MAKALAH MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN



BAB II
PEMBAHASAN
A.    MENILAI RISIKO PENGENDALIAN/PENGUJIAN PENGENDALIAN
Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji yang material dalam laporan keuangan.
Tujuan dari menilai resiko pengendalian (assessing controlis) adalah untuk membantu auditor dalalm membuat suatu pertimbangan mengenai resiko salah saji yang material dalam asersi laporan keuangan. Penilaian resiko pengendalian melibatkan pengevaluasian terhadap efetivitas dari (1) rancangan dan (2) pengoperasian pengendalian. Menilai resiko pengendalian juga membantu auditor dalam membuat keputusan mengenai sifat, waktu dan cakupan dari prosedur audit. Pada dasarnya pengujian pengendalian (test of control) menyediakan bukti sebagai bagian dari dasar yang memadai untuk mengeluarkan opini auditor.
Resiko pengendalian, seperti komponen lain dalam model resiko audit, di nilai dalam asersi nilai keuangan individual. Sistem akuntansi berfokus pada pemrosesan transaksi, dan banyak aktifitas pengendalian berhubungan dengan pemrosesan suatu jenis transaksi tertentu. Oleh karena itu, adalah umum memulai dengan menilai resiko pengendalian atas asersi kelas transaksi seperti asersi keberadaan atau keterjadian, asersi kelengkapan, dan asersi penilaian serta alokasi untuk penjualan kredit dan penerimaan kas. Penilaian tersebut kemudian di kombinasikan dengan tepat dalam menilai risiko pengendalian untuk asersi saldo akun yang berhubungan yang di pengaruhi oleh kelas transaksi. Sebagai contoh, penilaian risiko pengendalian yang relevan untuk penjualan dan penerimaan kas di anggap memenuhi penilaian untuk asersi saldo piutang usaha. Adalah penting untuk mengingat bahwa penilaian risiko pengendalian di buat untuk asersi individual, bukan untuk pengendalian intern secara keseluruhan, komponen pengendalian intern individual, atau kebijakan atau prosedur individual.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk :
1.    Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas
2.    Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas
3.    Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah atau mendeteksi dan memperbaiki salah saji
4.    Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian tersebut
5.    Mengevaluasi bukti dan membuat penilaian
Langkah keempat, yaitu melaksanakan pengujian pengendalian, tidak diperlukan ketika risiko pengendalian dinilai berada pada tingkat maksimum. Setiap langkah dalam proses penilaian ini akan dibahas dalam bagian berikut.
1.    Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman
Auditor melaksanakan prosedur untuk memperoleh suatu pemahaman (procedures to obtain an understanding) mengenai pengendalian intern untuk asersi laporan keuangan yang signifikan. Auditor mendokumentasikan pemahaman dalam bentuk kuisioner pengendalian intern yang telah dilengkapi, bagan arus, dan atau memorandum naratif. Analisis mengenai pendokumentasian merupakan titik awal untuk menilai risiko pengendalian. Secara khusus, AU 319.19 menyatakan pemahaman sebaiknya digunakan oleh auditor untuk (1) mengidentifikasi jenis salah saji potensial dan (2) mempertimbangkan faktor-faktor yang memengaruhi risiko salah saji material, seperti apakah pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji telah dirancang dan ditetapkan dalam operasi. Oleh karena itu, untuk kebijakan dan prosedur yang relevan dengan asersi tertentu, auditor mempertimbangkan dengan dengan hati-hati jawaban Ya, Tidak, dan Tidak dapat digunakan, komentar tertulis  dalam kuesioner, dan kekuatan serta kelemahan yang dicatat dakam bagan arus dan memorandum naratif.
Ketika auditor memperoleh suatu pemahaman mengenai pengendalian intern, ia biasanya akan membuat pertanyaan, mengamati pelaksanaan tugas dan pengendalian, serta memeriksa dokumen-dokumen. Dalam proses tersebut auditor mungkin akan memperoleh bukti yang akan mengizinkannya untuk menilai risiko pengendalian dibawah maksimum. Biasanya bukti tersebut tidak cukup untuk mengizinkan auditor menilai risiko pengendalian pada tingkat yang rendah, tapi bukti tersebut mungkin cukup untuk mendukung suatu risikopengendalian yang tinggi. Auditor mungkin akan merasa bebas untuk menempatkan suatu penilaian pada bukti yang dikumpulkan sementara memperoleh suatu pemahaman mengenai pengendalian intern.


2.    Mengidentifikasi salah saji potensial
Beberapa kantor akuntan publik menggunakan perangkat lunak komputer yang menghubungkan jawaban dari pertanyaan-pertanyaan tertentu dalam kuesioner yang terkomputerisasi dengan salah saji potensial untuk asersi-asersi tertentu. Akan tetapi, auditor perlu memahami logika bahwa system pendukung keputusan yang terkomputerisasi digunakan untuk mengevaluasi pengendalian intern dan untuk menilai salah saji potensial yang dapat muncul dalam asersi laporan keuangan tertentu.
Salah saji potensial dapat diidentifikasikan untuk asersi yang berhubungan dengan setiap kelas transaksi utama dan untuk asersi yang berhubungan dengan setiap saldo akun yang signifikan. Sebagai contoh, salah saji potensial dapat diidentifikasi untuk asersi pengeluaran kas- kas dan hutang usaha. Cara dimana salah saji dalam asersi kelas transaksi dapat mempengaruhi asersi saldo akun dijelaskan dalam bagian sealjutnya. Contoh dari salah saji potensial untuk beberapa asersi yang berkaitan dengan transaksi pengeluaran kas ditunjukkan dalam kolom dbawah:

Salah saji potensial
Pengendalian yang diperlukan
Pengujian pengendalian
Suatu pengeluaran kas dapat dibuat untuk tujuan yang tidak diotorisasi (keberadaan atau keterjadian untuk transaksi yang valid)
Komputer mencocokkan informasi cek dengan informasi yang mendukung tanda bukti dan hutang usaha untuk setiap transaksi pengeluaran
Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer
Hanya personel dengan otorisasi yang diizinkan untuk menjalankan program dan mneangani cek yang dicetak dan ditandatangani komputer
Mengamati individu-individu yang menangani pengeluaran kas dan membandingkannya dengan daftar personel yang memiliki otorisasi
Pemisahan tugas dalam menyetujui tanda bukti (voucher) pembayaran dan menandatangani cek
Mengamati pemisahan tugas
Suatu tanda bukti mungkin dibayar dua kali (keberadaan dan keterjadian dari transaksi yang valid)
Komputer secara elektronik membatalkan tanda bukti dan informasi pendukung ketika cek diterbitkan
Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer
Memberi tanda pada bukti pembayaran dan dokumen pendukung dengan tanda luns ketika cek diterbitkan
Mengemati pemberian cap kepada dokumen dan/ atau memeriksa sampael dari dokumen yang telah dibayar untuk memeriksa adanya tanda lunas
Suatu cek dapat diterbitkan untuk jumlah yang salah atau dicatat dalam jumlah yang salah (penilaian atau alokasi)
Komputer mencocokkan informasi cek dengan informasi yag mendukung tanda bukti dan hutang usaha untuk setiap transaksi pengeluaran
Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer
Komputer membandingkanjumlah cek yang diterbitkan dengan jumlah yang dicatat dalam pengeluaran kas
Menggunakan teknik-teknik audit dengan bantuan komputer, seperti data pengujian untuk menguji pengendalian aplikasi komputer
Rekonsiliasi bank independen secara periodik
Mengamati kinerja rekonsiliasi bank dan/ atau memeriksa rekonsiliasi bank.
Tabel 1: salah saji material, pengendalian yang diperlukan, dan pengujian pengendalian – transaksi pengeluaran kas

