Upload
64
EXPOSURE DRAFT STANDAR PERIKATAN AUDIT (“SPA”) 315 PENGINDENTIFIKASIAN DAN PENILAIAN RISIKO SALAH SAJI MATERIAL MELALUI PEMAHAMAN ATAS ENTITAS DAN LINGKUNGANNYA Exposure draft ini diterbitkan oleh Dewan Standar Profesi Institut Akuntan Publik Indonesia Tanggapan tertulis atas exposure draft ini diharapkan dapat diterima paling lambat tanggal 20 Mei 2012 ke Sekretariat IAPI Jl. Kapten P. Tendean No. 1 Lt. 1 Jakarta 12710 atau melalui fax (021) 2525-175 atau email ke [email protected] atau [email protected] EXPOSURE DRAFT INSTITUT AKUNTAN PUBLIK INDONESIA Indonesian Institute of Certified Public Accountants
-
Upload
tommy-page -
Category
Documents
-
view
15 -
download
0
Transcript of Upload
EXPOSURE DRAFT
STANDAR PERIKATAN AUDIT
(“SPA”) 315
PENGINDENTIFIKASIAN DAN PENILAIAN RISIKO
SALAH SAJI MATERIAL MELALUI PEMAHAMAN
ATAS ENTITAS DAN LINGKUNGANNYA
Exposure draft ini diterbitkan oleh
Dewan Standar Profesi Institut Akuntan Publik Indonesia
Tanggapan tertulis atas exposure draft ini diharapkan
dapat diterima paling lambat tanggal 20 Mei 2012
ke Sekretariat IAPI Jl. Kapten P. Tendean No. 1 Lt. 1
Jakarta 12710 atau melalui fax (021) 2525-175 atau email
ke [email protected] atau [email protected]
EXPO
SU
RE D
RA
FT
INSTITUT AKUNTAN PUBLIK INDONESIA
Indonesian Institute of Certified Public Accountants
INSTITUT AKUNTAN PUBLIK INDONESIA
DEWAN STANDAR PROFESI
2008 – 2012
Kusumaningsih Angkawidjaja Ketua
Handri Tjendra Wakil Ketua
Dedy Sukrisnadi Anggota
Fahmi Anggota
Godang Parulian Panjaitan Anggota
Johannes Emile Runtuwene Anggota
Lolita R. Siregar Anggota
Renie Feriana Anggota
Yusron Fauzan Anggota
STANDAR PERIKATAN AUDIT 315
PENGINDENTIFIKASIAN DAN PENILAIAN RISIKO SALAH SAJI MATERIAL MELALUI
PEMAHAMAN ATAS ENTITAS DAN LINGKUNGANNYA
(Berlaku efektif untuk audit atas laporan keuangan untuk periode yang dimulai pada atau
setelah tanggal 1 Januari 2013)
Paragraf
Pendahuluan
Lingkup SPA ini ….............................................................................................. 1
Tanggal Efektif .............…..................................................................................... 2
Tujuan …................................................................................................................ 3
Definisi ….............................................................................................................. 4
Ketentuan
Prosedur Penilaian Risiko dan Aktivitas Terkait …................................................. 5-10
Pemahaman atas Entitas dan Lingkungannya yang Diharuskan, termasuk Pengendalian
Internal Entitas…................................................................................................. 11-24
Pengidentifikasian dan Penilaian Risiko Salah Saji Material ….............................. 25-31
Dokumentasi …...................................................................................................... 32
Materi Penerapan dan Penjelasan Lain
Prosedur Penilaian Risiko dan Aktivitas Terkait …................................................. A1-A16
Pemahaman atas Entitas dan Lingkungannya yang Diharuskan, termasuk Pengendalian
Internal Entitas .................................................................................................. A17-A104
Pengidentifikasian dan Penilaian Risiko Salah Saji Material …............................. A105-130
Dokumentasi …...................................................................................................... A131-134
Lampiran 1: Komponen Pengendalian Internal
Lampiran 2: Kondisi dan Peristiwa yang Dapat Menunjukkan Risiko Salah Saji Material
Standar Perikatan Audit (SPA 315), Pengidentifikasian dan Penilaian Risiko Salah Saji Material
Melalui Pemahaman atas Entitas dan Lingkungannya” harus dibaca bersamaan dengan SPA
200, “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit Berdasarkan Standar
Perikatan Audit.”
Pendahuluan
Lingkup SPA ini
1. Standar Perikatan Audit (SPA) ini berkaitan dengan tanggung jawab auditor untuk
mengidentifikasi dan menilai risiko salah saji material dalam laporan keuangan, melalui
pemahaman atas entitas dan lingkungannya, termasuk pengendalian internal entitas.
Tanggal Efektif
2. SPA ini efektif untuk audit atas laporan keuangan untuk periode mulai pada atau setelah
tanggal 1 Januari 2013.
Tujuan
3. Tujuan auditor adalah untuk mengidentifikasi dan menilai risiko salah saji material, apakah
karena kecurangan atau kesalahan, pada tingkat laporan keuangan dan asersi, melalui
pemahaman atas entitas dan lingkungannya, termasuk pengendalian internal entitas, oleh
karena itu menyediakan suatu dasar untuk merancang dan mengimplementasikan respons
terhadap risiko yang ditetapkan atas salah saji material tersebut.
Definisi
4. Untuk tujuan SPA ini, istilah berikut memiliki makna sebagai diuraikan di bawah ini:
a. Asersi—Representasi oleh manajemen, secara eksplisit atau dengan cara lain, yang
terkandung dalam laporan keuangan, yang dipakai oleh auditor untuk
mempertimbangkan berbagai jenis salah saji potensial yang mungkin terjadi.
b. Risiko bisnis—Suatu risiko sebagai akibat dari kondisi, peristiwa, keadaan, tindakan
atau tidak adanya tindakan signifikan yang dapat berdampak negatif terhadap
kemampuan entitas dalam mencapai tujuannya dan dalam melaksanakan strateginya,
atau dari penetapan sasaran dan strategi yang tidak tepat.
c. Pengendalian internal—Proses yang dirancang, diimplementasikan, dan dipelihara oleh
pihak yang bertanggung jawab atas tata kelola, manajemen, dan personel lain untuk
menyediakan keyakinan memadai tentang pencapaian tujuan suatu entitas yang
berkaitan dengan keandalan pelaporan keuangan, efisiensi dan efektivitas operasi, dan
kepatuhan terhadap peraturan perundang-undangan. Istilah “pengendalian” mengacu
pada setiap aspek dari satu atau lebih komponen pengendalian internal.
d. Prosedur penilaian risiko—Prosedur audit yang dilaksanakan untuk memperoleh suatu
pemahaman tentang entitas dan lingkungannya, termasuk pengendalian internal entitas,
untuk mengidentifikasi dan menilai risiko salah saji material, apakah karena kecurangan
atau kesalahan, pada tingkat laporan keuangan dan asersi.
e. Risiko signifikan—Suatu risiko salah saji material yang diidentifikasi dan dinilai yang,
dalam pertimbangan auditor, memerlukan pertimbangan audit khusus.
Ketentuan
Prosedur Penilaian Risiko dan Aktivitas Terkait
5. Audtior harus melaksanakan prosedur penilaian risiko untuk menyediakan suatu dasar bagi
pengidentifikasian dan penilaian risiko salah saji material pada tingkat laporan keuangan
dan asersi. Namun, prosedur penilaian risiko semata tidak menyediakan bukti audit yang
cukup dan tepat sebagai dasar opini audit. (Ref: Para. A1-A5)
6. Prosedur penilaian risiko harus mencakup berikut:
a. Permintaan keterangan dari manajemen, dan personel lain dalam entitas yang menurut
pertimbangan auditor kemungkinan memiliki informasi yang mungkin membantu dalam
mengidentifikasi risiko salah saji material karena kecurangan atau kesalahan. (Ref:
Para. A6)
b. Prosedur analitis. (Ref: Para. A7-A10)
c. Observasi dan inspeksi. (Ref: Para. A11)
7. Auditor harus mempertimbangkan apakah informasi yang diperoleh dari proses penerimaan
atau keberlanjutan hubungan dengan klien relevan untuk mengidentifikasi risiko salah saji
material.
8. Jika rekan perikatan telah melaksanakan perikatan lain untuk entitas tersebut, rekan
perikatan harus mempertimbangkan apakah informasi yang diperoleh relevan untuk
mengidentifikasi risiko salah saji material.
9. Jika auditor bermaksud untuk menggunakan informasi yang diperoleh dari pengalaman
sebelumnya dengan entitas tersebut dan dari prosedur audit yang dilaksanakan dalam audit
sebelumnya, auditor harus menentukan apakah informasi tersebut relevan dengan audit
kini. (Ref. Para. A12-A13)
10. Rekan perikatan dan anggota kunci tim perikatan harus mendiskusikan kerentanan laporan
keuangan entitas terhadap salah saji material, dan penerapan kerangka pelaporan
keuangan yang berlaku terhadap fakta dan keadaan entitas tersebut. Rekan perikatan harus
menentukan hal mana yang dikomunikasikan kepada anggota tim perikatan yang tidak
terlibat dalam diskusi. (Ref: Para, A14-A16)
Pemahaman atas Entitas dan Lingkungannnya yang Diharuskan, Termasuk Pengendalian
Internal Entitas
Entitas dan Lingkungannya
11. Auditor harus memperoleh suatu pemahaman berikut:
a. Faktor-faktor industri, peraturan, dan eksternal lain termasuk kerangka pelaporan
keuangan yang berlaku. (Ref: Para. A17-A22)
b. Sifat entitas, termasuk:
(i) Operasinya
(ii) Struktur kepemilikan dan tata kelolanya
(iii) Jenis investasi yang dilakukan dan yang rencananya akan dilakukan oleh entitas,
termasuk investasi dalam entitas bertujuan khusus; dan
(iv) Cara entitas tersebut distrukturisasi dan bagaimana entitas tersebut dibelanjai,
untuk memampukan auditor memahami golongan transaksi, saldo akun, dan
pengungkapan yang diharapkan ada dalam laporan keuangan. (Ref: Para A23-A27)
c. Pemilihan dan penerapan kebijakan akuntansi oleh entitas, termasuk alasan
perubahannya. Auditor harus mengevaluasi apakah kebijakan akuntansi entitas adalah
tepat untuk bisnisnya dan konsisten dengan kerangka pelaporan keuangan yang berlaku
dan kebijakan akuntansi yang digunakan dalam industri yang relevan. (Ref: Para. A28)
d. Tujuan dan strategi entitas, dan risiko bisnis terkait yang dapat menimbulkan risiko salah
saji material. (Ref: Para. A29-A35)
e. Pengukuran dan penelahaan atas kinerja keuangan entitas. (Ref: Para. A36-A41)
Pengendalian Internal Entitas
12. Auditor harus memperoleh suatu pemahaman atas pengendalian internal yang relevan
dengan audit. Meskipun sebagian besar pengendalian yang relevan dengan audit
kemungkinan berhubungan dengan pelaporan keuangan, namun tidak semua pengendalian
yang berhubungan dengan pelaporan keuangan relevan dengan audit. Ini merupakan hal
yang berkaitan dengan pertimbangan profesional auditor apakah suatu pengendalian,
secara individual atau bersama-sama dengan yang lain, merupakan hal yang relevan
dengan audit. (Ref: Para A42-A65)
Sifat dan Luas Pemahaman atas Pengendalian yang Relevan
13. Pada waktu memperoleh suatu pemahaman tentang pengendalian yang relevan dengan
audit, auditor harus mengevaluasi rancangan pengendalian tersebut dan menentukan
apakah pengendalian tersebut telah diimplementasikan, dengan melaksanakan prosedur
sebagai tambahan terhadap permintaan keterangan dari personel entitas. (Ref: Para. A66-
A68)
Komponen Pengendalian Internal
Lingkungan pengendalian
14. Auditor harus memperoleh suatu pemahaman atas lingkungan pengendalian. Sebagai
bagian dari pemerolehan pemahaman ini, auditor harus mengevaluasi apakah:
(a) Manajemen, dengan pengawasan dari pihak yang bertanggung jawab atas tata kelola,
telah menciptakan dan memelihara suatu budaya jujur dan perilaku etis; dan
(b) Kekuatan dalam unsur lingkungan pengendalian secara kolektif menyediakan fondasi
yang semestinya untuk komponen lain pengendalian internal, dan apakah komponen
lain tersebut tidak dirusak oleh defisiensi dalam lingkungan pengendalian (Ref: Para.
A69-A78)
Proses penilaian risiko entitas
15. Auditor harus memperoleh suatu pemahaman tentang apakah entitas memiliki suatu proses
untuk:
(a) Mengidentifikasi risiko bisnis yang relevan dengan tujuan laporan keuangan;
(b) Mengestimasi signifikansi risiko;
(c) Menentukan kemungkinan terjadinya risiko tersebut; dan
(d) Memutuskan tentang tindakan untuk menangani risiko tersebut. (Ref: Para. A79)
16. Jika entitas telah menetapkan proses tersebut di atas (disebut selanjutnya sebagai “proses
penilaian risiko entitas”), auditor harus memperoleh pemahaman tentang proses tersebut
dan hasilnya. Jika auditor mengidentifikasi risiko salah saji material yang gagal diidentifikasi
oleh manajemen, maka auditor harus mengevaluasi apakah terdapat suatu jenis risiko yang
diharapkan oleh auditor akan teridentifikasi oleh proses penilaian risiko entitas tersebut. Jika
terdapat risiko semacam itu, maka auditor harus memperoleh pemahaman tentang
mengapa proses tersebut gagal mengindentifikasinya, dan mengevaluasi apakah proses
tersebut sudah tepat atau menentukan apakah terdapat suatu defisiensi signifikan dalam
pengendalian internal yang berkaitan dengan proses penilaian risiko entitas.
17. Jika entitas belum menetapkan proses tersebut di atas atau memiliki suatu proses ad hoc,
maka auditor harus mendiskusikan dengan manajemen tentang apakah risiko bisnis yang
relevan dengan tujuan pelaporan keuangan telah diidentifikasi dan bagaimana risiko
tersebut ditangani. Auditor harus mengevaluasi apakah ketiadaan proses penilaian risiko
yang didokumentasi sudah tepat sesuai dengan kondisinya, atau menentukan apakah
ketiadaan tersebut merupakan suatu defisiensi signifikan dalam pengendalian internal (Ref.
Para. A80)
Sistem informasi, termasuk proses bisnis yang terkait, yang relevan dengan pelaporan
keuangan, dan komunikasi
18. Auditor harus memperoleh pemahaman tentang sistem informasi, termasuk proses bisnis
yang terkait, yang relevan dengan pelaporan keuangan, termasuk hal-hal sebagai berikut:
(a) Golongan transaksi dalam operasi entitas yang signifikan tehadap laporan keuangan;
(b) Prosedur, baik dalam teknologi informasi maupun sistem manual, yang olehnya
transaksi dimulai, dicatat, diproses, dan dikoreksi sebagaimana mestinya, ditransfer ke
buku besar, dan dilaporkan dalam laporan keuangan.
(c) Catatan akuntansi, informasi pendukung, dan akun spesifik dalam laporan keuangan
yang digunakan untuk memulai, mencatat, memproses, dan melaporkan transaksi; hal
ini mencakup koreksi terhadap informasi yang salah dan bagaimana informasi tersebut
ditransfer ke buku besar. Catatan tesebut dapat dalam bentuk manual atau elektronis.
(d) Bagaimana sistem informasi menangkap peristiwa dan kondisi (selain transaksi) yang
signifikan terhadap laporan keuangan;
(e) Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas,
termasuk estimasi akuntansi dan pengungkapan yang signifikan; dan
(f) Pengendalian di sekitar entri jurnal, termasuk entri jurnal nonstandar yang digunakan
untuk mencatat transaksi yang tidak berulang atau tidak biasa, atau penyesuaian. (Ref:
Para. A81-A85)
19. Auditor harus memperoleh suatu pemahaman tentang bagaimana entitas
mengomunikasikan peran dan tanggung jawab pelaporan keuangan serta hal-hal signifikan
yang berkaitan dengan pelaporan keuangan, termasuk: (ref: Para. A86-A87)
(a) Komunikasi antara manajemen dengan pihak yang bertanggung jawab atas tata kelola;
dan
(b) Komunikasi eksternal, seperti dengan otoritas pengatur.
Aktivitas pengendalian yang relevan dengan audit
20. Auditor harus memperoleh suatu pemahaman tentang aktivitas pengendalian yang relevan
dengan audit, yaitu aktivitas pengendalian yang dipandang perlu oleh auditor untuk
dipahami agar dapat menilai risiko salah saji material pada tingkat asersi dan merancang
prosedur audit lebih lanjut yang responsif terhadap risiko yang dinilai. Suatu audit tidak
membutuhkan suatu pemahaman tentang seluruh aktivitas pengendalian yang terkait
dengan setiap golongan transaksi signifikan, saldo akun, dan pengungkapan dalam laporan
keuangan atau tentang setiap asersi yang relevan dengannya. (Ref: Para. A88-A94)
21. Dalam memahami aktivitas pengendalian entitas, auditor harus memperoleh suatu
pemahaman tentang bagaimana entitas telah merespons terhadap risiko yang timbul dari
teknologi informasi. (Ref: Para. A95-A97)
Pemantauan atas pengendalian
22. Auditor harus memperoleh suatu pemahaman tentang aktivitas utama yang digunakan oleh
entitas untuk memantau pengendaian internal atas pelaporan keuangan, termasuk yang
berkaitan dengan aktivitas pengendalian yang relevan dengan audit, dan bagaimana entitas
melaksanakan tindakan perbaikan terhadap defisiensi dalam pengendaliannya. (Ref: Para.
