiko pengendalian dibawah 100%.
Menguji Kurang Dari Seluruh Periode Audit. Perlu diingat bahwa laporan
manajemen atas pengendalian internal terkait dengan efektivitas pengendalian
internal pada akhir tahun fiscal. Penentuan waktu bagi auditor untuk melakukan
pengujian pengendalian dengan demikian bergantung pada sifat pengendalian dan
kapan perusahaan menerapkannya.
4. Hubungan Antara Pengujian Pengendalian Dan Prosedur Untuk
Mendapatkan Pemahaman
Terdapat dua perbedaan utama dalam penerapak kedua prosedur tersebut:
a. Dalam mendapatkan pemahaman atas pengendalian internal, prosedur untuk
mendapatkan pemahaman diterapkan di semua pengendalian yang diidentifikasi
selama fase tersebut. Pengujian pengendalian, disisi lain, hanya diterapkan
ketika risiko pengendalian yang dinilai tidak terpenuhi oleh prosedur yang
dilakukan untuk mendapatkan pemahaman.
b. Prosedur untuk mendapatkan pemahaman hanya dilakukan pada satu atau
beberapa transaksi atau dalam kasus pengamatan, dilakukan pada satu titik
waktu. Pengujian pengendalian dilakukan pada sampel transaksi yang lebih
besar (mungkin 20 sampai 100) dan sering kali, pengamatan dilakukan pada
lebih dari satu titik waktu.
Untuk pengendalian kunci, pengujian pengendalian selain dari pengerjaan ulang
biasanya merupakan perluasan dari prosedur untuk mendapakan pemahaman. Sehingga,
dengan mengamsusikan para auditor merencanakan untuk mendapatkan penilaian risiko
 pengendalian yang rendah dari awal pengauditan terintegrasi, mereka kemungkinan akan
menggabungkan baik jenis prosedur dan pelaksanaannya secara simultan. Pilihan lainnya
adalah melakukan prosedur audit secara terpisah. Dimana prosedur minimal untuk
mendapatkan pemahaman atas rancangan dan pelaksanaan pengendalian dilakukan,
diikuti dengan pengujian tambahan atas pengendalian . alternatif lainnya adalah
menggabungkan kedua kolom tersebut dan melakukannya secara simultan. Jumlah bahan
bukti yang sama dikumpulkan dalam pendekatan kedua, namun lebih efisien

D. Decide Planned Detection Risk and Design Substantive Tests

Penyelesaian aktivitas-aktvitas tersebut memadai pengauditan terhadap
pengendalian internal terhadap pelaporan keuangan, meskipun pelaporan tersebut tidak
dapat diselesaikan hingga auditor telah selesai mengaudit laporan keuangan.
Auditor menggunakan penilaian risiko pengendalian dan hasil pengujian
pengendalian untuk menentukan risiko audit yang dapat diterima dan pengujian substantive
pengauditan atas laporan keuangan. Auditor melakukan hal ini dengan menghubungkan
penilaian risiko pengendalian dengan tujuan audit terkait saldo untuk akun-akun yang
dipengaruhi oleh jenis transaksi-transaksi utaman dengan keempat tujuan audit terkait saldo
kemudian ditentukan dengan menggunakan model risiko audit

E. Auditor Reporting on Internal Control

1. Communication to Those Charged with Governance and Management Letters
Auditor harus mengomunikasikan kekurangan-kekurangan yang signifikan dan
kelemahan material secara tertulis kepada mereka yang bertanggung jawab dalam
tata kelola perusahaan setelah auditor mengetahui munculnya hal
tersebut.Komunikasi tersebut biasanta dilakukan dengan komite audit dan
manajemen.
Selain hal tersebut diatas, auditor serinh kali mengidentifikasi isu-isu yang
terkait pengendalian internal yang kurang sigifikan, dan juga ksempatan bagi
klienuntik membuat perbaikan operasional.hal tersebut juga harus harus
dikomunikasikan kepada klien.
2. Section 404 Reporting Requirement
Laporan auditor mengenai pengendalian internal harus mencakup dua pendapat
auditor:
 1. Pendapat auditor mengenai apakah penilaian manajemen terhadap
keefektifan pengendalian internal atas pelaporan keuangan per akhir periode
fiskal telah dinyatakan secara wajar, dalam semua hal yang material.
2. Pendapat auditor mengenai apakah perusahaan telah menyelanggrakan,
dalam semua hal yang material, pengendalian internal yang efektif atas
pelaporan keuangan per tanggal yang disebutkan.

3. Types of Opinion

F. Evaluating, Reporting, and Testing Internal Control For Nonpublic and Smaller
Public Companies
G. Impact of IT Environment on Control Risk Assessment and Testing