3.    Mengidentifikasi pengendalian yang diperlukan.
Seorang auditor dapat mengidentifikasi pengendalian yang diperlukan yang mungkin dapat mencegah atau mendeteksi dan memperbaiki salah saji potensial tertentu dengan menggunakan perangkat lunak computer yang memroses jawaban kuesioner pengendalian intern atau dengan secara manual menggunakan daftar. Kolom kedua dalam dalam tabel diatas mengilustrasikan pengendalian potensial untuk asersi laporan keuangan tertentu. Perhatikan bahwa dalam beberapa kasus, beberapa pengendalian dapat berkaitan dengan suatu salah saji potensial tertentu. Dalam kasus lain, suatu pengendalian tunggal dapat diaplikasikan .
Menspesifikasikan pengendalian yang diperlukan juga memerlukan pertimbangan mengenai situasi dan penilaian. Sebagai contoh, jika terdapat volume transaksi pengeluaran kas yang tinggi, maka pemeriksaan independen antara antara rinkasan harian dari cek-cek yang disetujui untuk diterbitkan dengan pemasukan dalam jurnal pengeluaran kas, yang memungkinkan pendeteksian secara tepat waktu dari salah saji, mungkin diperlukan. Jika volume transaksi pengeluaran kas kecil dan pendeteksian yang tepat waktu dari salah saji tidak penting, maka rekonsiliasi bank harian secara independen dan periodik mungkin sudah cukup untuk mengkompensasi kurangnya pengujian independen harian. Dalam situasi tertentu, rekonsiliasi bank dapat dianggap sebagai pengendalian kompensasi.
Pengendalian yang diperlukanyag ditujukkan dalam tabel 1 diatas, baik pengendalian aplikasi maupun pengendalian manual, dapat diklasifikasika sebagai bagian dari komponen aktivitas pengendalian dari pengendalian internal. Auditor seharusnya menyadari bahwa beberapa pengendalian yang berkaitan dengan komponen pengendalian intern lain dapat secara simultan mempengaruhi risiko salah saji potensial dalam asersi yang berkaitan dengan beberapa kelas transaksi atau saldo akun. Sebagai contoh, kompetensi dan kepercayaan yang dapat diperoleh dari manajer-manajer tertentu, dan jawaban juga karyawan yang terlibat dalam pemrosesan transaksi pengeluaran kas, dapat mempengaruhi asersi untuk kelas transaksi. Pada kenyataannya, kurangnya kompetensi dan tingkat kepercayaan pada manajer atau karyawan kunci dapat mengurangi efektivitas dan aktivitas pengendalian lainnya. Oleh karena itu, auditor harus mengasimilasikan informasi mengenai berbagai jenis pengendalian yang mungkin berhubungan dengan komponen pengendalian intern dalam mempertimbangkan risiko salah saji potensial untuk asersi tertentu.
Berdasarkan pengetahuan yang diperoleh dari prosedur utuk memperoleh suatu pemahamandan mengidentifikasi salah saji material serta pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji, auditor dapat membuat suatu perkiraan awal dan risiko pengendalian. Akan tetapi, meskipun memilki pemahaman yang lengkap mengenai rancangan pengendalian dan apakah sudah diterapkan dalam operasi, namun hal itu hanya memungkinkan auditor untuk menilai risiko pengendalian pada tingkat maksimium. Untuk memperoleh suatu penilaian risiko pengendalian dibawah maksimum, baik bersamaan dengam memperoleh suatu pemahaman maupun lagkah selanjutnya, harus diperoleh bukti mengenai efektivitas rancangan dan operasis dari pengendalian yang diperlukan.
4.    Melaksanakan pengujian pengendalian
Pengujian yang dideskripsikan termasuk teknik audit dengan bantuan computer, bukti pendokumentasian inspeksi, pertanyaan terhadap personel, dan mengamati personel klien dalam melaksanakan pengendalian. Hasil dari setiap pengujian pengendalian seharusnya menyediakan bukti mengenai efektivitas dari rancangan dan operasi dari pengendalian yang diperlukan. Sebagai contoh, dengan menggunakan teknik audit dengan bantuan komputer untuk menguji bahwa komputer membandingkan jumlah cek yang diterbitkan dengan pemasukan dan pengeluaran kas, auditor memperoleh bukti mengenai efektivitas pengendalian terhadap transaksi pengeluaran kas.
Dalam menentukan pengujian yang akan dilaksanakan, auditor mempertimbangkan jenis bukti yang tersedia dan biaya pelaksanaan pengujian. Ketika pengujian yang akan dilaksanakan telah dipilih, auditor biasaya menyiapkan suatu program audit tertulis untuk pengujian pengendalian yang terencana.
5.    Mengevaluasi bukti dan membuat penilaian
Penilaian akhir dari risiko pengendalian untuk asersi laporan keuangan didasarkan pada pengevaluasian bukti yang diperoleh dari (1) prosderu utuk memperoleh pemahaman mengenai pengendalian intern, dan (2) pengujia pengendalian yang berhubungan. Menentukan tingkat risiko pengendalian yang dinilai merupakan masalah pertimbangan professional. AU 319.64 menyarankan agar auditor mempertimbangkan jenis bukti, sumber bukti, batas watu dan keberadaan dari bukti lain yang berhubugan dengan penilaian risiko pengendalian ketika membuat pertimbangan tersebut.
Sebagai contoh, pendokumentasian dari rancangan dan pengoperasian aktivitas pengendalian yang dilaksanakan oleh suatu komputer mungkin tidak ada hingga auditor dapat memilih untuk menggunakan teknik dengan bantuan komputer untuk melaksanakan ulang (reform) penerapan pengendalian yang relevan. Dengan memperhatikan sumber bukti, pengamatan pribadi auditor secara langsung terhadap pemisahan tugas biasanya menyediakan lebih banyak keyakinan daripada membuat pertanyaan mengenai individu. Namun demikian, auditor seharusnya mempertimbangkan bahwa penerapan yang diamati dari suatu pengendalian mungkin tidak dilaksanakan dengan cara yang sama ketika auditor tidak hadir. Ketika mengevaluasi batas waktu  Pengujian pengendalian,a auditor seharusanya mempertimangkan bahwa bukti yang diperoleh oleh beberapa pengujian pengendalian berkaitan hanya dengan titik waktu dimana prosedur audit diterapkan. Sebagai contoh, auditor dapat menguji operasi dari suatu proseddur pengendalian aplikasi komputer pada suatu titik waktu tertentu utnuk memeperoleh bukti mengenai apakah program melaksanakan pengedalian secara efektif. Untuk menyeimbangkan, auditor dapat melaksanakan pengujian pengendalian terhadap rancangan dan pengoperasian pengendalian umum komputer selama periode audit umntuk memperoleh bukti mengenai apakah aktivitas pengendalian terprogram dioperasikan secara konsisten selama periode audit.
Akhirnya, jika berbagai jenis bukti mendukung kesimpulan yang sama mengenai efektivitas suatu pengendalian, tingkat keyakinan meningkat. Sebaliknya, jika bukti-bukti yang ada mendukung beberapa kesimpulan yang berbeda, tingkat keyakinan menurun.  Sebagai contoh, teknik audit dengan bantuan komputer dapat menunjukkan bahwa komputer telah melaporkan pengecualian secara tepat dalam laporan pengecualian, tapi pertanyaan auditor mengenai orang yang mneindaklanjuti laporan pengecualian menunjukkan bahwa terdapat kekurangan dalam pemahaman prosedur pengendalian yang diterapkan. Bukti lisan selanjutnya akan mengurangi keyakinan yang diperoleh dari pengujian pengendalian yang mengidentifikasi transaksi utnuk ditindaklanjuti.
Pengevaluasian bukti melibatkan baik pertimbangan kuantitatif maupun kualitatif. Dalam menarik suatu kesimpulan mengenai efektivitas pengendalian intern, auditor sering kali menggunakan petunjuk pengendalian menegnai frekuensi penyimpangan yang dapat ditoleransi, yang biasanya diekspresikan dalam bentuk presentase, dari pelaksanaan suatu pengendalian yang sesuai.
Penilaian risiko pengendalian dapat dinyatakan dalam bentuk kuantitatif (seperti, terdapat 10% risiko bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu) atau secara kualitatif (seperti, terdapat suatu risiko yang rendah bahwa pengendalian yang relevan tidak akan mencegah atau mendeteksi dan memperbaiki jenis salah saji tertentu). Perlu diketahui bahawa menilai risiko untuk suatu asersi merupakan faktor kritis dalam menentukan tingkat risiko detetksi yang dapat diterima untuk asersi tersebut, dimana pada akhirnya akan mempengaruhi tingkat pengujian substantif yang direncanakan termasuk sifat, waktu, luas, dan penentuan staf pada pengujian yang akan dilaksanakan untuk melengkapi audit. Jika risiko penegndalian dinilai terlalu rendah, risiko deteksi mungkin ditetapkan terlalu tinggi dan auditor mungkin tidak melaksanakan pengujian substantif yang mencukupi, yang akan menghasilkan suatu audit yang tidak efektf. Sebaliknya, jika risiko pengendalian ditetapkan terlalu tinggi, pengujian substantif yang dilakukan mungkin lebih banyak dari sebenarnya diperlukan, sehingga menghasilkan audit yang tidak efisien. 
B.    MENILAI RISIKO PENGENDALIAN DALAM SUATU LINGKUNGAN TEKNOLOGI INFORMASI
1.    Strategi untuk melaksanakan pengujian pengendalian
Tiga strategi yang berhubungan dengan penilaian risiko pengendalian adalah :
a.    Menilai risiko pengendalian berdasarkan pengendalian pemakai
b.    Merencanakan suatu penilaian risiko pengendalian yang rendah berdasarkan pengendalian aplikasi
c.     Merencanakan suatu penilaian risiko pengendalian yang tinggi berdasarkan pada pengendalian umum dan tindak lanjut manual