A98-A100).
23. Jika entitas memiliki fungsi audit internal,1 maka auditor harus memperoleh suatu
pemahaman tentang hal-hal di bawah ini untuk menentukan apakah fungsi tersebut
kemungkinan relevan dengan audit:
(a) Sifat tanggung jawab fungsi audit internal dan bagaimana fungsi tersebut cocok dengan
struktur organisasi entitas; dan
(b) Aktivitas yang dilakukan atau yang akan dilakukan oleh fungsi audit internal. (Ref: Para.
A101-A103)
24. Auditor harus memperoleh suatu pemahaman tentang sumber informasi yang digunakan
dalam aktivitas pemantauan entitas, dan dasar bagi manajemen untuk mempertimbangkan
apakah informasi tersebut cukup dapat diandalkan untuk tujuan tersebut.
Pengidentifikasian dan Penilaian Risiko Salah Saji Material
25. Auditor harus mengidentifikasi dan menilai risiko salah saji material pada:
(a) Tingkat laporan keuangan; dan (Ref: Para A105-A108)
(b) Tingkat asersi untuk golongan transaksi, saldo akun, dan pengungkapan, (Ref: Para.
A109-A103) untuk menyediakan suatu basis bagi perancangan dan pelaksanaan
prosedur audit lebih lanjut.
26. Untuk tujuan ini, auditor harus:
(a) Mengidentifikasi risiko sepanjang proses pemerolehan pemahaman tentang entitas dan
lingkungannya, termasuk pengendalian relevan yang berkaitan dengan risiko, dan
dengan mempertimbangkan golongan transaksi, saldo akun, dan pengungkapan dalam
laporan keuangan. (Ref: Para A114-A115)
(b) Menilai dan mengidentifikasi risiko, serta mengevaluasi apakah risiko tersebut berkaitan
secara lebih pervasif terhadap laporan keuangan secara keseluruhan dan secara
potensial memengaruhi banyak asersi.
(c) Menghubungankan risiko yang diidentifikasi dengan apa yang bisa menjadi salah (what
could go wrong) pada tingkat asersi, dengan memperhitungkan pengendalian relevan
yang hendak diuji oleh auditor; dan (Ref: Para. A116-A118)
1 Istilah “fungsi audit internal” didefinisikan dalam paragraf 7a dari SPA 610, “Penggunaan Pekerjaan Auditor
Internal,” sebagai: “Suatu aktivitas penilaian yang ditetapkan atau disediakan sebagai suatu fungsi jasa bagi entitas.
Fungsinya mencakup, antara lain, pemeriksaan, pengevaluasian, dan pemantauan kecukupan dan efektivitas
pengendalian internal.”
(d) Mempertimbangkan kemungkinan salah saji, termasuk kemungkinan salah saji multipel,
dan apakah potensi salah saji yang besar tersebut dapat mengakibatkan suatu salah
saji material.
Risiko yang Membutuhkan Pertimbangan Audit Khusus
27. Sebagai bagian dari penilaian risiko sebagaimana dijelaskan dalam paragraf 25, auditor
harus menentukan apakah risiko yang diidentifikasi adalah, menurut pertimbangan auditor,
suatu risiko yang signifikan. Dalam melakukan pertimbangan tersebut, auditor harus tidak
memperhitungkan pengaruh pengendalian yang diidientifikasi terkait dengan risiko tersebut.
28. Dalam melakukan pertimbangan atas penentuan suatu risiko sebagai risiko yang signifikan,
auditor harus mempertimbangkan paling tidak hal-hal sebagai berikut:
(a) Apakah risiko tersebut merupakan suatu risiko kecurangan;
(b) Apakah risiko tersebut terkait dengan perkembangan terkini yang signifikan dalam
bidang ekonomi, akuntansi, atau lainnya, dan oleh karena itu, membutuhkan perhatian
spesifik;
(c) Kompleksitas transaksi;
(d) Apakah risiko tersebut melibatkan transaksi signifikan dengan pihak yang berelasi;
(e) Derajat subjektivitas dalam pengukuran informasi keuangan yang berkaitan risiko,
terutama pengukuran yang melibatkan ketidakpastian pengukuran yang luas; dan
(f) Apakah risiko tersebut melibatkan transaksi signifikan yang terjadi di luar kegiatan bisnis
normal entitas, atau yang tampaknya tidak biasa. (Ref. Para. A119-A123)
29. Jika auditor telah menentukan bahwa terdapat suatu risiko signifikan, auditor harus
memperoleh suatu pemahaman tentang pengendalian entitas, termasuk aktivitas
pengendalian yang relevan dengan risiko tersebut. (Ref: Para. A124-A126)
Risiko ketika Prosedur Subtantif Semata Tidak Menyediakan Bukti Audit yang Cukup dan Tepat
30. Sehubungan dengan beberapa risiko, auditor dapat memutuskan bahwa adalah tidak
mungkin atau tidak praktis untuk memperoleh bukti audit yang cukup dan tepat hanya dari
prosedur substantif. Risiko seperti itu dapat berkaitan dengan pencatatan yang tidak akurat
atau tidak lengkap atas golongan transaksi atau saldo akun yang rutin dan signifikan, yaitu
yang karakteristiknya sering memperbolehkan pengolahan dengan otomatisasi yang tinggi
dengan sedikit atau tanpa intervensi manual. Dalam kasus tersebut, pengendalian entitas
atas risiko tersebut adalah relevan dengan audit, dan auditor harus memperoleh suatu
pemahaman tentang hal tersebut. (Ref. Para. A127-A120)
Revisi Penilaian Risiko
31. Penilaian risiko auditor atas risiko salah saji material pada tingkat asersi dapat berubah
selama pelaksanaan audit, sejalan dengan diperolehnya bukti audit tambahan. Dalam
kondisi ketika auditor memperoleh bukti audit dari pelaksanaan prosedur audit lebih lanjut,
atau ketika informasi baru diperoleh, yang kedua bukti tersebut tidak konsisten dengan bukti
audit awal yang menjadi dasar penilaian, auditor harus merevisi penilaian tersebut, dan
oleh karena itu, memodifikasi prosedur audit lebih lanjut yang direncanakan sebelumnya.
(Ref: Para. A130)
Dokumentasi
32. Auditor harus memasukkan ke dalam dokumentasi audit:2
(a) Diskusi di antara tim perikatan sebagaimana diharuskan oleh paragraf 10, dan
keputusan signifikan yang dicapai;
(b) Unsur kunci atas pemahaman yang diperoleh tentang setiap aspek entitas dan
lingkungannya yang tercantum dalam paragraf 11 dan setiap komponen pengendalian
internal yang tercantum dalam paragraf 14-24; sumber informasi yang dari situ
pemahaman tersebut diperoleh; dan prosedur penilaian risiko yang dilaksanakan;
(c) Risiko salah saji material yang diidentifikasi dan dinilai pada tingkat laporan keuangan
dan pada tingkat asersi sebagaimana yang diharuskan oleh paragraf 25; dan
d. Risiko yang teridentifikasi, dan pengendalian yang berkaitan yang atasnya auditor telah
memperoleh suatu pemahaman, sebagai hasil dari ketentuan dalam paragraf 27-30. (Ref.
Para. A131-A134)
***
2 SPA 230, “Dokumentasi Audit,” paragraf 8-11, dan A6
Penerapan dan Materi Penjelasan Lainnya
Prosedur Penilaian Risiko dan Aktivitas yang Berkaitan (Ref: Para. 5)
A1. Pemerolehan suatu pemahaman tentang entitas dan lingkungannya, termasuk
pengendalian internal entitas (selanjutnya disebut sebagai “pemahaman entitas”)
merupakan suatu proses pengumpulan, pemutakhiran, dan penganalisisan informasi
secara berkelanjutan dan dinamis sepanjang audit. Pemahaman menetapkan suatu
kerangka acuan yang di dalamnya auditor merencanakan audit dan melaksanakan
keputusan profesional sepanjang audit, sebagai contoh, ketika:
Penilaian risiko salah saji material laporan keuangan;
Penentuan materialitas berdasarkan SPA 320.3
Pertimbangan ketepatan pemilihan dan penerapan kebijakan akuntansi, dan
kecukupan pengungkapan laporan keuangan;
Pengidentifikasian bidang-bidang yang mungkin memerlukan pertimbangan khusus,
sebagai contoh, transaksi pihak yang berelasi, ketepatan manajemen dalam
menggunakan asumsi kelangsungan hidup, atau pertimbangan atas tujuan bisnis
transaksi.
Pengembangan ekspektasi untuk digunakan ketika melakukan prosedur analitis;
Respons terhadap penilaian risiko salah saji material, termasuk perancangan dan
pelaksanaan prosedur audit lebih lanjut untuk memperoleh bukti audit yang cukup
dan tepat; dan
Pengevaluasian atas kecukupan dan ketepatan bukti audit yang diperoleh, seperti
ketepatan asumsi dan representasi tertulis maupun tidak tertulis dari manajemen.
A2. Informasi yang diperoleh dari pelaksanaan prosedur penilaian risiko dan aktivitas terkait
dapat digunakan oleh auditor sebagai bukti audit untuk mendukung penilaian risiko salah
saji material. Di samping itu, auditor dapat memperoleh bukti audit tentang golongan
transaksi, saldo akun, atau pegungkapan, dan asersi yang terkait, serta tentang
efektivitas operasi pengendalian, meskipun prosedur tersebut tidak secara spesifik
direncanakan sebagai prosedur substantif atau sebagai pengujian pengendalian. Auditor
juga dapat memilih untuk melaksanakan prosedur substantif atau pengujian
pengendalian secara bersamaan dengan prosedur penilaian risiko karena adalah efisien
untuk melaksanakan hal tersebut.
3 SPA 320, “Materialitas dalam Perencanaan dan Pelaksanaan Suatu Audit.”
A3. Auditor menggunakan pertimbangan profesional untuk menentukan luas pemahaman
yang diharuskan. Pertimbangan utama auditor adalah apakah pemahaman yang telah
diperoleh tersebut adalah cukup untuk memenuhi tujuan yang dinyatakan dalam SPA ini.
Kedalaman pemahaman secara keseluruhan yang dituntut dari auditor adalah lebih
rendah daripada yang dimiliki oleh manajemen entitas dalam pengelolaan entitas.
A4. Risiko yang harus dinilai mencakup baik risiko karena kesalahan maupun risiko karena
kecurangan, dan keduanya dicakup dalam SPA ini. Namun, signifikansi kecurangan
adalah sedemikian penting sehingga ketentuan dan panduan lebih lanjut dimasukkan
dalam SPA 240 yang berkaitan dengan prosedur penilaian risiko dan aktivitas terkait
untuk memperoleh informasi yang digunakan untuk mengidentifikasi risiko salah saji
material karena kecurangan.4
A5. Meskipun auditor dituntut untuk melaksanakan semua prosedur penilaian risiko yang
dijelaskan dalam paragraf 6 dalam pelaksanaan pemerolehan pemahaman entitas yang
diharuskan (lihat paragraf 11-24), auditor tidak dituntut untuk melaksanakan semua
prosedur untuk setiap aspek pemahaman tersebut. Prosedur lain dapat dilaksanakan jika
informasi yang harus diperoleh dari prosedur tersebut kemungkinan bermanfaat dalam
mengidentifikasi risiko salah saji material. Contoh prosedur tersebut meliputi:
Penelaahan atas informasi yang diperoleh dari sumber eksternal seperti jurnal
ekonomi dan perdagangan; laporan analis, bank, atau lembaga pemeringkat; atau
publikasi badan pengatur dan publikasi keuangan.
Permintaan keterangan dari penasihat hukum ekternal entitas atau pakar valuasi
yang digunakan oleh entitas.
Permintaan Keterangan dari Manajemen dan Personel Lain dalam Entitas (Ref: Para. 6a)
A6. Banyak informasi yang didapat dari permintaan keterangan oleh auditor diperoleh dari
manajemen dan personel yang bertanggung jawab atas pelaporan keuangan. Namun,
auditor dapat juga memperoleh informasi, atau suatu perspektif yang berbeda dalam
mengidentifikasi risiko salah saji material, melalui permintaan keterangan dari personel
lain dalam entitas dan karyawan lain dari berbagai tingkat wewenang. Sebagai contoh:
4 SPA 240, “Tanggung Jawab Auditor Terkait dengan Kecurangan dalam Suatu Audit atas Laporan Keuangan,”
paragraf 12-24
Permintaan keterangan yang ditujukan kepada pihak yang bertanggung jawab atas
tata kelola dapat membantu auditor untuk memahami lingkungan tempat laporan
keuangan disusun.
Permintaan keterangan yang ditujukan kepada personel audit internal dapat
menyediakan informasi tentang prosedur audit internal yang dilaksanakan selama
tahun terkait yang berhubungan dengan rancangan dan efektivitas pengendalian
internal entitas dan apakah manajemen telah merespons dengan memuaskan
temuan dari prosedur tersebut.
Permintaan keterangan dari karyawan yang terlibat dalam penginisiasian,
pengolahan, atau pencatatan transaksi yang kompleks atau tidak biasa dapat
membantu auditor untuk mengevaluasi ketepatan pemilihan dan penerapan
kebijakan akuntansi tertentu.
Permintaan keterangan yang ditujukan kepada penasihat hukum internal dapat
menyediakan informasi tentang hal-hal seperti litigasi, kepatuhan terhadap peraturan
perundang-undangan, pengetahuan tentang kecurangan atau dugaan kecurangan
yang memengaruhi entitas, warranties, kewajiban pasca penjualan, pengaturan
(seperti joint venture) dengan rekan bisnis dan makna persyaratan kontrak.
Permintaan keterangan yang ditujukan kepada personel pemasaran atau penjualan
dapat menyediakan informasi tentang perubahan dalam strategi pemasaran, tren
penjualan, atau pengaturan kontraktual entitas dengan pelanggannya.
Prosedur Analitis (Ref: Para. 6b)
A7. Prosedur analitis yang dilaksanakan sebagai prosedur penilaian risiko dapat
mengidentifikasi aspek-aspek dalam entitas yang tidak disadari oleh auditor dan dapat
membantu dalam menilai risiko salah saji material agar menyediakan suatu basis untuk
perancangan dan pengimplementasian respons terhadap risiko yang dinilai. Prosedur
analitis yang dilaksanakan sebagai prosedur penilaian risiko dapat mencakup baik
informasi keuangan maupun informasi nonkeuangan, sebagai contoh, hubungan antara
penjualan dengan luas tempat penjualan atau dengan kuantitas barang yang dijual.
A8. Prosedur analitis dapat membantu auditor untuk mengidentifikasi eksistensi transaksi
atau peristiwa, serta jumlah, rasio, dan tren yang tidak biasa, yang dapat
mengindikasikan hal-hal yang memiliki implikasi audit. Hubungan yang tidak biasa atau
yang tidak diharapkan yang teridentifikasi dapat membantu auditor dalam
mengidentifikasi risiko salah saji material, terutama risiko salah saji material yang
diakibatkan oleh kecurangan.
A9. Namun, ketika prosedur analitis tersebut menggunakan data yang diagregasi secara
garis besar (high level) (situasi seperti ini kemungkinan ditemukan dalam prosedur
analitis yang dilaksanakan sebagai prosedur penilaian risiko), hasil prosedur analitis
tersebut hanya menyediakan suatu indikasi awal yang luas tentang apakah suatu salah
saji material kemungkinan ada. Oleh karena itu, dalam kasus seperti itu, pertimbangan
atas informasi lain yang telah dikumpulkan ketika mengidentifikasi risiko salah saji
material bersama dengan hasil prosedur analitis tersebut dapat membantu auditor dalam
memahami dan mengevaluasi hasil prosedur analitis tersebut.
Pertimbangan Spesifik bagi Entitas yang Lebih Kecil
A10. Beberapa entitas yang lebih kecil mungkin tidak memiliki informasi keuangan interim atau
bulanan yang dapat digunakan untuk tujuan prosedur analitis. Dalam kondisi ini,
meskipun auditor mungkin dapat melaksanakan prosedur analitis terbatas untuk tujuan
perencanaan audit atau memperoleh beberapa informasi melalui permintaan keterangan,
auditor mungkin perlu merencanakan pelaksanaan prosedur analitis untuk
mengidentifikasi dan menilai risiko salah saji material ketika draft awal laporan keuangan
entitas tersedia.
Observasi dan Inspeksi (Ref: Para. 6c)
A11. Observasi dan inspeksi dapat mendukung permintaan keterangan dari manajemen dan
pihak lain, serta dapat juga menyediakan informasi tentang entitas dan lingkungannya.
Contoh prosedur audit tersebut mencakup observasi atau inspeksi atas hal-hal sebagai
berikut:
Operasi entitas.
Dokumen (seperti rencana dan strategi bisnis), catatan, dan manual pengendalian
internal.
Laporan yang disusun oleh manajemen (seperti laporan manajemen triwulanan dan
laporan keuangan interim) dan oleh pihak yang bertanggung jawab atas tata kelola
(seperti risalah rapat dewan komisaris).
Gedung dan fasilitas pabrik entitas.
Informasi yang Diperoleh dalam Periode Lalu (Ref: Para. 9)
A12. Pengalaman sebelumnya auditor dengan entitas dan prosedur audit yang dilaksanakan
dalam audit sebelumnya dapat menyediakan bagi auditor informasi tentang hal-hal
seperti berikut:
Salah saji periode lalu dan apakah salah saji tersebut telah dikoreksi secara tepat
waktu.
Sifat entitas dan lingkungannya, dan pengendalian internal entitas (termasuk
defisiensi dalam pengendalian internal).