a)    Pengendalian pemakai
Dalam banyak kasus, klien mungkin merancang prosedur manual untuk menguji kelengkapan dan keakuratan dari transaksi yang diproses oleh komputer. Sebagai contoh, manajer yang mengenal denagn baik transaksi yang berada dalam otoritasnya mungkin menunjau suatu daftar pembelian yang dibebankan ke dalam akun mereka. Alternatif lain, seorang individu dalam suatu departemen pemakai dapat membandingkan output yang dihasilkan oelh komputer dengan dokumen sumber yang mendukung transaksi. Meskipun kedua pengendalian ini dapat mendeteksi dan memperbaiki salah saji, namun opengendalian yang terakhir dilaksanakan dengan tingkat rincian yang lebih tinggi dan mungkin menyediakan suatu tingkat keyakinan yang lebih tinggi dan bahwa salah saji telah dideteksi dan diperbaiki.
Jika terdapat prosedur semacam itu, maka auditor dapat menguji pengendalian pemakai yang berhubungan dengan suatu asersi secara langsung, serupa dengan pengujian pengendalian dalam struktur manual. Keunggulan dari strategi ini adalah tidak diperlukannya pengujian terhadap komplektisitas program komputer.
b)    Pengendalian Aplikasi.
Banyak perusahaan memiliki beberapa tingkatan pengendalian manajemen yang menyediakan suatu tingkat peninjauan transaksi yang lebih tinggi yang menjadi tanggungjawab mereka. Namun demikian, pengendalian manajemen tersebut mungkin tidak menyeddiakan keyakinan yang cukup sehingga memungkinkan auditor utnuk mengurangi risiko pengendalian hingga suatu tingkat yang rendah. Sebagai akibatnnya, auditor mungkin merencanakan suatu strategi untuk menilai risiko pengendalian pada tingkat yang rendah berdasarkan pengendalian aplikasi komputer.Dalam rangka melaksanakan strategi ini auditor seharusnya :
1.    Menguji pengendalian aplikasi computer
2.    Menguji pengendalian umum computer
3.    Menguji tindak lanjut manual untuk pengecualian yang dicatat oleh pengendalian aplikasi
Untuk meningkatkan ketepatan waktu dari bukti, audit melaksanakan pengujian pengendalian berkaitan dengan modifikasi dan penggunaan program tersebut untuk menguji apakah pengendalian yang terprogram beroperasi secara konsisten selama periode audit.
c)    Pengendalian umum dan prosedur tindak lanjutan
Internal Control Audit Guide menyajikan suatu strategi audit yang memungkinkan auditor untuk menyelesaikan tugas ini berdasarkan bukti mengenai efektivitas pengendalian umum dan prosedur tindak lanjut manual. Ketika menguji pengendalian umum, biasanya auditor akan  mempelajari efektivitas rancangan dan menguji pengendalian aplikasi. Sebagai tambahan, auditor dapat membuat kesimpulan mengenai efektivitas pengendalian aplikasi dan mengidentifikasikan pengecualian menlalui pengajuan pertanyaan kepada individu yang berpengetahuan yang melaksanakan prosedur  tindak lanjut manual.
2.    Teknik audit berbantuan komputer
TABK meliputi penggunaan computer untuk secara langsung menguji pengendalian aplikasi. Pengujian ini digunakan secara ekstensif dalam menguji rutinitas validasi pemasukan dan pengendalian pemrosesan terprogram.
Menurut IAPI (SPAP seksi 327.8-16) faktor-faktor yang harus dipertimbangkan dalam penggunaan Teknik audit Berbantuan Komputer adalah:
a.    Pengetahuan, keahlian, dan pengalaman komputer yang dimiliki oleh auditor.
b.    Tersedianya TABK dan fasilitas komputer yang sesuai.
Auditor harus mempertimbangkan tersedianya TABK, kesesuaian fasilitas komputer dan sistem akuntansi serta file berbasis komputer yang diperlukan. Auditor dapat merencanakan untuk menggunakan fasilitas komputer yang lain bila penggunaan TABK atas komputer entitas dianggap tidak ekonomis atau tidak praktis untuk dilakukan-sebagai contoh, karena adanya ketidaksesuaian antara program paket yang digunakan oleh auditor dengan komputer entitas.
Kerja sama dari karyawan entitas dapat diperoleh untuk menyediakan fasilitas pengolahan pada waktu yang tepat, untuk membantu seperti memuat dan menjalankanTABK. Ke dalam sistem entitas, dan menyediakan copy file data dalam format yang dikehendaki oleh auditor.
c.     Ketidakpraktisan pengujian manual.
Banyak sistem akuntansi terkomputerisasi dalam melaksanakan tugas tertentu tidak menghasilkan bukti yang dapat dilihat. Dalam keadaan ini, tidaklah praktis bagi auditor untuk melakukan pengujian secara manual. Tidak adanya bukti yang dapat dilihat dapat terjadi pada berbagai tahap proses akuntansi-seperti:
a)      Dokumen masukan dapat tidak ada bila order penjualan dimasukkan ke dalam system secara on-line. Di samping itu, transaksi akuntansi, seperti perhitungan potongan harga dan bunga, dapat dipicu dengan program komputer tanpa otorisasi yang dapat dilihat untuk setiap transaksi secara individual.
b)   Sistem dapat tidak menghasilkan jejak audit (audit trail) yang dapat dilihat untuk transaksi yang diolah melalui komputer. Surat penyerahan barang dan faktur dari pemasok dapat ditandingkan dengan suatu program komputer. Di samping itu, prosedur pengendalian program, seperti pengecekan batas kredit pelanggan, dapat menyediakan bukti yang dapat dilihat hanya atas dasar penyimpangan. Dalam hal ini, tidak terdapat bukti yang dapat dilihat bahwa semua transaksi telah diolah.
c)    Laporan keluaran dapat tidak diproduksi oleh sistem. Sebagai tambahan, suatu laporan tercetak dapat hanya berisi total ringkasan sementara rincian yang mendukung laporan tersebut tetap ditahan dalam file komputer.
d.    Efektivitas dan efisiensi
Efektivitas dan efisiensi prosedur audit dapat ditingkatkan melalui penggunaan TABK dalam memperoleh dan mengevaluasi bukti audit-seperti:
a)    Beberapa transaksi dapat diuji lebih efektif untuk tingkat biaya yang sama dengan menggunakan komputer untuk memeriksa semua atau lebih banyak transaksi dibandingkan dengan jika dilaksanakan secara manual.
b)    Dalam penerapan prosedur analitik, transaksi atau saldo akun dapat di-review dan dicetak laporannya untuk pos-pos yang tidak biasa dengan cara yang lebih efisien dengan menggunakan komputer bila dibandingkan dengan cara manual.
c)    Penggunaan TABK dapat membuat prosedur pengujian substantif tambahan lebih efisien daripada jika auditor meletakkan kepercayaan atas pengendalian dan pengujian pengendalian yang bersangkutan.
Masalah yang berhubungan dengan efisiensi yang perlu dipertimbangkan oleh auditor meliputi:
a)      Waktu untuk merencanakan, merancang, melaksanakan, dan mengevaluasi TABK.
b)      Jam asisten dan review teknis.
c)      Perancangan dan pencetakan formulir (seperti konfirmasi).
d)     Pencatatan masukan ke dalam sistem komputer dan verifikasinya. d. Waktu pemakaian komputer.
Dalam mengevaluasi efektivitas dan efisiensi suatu TABK, auditor dapat mempertimbangkan daur hidup aplikasi TABK. Perencanaan mula-mula, perancangan, dan pengembangan suatu TABK biasanya akan memberikan manfaat terhadap audit periode berikutnya.
e.    Saat pelaksanaan.
File komputer tertentu, seperti file transaksi rinci, seringkali ditahan hanya untuk jangka waktu pendek, dan mungkin tidak disediakan dalam bentuk yang dapat dibaca oleh mesin pada saat diperlukan oleh auditor. Jadi, auditor akan memerlukan pengaturan untuk mempertahankan data yang dibutuhkannya, atau is dapat mengubah saat pekerjaannya memerlukan data tersebut.
Jika waktu yang tersedia untuk melaksanakan audit terbatas, auditor dapat merencanakan.penggunaan TABK karena program tersebut akan dapat memenuhi persyaratan waktu lebih baik dibandingkan dengan prosedur lain.
Dalam SPAP seksi 327.7 diungkapkan bahwa  TABK dapat digunakan dalam pelaksanaan berbagai prosedur audit berikut ini:
a.    Pengujian rincian transaksi dan saldo-seperti, penggunaan perangkat lunak audit untuk menguji semua (suatu sampel) transaksi dalam file komputer.
b.     Prosedur review analitik-seperti, penggunaan perangkat lunak audit untuk mengidentifikasi unsur atau fluktuasi yang tidak biasa.
c.    Pengujian pengendalian (test of control) atas pengendalian umum sistem informasi komputer-seperti, penggunaan data uji untuk menguji prosedur akses ke perpustakaan program (program libraries).
d.    Pengujian pengendalian atas pengendalian aplikasi sistem informasi komputer -seperti, penggunaan data uji untuk menguji berfungsinya prosedur yang telah diprogram.
e.    Mengakses file, yaitu kemampuan untuk membaca file yang berbeda record-nya dan berbeda formatnya.
f.     Mengelompokkan data berdasarkan kriteria tertentu.
g.    Mengorganisasi file, seperti menyortasi dan menggabungkan.
h.    Membuat laporan, mengedit dan memformat keluaran.
i.      Membuat persamaan dengan operasi rasional (AND; OR; =; < >; <; >; IF).

Teknik audit berbantuan komputer penting yang digunakan untuk menguji pengoperasian dari pengendalian aplikasi terprogram tertentu termasuk (1) simulasi pararel, (2) pengujian data, (3) fasilitas pengujian terintegrasi, dan (4) pemantauan yang berkelanjutan atas sistem real-time online. 
a)    Simulasi parallel
Dalam simulasi paralel data perusahaan actual diproses ulang dengan menggunakan suatu program perangkat lunak yang dikendalikan oleh auditor. Pendekatan ini memiliki keuntungan sebagai berikut :
1)    Karena digunakan data riil,maka auditor dapat memeriksa transaksi dengan menulusurinya ke dokumen sumber dan persetujuan
2)    Ukuran sampel dapat dikembangkan dengan biaya tambahan yang relative kecil.
3)    Auditor dapat secara independen menjalankan pengujian
Jika auditor memutuskan untuk menggunakan simulasi pararel, maka perhatian haris diberikan guna menentukan bahwa data yang terpilih untuk simulasi mewakili transaksi aktual klien. Juga bahwa sistem klien dapat melakukan operasi yang berada diluar kapasitas perangkat lunak komputer.
b)    Data pengujian
Dengan pendekatan ini transaksi buatan disiapkan oleh auditor dan diproses menurut pengendalian auditor dengan program computer klien. Metode ini memiliki beberapa kekurangan yaitu :
4)    Program klien diuji hanya pada titik waktu tertentu dan tidak sepanjang periode
5)    Metode yang digunakan adalah suatu pengujian dimana hanya pengendalian yang ada dan yang berfungsi yang diuji oleh program
6)    Tidak terdapat pemeriksaan dokumentasi secara actual diproses oleh system
7)    Operator computer mengetahui bahwa data pengujian sedang dijalankan, sehigga dapat mengurangi validitas output
8)    Lingkup pengujian terbatas pada imajinasi auditor dan pengetahuan tentang pengendalian dalam aplikasi
c)    Fasilitas pengujian integrasi
Pendekatan ini membutuhkan pembentukan suatu subsistem yang kecil dalam system teknologi informasi regular. Data pengujian, yang diberi kode secara khusus untuk berhubungan dengan file master buatan, diperkenalkan ke dalam system bersamaan dengan transaksi actual. Metode ITF memiliki kelemahan yaitu, risiko potensial terjadinya kekeliruan dalam data klien. Selain itu, modifikasi juga mungkin diperlukan dalam program klien untuk mengakomodasi data buatan.
d)    Pemantauan yang berkelanjutan terhadap system OLRT
Pendekatan ini tidak digunakan secara luas oleh auditor karena kontaminasi terhadap file data dan kesulitan dalam menyimpan data hipotesis. Modul audit ini menyediakan suatu cara bagi auditor untuk memilih transaksi yang memiliki karakteristik penting bagi auditor.
1)    Memberi label pada transaksi. Meliputi penempatan suatu indicator atau label pada transaksi tertentu. Adanya label ini mebuat transaksi dapat ditelusuri melalui system ketika sedang diproses.
2)    Log audit. Adalah suatu catatan mengenai aktivitas pemrosesan tertentu, digunakan untuk mencatat kejadian yang memenuhi criteria yang ditentukan auditor ketika mereka muncul pada titik tertentu dalam system.
3.    Menilai pengendalian teknologi informasi
Proses untuk menilai risiko pengendalian adalah sama baik ketika klien menggunakan pengendalian manual, pengendalian yang mengambil keuntungan teknologi informasi atau keduanya. Penting untuk (1) mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman, (2) mengidentifikasikan salah saji potensial yang muncul dalam asersi, (3) mengidentifikasi pengendalian yang diperlukan untuk mencegah atau mendeteksi dan memperbaiki salah saji tersebut, (4) melaksanakan pengujian pengendalian, (5) mengevaluasi bukti dan membuat penilaian.
Menurut IAPI (SPAP seksi 314 alinea 5-8) Pengendalian intern atas pengolahan komputer, yang dapat membantu pencapaian tujuan pengendalian intern secara keseluruhan, mencakup baik prosedur manual maupun prosedur yang didesain dalam program komputer. Prosedur pengendalian manual dan komputer terdiri atas pengendalian menyeluruh yang berdampak terhadap lingkungan SIK (pengendalian umum SIK) dan pengendalian khusus atas aplikasi akuntansi (pengen aplikasi SIK).
a)    Pengendalian Umum SIK
Tujuan pengendalian umum (general control) SIK adalah untuk membuat rerangka pengendalian menyeluruh atas aktivitas SIK dan untuk memberikan tingkat keyakinan memadai bahwa tujuan pengendalian intern secara keseluruhan dapat tercapai. Pengendalian umum meliputi:
a.    Pengendalian organisasi dan manajemen-didesain untuk menciptakan rerangka organisasi aktivitas SIK, yang mencakup:
(1)  Kebijakan dan prosedur yang berkaitan dengan fungsi pengendalian.
(2)  Pemisahan semestinya fungsi yang tidak sejalan (seperti penyiapan transaksi masukan, pemrograman, dan operasi komputer).
b.    Pengendalian terhadap pengembangan dan pemeliharaan sistem aplikasi-didesain untuk memberikan keyakinan memadai bahwa sistem dikembangkan dan dipelihara dalam suatu cara yang efisien dan melalui proses otorisasi semestinya. Pengendalian ini juga didesain untuk menciptakan pengendalian atas:
(1)  Pengujian, perubahan, implementasi, dan dokumentasi sistem baru atau sistem yang direvisi.
(2)  Perubahan terhadap sistem aplikasi.
(3)  Akses terhadap dokumentasi sistem.
(4)  Pemerolehan sistem aplikasi dan listing program dari pihak ketiga.
c.    Pengendalian terhadap operasi sistem-didesain untuk mengendalikan operasi sistem dan untuk memberikan keyakinan memadai bahwa:
(1)  Sistem digunakan hanya untuk tujuan yang telah diotorisasi.
(2)  Akses ke operasi komputer dibatasi hanya bagi karyawan yang telah mendapat otorisasi.
(3)  Hanya program yang telah diotorisasi yang digunakan.
(4)  Kekeliruan pengolahan dapat dideteksi dan dikoreksi.
d.    Pengendalian terhadap perangkat lunak sistem-didesain untuk memberikan keyakinan memadai bahwa perangkat lunak sistem diperoleh atau dikembangkan dengan cara yang efisien dan melalui proses otorisasi semestinya, termasuk:
(1)  Otorisasi, pengesahan, pengujian, implementasi, dan dokumentasi perangkat lunak sistem baru dan modifikasi perangkat lunak sistem.
(2)  Pembatasan akses terhadap perangkat lunak dan dokumentasi sistem hanya bagi karyawan yang telah mendapatkan otorisasi.
e.    Pengendalian terhadap entry data dan program-didesain untuk memberikan keyakinan bahwa:
(1)  Struktur otorisasi telah ditetapkan atas transaksi yang dimasukkan ke dalam sistem.
(2)  Akses ke data dan program dibatasi hanya bagi karyawan yang telah mendapatkan otorisasi.
Terdapat penjagaan keamanan SIK yang lain yang memberikan kontribusi terhadap kelangsungan pengolahan SIK. Hal ini meliputi:
a.    Pembuatan cadangan data program komputer di lokasi di luar perusahaan.
b.    Prosedur pemulihan untuk digunakan jika terjadi pencurian, kerugian, atau penghancuran data baik yang disengaja maupun yang tidak disengaja.
c.    Penyediaan pengolahan di lokasi di luar perusahaan dalam hal terjadi bencana.
b)    Pengendalian Aplikasi SIK
Tujuan pengendalian aplikasi (application control) SIK adalah untuk menetapkan prosedur pengendalian khusus atas aplikasi akuntansi untuk memberikan keyakinan memadai bahwa semua transaksi telah diotorisasi dan dicatat, serta diolah seluruhnya, dengan cermat, dan tepat waktu. Pengendalian aplikasi mencakup:
a.    Pengendalian atas masukan-didesain untuk memberikan keyakinan memadai bahwa:
(1)  Transaksi diotorisasi sebagaimana semestinya sebelum diolah dengan komputer.
(2)  Transaksi diubah dengan cermat ke dalam bentuk yang dapat dibaca mesin dan dicatat dalam file data komputer.
(3)  Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
(4)  Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali secara tepat waktu.
b.    Pengendalian atas pengolahan dan file data komputer-didesain untuk memberikan keyakinan memadai bahwa
(1)  Transaksi, termasuk transaksi yang dipicu melalui sistem, diolah semestinya oleh komputer.
(2)  Transaksi tidak hilang, ditambah, digandakan, atau diubah tidak semestinya.
(3)  Kekeliruan pengolahan diidentifikasi dan dikoreksi secara tepat waktu.
c.     Pengendalian atas keluaran-didesain untuk memberikan keyakinan memadai bahwa:
(1)  Hasil pengolahan adalah cermat.
(2)  Akses terhadap keluaran dibatasi hanya bagi karyawan yang telah mendapatkan otor
(3)  Keluaran disediakan secara tepat waktu bagi karyawan yang mendapatkan oton semestinya.
d.    Pengendalian masukan, pengolahan, dan keluaran dalam sistem on-line
(1)  Pengendalian masukan pada sistem on-line-didesain untuk memberikan key bahwa:
-          Transaksi di-entry ke terminal yang semestinya.
-          Data di-entry dengan cermat.
-          Data di-entry ke periode akuntansi yang semestinya.
-          Data yang di-entry telah diklasifikasikan dengan benar dan pada nilai transaks' sah (valid).
-          Data yang tidak sah (invalid) tidak di-entry pada saat transmisi.
-          Transaksi tidak di-entry lebih dari sekali.
-          Data yang di-entry tidak hilang selama masa transmisi berlangsung.
-          Transaksi yang tidak berotorisasi tidak di-entry selama transmisi berlangsung.
(2)  Pengendalian pengolahan pada sistem on-line--didesain untuk memberikan keyakinan bahwa:
(i)        Hasil penghitungan telah diprogram dengan benar.
(ii)       Logika yang digunakan dalam proses pengolahan adalah benar.
(iii)      File yang digunakan dalam proses pengolahan adalah benar.
(iv)     Record yang digunakan dalam proses pengolahan adalah benar.
(v)       Operator telah memasukkan data ke komputer console yang semestinya.
(vi)     Tabel yang digunakan selama proses pengolahan adalah benar.
(vii)    Selama proses pengolahan telah digunakan standar operasi (default) yang semestinya.
(viii)   Data yang tidak sah tidak digunakan dalam proses pengolahan.
(ix)     Proses pengolahan tidak menggunakan program dengan versi yang salah.
(x)      Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai dengan kebijakan manajemen entitas.
(xi)     Data masukan yang diolah adalah data yang berotorisasi.
(3)  Pengendalian keluaran pada sistem on-line-didesain untuk memberikan keyakinan bahwa:
(i)      Keluaran yang diterima oleh entitas adalah tepat dan lengkap.
(ii)     Keluaran yang diterima oleh entitas adalah terklasifikasi.
(iii)    Keluaran didistribusikan ke personel yang berotorisasi.
Tabel 2 dan 3 masing-masing menunjukkan contoh-contoh salah saji potensial serta pengendalian yang diperlukan untuk pengendalian umum dan pengendalian aplikasi.