Perubahan signifikan yang kemungkinan telah terjadi dalam entitas atau operasinya
sejak periode keuangan lalu, yang dapat membantu auditor dalam memperoleh
suatu pemahaman yang cukup tentang entitas untuk mengidentifikasi dan menilai
risiko salah saji material.
A13. Auditor diharuskan untuk menentukan apakah informasi yang diperoleh dalam periode
lalu tetap relevan, jika auditor bermaksud untuk menggunakan informasi tersebut untuk
tujuan audit periode kini. Hal ini karena perubahan dalam lingkungan pengendalian,
sebagai contoh, dapat memengaruhi relevansi informasi yang diperoleh dalam tahun
sebelumnya. Untuk menentukan apakah perubahan telah terjadi yang dapat
memengaruhi relevansi informasi tersebut, auditor dapat meminta keterangan dan
melaksanakan prosedur audit yang tepat lainnya, seperti walk-through sistem yang
relevan.
Pembahasan di Antara Tim Perikatan (Ref: Para. 10)
A14. Diskusi di antara tim perikatan tentang kerentanan laporan keuangan entitas terhadap
salah saji material:
Menyediakan suatu peluang untuk anggota tim perikatan yang lebih
berpengalaman, termasuk rekan perikatan, dalam berbagi wawasan mereka
berdasarkan pengetahuan mereka tentang entitas.
Memungkinkan anggota tim perikatan untuk bertukar informasi tentang risiko bisnis
yang terkait dengan entitas dan tentang bagaimana dan pada bagian mana dari
laporan keuangan kemungkinan rentan terhadap salah saji material yang
diakibatkan oleh kecurangan atau kesalahan.
Membantu anggota tim perikatan untuk memperoleh pemahaman yang lebih baik
tentang salah saji material yang potensial pada laporan keuangan dalam bidang
spesifik yang ditugaskan kepada mereka, dan untuk memahami sejauh mana
prosedur audit lebih lanjut yang dilaksanakan oleh mereka dapat memengaruhi
aspek lain dari audit, termasuk keputusan tentang sifat, waktu, dan luas prosedur
audit lebih lanjut.
Menyediakan suatu basis bagi anggota tim perikatan untuk mengomunikasikan dan
berbagi informasi baru yang diperoleh selama audit yang dapat memengaruhi
penilaian risiko salah saji material atau prosedur audit yang dilaksanakan untuk
merespons risiko tersebut.
SPA 240 menyediakan ketentuan dan panduan lebih lanjut tentang diskusi di antara
anggota tim perikatan tentang risiko kecurangan.5
A15. Tidak selalu perlu atau praktis dalam diskusi untuk mengikutsertakan seluruh anggota
tim perikatan dalam suatu diskusi tunggal (seperti, sebagai contoh, dalam suatu audit
lokasi multipel), atau juga tidak selalu perlu bagi semua anggota tim perikatan untuk
diinformasikan mengenai seluruh keputusan yang dihasilkan dalam diskusi tersebut.
Rekan perikatan dapat mendiskusikan hal-hal dengan anggota kunci tim perikatan,
termasuk, jika dipandang tepat, personel dengan keahlian atau pengetahuan spesifik,
dan personel yang bertanggung jawab atas audit komponen, sementara mendelegasikan
diskusi kepada personel lain, dengan memperhitungkan luas komunikasi yang dipandang
perlu di seluruh tim perikatan. Suatu rencana komunikasi, yang disepakati oleh rekan
perikatan, dapat bermanfaat.
Pertimbangan Spesifik untuk Entitas yang Lebih Kecil
A16. Banyak audit yang dilakukan terhadap entitas yang lebih kecil dilaksanakan seluruhnya
oleh rekan perikatan (yang kemungkinan berupa praktisi tunggal). Dalam situasi seperti
itu, rekan perikatan, yang telah melaksanakan sendiri perencanaan audit, bertanggung
jawab untuk mempertimbangkan kerentanan laporan keuangan entitas terhadap salah
saji material yang diakibatkan oleh kecurangan atau kesalahan.
5 SPA 240, paragraf 15
Pemahaman yang Diharuskan atas Entitas dan Lingkungannya, Termasuk Pengendalian
Internal Entitas
Entitas dan Lingkungannya
Faktor Industri, Regulasi, dan Eksternal Lainnya. (Ref: Para. 11a)
Faktor Industri
A17. Faktor industri yang relevan mencakup kondisi industri seperti lingkungan yang
kompetitif, hubungan dengan pemasok dan pelanggan, dan perkembangan teknologi.
Contoh hal-hal yang dapat dipertimbangkan oleh auditor mencakup:
Pasar dan kompetisi, termasuk permintaan, kapasitas, dan kompetisi harga.
Aktivitas yang terjadi berdasarkan siklus atau yang bersifat musiman.
Teknologi produk yang berkaitan dengan produk entitas.
Ketersediaan dan biaya energi.
A18. Industri tempat entitas beroperasi dapat menimbulkan risiko salah saji material yang
spesifik yang disebabkan oleh sifat bisnis atau ketatnya regulasi. Sebagai contoh,
kontrak jangka panjang dapat melibatkan estimasi signifikan atas pendapatan dan biaya
yang menyebabkan risiko salah saji material. Dalam kasus tersebut, adalah penting
bahwa tim perikatan mencakup anggota dengan pengetahuan dan pengalaman relevan
yang cukup.6
Faktor Regulasi
A19. Faktor regulasi yang relevan mencakup lingkungan regulasi. Lingkungan regulasi
mencakup, antara lain, kerangka pelaporan keuangan yang berlaku dan lingkungan
politik dan hukum. Contoh hal-hal yang dapat dipertimbangkan oleh auditor mencakup:
Prinsip akuntansi dan praktik spesifik industri.
Kerangka regulasi untuk industri yang diregulasi.
Legislasi dan regulasi yang secara signifikan memengaruhi operasi entitas,
termasuk aktivitas yang di supervisi langsung.
Perpajakan (korporasi dan lainnya)
6 SPA 220, “Pengendalian Mutu untuk Audit atas Laporan Keuangan,” paragraf 14.
Kebijakan pemerintah yang saat ini memengaruhi kegiatan bisnis entitas, seperti
kebijakan moneter, termasuk pengendalian nilai tukar mata uang, fiskal, insentif
keuangan, dan tarif, atau kebijakan pembatasan perdagangan.
Ketentuan lingkungan yang memengaruhi industri dan bisnis entitas.
A20. SPA 250 mencakup beberapa ketentuan spesifik yang terkait dengan kerangka hukum
dan regulasi yang berlaku terhadap entitas dan industri atau sektor tempat entitas
beroperasi.7
Pertimbangan spesifik terhadap entitas sektor publik
A21. Untuk audit entitas sektor publik, peraturan perundang-undangan atau otoritas lain dapat
memengaruhi operasi entitas. Unsur tersebut esensial untuk dipertimbangkan ketika
melakukan pemerolehan pemahaman atas entitas dan lingkungannya.
Faktor Eksternal Lain
A22. Contoh faktor eksternal lain yang memengaruhi entitas yang dapat dipertimbangkan oleh
auditor mencakup kondisi ekonomi umum, tingkat bunga, dan ketersediaan pendanaan,
serta inflasi atau revaluasi mata uang.
Sifat Entitas (Ref: Para. 11b)
A23. Suatu pemahaman tentang sifat suatu entitas memungkinkan auditor untuk memahami
hal-hal seperti:
Apakah entitas memiliki suatu struktur yang kompleks, sebagai contoh, entitas yang
memiliki anak perusahaan atau komponen lainnya di berbagai lokasi. Struktur yang
kompleks sering menuntun pada isu-isu yang dapat mengakibatkan risiko salah saji
material. Isu-isu tersebut dapat mencakup apakah goodwill, joint ventures, investasi,
atau entitas bertujuan khusus telah dicatat dengan tepat.
Kepemilikan dan hubungan antara pemilik dengan pihak lain atau entitas lain.
Pemahaman tersebut membantu auditor dalam menentukan apakah transaksi pihak
7 SPA 250, “Pertimbangan atas Peraturan Perundang-Undangan dalam Audit atas Laporan Keuangan,” paragraf 12.
yang berelasi telah diidentifikasi dan dicatat dengan tepat. SPA 550 8menetapkan
ketentuan dan menyediakan panduan tentang pertimbangan auditor yang relevan
dengan pihak yang berelasi.
A24. Contoh hal-hal yang dapat dipertimbangkan oleh auditor ketika memperoleh suatu
pemahaman tentang sifat entitas mencakup:
Operasi bisnis seperti:
o Sifat sumber pendapatan, produk atau jasa, dan pasar, termasuk
keterlibatan dalam perdagangan elektronis seperti aktivitas penjualan dan
pemasaran melalui internet.
o Kegiatan operasi (sebagai contoh, tahapan dan metode produksi, atau
aktivitas yang terpapar dengan risiko lingkungan).
o Aktivitas aliansi, joint ventures, dan outsourcing.
o Penyebaran geografik dan segmentasi industri.
o Lokasi fasilitas produksi, gudang, dan kantor, serta lokasi dan kuantitas
persediaan.
o Pelanggan utama dan pemasok penting atas barang dan jasa, pengaturan
ketenagakerjaan (termasuk eksistensi kontrak serikat pekerja, pensiun dan
manfaat pasca kerja lainnya, opsi saham atau pengaturan bonus insentif,
dan peraturan pemerintah yang terkait dengan hal-hal ketenagakerjaan).
o Aktivitas dan pembelanjaan untuk riset dan pengembangan.
o Transaksi dengan pihak yang berelasi.
Investasi dan aktivitas investasi seperti:
o Akuisisi atau divestasi yang direncanakan atau yang baru dilaksanakan.
o Investasi dan pelepasan efek dan pinjaman.
o Aktivitas investasi modal.
o Investasi pada entitas nonkonsolidasian, termasuk persekutuan, joint
ventures, dan entitas bertujuan khusus.
Pendanaan dan aktivitas pendanaan seperti:
o Anak perusahaan dan entitas asosiasian utama, termasuk struktur
konsolidasian dan nonkonsolidasian.
8 SPA 550, “Pihak Berelasi.”
o Struktur hutang dan persyaratan yang terkait, termasuk pengaturan
pendanaan dan sewa di luar neraca (off-balance-sheet financing and lease
arrangements).
o Pemilik yang memperoleh manfaat (lokal, asing, reputasi bisnis, dan
pengalaman bisnis) dan pihak yang berelasi.
o Penggunaan instrumen keuangan derivatif.
Pelaporan keuangan seperti:
o Prinsip akuntansi dan praktik spesifik industri, termasuk kategori signifikan
spesifik industri (sebagai contoh, pinjaman dan investasi untuk bank, atau
riset dan pengembangan untuk perusahaan farmasi).
o Praktik pengakuan pendapatan.
o Akuntansi untuk nilai wajar.
o Aset, hutang, dan transaksi dalam mata uang asing.
o Akuntansi untuk transaksi yang tidak biasa atau kompleks, termasuk
transaksi dalam bidang yang kontroversial atau baru (sebagai contoh,
akuntansi untuk kompensasi berbasis saham).
A25. Perubahan signifikan dalam entitas dari periode lalu dapat menyebabkan atau mengubah
risiko salah saji material.
Sifat Entitas Bertujuan Khusus
A26. Entitas bertujuan khusus (kadang-kadang disebut sebagai kendaraan bertujuan khusus)
adalah suatu entitas yang umumnya didirikan untuk suatu tujuan yang khusus dan telah
didefinisikan dengan jelas, seperti untuk tujuan sewa atau sekuritisasi aset keuangan,
atau untuk melaksanakan aktivitas riset dan pengembangan. Hal ini dapat mengambil
bentuk suatu korporasi, wali amanat, persekutuan, atau entitas yang tidak terinkorporasi.
Entitas yang membentuk, dan diwakili oleh, entitas bertujuan khusus sering dapat
mentransfer aset kepada entitas bertujuan khusus tersebut (sebagai contoh, sebagai
bagian dari suatu transaksi penghentian pengakuan yang melibatkan aset keuangan),
memperoleh hak untuk menggunakan aset atau memberikan jasa kepada entitas
bertujuan khusus, sementara pihak lain dapat menyediakan pendanaan kepada entitas
bertujuan khusus. Seperti yang diindikasikan oleh SPA 550, dalam beberapa kondisi,
suatu entitas bertujuan khusus mungkin merupakan suatu pihak yang berelasi dengan
entitas.9
A27. Kerangka pelaporan keuangan sering menjabarkan kondisi detail yang dipandang
mengendalikan, atau kondisi-kondisi yang menjadi pertimbangan untuk mengkonsolidasi
entitas bertujuan khusus. Interpretasi tentang ketentuan kerangka tersebut sering
menuntut suatu pengetahuan detail tentang perjanjian yang relevan yang melibatkan
entitas bertujuan khusus.
Pemilihan dan Penerapan Kebijakan Akuntansi Entitas (Ref: Para. 11c)
A28. Suatu pemahaman tentang pemilihan dan penerapan kebijakan akuntansi entitas dapat
meliputi hal-hal seperti:
Metode yang digunakan oleh entitas untuk mencatat transaksi yang signifikan dan
tidak biasa.
Pengaruh kebijakan akuntansi signifikan dalam bidang yang kontroversial atau baru
dimana tidak terdapat panduan atau konsensus dari pihak yang memiliki otoritas.
Perubahan dalam kebijakan akuntansi entitas.
Standar pelaporan keuangan dan peraturan perundang-undangan yang baru bagi
entitas, serta kapan dan bagaimana entitas akan mengadopsi ketentuan tersebut.
Tujuan dan Strategi Bisnis, serta Risiko Bisnis yang Terkait (Ref: Para. 11d)
A29. Entitas melaksanakan bisnisnya dalam konteks faktor industri, faktor regulasi, serta faktor
internal dan eksternal lainnya. Untuk merespons faktor-faktor ini, manajemen atau pihak
yang bertanggung jawab atas tata kelola entitas mendefinisikan tujuan, yang merupakan
rencana keseluruhan entitas. Strategi adalah pendekatan yang melaluinya manajemen
bermaksud untuk mencapai tujuannya. Tujuan dan strategi entitas dapat berubah dari
waktu ke waktu.
A30. Risiko bisnis adalah lebih luas daripada risiko salah saji material dalam laporan
keuangan, meskipun risiko bisnis mencakup risiko salah saji material tersebut. Risiko
bisnis dapat timbul dari perubahan atau kompleksitas. Suatu kegagalan dalam mengakui
9 SPA 550, paragraf A7.
perlunya perubahan dapat juga menimbulkan risiko bisnis. Risiko bisnis dapat timbul,
sebagai contoh, dari:
Pengembangan produk atau jasa baru yang kemungkinan gagal;
Suatu pasar yang, bahkan jika dikembangkan dengan sukses, adalah tidak cukup
untuk mendukung suatu produk atau jasa; atau
Cacat dalam suatu produk atau jasa yang dapat mengakibatkan adanya kewajiban
dan risiko reputasi.
A31. Suatu pemahaman tentang risiko bisnis yang dihadapi oleh entitas meningkatkan
kemungkinan pengidentifikasian risiko salah saji material, karena sebagian besar risiko
bisnis pada akhirnya akan memiliki konsekuensi keuangan dan, oleh karena itu, memiliki
pengaruh terhadap laporan keuangan. Namun, auditor tidak bertanggung jawab untuk
mengidentifikasi atau menilai seluruh risiko bisnis karena tidak seluruh risiko bisnis
menyebabkan risiko salah saji material.
A32. Contoh hal-hal yang dapat dipertimbangkan oleh auditor ketika memperoleh suatu
pemahaman tentang tujuan dan strategi bisnis entitas, serta risiko bisnis yang terkait,
yang dapat mengakibatkan risiko salah saji material dalam laporan keuangan mencakup:
Perkembangan industri (suatu risiko bisnis terkait yang potensial dapat berupa,
sebagai contoh, entitas tidak memiliki personel atau pakar untuk menghadapi
perubahan dalam industri).
Produk dan jasa baru (suatu risiko bisnis terkait yang potensial dapat berupa,
sebagai contoh, terdapat peningkatan kewajiban terhadap produk yang dihasilkan).
Ekspansi bisnis (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai
contoh, permintaan atas produk atau jasa belum diestimasi secara akurat).
Ketentuan akuntansi baru (suatu risiko bisnis terkait yang potensial dapat berupa,
sebagai contoh, implementasi yang tidak lengkap atau tidak tepat, atau biaya yang
meningkat).
Ketentuan regulasi (suatu risiko bisnis terkait yang potensial dapat berupa, sebagai
contoh, meningkatnya keterpaparan entitas dalam bidang hukum).
Persyaratan pendanaan periode kini dan masa yang akan datang (suatu risiko bisnis
terkait yang potensial dapat berupa, sebagai contoh, kehilangan pendanaan yang
diakibatkan oleh ketidak mampuan entitas dalam memenuhi persyaratan
pendanaan).
Penggunaan teknologi informasi (suatu risiko bisnis terkait yang potensial dapat
berupa, sebagai contoh, sistem dan proses yang tidak cocok).
Pengaruh pengimplementasian suatu strategi, terutama setiap pengaruh yang akan
menuntun pada ketentuan akuntansi baru (suatu risiko bisnis potensial yang terkait
dapat berupa, sebagai contoh, implementasi yang tidak lengkap atau tidak tepat).