Salah saji potensial
Pengendalian yang diperlukan
Kemungkinan pengujian pengendalian
PENGENDALIAN ORGANISASI DAN OPERASI
Operator komputer dapat memodifikasi program ke dalam pengendalian terprogram
Pemisahan tugas dalam teknologi informasi untuk pemrograman komputer dan pengoperasian komputer
Mengamati pemisahan tugas dalam teknologi informasi
Personel teknologi informasi dapt memulai dan memproses transaksi tanpa otorisasi
Pemisahan tugas antar departemen pemakai dan teknologi informasi untuk memulai dan memproses transaksi
Mengamati pemisahan tugas antara departemen pemakai dan pemrosesan data elektronik
PENGENDALIAN PENGEMBANGAN SISTEM DAN PENDOKUMENTASIAN
Rancangan sistem mungkin tidak memenuhi kebutuhan departemen pemakai atau auditor
Partisipasi personel dari departemen pemakai dan audit internal dalam merancang dan menyetujui sistem baru
Pertanyaan mengenai partisipan yang terlibat dalam perancangan sistem baru, memeriksa bukti untuk persetujuan sistem baru
Perubahan program yang tidak diotorisasi dapat menghasilkan kekeliruan pemrosesan yang tidak diantisipasi
Pemeriksaan intern mengenai otorisasi yang tepat, pengujian dan pendokumentasian dari perubahan program sebelum pengimplementasian
Memeriksa bukti verifikasi intern; menelusuri perubahan program ke dokumentasi yang mendukung
PENGENDALIAN PERANGKAT KERAS DAN PERANGKAT LUNAK SISTEM
Kerusakan peralatan dapat menghasilkan kekeliruan pemrosesan
Pengendalian perangkat keras dan perangkat lunak sistem untuk mendeteksi kerusakan
Memeriksa spesifikasi perangkat keras dan lunak sistem
Perubahan yang tidak diotorisasi dalam perangkat lunak sistem dapat menghasilkan kekeliruan pemrosesan
Persetujuan dan pendokumentasian dari semua perubahan.
Memeriksa bukti dan persetujuan pendokumentasian perubahan.
PENGENDALIAN AKSES
Pemakai tanpa otorisasi dapat memeperoleh akses terhadap peralatab teknologi informasi
Keamanan fisik dan fasilitas teknologi informasi; tinjauan manajemen mengenai laporan penggunaan.
Memeriksa pengaturan keamanan dan laporan penggunaan
Arsip data dan program dapat diperbarui oelh pemakai yang tidak memiliki otorisasi
Penggunaan perpusatakaan, pustakawan, dan log untuk membatasi dan mengawasi pemakaian
Memeriksa fasilitas dan log
PENGENDALIAN DATA DAN PROSEDUR
Kekeliruan dapat terjadi dalam memasukkan atau memproses data dan mendistribusikan keluaran
Penggunaan kelompok pengendalian data yang bertanggungjawab untuk memelihara pengendalian terhadap data masukan, pemrosesan dan output.
Mengamati pengopersian kelompok pegendalian data
Kontinuitas pengoperasian dapat terganggu oleh suatu bencana seperti kebakaran atau banjir
Rencana kontijensi termasuk pengaturan untuk penggunaan fasilitas cadangan
Memeriksa rencana kontijensi
Arsip data dan program dapat rusak atau hilang
Penyimpanan arsip cadangan dan program off premise; ketentuan untuk rekonstruksi arsip data
Memeriksa fasilitas penyimpanan; mengevalusasi kemampuan rekonstruksi arsip
Tabel 2: pertimbangan penilaian risiko pengendalian untuk pengendalian umum pemrosesan data elektronik (EDP)





Salah saji potensial
Pengedalian yang diperlukan
Kemungkinan pengujian pengendalian
PENGENDALIAN INPUT
Data untuk transaksi yang tidak diotorisasi dapat diserahkan untuk diproses
Otorisasi dan persetujuan data dari departemen pemakai; pengendalian aplikasi membandingkan data dengan otorisasi sebelumnya
Memeriksa dokumen sumber dan untuk membuktikan persetujuan; pengujian aplikasi, pengendalian dengan CAATs, dan mneguji tindak lanjut manual
Data yang valid dapat secara tidak benar dikonversikan dalam bentuk yang dapat dibaca oleh mesin
Pemeriksaan; komputer, total pengendalian
Mengamati verifikasi data prosedur, menggunakan CAATs untuk menguji rutinitas dan menguji tindak lanjut manual; memeriksa rekonsiliasi total pengendalian.
Kekeliruan pada dokumen sumber tidak dapat diperbaiki dan diserahkan ulang
Pemeliharaan dari log kekeliruan; pengembalian kepada departemen pengguna untuk diperbaiki; tindak lanjut manual
Memeriksa log dan bukti tindak lanjut.
PENGENDALIAN PEMROSESAN
Arsip yang salah mungkin diproses dan diperarui
Penggunaan label arsip eksternal dan internal
Mengamati penggunaan label arsip eksternal; memeriksa pendokumentasian label arsip internal
Data mungkin hilang, ditambahkan, digandakan, atau diubah selam pemrosesan
Penggunaan total pengendalian, batasan dan pengujian, pengujian urutan
Memeriksa bukti pengendalian rekonsiliasi total, menggunakan CAAT untuk menguji pengendalian komputer dan menguji tindak lanjut manual
PENGENDALIAN OUTPUT
Output mungkin tidak benar
Rekonsiliasi total oleh kelompok pengendalian data atau departemen pengguna
Memeriksa bukti rekonsiliasi
Output mungkin didistribusikan kepada pemakai yang tidak memiliki otorisasi
Penggunaan lembar pengendalian distribusi laporan; monitoring kelompok pengendalian data.
Memeriksa lembar pengendalian pendistribusian laporan, mengamati monitoring kelompok pengendalian data.
Tabel 3: pertimbangan penilaian risiko pengendalian untuk pengendalian aplikasi komputer

C.   DAMPAK DARI STRATEGI AUDIT PENDAHULUAN
1.    Pendekatan substantif utama
Pendekatan ini tidak memerlukan perluasan prosedur sehingga komponen pengendalian intern aktivitas pengendalian. Tingkat pemahaman dan pendokumentasian dari keempat komponen lain dari pengendalian intern mungkin juga lebih sempit. Asumsi adanya salah satu dari hal-hal :
a.    Tidak terdapat pengendalian intern signifikan yang berkaitan dengan asersi
b.    Setiap pengendalian intern yang relevan mungkin tidak efektif
c.     Tidak efisien untuk memperoleh bukti guna mengevaluasi efektivitas pengendalian intern yang relevan
Jika diperoleh bukti terbatas mengenai efektivitas dari rancangan dan pengoperasian pengendalian intern untuk suatu asersi, auditor dapat membuat penilaian awal dari risiko pengendalian sedikit dibawah tingkat maksimum. Agar efisien dalam hal biaya, kombinasi biaya dalam melaksanakan (1) pengujian pengendalian tambahan, dan (2) pengujian substantive yang diperlukan dengan asumsi adanya risiko pengendalian yang lebih rendah dari biaya pelaksanaan tingkat pengujian substantive yang lebih tinggi, yang diperlukan oleh pendekatan substantive utama.
2.    Tingkat risiko pengendalian yang dinilai lebih rendah
Berdasarkan bukti dari prosedur untuk memperoleh suatu pemahaman, auditor mungkin menemukan bahwa berlawanan dengan ekspektasi, satu atau lebih dari ketiga kondisi yang disebutkan dalam bagian sebelumnya bersinggungan.
Jika auditor tetap melaksanakan pendekatan tingkat risiko pengendalian yang dinilai lebih rendah, auditor akan merencanakan dan melaksanakan pengujian tambahan yang diperlukan untuk memperoleh bukti yang diperlukan guna mendukung penilaian tingkat risiko pengendalian yang direncanakan pada tingkat sedang atau rendah.
Penilaian akhir dan dasar penilaian tersebut kemudian didokumentasikan ke dalam kertas kerja. Jika bukti pengendalian mengarah pada penilaian tingkat risiko pengendalian actual pada tingkat sedang, maka revisi dari pengujian substantive untuk mendukung sautu tingkat risiko pendeteksian yang lebih rendah akan sesuai.
D.   MERANCANG PENGUJIAN PENGENDALIAN
Tujuan menilai risiko pengendalian adalah membantu auditor dalam membuat pertimbangan mengenai risiko salah saji material dalam asersi laporan keuangan. Untuk mencapai hal tersebut, auditor harus mengevaluasi baik efektivitas dari rancangan maupun efektivitas dari pengoperasian pengujian pengendalian.
Pengujian pengendalian yang dirancang untuk mengevaluasi efektivitas operasi dari suatu pengendalian berkaitan dengan (1) bagaimana pengendalian diterapkan, (2) konsistensi ketika pengendalian diterapkan selama periode, dan (3) oleh siapa pengendalian diterapkan. AU 319.53 menyatakan bahwa pengujian untuk memperoleh bukti semacam ini normalnya meliputi:
1.    Pertanyaan terhadap personel entitas yang sesuai
2.    Pemeriksaan dokumen, laporan, atau arsip elektronik, yang menunjukkan pelaksanaan pengendalian
3.    Pengamatan atas penerapan pengendalian
4.    Pelaksanaan ulang dari penerapan pengendalian oleh auditor
Oleh karena banyak perusahaan yang menggunakan prosedur pengendalian terkomputerisasi, maka pelaksanaan ulang dapat mengambil bentuk dengan menggunakan teknik audit berbbantuan komputer/CAAT. Pengguna dapat menyediakan bukti mengenai baik rancangan yang efektif maupun pengopersaian pengendalian.
Menurut IAPI (SPAP 319.64), Apabila auditor menaksir risiko pengendalian di bawah tingkatan maksimum, ia harus memperoleh bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran tersebut. Bukti audit yang cukup untuk mendukung tingkat risiko pengendalian taksiran merupakan masalah pertimbangan auditor. Bukti audit sangat bervariasi dalam memberikan keyakinan kepada auditor pada waktu  mengembangkan tingkat risiko pengendalian taksiran. Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit.
a)    Tipe Bukti Audit
Sifat pengendalian tertentu yang berkaitan dengan suatu asersi mempengaruhi tipe bukti audit yang tersedia untuk mengevaluasi efektivitas desain atau operasi peng tersebut. Untuk beberapa pengendalian, dokumentasi desain atau operasinya mungkin ada Dalam hal tersebut, auditor dapat memutuskan untuk melakukan inspeksi terhadap dokumentasi untuk mendapatkan bukti audit tentang efektivitas desain atau operasinya.
Namun, untuk pengendalian lain, dokumentasi demikian mungkin tidak tersedia atau tidak relevan. Misalnya, dokumentasi mengenai desain atau operasi mungkin tidak ada untuk beberapa faktor lingkungan pengendalian, seperti penetapan wewenang dan tanggung jawab, atau untuk beberapa tipe aktivitas pengendalian, seperti mengenai pemisahan tugas atau beberapa aktivitas pengendalian yang dilakukan dengan komputer. Dalam keadaan ini, bukti audit mengenai efektivitas desain atau operasi dapat diperoleh dengan melakukan pengamatan atau dengan menggunakan teknik audit berbantuan komputer untuk melaksanakan ulang,pengendalian yang relevan
b)    Sumber Bukti Audit
Pada umumnya, bukti audit mengenai efektivitas desain dan operasi pengendalian yang diperoleh langsung oleh auditor, misalnya dengan jalan pengamatan, memberikan keyakinan yang lebih besar daripada bukti audit yang diperoleh secara tidak langsung atau dengan mengambil kesimpulan, misalnya dari permintaan keterangan. Sebagai contoh, bukti audit mengenai pemisahan fungsi yang semestinya, yang diperoleh auditor dengan pengamatan langsung secara pribadi atas orang yang menerapkan prosedur pengendalian, biasanya memberikan keyakinan lebih besar daripada yang diperoleh melalui permintaan keterangan tentang orang tersebut. Namun, auditor harus mempertimbangkan, bahwa penerapan pengendalian yang diamati, mungkin tidak dilaksanakan dengan cara yang sama, jika auditor tidak hadir.
Dengan jalan meminta keterangan saja, pada umumnya tidak memberikan bukti audit yang cukup untuk mendukung kesimpulan tentang efektivitas desain dan operasi pengendalian tertentu. Apabila auditor menentukan bahwa prosedur pengendalian atas asersi tertentu dapat berpengaruh signifikan dalam mengurangi risiko pengendalian pada tingkat yang lebih rendah, biasanya is perlu melakukan pengujian tambahan untuk mendapatkan bukti audit yang cukup dalam mendukung kesimpulan mengenai efektivitas desain dan operasi pengendalian tersebut.
c)    Ketepatan Waktu Bukti Audit
Ketepatan waktu bukti audit berkaitan dengan kapan bukti itu diperoleh dan hubungannya dengan bagian dari masa audit yang l ersangkutan. Dalam mengevaluasi tingkat keyakinan yang diberikan oleh suatu bukti, auditor harus memperhatikan bahwa bukti audit yang diperoleh dengan beberapa pengujian atas pengendalian, misalnya dengan pengamatan, hanya tepat untuk waktu tertentu, pada saat prosedur tersebut diterapkan oleh auditor. Sebagai akibatnya, bukti audit tersebut mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian untuk masa yang tidak termasuk dalam pengujian tersebut. Dalam hal demikian, auditor mungkin memutuskan untuk menambah pengujian dengan pengujian atas pengendalian lainnya, untuk dapat memberikan bukti audit untuk seluruh masa yang diaudit. Sebagai contoh, untuk aktivitas pengendalian yang dilakukan dengan program komputer, auditor mungkin menguji pelaksanaan pengendalian pada satu waktu tertentu untuk mendapatkan bukti apakah program tersebut melakukan pengendalian secara efektif. Kemudian auditor dapat melakukan pengujian atas pengendalian yang diarahkan terhadap desain dan operasi aktivitas pengendalian lainnya, yang berhubungan dengan modifikasi dan penggunaan program komputer tersebut selama masa yang diaudit, untuk mendapatkan bukti apakah aktivitas pengendalian yang sudah diprogramkan bekerja secara konsisten selama masa yang diaudit.
Bukti audit tentang efektivitas desain dan operasi pengendalian yang diperoleh pada audit sebelumnya, dapat dipertimbangkan oleh auditor dalam menaksir risiko pengendalian untuk tahun sekarang. Dalam mengevaluasi penggunaan bukti audit seperti itu untuk masa sekarang, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian tertentu yang dievaluasi dalam masa audit sebelumnya, tingkat efektivitas desain dan operasi pengendalian tersebut yang dievaluasi, hasil pengujian atas pengendalian yang digunakan dalam melakukan evaluasi, dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam audit sekarang. Auditor juga harus memperhatikan bahwa semakin lama waktu berlalu sejak pelaksanaan pengujian pengendalian untuk mendapatkan bukti audit mengenai risiko pengendalian, semakin kurang keyakinan yang dapat diberikannya.
Pada waktu mempertimbangkan bukti audit yang diperoleh dari audit sebelumnya auditor harus mendapatkan bukti audit dari audit sekarang mengenai apakah telah terjadi perubahan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel setelah audit yang lalu. Pertimbangan bukti audit mengenai perubahan tersebut, bersama-sama dengan pertimbangan mengenai hal yang diuraikan dalam paragraf terdahulu mendukung penambahan atau pengurangan bukti audit tambahan yang harus dikumpulkan dalam audit sekarang mengenai efektivitas desain dan operasi yang harus diperoleh dalam periode sekarang.
Pada waktu auditor memperoleh bukti audit mengenai desain dan operasi pengendalian selama masa interim, is harus menentukan bukti audit tambahan apa yang harus diperoleh untuk masa yang tersisa. Dalam membuat keputusan tersebut, auditor harus mempertimbangkan pentingnya asersi yang bersangkutan, pengendalian khusus yang dievaluasi selama masa interim, tingkat efektivitas desain dan operasi pengendalian yang dievaluasi tersebut, hasil pengujian pengendalian yang digunakan dalam membuat evaluasi terhadap lamanya waktu yang masih tersisa dan bukti audit mengenai desain dan operasi yang mungkin diperoleh dari pengujian substantif yang dilakukan dalam masa yang tersisa. Auditor harus mendapatkan bukti audit tentang sifat dan lingkup perubahan signifikan dalam pengendalian intern, termasuk perubahan kebijakan, prosedur dan personel, yang terjadi setelah masa interim
d)    Keterkaitan Bukti Audit
Auditor harus mempertimbangkan pengaruh gabungan dari berbagai tipe bukti audit yang ada kaitannya dengan suatu asersi dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit. Dalam beberapa hal, satu tipe bukti audit saja mungkin tidak cukup untuk mengevaluasi efektivitas desain dan operasi pengendalian. Untuk mendapatkan bukti audit memadai, auditor dapat melakukan pengujian pengendalian yang berkaitan dengan pengendalian tersebut. Misalnya; auditor mungkin mengamati bahwa pemrogram tidak diberi wewenang mengoperasikan komputer. Karena pengamatan hanya berkaitan dengan waktu kegiatan tersebut dilakukan, auditor harus melengkapi pengamatannya dengan permintaan keterangan mengenai seringnya atau dalam hal apa pemrogram dapat melakukan akses ke komputer, dan mungkin memeriksa dokumentasi yang lalu, yang pemrogram mencoba mengoperasikan komputer, untuk menentukan bagaimana usaha tersebut dicegah atau dideteksi
Di samping itu, dalam mengevaluasi tingkat keyakinan yang diberikan oleh bukti audit, auditor harus mempertimbangkan keterkaitan lingkungan pengendalian perusahaan, penaksiran risiko, aktivitas pengendalian, informasi dan komunikasi, dan pemantauan. Walaupun salah satu komponen pengendalian intern mungkin mempengaruhi sifat, saat, dan lingkup pengujian substantif untuk asersi laporan keuangan tertentu, auditor harus mempertimbangkan bukti audit untuk masing-masing komponen dalam hubungannya dengan bukti audit mengenai komponen lainnya dalam mempertimbangkan risiko pengendalian untuk asersi tertentu.
Pada umumnya, apabila berbagai tipe bukti audit mendukung kesimpulan yang sama mengenai desain dan operasi pengendalian, tingkat keyakinan yang diberikan oleh bukti audit tersebut akan meningkat. Sebaliknya, apabila berbagai tipe bukti audit mengakibatkan kesimpulan yang berbeda mengenai desain dan operasi pengendalian keyakinan yang diberikan oleh bukti audit tersebut akan berkurang. Misalnya, berdasarkan bukti audit bahwa lingkungan pengendalian adalah efektif, auditor mungkin mengurangi jumlah lokasi penerapan prosedur audit. Namun, apabila dalam mengevaluasi prosedur pengendalian tertentu, auditor mendapatkan bukti audit bahwa prosedur pengendalian tersebut tidak efektif, ia mungkin mengevaluasi ulang kesimpulan mengenai lingkungan pengendalian antara lain dengan menerapkan prosedur audit pada lokasi tambahan.
Demikian pula, bukti audit yang menunjukkan bahwa lingkungan pengendalian tidak efektif dapat berdampak negatif terhadap komponen yang tadinya efektif untuk asersi tertentu. Misalnya, lingkungan pengendalian yang tampaknya memungkinkan perubahan yang tidak diotorisasi dalam program komputer dapat mengurangi keyakinan yang diberikan oleh bukti audit yang diperoleh dari evaluasi atas efektivitas program pada suatu waktu tertentu. Dalam hal ini, auditor dapat memutuskan untuk mendapatkan bukti audit tambahan mengenai desain dan operasi program tersebut selama masa yang diaudit. Misalnya, auditor mungkin meminta dan mengawasi satu copy program dan mempergunakan teknik audit berbantuan komputer untuk membandingkan copy tersebut dengan program yang dipakai perusahaan untuk memproses data.
Audit atas laporan keuangan adalah suatu proses kumulatif; ketika auditor menaksir risiko pengendalian, informasi yang diperoleh mungkin menyebabkan is mengubah sifat saat, dan lingkup pengujian pengendalian lain yang sudah direncanakan untuk menaksir  risiko pengendalian. Di samping itu, mungkin ada informasi yang masuk ke dalam perhatian  auditor sebagai hasil pelaksanaan pengujian substantif atau dari sumber lain selama melakukan audit, yang sangat berbeda dengan informasi yang dijadikan dasar untuk perencanaan pengujian pengendalian dalam menaksir risiko pengendalian. Sebagai contoh, luasnya salah saji yang  ditemukan auditor ketika melakukan pengujian substantif, mungkin mengubah pertimbangannya mengenai tingkat risiko pengendalian taksiran. Dalam hal ini, auditor mungkin perlu mengevaluasi ulang prosedur substantif yang direncanakan,yang berdasarkan atas pertimbangan baru mengenai tingkat risiko pengendalian taksiran untuk seluruh atau sebagian asersi laporan keuangan.
E.    PENGUJIAN KEPATUHAN
Dalam memenuhi standar auditing kedua, perlu dibedakan antara prosedur pemahaman atas struktur pengendalian intern dan pengujian pengendalian (test of controls). Dalam pelaksanaan standar tersebut, auditor melaksanakan prosedur pemahaman struktur pengendalian intern dengan cara mengumpulkan informasi tentang desain struktur pengendalian intern dan informasi apakah desain tersebut dilaksanakan. Di samping itu, pelaksanaan standar tersebut juga mengharuskan auditor melakukan pengujian terhadap efektivitas struktur pengendalian intern dalam mencapai tujuan tertentu yang telah ditetapkan. Pengujian ini desebut dengan pengujian pengendalian (test of controls).
Untuk menguji kepatuhan terhadapa pengendalian intern, auditor melakukan dua macam pengendalian:
1.    Pengujian adanya kepatuhan terhadap struktur pengendalian intern.
Untuk menentukan apakah informasi mengenai struktur pengendalian yang dikumpulkan oleh auditor benar-benar ada, auditor melakukan dua macam pengujian :
a)    Pengujian transaksi dengan  cara mengikuti pelaksanaan transaksi tertentu.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :
a.    Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.
b.    Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi penerima surat.
c.     Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor seleruhnya ke bank dengan segera.
d.    Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.
b)    Pengujian transaksi tertentu yang telah terjadi dan telah dicatat.
Dalam membuktikan adanya kepatuhan pengendalian intern, auditor dapat memilih transaksi tertentu, kemudian melakukan pengamatan adanya unsur-unsur strukur pengendalian intern dalam transaksi tersebut, sejal transaksi tersebut dimulai sampai dengan selesai. Misalnya auditor memilih transaksi penerimaan kas dari piutang sebagai objek yang akan dibuktikan adanya kepatuhan pengendalian internnya. Auditor melakukan pengamatan unsur-unsur struktur pengendalian sejak dari cek diterima oleh fungsi penerima surat sampai dengan cek disetor oleh fungsi penerima cek disetor oleh fungsi penerima kas ke bank. Pengujian transaksi tersebut dapat berupa :
a.    Pengamatan (mungkin bersifat mendadak) terhadap penerimaan cek dan surat pemberitahuan dari debitur yang dilakukan oleh fungsi penerima surat. Auditor mengamati pembuatan daftar surat pemberitahuan oleh fungsi penerima surat dan cek ke fungsi penerima kas serta pengiriman surat pemberitahuan dan daftar surat pemberitahuan ke fungsi pencatat piutang.
b.    Pengamatan terhadap pembuatan bukti setor bank. Auditor mengamati endorsement atas setiap cek oleh pejabat yang berwenang, memastikan bahwa jumlah cek yang diterima disetor segera ke bank dengan melakukan rekonsiliasi bukti setor bank dengan daftar surat pemberitahuan yang dibuat oleh fungsi penerima surat.
c.     Pengamatan penyetoran cek ke bank. Dalam hal tertentu auditor tidak melakuakn pengamatan penyetotan cek ke bank, namun menempuh konfirmasi ke bank untuk memastikan bahwa jumlah kas yang diterima dari piutang disetor seleruhnya ke bank dengan segera.
d.    Pemeriksaan atas pencatatan penerimaan kas dari debitur tersebut ke dalam kartu pitang debitur yang bersangkutan dan ke dalam jurnal penerimaan kas.
dalam hal tertentu, auditor seringkali melakukan pengujian pengendalian terhadap transaksi tertentu yang telah terjadi dan telah dicatat dalam catatan akuntansi. Dalam hal ini auditor harus memilih transaksi tertentu kemudian mengikuti pelaksanaanya (reperforming) sejak awal sampai selesai, melalui dokumen-dokumen yang dibuat dalam transaksi tersebut dan pencatatannya dalam catatan akuntansi. Sebagai contoh untuk menyelidiki apah sistem pembelian benar-benar dilaksanakan sesuai dengan yang tercantum dalam Buku Panduan Sistem Akuntansi, auditor memeriksa surat permintaan pembelian, surat penawaran harga, surat order pembelian, laporan penerimaan barang dan bukti kas keluar. Informasi yang perlu diperiksa di sini adalah tanda tangan otorisasi pejabat yang berwenang, untuk membuktikan apakah sistem otorisasi yang telah ditetapkan benar-benar dilaksanakan.
2.    Pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Dalam pengujian pengendalian terhadap pengendalian intern, auditor tidak hanya berkepentingan terhadap eksistensi unsur-unsur struktur pengendalian intern, namun auditor juga berkepentingan terhadap tingkat kepatuhan klien terhadap pengendalian intern. Dalam pengujian tingkat kepatuhan klien terhadap pengendalian intern pembelian, auditor dapat menempuh prosedur audit berikut ini :
a)    Mengambil sampel bukti kas masuk dan memeriksa kelengkapan dokumen pendukungnya (surat order pembelian, laporan penerimaan barang, dan faktur dari pemasok) serta tanda tangan pejabat yang berwenang baik dalam bukti kas keluar maupun dokumen pendukungnya. Tujuan pengujian ini adalah untukmendapat kepastian transaksi pembelian telah diotorasi oleh pejabat-pejabat berwenang.
b)    Melaksanakan pengujian bertujuan ganda (dual-purpose test), yang merupakan kombinasi antara pengujian yang tujuannya untuk menilai efektivitas pengendalian intern (pengujian pengendalian) dan pengujian yang tujuannya menilai kewajaran informasi yang disajikan dalam laporan keuangan (pengujian substantif).