A33. Suatu risiko bisnis dapat memiliki suatu konsekuensi langsung terhadap risiko salah saji
material untuk golongan transaksi, saldo akun, dan pengungkapan pada tingkat asersi
atau tingkat laporan keuangan. Sebagai contoh, risiko bisnis yang timbul dari basis
pelanggan yang sedang berkontraksi dapat meningkatkan risiko salah saji material yang
terkait dengan penilaian piutang. Namun, risiko yang sama, terutama ketika terjadi
bersamaan dengan ekonomi yang sedang berkontraksi juga dapat memiliki konsekuensi
jangka panjang, yang dipertimbangkan oleh auditor ketika menilai ketepatan asumsi
keberlanjutan usaha. Oleh karena itu, apakah suatu risiko bisnis dapat mengakibatkan
risiko salah saji material, harus dipertimbangkan sesuai dengan kondisi entitas. Contoh
kondisi dan peristiwa yang dapat mengindikasikan risiko salah saji material disajikan
dalam Lampiran 2.
A34. Biasanya manajemen mengidentifikasi risiko bisnis dan mengembangkan pendekatan
untuk merespons risiko tersebut. Proses penilaian risiko tersebut merupakan bagian dari
pengendalian internal dan dibahas dalam paragraf 15 dan paragraf A79-A80
Pertimbangan Spesifik terhadap Entitas Sektor Publik
A35. Untuk audit atas entitas sektor publik, “tujuan manajemen” dapat dipengaruhi oleh
kepedulian atas akuntabilitas publik dan dapat mencakup tujuan yang bersumber dari
peraturan perundang-undangan atau otoritas lainnya.
Pengukuran dan Penelahaan atas Kinerja Keuangan Entitas (Ref: Para. 11e)
A36. Manajemen dan pihak lainnya dalam entitas akan mengukur dan menelaah hal-hal yang
dipandang penting oleh mereka. Parameter kinerja, apakah bersifat eksternal atau
internal, menciptakan tekanan terhadap entitas. Tekanan tersebut, pada gilirannya, dapat
memotivasi manajemen untuk mengambil tindakan dalam meningkatkan kinerja bisnis
atau untuk menyajikan laporan keuangan secara salah. Oleh karena itu, suatu
pemahaman tentang parameter kinerja entitas membantu auditor dalam
mempertimbangkan apakah tekanan untuk mencapai target kinerja mengakibatkan
tindakan manajemen yang meningkatkan risiko salah saji material, termasuk risiko yang
diakibatkan oleh kecurangan. Lihat SPA 240 untuk ketentuan dan panduan yang
berkaitan dengan risiko yang diakibatkan oleh kecurangan.
A37. Pengukuran dan penelahaan atas kinerja keuangan tidak sama dengan pemantauan atas
pengendalian (dibahas sebagai suatu komponen pengendalian internal dalam paragraf
A98-A104), meskipun kemungkinan terjadi duplikasi dalam tujuan mereka:
Pengukuran dan penelaahan atas kinerja diarahkan pada apakah kinerja bisnis
memenuhi tujuan yang telah ditetapkan oleh manajemen (atau pihak ketiga).
Pemantauan pengendalian dihubungkan secara khusus dengan operasi yang efektif
atas pengendalian internal.
Namun, dalam beberapa kasus, indikator kinerja juga menyediakan informasi yang
memungkinkan manajemen untuk mengidentifikasi defisiensi dalam pengendalian
internal.
A38. Contoh informasi yang dihasilkan secara internal yang digunakan oleh manajemen untuk
mengukur dan menelaah kinerja keuangan, dan yang dapat dipertimbangkan oleh
auditor, mencakup:
Indikator kinerja utama (keuangan dan nonkeuangan), serta rasio, tren, dan statistik
operasi utama.
Analisis kinerja keuangan dari periode ke periode.
Anggaran, prakiraan, analisis penyimpangan, informasi segmen dan divisi, dan
laporan kinerja tingkat departemen atau tingkat lainnya.
Pengukuran kinerja karyawan dan kebijakan kompensasi insentif.
Perbandingan kinerja entitas dengan kompetitor.
A39. Pihak eksternal dapat juga mengukur dan menelaah kinerja keuangan entitas. Sebagai
contoh, informasi eksternal seperti laporan analis dan laporan badan pemeringkat kredit
dapat merupakan informasi yang berguna bagi auditor. Laporan-laporan tersebut sering
dapat diperoleh dari entitas yang sedang diaudit.
A40. Parameter internal dapat memperlihatkan hasil atau tren yang tidak diharapkan yang
menuntut manajemen untuk menentukan penyebabnya dan melaksanakan tindakan
korektif (termasuk, dalam beberapa kasus, deteksi dan koreksi salah saji secara tepat
waktu). Parameter kinerja dapat juga mengindikasikan kepada auditor tentang adanya
risiko salah saji material pada informasi laporan keuangan yang terkait. Sebagai contoh,
parameter kinerja dapat mengindikasikan bahwa entitas memiliki pertumbuhan atau
profitabilitas yang cepat dan tidak biasa ketika dibandingkan dengan entitas lain dalam
industri yang sama. Informasi tersebut, terutama jika digabungkan dengan faktor lain
seperti bonus berbasis kinerja atau remunerasi insentif, dapat mengindikasikan risiko
potensial atas keberpihakan manajemen dalam penyusunan laporan keuangan.
Pertimbangan Spesifik terhadap Entitas yang Lebih Kecil
A41. Entitas yang lebih kecil sering tidak memiliki proses untuk mengukur dan menelaah
kinerja keuangan. Permintaan keterangan dari manajemen mengungkapkan bahwa
manajemen tersebut mengandalkan indikator utama tertentu untuk mengevaluasi kinerja
keuangan dan melakukan tindakan yang tepat. Jika permintaan keterangan tersebut
mengindikasikan ketiadaan pengukuran atau penelaahan kinerja, maka kemungkinan
terdapat risiko yang meningkat atas salah saji yang tidak terdeteksi dan terkoreksi.
Pengendalian Internal Entitas (Ref: Para. 12)
A42. Suatu pemahaman atas pengendalian internal membantu auditor dalam mengidentifikasi
tipe-tipe salah saji yang potensial dan faktor-faktor yang memengaruhi risiko salah saji
material, serta dalam merancang sifat, waktu, dan luas prosedur audit lebih lanjut.
A43. Materi penerapan pengendalian internal di bawah ini disajikan dalam empat bagian
sebagai berikut:
Sifat dan Karakteristik Umum Pengendalian Internal
Pengendalian yang Relevan dengan Audit.
Sifat dan Luas Pemahaman tentang Pengendalian yang Relevan
Komponen Pengendalian Internal
Sifat dan Karakteristik Umum Pengendalian Internal
Tujuan Pengendalian Internal
A44. Pengendalian internal dirancang, diimplementasikan, dan dipelihara untuk merespons
risiko bisnis yang teridentifikasi yang mengancam pencapaian setiap tujuan entitas yang
berkaitan dengan:
Keandalan pelaporan keuangan entitas;
Efektivitas dan efisiensi operasi entitas; dan
Kepatuhan entitas terhadap peraturan perundang-undangan yang berlaku.
Pengendalian internal dirancang, diimplementasikan, dan dipelihara melalui berbagai
cara yang bergantung pada ukuran dan kompleksitas entitas.
Pertimbangan spesifik terhadap entitas yang lebih kecil
A45. Entitas yang lebih kecil dapat menggunakan cara yang kurang terstruktur serta proses
dan prosedur yang lebih sederhana untuk mencapai tujuan mereka.
Keterbatasan Pengendalian Internal
A46. Pengendalian internal, terlepas bagaimanapun efektifnya, hanya dapat memberikan
suatu keyakinan memadai bagi entitas tentang pencapaian tujuan pelaporan keuangan
entitas. Kemungkinan pencapaian tujuan tersebut dipengaruhi oleh keterbatasan inheren
pengendalian internal. Keterbatasan tersebut mencakup realitas bahwa pertimbangan
manusia dalam pembuatan keputusan dapat salah dan kelemahan (breakdowns) dalam
pengendalian internal dapat terjadi karena kesalahan manusia. Sebagai contoh,
kemungkinan terdapat suatu kesalahan dalam rancangan atas, atau dalam perubahan
pada, suatu pengendalian. Sama halnya, operasi suatu pengendalian kemungkinan tidak
efektif, seperti ketika informasi yang dihasilkan untuk tujuan pengendalian internal
(sebagai contoh, suatu laporan penyimpangan) tidak digunakan secara efektif karena
individu yang bertanggung jawab untuk menelaah informasi tersebut tidak memahami
tujuan informasi tersebut atau gagal dalam melakukan tindakan tepat.
A47. Selain itu, pengendalian dapat dielakkan dengan kolusi oleh dua orang atau lebih atau
pengabaian pengendalian internal yang tidak semestinya oleh manajemen. Sebagai
contoh, manajemen dapat membuat perjanjian tambahan dengan pelanggan yang
mengubah persyaratan dan kondisi kontrak penjualan standar entitas, yang dapat
mengakibatkan pengakuan pendapatan yang tidak benar. Di samping itu, pengecekan
atas hasil editan dalam suatu program perangkat lunak yang dirancang untuk
mengidentifikasi dan melaporkan transaksi yang melebihi batas kredit yang ditentukan
dapat diabaikan dengan sengaja atau dibuat tidak berfungsi.
A48. Lebih lanjut, dalam merancang dan mengimplementasikan pengendalian, manajemen
dapat membuat pertimbangan tentang sifat dan luas pengendalian yang dipilih untuk
diimplementasikan, serta sifat dan luas risiko yang diasumsikan.
Pertimbangan spesifik bagi entitas yang lebih kecil
A49. Entitas yang lebih kecil sering memiliki jumlah karyawan yang lebih sedikit yang dapat
membatasi luas pemisahan tugas yang selayaknya diterapkan. Namun, dalam suatu
entitas kecil yang dikelola oleh pemilik, pemilik-pengelola kemungkinan memiliki
kemampuan untuk melaksanakan pengawasan yang lebih efektif daripada dalam suatu
entitas yang lebih besar. Pengawasan ini dapat mengompensasi keterbatasan dalam
pemisahan tugas.
A50. Selain itu, pemilik-pengelola kemungkinan lebih memiliki kemampuan untuk
mengabaikan pengendalian karena sistem pengendalian internal kurang terstruktur. Hal
ini diperhitungkan oleh auditor ketika mengidentifikasi risiko salah saji material yang
diakibatkan oleh kecurangan.
Pembagian Pengendalian Internal ke dalam Komponen
A51. Untuk tujuan SPA, pembagian pengendalian internal ke dalam lima komponen di bawah
ini menyediakan suatu kerangka yang bermanfaat bagi auditor untuk mempertimbangkan
bagaimana berbagai aspek pengendalian internal yang berbeda pada entitas dapat
memengaruhi audit:
(a) Lingkungan pengendalian;
(b) Proses penilaian risiko entitas;
(c) Sistem informasi yang relevan dengan pelaporan keuangan, termasuk proses bisnis
yang terkait, dan komunikasi;
(d) Aktivitas pengendalian; dan
(e) Pemantauan terhadap pengendalian.
Pembagian tersebut belum tentu mencerminkan bagaimana suatu entitas merancang,
mengimplementasikan, dan memelihara pengendalian internal, atau bagaimana entitas
mengklasifikasikan komponen tertentu. Auditor dapat menggunakan terminologi atau
kerangka yang berbeda untuk menjelaskan berbagai aspek pengendalian internal, dan
pengaruhnya terhadap audit daripada yang digunakan dalam SPA ini, selama seluruh
komponen yang dijelaskan dalam SPA ini dicakup.
A52. Materi penerapan yang berkaitan dengan lima komponen pengendalian internal yang
berhubungan dengan audit atas laporan keuangan disajikan dalam paragraf A69-A104 di
bawah ini. Lampiran 1 menyediakan penjelasan lebih lanjut tentang komponen-
komponen pengendalian internal tersebut.
Karakteristik Unsur-Unsur Pengendalian Internal Manual dan Terotomatisasi yang Relevan
dengan Penilaian Risiko Auditor
A53. Sistem pengendalian internal suatu entitas mengandung unsur-unsur manual dan sering
juga mengandung unsur-unsur terotomatisasi. Karakteristik unsur-unsur manual atau
terotomatisasi relevan dengan penilaian risiko auditor dan prosedur audit lebih lanjut
yang didasarkan pada penilaian risiko tersebut.
A54. Penggunaan unsur-unsur pengendalian internal manual atau terotomatisasi juga
memengaruhi cara transaksi dimulai, dicatat, diolah, dan dilaporkan:
Pengendalian dalam suatu sistem manual dapat mencakup prosedur-prosedur
seperti persetujuan dan penelaahan atas transaksi, serta rekonsiliasi dan tindak
lanjut terhadapnya. Sebagai alternatif, entitas dapat menggunakan prosedur-
prosedur yang terotomatisasi untuk memulai, mencatat, mengolah, dan melaporkan
transaksi, yang dalam hal ini mencatat transaksi dalam format elektronis yang
menggantikan dokumen kertas.
Pengendalian dalam sistem teknologi informasi terdiri dari kombinasi pengendalian
terotomatisasi (sebagai contoh, pengendalian yang terpasang pada program
komputer) dan pengendalian manual. Lebih lanjut, pengendalian manual dapat
bersifat independen dari teknologi informasi, dapat menggunakan informasi yang
dihasilkan oleh teknologi informasi, atau mungkin terbatas pada pemantauan
terhadap berfungsinya teknologi informasi dan pengendalian terotomatisasi secara
efektif, dan menangani penyimpangan. Ketika teknologi informasi digunakan untuk
memulai, mencatat, mengolah, atau melaporkan transaksi, atau data keuangan
lainnya untuk dimasukkan ke dalam laporan keuangan, sistem dan program dapat
mencakup pengendalian yang terkait dengan asersi yang sesuai untuk akun yang
material atau penting untuk berfungsinya secara efektif pengendalian manual yang
bergantung pada teknologi informasi. Kombinasi unsur-unsur manual dan
terotomatisasi dalam pengendalian internal suatu entitas bervariasi sesuai dengan
sifat dan kompleksitas penggunaan teknologi informasi oleh entitas tersebut.
A55. Pada umumnya, teknologi informasi bermanfaat bagi pengendalian internal suatu entitas
yang memungkinkan entitas untuk:
Secara konsisten menerapkan aturan bisnis yang telah ditentukan dan
melaksanakan perhitungan yang kompleks dalam mengolah transaksi atau data
dengan volume yang besar;
Meningkatkan ketepatan waktu, ketersediaan, dan keakuratan informasi;
Memfasilitasi analisis tambahan atas informasi;
Meningkatkan kemampuan untuk memantau pelaksanaan aktivitas serta kebijakan
dan prosedur entitas;
Mengurangi risiko bahwa pengendalian akan dielakkan; dan
Meningkatkan kemampuan untuk mencapai pemisahan tugas yang efektif dengan
cara mengimplementasikan pengendalian keamanan dalam aplikasi, basis data,
dan sistem operasi.
A56. Teknologi informasi juga memiliki risiko spesifik terhadap pengendalian internal entitas,
termasuk, sebagai contoh:
Pengandalan terhadap sistem atau program yang mengolah data secara tidak
akurat, mengolah data yang tidak akurat, atau keduanya.
Akses tidak terotorisasi terhadap data yang dapat mengakibatkan kerusakan data
atau perubahan yang tidak seharusnya terhadap data, termasuk pencatatan
transaksi tidak terotorisasi atau yang tidak terjadi, atau pencatatan yang tidak
akurat atas transaksi. Risiko tertentu dapat timbul ketika banyak pemakai
mengakses suatu basis data bersama.
Kemungkinan personel teknologi informasi memperoleh keistimewaan akses
melampaui yang diperlukan untuk melaksanakan tugasnya, sehingga merusak
pemisahan tugas.
Perubahan tidak terotorisasi terhadap data dalam master file.
Perubahan tidak terotorisasi terhadap sistem atau program.
Kegagalan untuk membuat perubahan yang diperlukan terhadap sistem atau
program.
Intervensi secara manual yang tidak seharusnya.
Potensi kehilangan data atau ketidakmampuan untuk mengakses data ketika
dibutuhkan.
A57. Unsur manual dalam pengendalian internal kemungkinan lebih cocok ketika
pertimbangan dan kebijaksanaan dibutuhkan seperti dalam kondisi-kondisi sebagai
berikut:
Transaksi yang besar jumlahnya, tidak biasa, atau tidak berulang.
Kondisi ketika kesalahan sulit untuk didefinisikan, diantisipasi, atau diprediksi.
Dalam kondisi yang mengalami perubahan yang membutuhkan suatu respons
pengendalian di luar ruang lingkup pengendalian terotomatisasi yang ada.
Dalam memantau efektivitas pengendalian terotomatisasi.
A58. Unsur manual dalam pengendalian internal kemungkinan menjadi kurang dapat
diandalkan daripada unsur terotomatisasi karena unsur manual tersebut dapat lebih
mudah di-bypass, diabaikan, atau di-overridden, dan unsur manual tersebut juga lebih
memiliki kecenderungan untuk terabaikannya kesalahan dan kekeliruan sederhana. Oleh
karena itu, konsistensi penerapan unsur pengendalian manual tidak dapat diandalkan.
Unsur pengendalian manual kemungkinan kurang cocok dalam kondisi-kondisi sebagai
berikut:
Transaksi dengan volume yang tinggi atau berulang, atau dalam situasi ketika
kesalahan yang dapat diantisipasi atau diprediksi, dapat dicegah, atau dideteksi
dan dikoreksi, oleh parameter pengendalian yang diotomatisasi.
Aktivitas pengendalian yang di dalamnya terdapat cara-cara tertentu untuk
melaksanakan pengendalian dapat dirancang dan diotomatisasi secara memadai.
A59. Luas dan sifat risiko terhadap pengendalian internal bervariasi tergantung dari sifat dan
karakateristik sistem informasi entitas. Entitas merespons risiko yang timbul dari
penggunaan teknologi informasi atau dari penggunaan unsur manual dalam
pengendalian internal dengan menetapkan pengendalian yang efektif dengan
mempertimbangkan karakteristik sistem informasi entitas.
Pengendalian yang Relevan dengan Audit
A60. Terdapat hubungan langsung antara tujuan entitas dengan pengendalian yang
diimplementasikan oleh entitas untuk menyediakan keyakinan memadai tentang
pencapaian tujuan tersebut.Tujuan entitas, termasuk pengendalian internal entitas,
berkaitan dengan pelaporan keuangan, operasi, dan kepatuhan; namun, tidak semua
tujuan dan pengendalian tersebut relevan dengan penilaian risiko auditor.
A61. Faktor-faktor yang relevan dengan pertimbangan auditor tentang apakah suatu
pengendalian, baik secara individu maupun bersama dengan pengendalian lain, adalah
relevan dengan audit dapat mencakup hal-hal sebagai berikut:
Materialitas.
Signifikansi risiko yang terkait.
Ukuran entitas.
Sifat bisnis entitas, termasuk karakteristik organisasi dan kepemilikannya.
Keberagaman dan kompleksitas operasi entitas.
Ketentuan hukum dan peraturan yang berlaku.
Kondisi dan komponen pengendalian internal yang berlaku.
Sifat dan kompleksitas sistem yang merupakan bagian pengendalian internal
entitas, termasuk penggunaan organisasi jasa.
Apakah, dan bagaimana, suatu pengendalian tertentu, baik secara individu atau
bersama dengan pengendalian lain, mencegah, atau mendeteksi dan mengoreksi,
salah saji material.
A62. Pengendalian terhadap kelengkapan dan keakuratan informasi yang dihasilkan oleh
entitas dapat menjadi relevan dengan audit jika auditor bermaksud untuk menggunakan
informasi tersebut dalam merancang dan melaksanakan prosedur lanjutan. Pengendalian
yang berkaitan dengan tujuan operasi dan kepatuhan dapat juga menjadi relevan dengan
audit jika pengendalian tersebut berkaitan dengan data yang dievaluasi atau digunakan
oleh auditor dalam menerapkan prosedur audit.
A63. Pengendalian internal atas pengamanan aset terhadap pemerolehan, penggunaan, atau
pelepasan tidak terotorisasi dapat mencakup pengendalian yang berkaitan dengan tujuan
pelaporan keuangan dan tujuan operasi. Pada umumnya, pertimbangan auditor atas
pengendalian tersebut terbatas pada pengendalian yang relevan dengan keandalan
pelaporan keuangan.
A64. Pada umumnya, suatu entitas memiliki pengendalian yang berkaitan dengan tujuan yang
tidak relevan dengan audit, dan oleh karena itu, tidak perlu dipertimbangkan. Sebagai
contoh, suatu entitas dapat mengandalkan pada suatu sistem pengendalian
terotomatisasi yang canggih untuk menyediakan operasi yang efisien dan efektif (seperti
sistem pengendalian terotomatisasi pada maskapai penerbangan untuk mengatur jadwal
penerbangan), tetapi pengendalian tersebut pada umumnya tidak relevan dengan audit.
Selain itu, meskipun pengendalian internal berlaku bagi entitas secara keseluruhan atau
bagi setiap unit operasi atau proses bisnis entitas, pemahaman atas pengendalian
internal yang berkaitan dengan setiap unit operasi dan proses bisnis entitas kemungkinan
tidak relevan dengan audit.
Pertimbangan Spesifik terhadap Entitas Sektor Publik
A65. Auditor sektor publik sering memiliki tanggung jawab tambahan sehubungan dengan
pengendalian internal, sebagai contoh, untuk melaporkan kepatuhan terhadap
seperangkat aturan praktik yang telah ditetapkan. Auditor sektor publik dapat juga
memiliki tanggung jawab untuk melaporkan kepatuhan terhadap peraturan perundang-
undangan atau wewenang lain. Sebagai akibatnya, penelaahan mereka atas
pengendalian internal dapat menjadi lebih luas dan lebih detail.
Sifat dan Luas Pemahaman atas Pengendalian yang Relevan (Raf: Para. 13)
A66. Pengevaluasian atas rancangan suatu pengendalian melibatkan pertimbangan atas
apakah pengendalian tersebut, baik secara individu maupun bersama dengan
pengendalian lain, dapat secara efektif mencegah, atau mendeteksi dan mengoreksi,
salah saji material. Impelementasi suatu pengendalian berarti bahwa pengendalian
tersebut ada dan digunakan oleh entitas. Penilaian terhadap pengimplementasian suatu
pengendalian yang tidak efektif kurang bermakna, dan oleh karena itu, pertimbangan
atas rancangan suatu pengendalian harus dilakukan lebih dahulu. Suatu pengendalian
yang dirancang secara tidak tepat dapat mengakibatkan suatu defisiensi signifikan dalam
pengendalian internal.
A67. Prosedur penilaian risiko untuk memperoleh bukti audit tentang rancangan dan
implementasi pengendalian yang relevan dapat mencakup:
Meminta keterangan dari personel entitas.
Mengamati penerapan pengendalian tertentu.
Menginspeksi dokumen dan laporan.
Menelusuri transaksi melalui sistem informasi yang relevan dengan pelaporan
keuangan.
Namun, tujuan tersebut di atas tidak dapat dicapai hanya dengan melakukan permintaan
keterangan.
A68. Pemerolehan suatu pemahaman tentang pengendalian suatu entitas tidak cukup untuk
menguji efektivitas operasi pengendalian tersebut, kecuali terdapat beberapa otomatisasi
yang menyediakan operasi pengendalian yang konsisten. Sebagai contoh, pemerolehan
bukti audit tentang pengimplementasian suatu pengendalian manual pada suatu waktu
tidak menyediakan bukti audit tentang efektivitas operasi pengendalian pada waktu lain
selama periode yang diaudit. Namun, karena konsistensi bawaan dari pengolahan
teknologi informasi (lihat paragraf A55), pelaksanaan prosedur audit untuk menentukan
apakah suatu pengendalian terotomatisasi telah diimplementasikan dapat berfungsi
sebagai suatu pengujian terhadap efektivitas operasi pengendalian tersebut, tergantung
dari penilaian dan pengujian auditor atas pengendalian tersebut, seperti yang dilakukan
terhadap perubahan program. Pengujian terhadap efektivitas operasi pengendalian
dijelaskan lebih lanjut dalam SPA 330.10
Komponen Pengendalian Internal—Lingkungan Pengendalian (Ref: Para. 14)
A69. Lingkungan pengendalian mencakup fungsi tata kelola dan manajemen, serta sikap,
kesadaran, dan tindakan pihak yang bertanggung jawab atas tata kelola dan manajemen
atas pengendalian internal entitas dan pentingnya pengendalian tersebut dalam entitas.
Lingkungan pengendalian menetapkan arah organisasi yang memengaruhi kesadaran
pengendalian personel organisasi tersebut.
A70. Unsur-unsur lingkungan pengendalian yang mungkin relevan ketika memperoleh suatu
pemahaman atas lingkungan pengendalian mencakup hal-hal sebagai berikut:
(a) Komunikasi dan penegakan integritas dan nilai etika—Ini merupakan unsur-unsur
esensial yang memengaruhi efektivitas rancangan, pengelolaan, dan pemantauan
pengendalian.
(b) Komitmen terhadap kompetensi—Hal-hal seperti pertimbangan manajemen tentang
tingkat kompetensi untuk pekerjaan tertentu dan bagaimana tingkat-tingkat tersebut
diterjemahkan ke dalam keahlian dan pengetahuan yang disyaratkan.
(c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola—Atribut pihak yang
bertanggung jawab atas tata kelola adalah:
Independensi mereka dari manajemen.
Pengalaman dan reputasi mereka.
10 SPA 330, “Repons Auditor terhadap Risiko yang Dinilai.”
Seberapa luas keterlibatan mereka dan informasi yang diterimanya, dan inspeksi
atas aktivitas.
Ketepatan tindakan mereka, termasuk mengajukan pertanyaan-pertanyaan sulit
kepada manajemen dan mengejar jawabannya, serta interaksi mereka dengan
auditor internal dan eksternal.
(d) Filosofi dan gaya operasi manajemen—Karakteristik manajemen seperti:
Pendekatan dalam pengambilan dan pengelolaan risiko bisnis.
Sikap dan tindakan terhadap pelaporan keuangan.
Sikap terhadap pengolahan informasi dan fungsi akuntansi serta personel.
(e) Struktur organisasi—Kerangka yang di dalamnya aktivitas entitas untuk mencapai
tujuan entitas direncanakan, dilaksanakan, dikendalikan, dan ditelaah.
(f) Pemberian wewenang dan tanggung jawab—Hal-hal seperti bagaimana wewenang
dan tanggung jawab atas aktivitas operasi diberikan dan bagaimana hubungan
pelaporan dan hierarki otorisasi ditetapkan.
(g) Kebijakan dan praktik sumber daya manusia—Kebijakan dan praktik yang berkaitan
dengan, sebagai contoh, rekrutmen, orientasi, pelatihan, evaluasi, konseling,
promosi, kompensasi, dan tindakan perbaikan.
Bukti Audit untuk Unsur-Unsur Lingkungan Pengendalian
A71. Bukti audit yang relevan dapat diperoleh melalui suatu kombinasi permintaan keterangan
dan prosedur penilaian risiko lainnya seperti permintaan keterangan pendukung melalui
observasi atau inspeksi atas dokumen. Sebagai contoh, melalui permintaan keterangan
dari manajemen dan karyawan, auditor dapat memperoleh suatu pemahaman tentang
bagaimana manajemen mengomunikasikan kepada karyawan pandangan manajemen
atas praktik bisnis dan perilaku etis. Auditor kemudian dapat menentukan apakah
pengendalian yang relevan telah diimplementasikan dengan mempertimbangkan,
sebagai contoh, apakah manajemen memiliki kode etik tertulis dan apakah mereka
bertindak sesuai dengan kode etik tersebut.
Pengaruh Lingkungan Pengendalian terhadap Penilaian Risiko Salah Saji Material
A72. Beberapa unsur lingkungan pengendalian suatu entitas memiliki pengaruh pervasif
terhadap penilaian risiko salah saji material. Sebagai contoh, kesadaran pengendalian
entitas dipengaruhi secara signifikan oleh pihak yang bertanggung jawab atas tata
kelola, karena salah satu peran mereka adalah untuk mengimbangi tekanan terhadap
manajemen sehubungan dengan pelaporan keuangan yang dapat timbul dari permintaan
pasar atau skema remunerasi. Oleh karena itu, efektivitas rancangan lingkungan
pengendalian dalam hubungannya dengan partisipasi oleh pihak yang bertanggung
jawab atas tata kelola dipengaruhi oleh hal-hal seperti:
Independensi mereka dari manajemen dan kemampuan mereka untuk
mengevaluasi tindakan manajemen.
Tingkat pemahaman mereka atas transaksi bisnis entitas.
Luas evaluasi mereka terhadap kesesuaian laporan keuangan dengan kerangka
pelaporan keuangan yang berlaku.
A73. Suatu dewan komisaris yang aktif dan independen dapat memengaruhi filosofi dan gaya
operasi manajemen senior. Namun, unsur-unsur lain mungkin lebih terbatas
pengaruhnya. Sebagai contoh, meskipun kebijakan dan praktik sumber daya manusia
diarahkan untuk mempekerjakan personel keuangan, akuntansi, dan tekonologi informasi
yang kompeten dapat mengurangi risiko kesalahan dalam pengolahan informasi
keuangan; unsur-unsur lain tersebut belum tentu dapat memitigasi penyimpangan yang
kuat oleh manajemen puncak dalam meninggikan pendapatan entitas.
A74. Eksistensi lingkungan pengendalian yang baik merupakan suatu faktor positif ketika
auditor menilai risiko salah saji material. Meskipun lingkungan pengendalian yang baik
dapat membantu mengurangi risiko kecurangan, hal itu bukan merupakan pencegah
absolut terhadap kecurangan. Sebaliknya, defisiensi dalam lingkungan pengendalian
dapat merusak efektivitas pengendalian, terutama yang berkaitan dengan kecurangan.
Sebagai contoh, kegagalan manajemen dalam menyediakan sumber daya yang cukup
untuk merespons risiko keamanan teknologi informasi dapat berdampak buruk terhadap
pengendalian internal dengan memperbolehkan perubahan yang tidak semestinya
terhadap program komputer atau data, atau transaksi tanpa otorisasi diolah. Seperti yang
dijelaskan dalam SPA 330, lingkungan pengendalian juga memengaruhi sifat, waktu, dan
luas prosedur audit lebih lanjut auditor.11
A75. Lingkungan pengendalian tidak dengan sendirinya mencegah, atau mendeteksi dan
mengoreksi suatu salah saji material. Namun, lingkungan pengendalian dapat
memengaruhi evaluasi auditor atas efektivitas pengendalian lain (sebagai contoh,
11 SPA 330, paragraf A2-A3
pemantauan terhadap pengendalian dan operasi aktivitas pengendalian tertentu) dan
oleh karena itu, akan memengaruhi penilaian auditor atas risiko salah saji material.
Pertimbangan Spesifik bagi Entitas yang Lebih Kecil
A76. Lingkungan pengendalian pada entitas kecil kemungkinan besar berbeda dari
lingkungan pengendalian pada entitas yang lebih besar. Sebagai contoh, pihak yang
bertanggung jawab atas tata kelola mungkin tidak mencakup anggota independen atau
dari luar entitas, dan peran tata kelola mungkin dilakukan secara langsung oleh pemilik-
pengelola jika tidak ada pemilik lainnya. Sifat lingkungan pengendalian dapat juga
dipengaruhi oleh signifikansi pengendalian lain atau tidak adanya pengendalian lain.
Sebagai contoh, keterlibatan aktif dari seorang pemilik-pengelola dapat memitigasi risiko
tertentu yang timbul dari tidak adanya pemisahan tugas dalam entitas kecil; namun, hal
ini dapat meningkatkan risiko lain, sebagai contoh, risiko pengabaian pengendalian.
A77. Selain itu, bukti audit untuk unsur-unsur lingkungan pengendalian pada entitas yang lebih
kecil mungkin tidak tersedia dalam bentuk dokumen, terutama ketika komunikasi antara
manajemen dengan personel lain bersifat informal, meskipun efektif. Sebagai contoh,
entitas kecil mungkin tidak memiliki kode etik tertulis, tetapi memiliki suatu budaya yang
menekankan pentingnya integritas dan perilaku etis melalui komunikasi lisan dan contoh
oleh manajemen.
A78. Sebagai konsekuensinya, sikap, kesadaran, dan tindakan manajemen atau pemilik-
pengelola merupakan hal penting bagi pemahaman auditor atas lingkungan
pengendalian pada entitas yang lebih kecil.
Komponen Pengendalian Internal—Proses Penilaian Risiko Entitas (Ref: Para.15)
A79. Proses penilaian risiko entitas membentuk suatu basis bagi manajemen untuk
menentukan bagaimana risiko dikelola. Jika proses tersebut sudah tepat sesuai dengan
kondisinya, termasuk sifat, ukuran, dan kompleksitas entitas, maka hal ini membantu
auditor dalam mengidentifikasi risiko salah saji material. Ketepatan atas kesesuaian
proses penilaian risiko entitas dengan kondisinya ditentukan oleh pertimbangan auditor.
Pertimbangan Spesifik untuk Entitas yang Lebih Kecil (Reg: Para.17)
A80. Kemungkinan besar tidak ada proses penilaian risiko yang formal dalam suatu entitas
kecil. Dalam kasus tersebut, kemungkinan besar manajemen akan mengidentifikasi risiko
melalui keterlibatan langsung manajemen dalam bisnis. Namun, tanpa menghiraukan
kondisi tersebut, permintaan keterangan tentang risiko yang teridentifikasi dan
bagaimana risiko tersebut direspons oleh manajemen tetap diperlukan.
Komponen Pengendalian Internal — Sistem Informasi, Termasuk Proses Bisnis yang Terkait,
Pelaporan Keuangan yang Relevan, dan Komunikasi.
Sistem Informasi, Termasuk Proses Bisnis yang Terkait, yang Relevan dengan Pelaporan
Keuangan (Ref: Para. 18)
A81. Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup
sistem akuntansi, terdiri dari prosedur dan catatan yang dirancang dan ditetapkan untuk:
Menginisiasi, mencatat, mengolah, dan melaporkan transaksi entitas (dan juga
peristiwa dan kondisi) serta memelihara akuntabilitas aset, liabilitas, dan ekuitas
yang terkait.
Memperbaiki dan menuntaskan pengolahan transaksi yang salah, sebagai contoh,
dokumentasi sementara (suspense files) yang terotomatisasi dan prosedur yang
diikuti untuk meniadakan dokumentasi sementara tersebut secara berkala dan tepat
waktu;
Mengolah dan mempertanggungjawabkan sistem yang diabaikan atau bypass
terhadap pengendalian;
Mentransfer informasi dari sistem pengolahan transaksi ke buku besar;
Menangkap informasi yang relevan dengan pelaporan keuangan untuk peristiwa
dan kondisi selain transaksi, seperti depresiasi dan amortisasi aset dan perubahan
dalam pemulihan piutang; dan
Menjamin informasi (yang diharuskan untuk diungkapkan oleh kerangka pelaporan
keuangan yang berlaku) dikumpulkan, dicatat, diolah, diikhtisarkan, dan dilaporkan
dengan tepat dalam laporan keuangan.