F.    PERTIMBANGAN TAMBAHAN
Auditor secara khusus pertama kali menilai risiko pengendalian untuk asersi yang berkenaan dengan kelas transaksi seperti penerimaan kas dan  pengeluaran kas. Penilaian tersebut kemudian digunakan untuk menilai risiko pengendalian asersi saldo akun yang signifikan sehingga kesesuaian dari tingkat pengujian substantif yang direncanakan untuk saldo akun dapat ditentukan, dan pengujian substantif khusus dapat dirancang. Proses dipertimbangkan selanjutnya, pertama untuk akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal dan kemudian untuk akun-akun yang dipengaruhi oleh kelas transaksi ganda.
1.    Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi tunggal
Proses menilai risiko pengendalian untuk asersi saldo akun langsung ditujukan kepada akun-akun yang dipengaruhi oleh suatu kelas transaksi tunggal. Hal ini merupakan kasus dalam kebanyakan akun laporan laba rugi. Sebagai contoh, penjualan meningkat oleh kredit untuk transksi penjualan dalam siklus pendapatan, dan banyak akun beban meningkat dengan mendebet transaksi pembelian dalam siklus pengeluaran. Dalam kasus ini, penilaian risiko pengendalian auditor untuk setiap asersi saldo akun adalah sama dengan penilaian risiko pengendalian untuk asersi kelas transaksi yang sama. Sebagai contoh, penilaian risiko pengendalian atas asersi keberadaan atau keterjadian untuk saldo akun penjualan seharusnya sama dengan penilaian risiko pengendalian atas asersi keberadaan atau keterjadian untuk transaksi penjualan. Demikian pula, penilaian risiko pengendalian atas asersi pengendalian atas asersi penilaian atau alokasi untuk kebanyakan beban harus sama dengan asersi penilaian atau alokasi untuk transaksi pembelian.
2.    Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi ganda
Banyak akun neraca yang secara signifikan dipengaruhi oleh lebih dari satu kelas transaksi. Sebagai contoh, saldo kas ditingkatkan oleh transaksi penerimaan kas dalam siklus pendapatan dan diturunkan oleh transaksi pengeluaran kas dalam siklus pengeluaran. Dalam kasus ini, menilai risiko pengendalian untuk suatu asersi saldo akun memerlukan pertimbangan atas penilaian risiko pengendalian yang relevan untuk setiap kelas transaksi yang secara signifikan mempengaruhi neraca. Oleh karena itu, penilaian risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas didasarkan pada penilaian risiko pengendalian untuk asersi penilaian atau alokasi baik untuk transaksi penerimaan kas maupun transaksi pengeluaran kas.
Untuk suatu akun yang dipengaruhi lebih dari satu kelas transaksi, penilaian risiko pengendalian untuk suatu asersi saldo akun tertentu didasarkan pada penilaian risiko pengendalian untuk asersi yang sama yang berkenaan dengan semua kelas transaksi dipengaruhi saldo akun tersebut, dengan satu pengecualian utama. Penilaian risiko pengendalian untuk asersi keberadaan atau keterjadian dan asersi kelengkapan untuk satu kelas transaksi yang menurunkan saldo akun berhubungan dengan  asersi berlawanan yang dipengaruhi. Hal ini, yang mungkin merupakan hubungan yang tidak diharapkan, diilustrasikan dalam Gambar 1. gambar ini menunjukkan penilaian risiko pengendalian yang relevan dengan asersi kelas transaksi yang digunakan untuk menilai risiko pengendalian dari asersi keberadaan atau keterjadian dan asersi kelengkapan untuk saldo kas.
Asersi Saldo Kas di mana Risiko Pengendalian Dinilai
Penilaian Risko Pengendalian yang Relevan untuk Kelas Transaksi yang Mempengaruhi Saldo Kas
Penjelasan
Keberadaan atau Kejadian







Keberadaan atau keterjaidan dari penerimaan kas meningkatkan risiko.