Entri jurnal
A82. Sistem informasi pada suatu entitas umumnya mencakup penggunaan entri jurnal
standar yang dibutuhkan secara berulang untuk mencatat transaksi. Sebagai contoh,
entri jurnal untuk mencatat penjualan, pembelian, dan pengeluaran kas dalam buku
besar, atau untuk mencatat estimasi akuntansi yang dibuat oleh manajemen secara
berkala, seperti perubahan dalam estimasi penyisihan piutang tak tertagih.
A83. Proses pelaporan keuangan suatu entitas juga mencakup penggunaan entri jurnal
nonstandar untuk mencatat transaksi atau penyesuaian yang tidak berulang dan tidak
biasa. Sebagai contoh, penyesuaian untuk konsolidasi dan entri untuk kombinasi bisnis
atau penghapusan atau estimasi yang tidak berulang seperti penurunan nilai suatu aset.
Dalam sistem buku besar yang bersifat manual, entri jurnal nonstandar dapat
diidentifikasi melalui inspeksi buku besar, jurnal, dan dokumen pendukung. Ketika
prosedur terotomatisasi digunakan untuk memelihara buku besar dan menyusun laporan
keuangan, entri tersebut mungkin hanya tersedia dalam bentuk elektronis dan oleh
karena itu dapat lebih mudah diidentifikasi melalui teknik audit berbantuan komputer.
Proses Bisnis yang Berkaitan
A84. Proses bisnis suatu entitas adalah aktivitas yang dirancang untuk:
Mengembangkan, membeli, memproduksi, menjual, dan mendistribusikan produk dan
jasa suatu entitas;
Menjamin kepatuhan terhadap peraturan perundang-undangan; dan
Mencatat informasi, termasuk informasi akuntansi dan pelaporan keuangan.
Proses bisnis menghasilkan transaksi yang dicatat, diolah, dan dilaporkan oleh sistem
informasi. Pemerolehan suatu pemahaman tentang proses bisnis entitas, yang meliputi
bagaimana transaksi diawali, membantu auditor dalam memperoleh suatu pemahaman
tentang sistem informasi entitas yang relevan terhadap pelaporan keuangan dengan cara
yang tepat sesuai dengan keadaan entitas.
Pertimbangan spesifik terhadap entitas yang lebih kecil
A85. Sistem informasi dan proses bisnis yang relevan dengan pelaporan keuangan pada
entitas kecil kemungkinan tidak serumit hal yang sama dalam entitas yang lebih besar,
namun signifikansi perannya tetap sama. Entitas kecil dengan keterlibatan aktif
manajemen kemungkinan tidak memerlukan deskripsi luas tentang prosedur akuntansi,
catatan akuntansi yang kompleks, atau kebijakan tertulis. Oleh karena itu, pemahaman
terhadap sistem dan proses entitas dapat lebih mudah pada suatu audit atas entitas yang
lebih kecil, dan dapat lebih bergantung pada permintaan keterangan daripada
penelaahan atas dokumentasi. Namun, kebutuhan untuk memperoleh suatu pemahaman
tetap penting.
A86. Komunikasi oleh entitas tentang peran dan tanggung jawab pelaporan keuangan dan hal-
hal signifikan yang berkaitan dengan pelaporan keuangan mencakup penyediaan
pemahaman peran dan tanggung jawab individu terkait dengan pengendalian internal
atas pelaporan keuangan. Hal ini mencakup hal-hal seperti seberapa luas pemahaman
personel tentang bagaimana aktivitas mereka dalam sistem informasi pelaporan
keuangan berkaitan dengan pekerjaan personel lain dan cara untuk melaporkan
penyimpangan kepada tingkat lebih tinggi yang tepat dalam entitas. Komunikasi dapat
mengambil bentuk seperti pedoman kebijakan dan pedoman pelaporan keuangan.
Saluran komunikasi yang terbuka membantu untuk menjamin bahwa penyimpangan
dilaporkan dan ditindaklanjuti.
Pertimbangan spesifik terhadap entitas yang lebih kecil
A87. Komunikasi mungkin saja kurang terstruktur dan lebih mudah terjadi dalam suatu entitas
kecil daripada dalam suatu entitas yang lebih besar karena lebih sedikitnya tingkatan
tanggung jawab dan lebih besar kemungkinan untuk terciptanya komunikasi dengan
manajemen.
A88. Aktivitas pengendalian merupakan kebijakan dan prosedur yang membantu untuk
menjamin bahwa arahan manajemen dilaksanakan. Aktivitas pengendalian, baik dalam
sistem teknologi informasi maupun sistem manual, memiliki berbagai tujuan dan
diterapkan pada berbagai tingkatan organisasi dan fungsi. Contoh-contoh aktivitas
pengendalian spesifik mencakup aktivitas yang berkaitan dengan hal-hal sebagai berikut:
Otorisasi.
Penelaahan kinerja,
Pengolahan informasi.
Pengendalian fisik.
Pemisahan tugas.
A89. Aktivitas pengendalian yang relevan dengan audit adalah:
Aktivitas pengendalian yang diharuskan untuk diperlakukan seperti berikut ini:
aktivitas pengendalian yang berkaitan dengan risiko signifikan dan aktivitas
pengendalian yang berkaitan dengan risiko yang untuk itu prosedur substantif
sendiri tidak menyediakan bukti audit yang cukup dan tepat, sebagaimana masing-
masing diharuskan oleh paragraf 29 dan 30; atau
Aktivitas pengendalian yang dipandang relevan dalam pertimbangan auditor.
A90. Pertimbangan auditor tentang apakah suatu aktivitas pengendalian relevan dengan audit
dipengaruhi oleh risiko yang diidentifikasi oleh auditor yang dapat menyebabkan salah
saji material dan apakah menurut auditor sudah tepat untuk menguji efektivitas operasi
dari pengendalian dalam menentukan luas pengujian substantif.
A91. Penekanan auditor mungkin terletak pada pengidentifikasian dan pemerolehan
pemahaman tentang aktivitas pengendalian yang merespons area-area yang menurut
pertimbangan auditor kemungkinan risiko salah saji material lebih tinggi. Ketika terdapat
banyak aktivitas pengendalian yang masing-masing memiliki tujuan yang sama, adalah
tidak perlu untuk memperoleh pemahaman atas setiap aktivitas pengendalian yang
terkait dengan tujuan tersebut.
A92. Pengetahuan auditor tentang ada atau tidak adanya aktivitas pengendalian yang
diperoleh dari pemahaman atas komponen lain pengendalian internal membantu auditor
dalam menentukan apakah perlu untuk mencurahkan perhatian tambahan untuk
memperoleh pemahaman atas aktivitas pengendalian.
Pertimbangan Spesifik terhadap Entitas yang Lebih Kecil
A93. Konsep yang mendasari aktivitas pengendalian dalam entitas kecil kemungkinan sama
dengan yang mendasari aktivitas pengendalian dalam entitas yang lebih besar, tetapi
formalitas yang digunakan untuk menjalankannya mungkin berbeda. Selain itu, entitas
kecil mungkin menemukan bahwa jenis tertentu dari aktivitas pengendalian tidak relevan
karena pengendalian yang diterapkan oleh manajemen. Sebagai contoh, wewenang
tunggal manajemen untuk menyetujui kredit kepada pelanggan dan menyetujui
pembelian-pembelian signifikan dapat menyediakan pengendalian yang kuat terhadap
saldo akun dan transaksi penting, mengurangi atau menghilangkan kebutuhan untuk
aktivitas pengendalian yang lebih detail.
A94. Aktivitas pengendalian yang relevan dengan audit atas entitas yang lebih kecil
kemungkinan berhubungan dengan siklus transaksi utama seperti pendapatan,
pembelian, dan biaya kepegawaian.
Risiko yang Disebabkan oleh Teknologi Informasi (Ref: Para. 21)
A95. Penggunaan teknologi informasi memengaruhi cara aktivitas pengendalian
diimplementasikan. Dari perspektif auditor, pengendalian terhadap sistem teknologi
informasi adalah efektif ketika pengendalian tersebut memelihara integritas informasi dan
keamanan data seperti proses sistem, serta mencakup efektivitas pengendalian umum
dan pengendalian aplikasi dari teknologi informasi.
A96. Pengendalian umum dari teknologi informasi adalah kebijakan dan prosedur yang
berkaitan dengan banyak aplikasi dan mendukung berfungsinya secara efektif
pengendalian aplikasi. Pengendalian umum tersebut diterapkan atas mainframe,
miniframe, dan lingkungan pemakai akhir. Pengendalian umum dari teknologi informasi
yang memelihara integritas informasi dan keamanan data pada umumnya mencakup
pengendalian terhadap hal-hal sebagai berikut:
Pusat data dan operasi jaringan.
Pembelian, perubahan, dan pemeliharaan perangkat lunak dari sistem.
Perubahan program.
Keamanan akses.
Pembelian, pengembangan, dan pemeliharaan sistem aplikasi.
Pengendalian umum pada umumnya diimplementasikan untuk menangani risiko-risiko
yang dirujuk dalam paragraf A56 di atas.
A97. Pengendalian aplikasi adalah prosedur manual atau prosedur terotomatisasi yang pada
umumnya dioperasikan pada tingkat proses bisnis dan diterapkan terhadap pengolahan
transaksi oleh aplikasi yang bersifat individu. Berdasarkan sifatnya, pengendalian aplikasi
dapat bersifat preventif atau detektif, dan dirancang untuk menjamin integritas catatan
akuntansi. Oleh karena itu, pengendalian aplikasi berkaitan dengan prosedur yang
digunakan untuk menginisiasi, mencatat, mengolah, dan melaporkan transaksi atau data
keuangan lainnya. Pengendalian tersebut membantu untuk menjamin bahwa transaksi
terjadi, diotorisasi, serta dicatat dan diolah secara lengkap dan akurat. Contohnya
mencakup pengecekan edit terhadap data masukan dan pengecekan urutan numerik
dengan tindak lanjut secara manual atas laporan penyimpangan atau koreksi pada titik
entri data.
Komponen Pengendalian Internal — Pemantauan Pengendalian (Ref: Para. 22)
A98. Pemantauan pengendalian adalah suatu proses untuk menilai efektivitas pelaksanaan
pengendalian internal. Kegiatan ini melibatkan penilaian efektivitas pengendalian secara
berkala dan tepat waktu, serta melakukan tindakan perbaikan yang diperlukan.
Manajemen melakukan pemantauan pengendalian melalui aktivitas yang sedang
berlangsung, pengevaluasian secara terpisah, atau kombinasi dari keduanya. Aktivitas
pengendalian yang sedang berlangsung sering dibangun dalam aktivitas berulang normal
entitas dan mencakup aktivitas pengelolaan dan pengawasan reguler.
A99. Aktivitas pemantauan manajemen dapat mencakup pengunaan informasi dari komunikasi
dengan pihak ekternal seperti keluhan pelanggan dan teguran dari regulator yang dapat
menunjukkan masalah atau menekankan area yang memerlukan perbaikan.
Pertimbangan Spesifik terhadap Entitas yang Lebih Kecil
A100. Pengendalian pemantauan manajemen sering dicapai oleh keterlibatan langsung
manajemen atau pemilik-pengelola dalam operasi. Keterlibatan tersebut sering
mengidentifikasi penyimpangan signifikan dari ekspektasi dan ketidaktepatan dalam data
keuangan yang menuntun pada tindakan perbaikan terhadap pengendalian.
Fungsi Audit Internal (Ref: Para. 23)
A101. Fungsi audit internal entitas kemungkinan relevan dengan audit jika sifat tanggung
jawab dan aktivitas fungsi audit internal terkait dengan pelaporan keuangan entitas, dan
auditor mengharapkan untuk menggunakan hasil pekerjaan auditor internal untuk
memodifikasi sifat atau waktu, atau mengurangi luas prosedur audit yang akan
dilaksanakan. Jika auditor menentukan bahwa fungsi audit internal kemungkinan relevan
dengan audit, maka SPA 610 berlaku.
A102. Tujuan fungsi audit internal serta sifat dan status fungsi audit internal dalam organisasi
bervariasi dan bergantung pada ukuran dan struktur entitas, kebutuhan manajemen, dan
jika relevan, kebutuhan pihak yang bertanggung jawab atas tata kelola. Tanggung jawab
fungsi audit internal dapat mencakup, sebagai contoh, pemantauan pengendalian
internal, pengelolaan risiko, dan penalaahan atas kepatuhan terhadap peraturan
perundang-undangan. Di lain pihak, tanggung jawab fungsi audit internal mungkin
terbatas hanya pada, sebagai contoh penelaahan ekonomi serta efisiensi dan efektivitas
operasi, dan oleh karena itu, belum tentu berhubungan dengan pelaporan keuangan
entitas.
A103. Jika sifat tanggung jawab fungsi audit internal terkait dengan pelaporan keuangan
entitas, pertimbangan auditor eksternal atas aktivitas yang dilaksanakan, atau akan
dilaksanakan, oleh fungsi audit internal, dapat mencakup penelaahan atas rencana audit
fungsi audit internal untuk periode berjalan, jika ada, dan pembahasan rencana tersebut
dengan auditor internal.
Sumber Informasi (Ref: Para. 24)
A104. Kebanyakan informasi yang digunakan dalam pemantauan dapat dihasilkan oleh sistem
informasi entitas. Jika manajemen mengasumsikan bahwa data yang digunakan untuk
pemantauan adalah akurat tanpa memiliki suatu basis untuk asumsi tersebut, maka
kesalahan yang mungkin terdapat dalam informasi tersebut dapat secara potensial
menuntun manajemen pada kesimpulan yang salah dari aktivitas pemantauan yang
dilakukannya. Oleh karena itu, suatu pemahaman atas:
Sumber informasi yang terkait dengan aktivitas pemantauan entitas; dan
Basis yang dipakai oleh manajemen dalam mempertimbangkan kecukupandalan
informasi untuk tujuan tersebut,
dibutuhkan sebagai bagian dari pemahaman auditor atas aktivitas pemantauan
entitas sebagai suatu komponen pengendalian internal.
Pengidentifikasian dan Penilaian Risiko Salah Saji Material
Penilaian Risiko Salah Saji Material pada Tingkat Laporan Keuangan (Ref: Para. 25a)
A105. Risiko salah saji material pada tingkat laporan keuangan merujuk pada risiko yang
berhubungan secara pervasif dengan laporan keuangan secara keseluruhan dan secara
potensial berdampak pada banyak asersi. Risiko tersebut tidak perlu berupa risiko yang
dapat diidentifikasi dengan asersi spesifik pada tingkat golongan transaksi, saldo akun,
atau pengungkapan. Melainkan, risiko tersebut mewakili keadaan yang dapat
meningkatkan risiko salah saji material pada tingkat asersi, sebagai contoh, melalui
pengabaian pengendalian internal oleh manajemen. Risiko pada tingkat laporan
keuangan mungkin secara khusus relevan bagi pertimbangan auditor atas risiko salah
saji material karena kecurangan.
A106. Risiko pada tingkat laporan keuangan dapat dihasilkan terutama dari lingkungan
pengendalian yang defisien (meskipun risiko ini dapat juga berkaitan dengan faktor lain,
seperti kondisi ekonomi yang sedang menurun). Sebagai contoh, defisiensi seperti
kurang kompetennya manajemen dapat mengakibatkan suatu pengaruh yang lebih
pervasif terhadap laporan keuangan dan mungkin menuntut suatu respons secara
keseluruhan oleh auditor.
A107. Pemahaman auditor atas pengendalian internal dapat menimbulkan keraguan tentang
keterauditan laporan keuangan suatu entitas. Sebagai contoh:
Perhatian tentang integritas manajemen entitas mungkin sedemikian pentingnya
yang dapat menyebabkan auditor menyimpulkan bahwa risiko salah representasi
dalam laporan keuangan oleh manajemen sedemikian tingginya, sehingga audit
tidak dapat dilaksanakan.
Perhatian tentang kondisi dan keandalan catatan suatu entitas dapat
menyebabkan auditor menyimpulkan bahwa kecil kemungkinannya bukti audit
yang cukup dan tepat akan tersedia untuk mendukung opini tanpa modifikasi atas
laporan keuangan.
A108. SPA 70512 menetapkan ketentuan dan menyediakan panduan dalam menentukan
apakah terdapat kebutuhan bagi auditor untuk menyatakan opini kualifikasi atau opini
disclaimer atau, ketika dibutuhkan dalam beberapa kasus, menarik diri dari perikatan
jika penarikan diri dimungkinkan berdasarkan peraturan perundang-undangan yang
berlaku.
Penilaian Risiko Salah Saji Material pada Tingkat Asersi (Ref: Para. 25b)
A109. Risiko salah saji material pada tingkat asersi untuk golongan transaksi, saldo akun, dan
pengungkapan perlu dipertimbangkan karena pertimbangan tersebut secara langsung
membantu dalam menentukan sifat, waktu, dan luas prosedur audit lebih lanjut pada
tingkat asersi yang diperlukan untuk memperoleh bukti audit yang cukup dan tepat.
Dalam mengidentifikasi dan menilai risiko salah saji material pada tingkat asersi, auditor
12 SPA 705, “Modifikasi atas Opini dalam Laporan Auditor Independen.”
dapat menyimpulkan bahwa risiko yang teridentifikasi berkaitan secara lebih pervasif
dengan laporan keuangan secara keseluruhan dan secara potensial memengaruhi
banyak asersi.
Penggunaan Asersi
A110. Dalam menyatakan bahwa laporan keuangan telah disusun sesuai dengan kerangka
pelaporan keuangan yang berlaku, manajemen secara implisit atau eksplisit membuat
asersi tentang pengakuan, pengukuran, penyajian, dan pengungkapan berbagai unsur
laporan keuangan dan pengungkapan yang terkait.