Jika beberapa penerimaan kas yang tercatat tidak terjadi, sebagian dari saldo kas tidak ada.
Keberadaan atau keterjadian pengeluaran kas yang menurunkan saldo.


Jika beberapa pengeluaran kas yang tercatat tidak muncul, saldo kas tidak lengkap.
Kelengkapan
Kelengkapan dari pengeluaran kas yang menurunkan saldo.



Jika beberapa pengeluaran kas tidak dicatat, bagian dari saldo kas tidak ada lagi
Kelengkapan dari penerimaan kas yang meningkatkan saldo.



Jika beberapa penerimaan kas tidak dicatat, saldo kas tidak lengkap


Tabel 4 : Mengkombinasikan Asersi Saldo Akun untuk Saldo Kas

3.    Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda
Dengan merujuk contoh sebelumnya, misalkan auditor memperoleh penilaian risiko pengendalian berikut untuk saldo kas dari kertas kerja berdasarkan pemahamannya mengenai bagian pengendalian intern yang relevan berdasarkan pengujian pengendalian:
Asersi
Penilaian Risiko Pengendalian
Keberadaan atau keterjadian dan penerimaan kas
Rendah
Kelengkapan dari penerimaan kas
Sedang

Apabila penilaian risiko pengendalian untuk asersi kelas transaksi yang relevan berbeda, auditor dapat menimbang signifikansi dari setiap penilaian guna mencapai suatu penilaian kombinasi. Kemungkinan lain, beberapa kantor akuntan publik memilih untuk menggunakan penilaian relevan yang paling konservatif (paling tinggi). Demikian pula halnya jika penilaian risiko pengendalian auditor atas asersi penilaian atau alokasi untuk transaksi penerimaan kas dan pengeluaran kas masing-masing berada pada tingkat sedang atau tinggi, maka risiko pengendalian atas asersi penilaian atau alokasi untuk saldo kas akan tinggi.
Ketika risiko pengendalian untuk asersi saldo akun telah ditentukan, seharusnya risiko pengendalian tersebut dibandingkan dengan penilaian tingkat risiko  pengendalian yang direncanakan. Ketika tingkat yang direncanakan didukung, auditor dapat melanjutkan untuk merancang pengujian substantif berdasarkan strategi audit pendahuluan. Jika tingkat risiko pengendalian yang direncanakan untuk dinilai tidak didukung tingkat pengujian substantif yang direncanakan dan pengujian audit yang berhubungan seharusnya direvisi  untuk memperoleh tingkat risiko audit yng diinginkan.
4.    Mendokumentasikan Penilaian Tingkat Risiko Pengendalian
Kertas kerja auditor seharusnya memasukkan pendokumentasian penilaian risiko pengendalian (documentation of the controls risk assesment). Persyaratan tersebut adalah sebagai berikut :
a.    Risiko pengendalian dinilai pada tingkat maksimum : Hanya kesimpulan ini yang diperlukan untuk didokumentasikan.
b.    Risiko pengendalian dinilai pada tingkat dibawah maksimum : dasar untuk penilaian harus didokumentasikan.
AU 319 tidak mengilustrasikan atau menawarkan petunjuk dalam bentuk pendokumentasian. Dalam praktik, suatu pendekatan umum adalah dengan menggunakan memorandum naratif yang diorganisasikan oleh asersi laporan keuangan. Pendekatan ini diilustrasikan dalam gambar 10-10, yang mendokumentasikan penilaian risiko pengendalian untuk asersi transaksi penjualan yang terpilih.perhatikan bahwa dasar untuk penilaian di bawah maksimum untuk asersi kelengkapan telah diberikan, di mana hanya kesimpulan yang dinyatakan ketika penilaian berada pada tingkat maksimum, seperti ditunjukkan untuk asersi hak dan kewajiban.
5.    Mengkomunikasikan Masalah Pengendalian Intern
Auditor diminta untuk mengidentifikasi dan melapor kepada komite audit, atau personel entitas lain dengan otoritas dan tanggung jawab yang sama, kondisi tertentu yang berhubungan dengan pengendalian intern suatu entitas yang diamati selama audit laporan keuangan. AU 325, Communication of Internal Control Related Matters Noted in a Audit (SAS 60 dan SAS 78) mendefinisikan suatu kondisi yang dapat dilaporkan (Reportable condition) sebagai berikut :
… masalah-masalah yang menarik perhatian auditor yang, dalam pertimbangannya, seharusnya dikomunikasikan dengan komite audit karena menyajikan kekurangan yang signifikan dalam rancangan dan pengoperasian pengendalian intern yang dapat secara berlawanan mempengaruhi kemampuan organisasi untuk mencatat, memproses, meringkas, dan melaporkan data keuangan secara konsisten dengan asersi manajemen dalam laporan keuangan.
Suatu kondisi yang dapat dilaporkan dapat begitu besar sehingga membentuk kelemahan material dalam pengendalian intern. AU 325.15 mendefinisikan suatu kelemahan material (material weakness) sebagai :
...suatu kondisi yang dapat dilaporkan di mana rancangan dan pengoperasian dari satu atau lebih komponen pengendalian intern tidak dapat mengurangi tingkat risiko salah saji sampai ke tingkat yang rendah karena kekeliruan atau kecurangan di mana jumlah yang material dalam hubungannya dengan laporan keuangan yang sedang diaudit dapat muncul  dan tidak dapat dideteksi selama satu periode secara tepat waktu oleh karyawan dalam cara yang normal untuk melaksanakan fungsi yang ditugaskan kepadanya.
Seorang auditor dapat tidak diharuskan untuk secara terpisah mengidentifikasikan kondisi yang dapat dilaporkan yang memiliki kelemahan material dalam komunikasinya kepada komite audit.
Pengkomunikasian masalah-masalah yang berhubungan dengan pengendalian intern adalah suatu produk penting yang menggunakan pengetahuan yang diperoleh auditor selama audit laporan keuangan. Auditor akan secara normal mengevaluasi apakah klien memiliki pengendalian yang cukup untuk mengatasi masalah yang diciptakan oleh risiko usaha suatu entitas. Sebagai contoh, dalam usaha untuk mengelola sistem persediaan just-in-time, klien mungkin merancang suatu sistem yang menggunakan pertukaran data elektronik untuk mengkomunikasikan kuantitas persedian kepada penjual dan memesan barang ketika persediaan berada di bawah tingkat yang telah ditentukan. Pengendalian intern klien seharusnya menyediakan keyakinan yang memadai bahwa salah saji dapat dicegah, dideteksi, dan diperbaiki pada waktu yang tepat. Manajemen dan komite audit tertarik pada hasil evaluasi auditor tentang kualitas sistem pengendalian intern mereka.


















BAB III
PENUTUP

A.   Kesimpulan
Menilai risiko pengendalian (assessing control risk) merupakan suatu proses mengevaluasi efektivitas pengendalian intern suatu entitas dalam mencegah atau mendeteksi salah saji yang material dalam laporan keuangan. Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk: (1) Mempertimbangkan pengetahuan yang diperoleh dari prosedur untuk memperoleh suatu pemahaman mengenai apakah pengendalian yang berhubungan dengan asersi telah dirancang dan diterapkan dalam operasi oleh manajemen entitas; (2) Mengidentifikasikan salah saji potensial yang dapat muncul dalam asersi entitas; (3) Mengidentifikasikan pengendalian yang diperlukan yang mungkin akan mencegah atau mendeteksi dan memperbaiki salah saji; (4) Melaksanakan pengujian pengendalian terhadap pengendalian yang diperlukan untuk menentukan efektivitas rancangan dan pengoperasian dari pengendalian tersebut; (5) Mengevaluasi bukti dan membuat penilaian.
Dalam menilai risiko pengendalian dalam suatu lingkungan TI terdapat tiga hal yang penting yaitu: (1) strategi untuk melaksanakan pengujian pengendalian; (2) Teknik audit berbantuan komputer; (3) Menilai pengendalian teknologi informasi.
Dampak dari strategi audit pendahuluan dapat diketahui dari pendekatan substantif dan juga tingkat risiko pengendalian yang dinilai lebih rendah.
Tipe bukti, sumber, ketepatan waktu, dan keberadaan bukti lain yang berhubungan dengan kesimpulan yang dituju, semuanya mempengaruhi tingkat keyakinan yang dapat diberikan oleh bukti audit.
Untuk menguji kepatuhan terhadap pengendalian intern, auditor dapat melakuan dua macam pengendalian yaitu: pengujian adanya kepatuha terhadap struktur pengendalian intern; dan pengujian tingkat kepatuhan terhadap struktur pengendalian intern.
Pertimbangan tambahan dalam menilai risiko pengendalaian adalah: (1) Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi tunggal; (2) Menilai risiko pengendalian untuk asersi saldo akun yang dipengaruhi oleh suatu kelas transaksi ganda; (3) Mengkombinasikan Penilaian Risiko Pengendalian Yang Berbeda; (4) Mendokumentasikan Penilaian Tingkat Risiko Pengendalian; (5) Mengkomunikasikan Masalah Pengendalian Intern.


































DAFTAR PUSTAKA

Boynton, William C., Johnson, Raymond N., dan Kell, Walter G. 2003. Modern Auditing. Jakarta: Erlangga.
Farahaul. 2012. Audit Menilai Risiko Pengendalian: Uji Pengendalian. (Online) (http://farah-aul.blogspot.com/2012/10/audit-menilai-risiko-pengendalian-uji.html.  Diakses pada tanggal 30 Oktober 2014)
IAPI. 2011. Standar Profesi Akuntan Publik. Jakarta: Penerbit Salemba Empat.
Kurniawati, Efi. 2012. Menilai Risiko Pengendalian. (Online) (http://yuukichan-lovelypink.blogspot.com/2012/10/menilai-risiko-pengendalian.html. Diakses Pada tanggal 30 Oktober 2014)
Mulyadi., Puradiredja, Kanaka. 1998. Auditing. Jakarta: Penerbit Salemba Empat.





EmoticonEmoticon