A111. Asersi yang digunakan oleh auditor dalam mempertimbangkan jenis-jenis salah saji
potensial yang berbeda yang dapat terjadi digolongkan ke dalam tiga kategori dan dapat
berbentuk sebagai berikut:
(a) Asersi tentang golongan transaksi dan peristiwa untuk periode yang diaudit:
(i) Keterjadian (occurence): transaksi dan peristiwa yang telah terbukukan telah
terjadi dan berkaitan dengan entitas.
(ii) Kelengkapan (completeness): seluruh transaksi dan peristiwa yang
seharusnya terbukukan telah dicatat.
(iii) Keakurasian (accuracy): jumlah-jumlah dan data lainnya yang berkaitan
dengan transaksi dan peristiwa yang telah dibukukan telah dicatat dengan
tepat.
(iv) Pisah batas (cut-off): transaksi dan peristiwa telah dibukukan dalam periode
akuntansi yang tepat.
(v) Klasifikasi (classification): transaksi dan peristiwa telah dibukukan dalam
akun yang tepat.
(b) Asersi tentang saldo akun pada akhir periode:
(i) Eksistensi (existence): aset, liabilitas, dan ekuitas ada.
(ii) Hak dan kewajiban (rights and obligations): entitas memiliki atau mengendalikan
hak atas aset dan memiliki kewajiban atas liabilitas.
(iii) Kelengkapan (completeness): seluruh aset, liabilitas, dan ekuitas yang
seharusnya terbukukan telah dicatat.
(iv) Penilaian dan pengalokasian (valuation and allocation): aset, liabilitas, dan
ekuitas tercantum dalam laporan keuangan pada jumlah yang tepat dan
penyesuaian penilaian atau pengalokasian yang terjadi dibukukan dengan
tepat.
(c) Asersi tentang penyajian dan pengungkapan:
(i) Keterjadian serta hak dan kewajiban (occurrence and rights and obligations):
peristiwa, transaksi, dan hal-hal lainnya yang diungkapkan, telah terjadi dan
berkaitan dengan entitas.
(ii) Kelengkapan (completeness): seluruh pengungkapan yang seharusnya
tercantum dalam laporan keuangan telah disajikan.
(iii) Klasifikasi dan keterpahaman (classification and understandability): informasi
keuangan disajikan dan dijelaskan secara tepat, serta pengungkapan disajikan
dengan jelas.
(iv) Keakurasian dan penilaian (accuracy and valuation): informasi keuangan dan
informasi lainnya diungkapkan secara wajar dan pada jumlah yang tepat.
A112. Auditor dapat menggunakan asersi yang dijelaskan di atas atau dapat menyatakan
asersi tersebut secara berbeda selama seluruh aspek yang dijelaskan di atas telah
dicakup. Sebagai contoh, auditor dapat memilih untuk menggabungkan asersi tentang
transaksi dan peristiwa dengan asersi tentang saldo akun.
Pertimbangan spesifik terhadap entitas sektor publik
A113. Ketika membuat asersi tentang laporan keuangan entitas sektor publik, selain asersi-
asersi yang dirujuk pada paragraf A111, manajemen sering dapat membuat asersi
bahwa transaksi dan peristiwa telah dilaksanakan dan terjadi sesuai dengan peraturan
perundang-undangan atau otoritas lainnya. Asersi-asersi tersebut dapat tercakup dalam
ruang lingkup audit atas laporan keuangan.
Proses Pengidentifikasian Risiko Salah Saji Material (Ref: Para. 26a)
A114. Informasi yang dikumpulkan melalui pelaksanaan prosedur penilaian risiko, termasuk
bukti audit yang diperoleh dalam mengevaluasi rancangan pengendalian dan penentuan
apakah pengendalian tersebut telah diimplementasikan, digunakan sebagai bukti audit
untuk mendukung penilaian risiko. Penilaian risiko menentukan sifat, waktu, dan luas
prosedur audit lebih lanjut yang akan dilaksanakan.
A115. Lampiran 2 menyajikan contoh-contoh kondisi dan peristiwa yang dapat
mengindikasikan keberadaan risiko salah saji material.
Pengaitan Pengendalian dengan Asersi (Ref: Para. 26c)
A116. Dalam melakukan penilaian risiko, auditor dapat mengidentifikasi pengendalian yang
kemungkinan dapat mencegah, atau mendeteksi dan mengoreksi, salah saji material
dalam asersi tertentu. Pada umumnya, memperoleh pemahaman tentang pengendalian
dan mengaitkannya dengan asersi dalam konteks proses dan sistem tempat
pengendalian tersebut berada memberikan manfaat bagi auditor, karena aktivitas
pengendalian individu sering tidak dengan sendirinya responsif terhadap suatu risiko.
Suatu risiko sering hanya dapat direspons secara memadai dengan kombinasi antara
aktivitas pengendalian multipel dengan komponen pengendalian internal lainnya.
A117. Sebaliknya, beberapa aktivitas pengendalian dapat memiliki suatu pengaruh tertentu
terhadap asersi individu yang melekat dalam suatu golongan transaksi atau saldo akun
tertentu. Sebagai contoh, aktivitas pengendalian yang ditetapkan oleh entitas untuk
menjamin bahwa personelnya menghitung dan membukukan hasil penghitungan fisik
persediaan tahunan yang berkaitan langsung dengan asersi eksistensi dan asersi
kelengkapan untuk saldo akun persediaan.
A118. Pengendalian dapat dihubungkan, baik secara langsung maupun tidak langsung,
dengan suatu asersi. Semakin tidak langsung hubungan tersebut, semakin kurang
efektif pengendalian tersebut mencegah, atau mendeteksi dan mengoreksi, salah saji
dalam asersi. Sebagai contoh, penelaahan manajer penjualan atas ikhtisar aktivitas
penjualan untuk toko tertentu menurut area pada umumnya hanya terkait secara tidak
langsung dengan asersi kelengkapan untuk akun penjualan. Oleh karena itu,
kemungkinan kurang efektif dalam menurunkan risiko untuk asersi tersebut daripada
pengendalian yang terkait secara lebih langsung dengan asersi tersebut, seperti
mencocokkan dokumen pengiriman dengan dokumen penagihan.
Risiko Signifikan
Pengidentifikasian Risiko Signifikan (Ref: Para. 28)
A119. Risiko signifikan sering berkaitan dengan transaksi nonrutin yang signifikan atau hal-hal
yang memerlukan pertimbangan. Transaksi nonrutin adalah transaksi yang tidak biasa,
karena ukuran maupun sifatnya, dan oleh karena itu, tidak sering terjadi. Hal-hal yang
memerlukan pertimbangan dapat mencakup penyusunan estimasi akuntansi yang di
dalamnya terdapat ketidakpastian pengukuran yang signifikan. Kecil kemungkinannya
transaksi rutin dan nonkompleks yang harus melalui suatu pengolahan sistematis
mengakibatkan timbulnya risiko signifikan.
A120. Risiko salah saji material mungkin lebih besar untuk transaksi nonrutin yang signifikan
yang disebabkan oleh hal-hal sebagai berikut:
Intervensi manajemen yang lebih besar dalam menentukan perlakuan akuntansi.
Intervensi manual yang lebih besar dalam pengumpulan dan pengolahan data.
Perhitungan atau prinsip akuntansi yang kompleks.
Sifat transaksi nonrutin, yang dapat menyebabkan kesulitan bagi entitas untuk
mengimplementasikan pengendalian yang efektif terhadap risiko.
A121. Risiko salah saji material mungkin lebih besar untuk hal-hal yang memerlukan
pertimbangan yang signifikan yang membutuhkan penyusunan estimasi akuntansi, yang
dapat timbul dari hal-hal sebagai berikut:
Prinsip akuntansi untuk estimasi akuntansi atau pengakuan pendapatan dapat
ditafsirkan secara berbeda.
Pertimbangan yang dibutuhkan dapat bersifat subjektif atau kompleks, atau
membutuhkan asumsi tentang pengaruh peristiwa di masa depan, sebagai contoh,
pertimbangan tentang nilai wajar.
A122. SPA330 menjelaskan konsekuensi terhadap prosedur audit lebih lanjut dalam
pengidentifikasian suatu risiko sebagai suatu risiko yang signifikan.13
13 SPA 330, paragraf 15 dan 21.
Risiko signifikan yang berkaitan dengan risiko salah saji material yang diakibatkan oleh
kecurangan
A123. SPA 240 menyediakan ketentuan dan panduan lebih lanjut yang berkaitan dengan
pengidentifikasian dan penilaian risiko salah saji material yang diakibatkan oleh
kecurangan.14
Pemahaman atas Pengendalian yang Terkait dengan Risiko Signifikan (Ref: Para 29)
A124. Meskipun risiko yang berkaitan dengan hal-hal nonrutin atau memerlukan pertimbangan
yang signifikan sering kecil kemungkinannya terpapar dengan pengendalian rutin,
manajemen mungkin memiliki respons lain yang ditujukan untuk menghadapi risiko
tersebut. Oleh karena itu, pemahaman auditor tentang apakah entitas telah merancang
dan mengimpelementasikan pengendalian untuk risiko signifikan yang timbul dari hal-hal
nonrutin atau yang memerlukan pertimbangan mencakup apakah dan bagaimana
manajemen merespons risiko tersebut. Respons tersebut dapat mencakup:
Aktivitas pengendalian seperti penelaahan atas asumsi oleh manajemen senior atau
pakar.
Proses yang terdokumentasi atas penyusunan estimasi.
Persetujuan oleh pihak yang bertanggung jawab atas tata kelola.
A125. Sebagai contoh, ketika terdapat peristiwa yang hanya terjadi sekali seperti penerimaan
pemberitahuan tuntutan pengadilan yang signifikan, pertimbangan atas respons entitas
dapat mencakup hal-hal seperti apakah tuntutan pengadilan tersebut telah dirujuk
kepada pakar yang tepat, (seperti penasihat hukum internal atau eksternal), apakah
penilaian atas pengaruh potensial telah dilakukan, dan bagaimana hal tersebut akan
diungkapkan dalam laporan keuangan.
A126. Dalam beberapa kasus, manajemen mungkin belum merespons dengan tepat risiko
salah saji material yang signifikan dengan mengimplementasikan pengendalian
terhadap risiko signifikan tersebut. Kegagalan manajemen dalam mengimplementasikan
pengendalian tersebut merupakan suatu indikator adanya defisiensi signifikan dalam
pengendalian internal.15
14 14 SPA 240, paragraf 25-27
15 SPA 265, “Pengkomunikasian Defisiensi dalam Pengendalian Internal kepada Pihak yang Bertanggung Jawab
atas Tata Kelola dan Manajemen,” paragraf A7.
Risiko ketika Prosedur Substantif tidak dengan Sendirinya Menyediakan Bukti Audit yang
Cukup dan Tepat (Ref: Para. 30)
A127. Risiko salah saji material dapat berkaitan secara langsung dengan pencatatan golongan
transaksi rutin atau saldo akun, dan penyusunan laporan keuangan yang andal. Risiko
tersebut dapat mencakup risiko pengolahan yang tidak akurat atau tidak lengkap atas
golongan transaksi yang rutin dan signifikan seperti pendapatan, pembelian, dan
penerimaan atau pembayaran kas entitas.
A128. Ketika transaksi bisnis rutin diolah dengan menggunakan pengolahan yang sangat
terotomatisasi dengan hanya melibatkan sedikit atau tidak sama sekali intervensi
manual, adalah tidak mungkin untuk hanya melaksanakan prosedur substantif dalam
kaitannya dengan risiko. Sebagai contoh, auditor dapat mempertimbangkan hal ini
dalam kondisi ketika suatu jumlah signifikan dari informasi entitas diawali, dicatat, diolah,
atau dilaporkan hanya dalam bentuk elektronis seperti dalam suatu sistem yang
terintegrasi. Dalam kasus tersebut:
Bukti audit mungkin tersedia hanya dalam bentuk elektronis, serta kecukupan dan
ketepatan bukti tersebut biasanya bergantung pada efektivitas pengendalian
terhadap keakurasian dan kelengkapan.
Potensi inisiasi atau pengubahan informasi yang terjadi dan tidak terdeteksi
kemungkinan lebih besar jika pengendalian yang tepat tidak beroperasi secara
efektif.
A129. Konsekuensi terhadap prosedur audit lebih lanjut dalam pengidentifikasian risiko
tersebut di atas dijelaskan dalam SPA 330.16
Revisi atas Penilaian Risiko (Ref: Para. 31)
A130. Selama audit, auditor mungkin memperoleh suatu informasi yang berbeda secara
signifikan dengan informasi yang digunakannya sebagai dasar penilaian risiko. Sebagai
contoh, penilaian risiko mungkin didasarkan pada suatu ekspektasi bahwa pengendalian
tertentu beroperasi secara efektif. Dalam melaksanakan pengujian terhadap
pengendalian tersebut, auditor dapat memperoleh bukti audit bahwa pengendalian
tersebut tidak beroperasi secara efektif pada waktu yang relevan selama audit. Sama
16 16 SPA 330, paragraf 8
halnya, dalam melaksanakan prosedur substantif, auditor dapat mendeteksi salah saji
dalam jumlah atau frekuensi yang lebih besar daripada jumlah dan frekuensi yang
digunakan dalam penilaian risiko auditor. Dalam kondisi tersebut, penilaian risiko
mungkin tidak mencerminkan secara tepat kondisi sebenarnya dari entitas dan prosedur
audit lebih lanjut yang telah direncanakan mungkin tidak efektif dalam mendeteksi salah
saji material. Lihat SPA 330 untuk panduan lebih lanjut.
Dokumentasi (Ref: Para. 32)
A131. Cara pendokumentasian auditor untuk memenuhi ketentuan paragraf 32 dilakukan
dengan menggunakan pertimbangan profesional. Sebagai contoh, dalam audit entitas
kecil, dokumentasi dapat dimasukkan sebagai bagian dari dokumentasi auditor atas
strategi dan rencana audit keseluruhan.17 Sama halnya, sebagai contoh, hasil penilaian
risiko dapat didokumentasikan secara terpisah, atau dapat didokumentasikan sebagai
bagian dokumentasi auditor atas prosedur lebih lanjut.1818 Bentuk dan luas dokumentasi
dipengaruhi oleh sifat, ukuran, dan kompleksitas entitas dan pengendalian internalnya,
ketersediaan informasi dari entitas serta metodologi audit dan teknologi yang digunakan
dalam melaksanakan audit.
A132. Bagi entitas yang memiliki bisnis dan proses yang tidak rumit yang relevan dengan
pelaporan keuangan, dokumentasi dapat berbentuk sederhana dan relatif ringkas. Tidak
perlu mendokumentasikan keseluruhan pemahaman auditor tentang entitas dan hal-hal
yang berkaitan dengannya. Unsur utama atas pemahaman tersebut di atas yang
didokumentasikan oleh auditor mencakup unsur-unsur yang mendasari penilaian auditor
atas risiko salah saji material.
A133. Luas dokumentasi dapat juga mencerminkan pengalaman dan kapabilitas anggota tim
perikatan audit. Selama memenuhi ketentuan yang disyaratkan SPA 230, suatu audit
yang dilakukan oleh suatu tim perikatan yang terdiri dari individu yang kurang
berpengalaman mungkin membutuhkan dokumentasi yang lebih detail untuk membantu
mereka dalam memperoleh suatu pemahaman yang tepat tentang entitas daripada yang
dilakukan oleh suatu tim perikatan dengan individu yang lebih berpengalaman.
17 17 SPA 300, “Perencanaan Suatu Audit atas Laporan Keuangan,” paragraf 7 dan 9.
18 18 SPA 330, paragraf 28.
A134. Untuk audit yang berulang, dokumentasi tertentu dapat digunakan kembali untuk audit
berikutnya, yang dimutakhirkan sebagaimana diperlukan untuk mencerminkan
perubahan dalam bisnis atau proses entitas.
Lampiran 1
(Ref: 4(c), 14-24, A69-A104)
Komponen Pengendalian Internal
1. Lampiran ini menjelaskan lebih lanjut komponen pengendalian internal, sebagaimana
ditetapkan dalam paragraf 4(c), 14-24, dan A69-A104, sehubungan dengan keterkaitan
komponen tersebut dengan audit atas laporan keuangan.
Lingkungan Pengendalian
2. Lingkungan pengendalian meliputi unsur-unsur sebagai berikut:
(a) Komunikasi dan penegakan nilai integritas dan etika. Efektivitas pengendalian tidak
dapat melebihi nilai integritas dan etika dari mereka yang menciptakan, mengelola,
dan memantau pengendalian tersebut. Integritas dan perilaku etis merupakan produk
standar etika dan perilaku entitas, bagaimana standar tersebut dikomunikasikan, dan
bagaimana standar tersebut diperkuat dalam praktik. Penegakan nilai integritas dan
etika mencakup, sebagai contoh, tindakan manajemen untuk menghilangkan atau
memitigasi insentif atau godaan yang dapat menyebabkan personel untuk melakukan
tindakan yang tidak jujur, ilegal, atau tidak etis. Komunikasi kebijakan entitas tentang
nilai integritas dan etika dapat mencakup komunikasi standar perilaku kepada
personel melalui pernyataan kebijakan dan kode etik, serta contoh yang diberikan.
(b) Komitmen terhadap kompentensi. Kompetensi adalah pengetahuan dan keahlian yang
diperlukan untuk menyelesaikan tugas yang menjadi tanggung jawab individu.
(c) Partisipasi oleh pihak yang bertanggung jawab atas tata kelola. Kesadaran
pengendalian suatu entitas dipengaruhi secara signifikan oleh pihak yang bertanggung
jawab atas tata kelola. Pentingnya tanggung jawab pihak yang bertanggung jawab
atas tata kelola dinyatakan dalam kode etik dan peraturan perundang-undangan, atau
panduan yang dikeluarkan untuk memberikan manfaat bagi pihak yang bertanggung
jawab atas tata kelola. Tanggung jawab lainnya dari pihak yang bertanggung jawab
atas tata kelola mencakup pengawasan atas rancangan dan pengoperasian secara
efektif prosedur peniup peluit (whistle blower) serta proses untuk menelaah efektivitas
pengendalian internal entitas.
(d) Falsafah dan gaya operasi manajemen. Falsafah dan gaya operasi manajemen
meliputi suatu rentang karakteristik. Sebagai contoh, sikap dan tindakan manajemen
terhadap pelaporan keuangan dapat ternyatakan dengan sendirinya melalui pemilihan
yang bersifat konservatif atau agresif dari prinsip akuntansi alternatif yang tersedia,
atau kecermatan dan konservatisme yang melandasi penyusunan estimasi akuntansi.
(e) Struktur organisasi. Penetapan suatu struktur organisasi yang relevan mencakup
pertimbangan atas wilayah utama atas wewenang dan tanggung jawab serta garis
pelaporan yang tepat. Ketepatan struktur organisasi suatu entitas tergantung dari
ukuran dan sifat aktivitas entitas tersebut.
(f) Penugasan wewenang dan tanggung jawab. Penugasan wewenang dan tanggung
jawab dapat mencakup kebijakan yang berkaitan dengan praktik bisnis yang tepat,
pengetahuan dan pengalaman personel kunci, dan sumber daya yang tersedia untuk
melaksanakan tugas. Selain itu, penugasan tersebut juga mencakup kebijakan dan
komunikasi yang diarahkan untuk menjamin bahwa seluruh personel memahami
tujuan entitas, mengetahui bagaimana tindakan mereka secara individu saling terkait
dan memberikan kontribusi terhadap tujuan tersebut, serta menetapkan bagaimana
dan untuk apa mereka akan dimintakan pertanggungjawaban.
(g) Kebijakan dan praktik sumber daya manusia. Kebijakan dan praktik sumber daya
manusia sering menunjukkan hal-hal penting dalam hubungannya dengan kesadaran
pengendalian suatu entitas. Sebagai contoh, standar untuk perekrutan individu yang
paling cakap — dengan penekanan pada latar belakang pendidikan, pengalaman kerja
sebelumnya, pencapaian masa lalu, serta bukti integritas dan perilaku etis —
menunjukkan komitmen entitas terhadap orang-orang yang kompeten dan dapat
dipercaya. Kebijakan pelatihan yang mengomunikasikan peran dan tanggung jawab
prospektif serta mencakup praktik seperti sekolah pelatihan dan seminar
menggambarkan tingkat kinerja dan perilaku yang diharapkan. Promosi yang
didasarkan pada penilaian kinerja secara berkala menunjukkan komitmen entitas
terhadap pemajuan personel yang cakap menuju tingkat tanggung jawab yang lebih
tinggi.
Proses Penilaian Risiko Entitas
3. Untuk tujuan pelaporan keuangan, proses penilaian risiko entitas mencakup bagaimana
manajemen mengidentifikasi risiko bisnis yang relevan dengan penyusunan laporan
keuangan sesuai dengan kerangka pelaporan keuangan entitas yang berlaku,
mengestimasi signifikansi risiko bisnis tersebut, menilai kemungkinan keterjadiannya, dan
memutuskan tindakan untuk merespons dan mengelola risiko tersebut beserta hasil proses
penilaian risiko tersebut. Sebagai contoh, proses penilaian risiko entitas dapat diarahkan
untuk melihat bagaimana entitas mempertimbangkan kemungkinan transaksi tidak tercatat
atau mengidentifikasi dan menganalisis estimasi signifikan yang tercantum dalam laporan
keuangan.
4. Risiko yang relevan dengan pelaporan keuangan yang andal mencakup peristiwa, transaksi,
atau kondisi eksternal dan internal yang dapat terjadi dan memengaruhi secara buruk
kemampuan entitas untuk menginisiasi, mencatat, mengolah, dan melaporkan data
keuangan yang konsisten dengan asersi manajemen dalam laporan keuangan. Manajemen
dapat menginisiasi rencana, program, atau tindakan untuk merespons risiko tertentu atau
manajemen dapat memutuskan untuk menerima suatu risiko karena pertimbangang biaya
atau pertimbangan lainnya. Risiko dapat timbul atau berubah karena kondisi-kondisi seperti
sebagai berikut:
Perubahan dalam lingkungan operasi. Perubahan dalam lingkungan peraturan atau
lingkungan operasi dapat mengakibatkan perubahan dalam tekanan yang kompetitif
dan dalam risiko yang berbeda secara signifikan.
Personel baru.Personel baru dapat memiliki fokus yang berbeda atas, atau
pemahaman tentang, pengendalian internal.
Sistem informasi baru atau yang ditingkatkan. Perubahan yang signifikan dan pesat
dalam sistem informasi dapat mengubah risiko yang berkaitan dengan pengendalian
internal.
Pertumbuhan yang pesat. Ekspansi operasi yang signifikan dan pesat dapat
melemahkan pengendalian dan meningkatkan risiko kerusakan dalam pengendalian.
Teknologi baru. Penggunaan teknologi baru dalam proses produksi atau sistem
informasi dapat mengubah risiko yang terkait dengan pengendalian internal.
Model, produk, atau aktivitas bisnis baru. Ketika entitas memasuki area atau transaksi
bisnis dengan pengalaman yang terbatas, risiko baru yang terkait dengan
pengendalian internal dapat timbul.
Restukturisasi korporasi. Restrukturisasi dapat disertai dengan pengurangan
karyawan dan perubahan dalam supervisi dan pemisahan tugas yang dapat
mengubah risiko yang terkait dengan pengendalian internal.
Ekspansi entitas di luar negeri. Ekspansi atau akuisisi entitas di luar negeri membawa
risiko baru, dan seringkali, bersifat unik, yang dapat memengaruhi pengendalian
internal, sebagai contoh, risiko tambahan atau risiko yang berubah sebagai akibat dari
transaksi mata uang asing.
Standar akuntansi baru. Adopsi prinsip akuntansi baru atau perubahan prinsip
akuntansi dapat memengaruhi risiko dalam penyusunan laporan keuangan.
Sistem Informasi (Termasuk Proses Bisnis Terkait) yang Relevan dengan Pelaporan
Keuangan, dan Komunikasi
5. Suatu sistem informasi terdiri dari infrastruktur (komponen fisik dan perangkat keras),
perangkat lunak, orang, prosedur, dan data. Banyak sistem informasi menggunakan
teknologi informasi secara ekstensif.
6. Sistem informasi yang relevan dengan tujuan pelaporan keuangan, yang mencakup sistem
pelaporan keuangan, mencakup metode dan catatan yang:
Mengidentifikasi dan mencatat seluruh transaksi yang valid.
Mendeskripsikan transaksi secara cukup terperinci dan tepat waktu untuk
memungkinkan klasifikasi transaksi yang tepat untuk pelaporan keuangan.
Mengukur nilai transaksi dengan suatu cara yang memungkinkan pencatatan nilai
moneter transaksi tersebut secara tepat dalam laporan keuangan.
Menentukan periode terjadinya transaksi yang memungkinkan pencatatan transaksi
tersebut dalam periode akuntasi yang tepat.
Menyajikan transaksi dan pengungkapan terkait secara tepat dalam laporan keuangan.
7. Kualitas informasi yang dihasilkan dari sistem memengaruhi kemampuan manajemen untuk
membuat keputusan yang tepat dalam mengelola dan mengendalikan aktivitas entitas dan
untuk menyusun laporan keuangan yan andal.
8. Komunikasi, yang melibatkan penyediaan pemahaman tentang peran dan tanggung jawab
individu yang terkait dengan pengendalian internal atas pelaporan keuangan, dapat berupa
manual kebijakan, manual akuntansi dan pelaporan keuangan, serta memorandum.
Komunikasi juga dapat dilakukan secara elektronis, lisan, dan melalui tindakan manajemen.
Aktivitas Pengendalian
9. Pada umumnya, aktivitas pengendalian yang relevan dengan suatu audit dapat
dikategorikan sebagai kebijakan dan prosedur yang berkaitan dengan hal-hal sebagai
berikut:
Penelaahan kinerja. Aktivitas pengendalian ini mencakup penelaahan dan analisis
kinerja aktual dibandingkan dengan anggaran, prakiraan, dan kinerja periode lalu;
menghubungkan serangkaian data yang berbeda (data operasi atau data keuangan)
satu sama lainnya, bersama dengan analisis hubungan dan tindakan investigatif dan
korektif; membandingkan data internal dengan sumber informasi ekternal; serta
menelaah kinerja fungsional atau kinerja aktivitas.
Pengolahan informasi. Dua pengelompokan besar atas aktivitas pengendalian sistem
informasi adalah: (i) pengendalian aplikasi, yaitu pengendalian yang diterapkan atas
pengolahan aplikasi individu, dan (ii) pengendalian teknologi informasi umum, yaitu
pengendalian berupa kebijakan dan prosedur yang berhubungan dengan banyak
aplikasi yang mendukung berfungsinya pengendalian aplikasi secara efektif dengan
membantu untuk menjamin beroperasinya sistem informasi secara tepat dan
berkelanjutan. Contoh-contoh pengendalian aplikasi mencakup pengecekan
keakurasian perhitungan atas catatan, memelihara dan menelaah akun dan neraca
saldo, pengendalian terotomatisasi seperti pengecekan edit atas data masukan dan
pengecekan urutan numerik, dan penindaklanjutan secara manual atas laporan
penyimpangan. Contoh-contoh pengendalian teknologi informasi umum adalah
pengendalian perubahan program, pengendalian atas implementasi paket aplikasi
perangkat lunak baru, dan pengendalian atas perangkat lunak sistem yang
membatasi akses terhadap atau yang memantau utilitas sistem yang dapat
mengubah data atau catatan keuangan tanpa meninggalkan jejak audit.
Pengendalian fisik. Pengendalian ini mencakup:
o Pengamanan yang memadai atas fisik aset, seperti fasilitas yang aman atas
akses terhadap aset dan catatan.
o Otorisasi atas akses terhadap program komputer dan fail data.
o Penghitungan dan pembandingan dengan jumlah yang tercantum dalam
catatan pengendali secara periodik (sebagai contoh, pembandingan antara
hasil penghitungan kas, surat berharga, dan persediaan dengan catatan
akuntansi). Luas pengendalian fisik yang ditujukan untuk mencegah pencurian
aset adalah relevan dengan keandalan penyusunan laporan keuangan, dan
oleh karena itu, audit bergantung pada kondisi-kondisi seperti ketika aset
tinggi kerentanannya terhadap penyalahgunaan.
Pemisahan tugas. Penugasan tanggung jawab kepada individu yang berbeda dalam
pengotorisasian dan pencatatan transaksi, serta penyimpanan aset. Pemisahan tugas
dimaksudkan untuk mengurangi peluang kemungkinan individu manapun untuk
berada dalam suatu posisi yang memungkinkannya untuk melakukan dan
menyembunyikan kesalahan atau kecurangan dalam tugas normalnya.
10. Aktivitas pengendalian tertentu dapat bergantung pada eksistensi kebijakan tingkat lebih
tinggi yang tepat yang ditetapkan oleh manajemen atau pihak yang bertanggung jawab atas
tata kelola. Sebagai contoh, pengendalian otorisasi dapat didelegasikan berdasarkan
panduan yang telah ditetapkan, seperti kriteria investasi yang ditetapkan oleh pihak yang
bertanggung jawab atas tata kelola; atau, transaksi nonrutin seperti akuisisi atau divestasi
signifikan mungkin mengharuskan persetujuan tingkat tinggi, termasuk persetujuan dari
pemegang saham pada beberapa kasus.
Pemantauan Pengendalian
11. Tanggung jawab penting manajeman adalah untuk menetapkan dan memelihara
pengendalian internal secara berkelanjutan. Pemantauan pengendalian oleh manajemen
mencakup pertimbangan apakah pengendalian tersebut beroperasi sebagaimana yang
dimaksudkan dan pengendalian tersebut dimodifikasi sebagaimana diperlukan sehubungan
dengan perubahan dalam kondisi. Pemantauan pengendalian dapat mencakup aktivitas
seperti penelaahan manajemen tentang apakah rekonsiliasi bank dibuat secara tepat waktu,
evaluasi auditor internal atas kepatuhan personel penjualan terhadap kebijakan entitas atas
persyaratan kontrak penjualan, dan pengawasan departemen legal atas kepatuhan
terhadap kebijakan etika atau kebijakan praktik bisnis. Pemantauan juga dilakukan untuk
menjamin bahwa pengendalian beroperasi secara efektif secara berkelanjutan sepanjang
waktu. Sebagai contoh, jika ketepatan waktu dan keakurasian rekonsiliasi bank tidak
dipantau, maka kemungkinan personil akan menghentikan penyiapan rekonsiliasi tersebut.
12. Auditor internal atau personel yang melaksanakan fungsi serupa dapat memberikan
kontribusi untuk memantau pengendalian entitas melalui evaluasi secara terpisah. Pada
umumnya, mereka menyediakan informasi reguler tentang keberfungsian pengendalian
internal, pemusatan perhatian yang cukup besar atas pengevaluasian efektivitas
pengendalian internal, serta pengomunikasian informasi tentang kekuatan dan defisiensi
pengendalian internal dan rekomendasi untuk memperbaiki pengendalian internal.
13. Aktivitas pemantauan dapat mencakup penggunaan informasi yang berasal dari komunikasi
dengan pihak eksternal yang dapat mengindikasikan masalah atau area yang menjadi
perhatian yang memerlukan perbaikan. Validitas data penagihan didukung secara implisit
oleh pelanggan melalui pembayaran atau komplain atas faktur tagihan yang dibebankan
kepada mereka. Selain itu, regulator dapat berkomunikasi dengan entitas tentang hal-hal
yang memengaruhi keberfungsian pengendalian internal, sebagai contoh, komunikasi
tentang eksaminasi oleh badan pengatur bank. Di samping itu, manajemen dapat
mempertimbangkan komunikasi yang diperoleh dari auditor eksternal yang berkaitan
dengan pengendalian internal dalam melaksanakan aktivitas pemantauan.
Lampiran 2
(Ref: Para. A33, A115)
Kondisi dan Peristiwa yang Dapat Mengindikasikan Risiko Salah Saji Material
Di bawah ini adalah contoh-contoh kondisi dan peristiwa yang dapat mengindikasikan eksistensi
risiko salah saji material. Contoh-contoh yang diberikan mencakup sejumlah kondisi dan
peristiwa; namun, tidak semua kondisi dan peristiwa tersebut relevan dengan setiap perikatan
audit dan daftar contoh-contoh tersebut belum tentu lengkap:
Operasi dalam wilayah yang secara ekonomi tidak stabil, sebagai contoh, negara-negara
dengan devaluasi mata uang yang signifikan atau ekonomi dengan tingkat inflasi yang tinggi.
Operasi yang terekspos dengan pasar yang volatil, sebagai contoh perdagangan future.
Operasi yang terkena regulasi dengan tingkat kompleksitas yang tinggi.
Isu kelangsungan usaha dan likuiditas, termasuk hilangnya pelanggan utama.
Hambatan ketersediaan modal dan kredit.
Perubahan dalam industri tempat entitas beroperasi.
Perubahan dalam rantai pemasok.
Pengembangan atau penawaran produk atau jasa baru, atau perpindahan ke bisnis baru.
Ekspansi ke lokasi baru.
Perubahan dalam entitas, seperti akuisisi atau reorganisasi signifikan atau peristiwa lainnya
yang tidak biasa.
Kemungkinan penjualan entitas atau segmen bisnis.
Eksistensi aliansi dan ventura bersama yang kompleks.
Penggunaan pembiayaan off balance sheet, entitas bertujuan khusus, dan pengaturan
pembiayaan lainnya yang kompleks.
Transaksi signifikan dengan pihak berelasi.
Kekurangan personel dengan keahlian akuntansi dan pelaporan keuangan yang tepat.
Perubahan dalam personil kunci, termasuk hilangnya eksekutif kunci.
Defisiensi dalam pengendalian internal, terutama defisiensi yang tidak direspons oleh
manajemen.
Inkonsistensi antara strategi teknologi informasi dengan strategi bisnis entitas.
Instalasi sistem teknologi informasi baru yang signifikan yang terkait dengan pelaporan
keuangan.
Permintaan keterangan tentang operasi atau hasil keuangan entitas oleh badan pengatur
atau pemerintah.
Salah saji periode lalu, riwayat kesalahan atau jumlah penyesuaian yang signifikan pada
akhir periode.
Transaksi nonrutin atau transaksi nonsistematis yang signifikan, termasuk transaksi antar
perusahaan yang berelasi dan transaksi pendapatan dalam jumlah besar pada akhir periode.
Transaksi yang dicatat berdasarkan intensi manajemen, sebagai contoh, pembiayaan
kembali hutang, aset yang akan dijual, dan klasifikasi surat berharga.
Penerapan standar akuntansi baru.
Pengukuran akuntansi yang melibatkan proses yang kompleks.
Peristiwa atau transaksi yang melibatkan ketidakpastian pengukuran yang signifikan,
termasuk estimasi akuntansi.
Litigasi yang sedang berlangsung dan kewajiban kontinjen, sebagai contoh, garansi
penjualan, garansi keuangan, dan perbaikan lingkungan.
