This preview has intentionally blurred parts. Sign up to view the full document

View Full Document

Unformatted Document Excerpt

DRAFT EXPOSURE EXPOSURE DRAFT STANDAR PERIKATAN AUDIT (“SPA”) 402 PERTIMBANGAN AUDIT TERKAIT DENGAN ENTITAS YANG MENGGUNAKAN SUATU ORGANISASI JASA Exposure draft ini diterbitkan oleh Dewan Standar Profesi Institut Akuntan Publik Indonesia Tanggapan tertulis atas exposure draft ini diharapkan dapat diterima paling lambat tanggal 20 Mei 2012 ke Sekretariat IAPI Jl. Kapten P. Tendean No. 1 Lt. 1 Jakarta 12710 atau melalui fax (021) 2525-175 atau email ke info@iapi.or.id atau divisi.standar_teknis@iapi.or.id INSTITUT AKUNTAN PUBLIK INDONESIA Indonesian Institute of Certified Public Accountants INSTITUT AKUNTAN PUBLIK INDONESIA DEWAN STANDAR PROFESI 2008 – 2012 Kusumaningsih Angkawidjaja Ketua Handri Tjendra Wakil Ketua Dedy Sukrisnadi Anggota Fahmi Anggota Godang Parulian Panjaitan Anggota Johannes Emile Runtuwene Anggota Lolita R. Siregar Anggota Renie Feriana Anggota Yusron Fauzan Anggota STANDAR PERIKATAN AUDIT 402 PERTIMBANGAN AUDIT TERKAIT DENGAN ENTITAS YANG MENGGUNAKAN SUATU ORGANISASI JASA (Berlaku efektif untuk audit atas laporan keuangan untuk periode dimulai atau setelah tanggal 1 Januari 2013) Daftar Isi Paragraf Pendahuluan Ruang Lingkup SPA ini .……………………………...…………….......…....……… 1-5 Tanggal Berlaku Efektif ……………………………………………..…............…… 6 Tujuan …………………………………………………………………........…....….. 7 Definisi ………………………………………………………………….....…......….. 8 Ketentuan Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Suatu Organisasi Jasa Termasuk Pengendalian Internal …………………................. 9-14 Merespons Risiko yang Telah Dinilai atas Kesalahan Penyajian Material …... 15-17 Laporan Tipe 1 dan Tipe 2 yang tidak Mencantumkan Jasa dari Organisasi Subjasa ............................................................................................................. 18 Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-undangan, dan Kesalahan Penyajian yang tidak Dikoreksi dalam Hubungannya dengan Aktivitas di Organisasi Jasa ............................................................................. 19 Pelaporan oleh Auditor Pemakai ...................................................................... 20-22 Materi Penerapan dan Penjelasan Lainnya Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Suatu Organisasi Jasa, Termasuk Pengendalian Internal ......................................... A1-A23 Merespons Risiko yang Telah Dinilai atas Kesalahan Penyajian Material......... A24-A39 Laporan Tipe 1 dan Tipe 2 yang Tidak Mencantumkan Jasa dari Organisasi Subjasa............................................................................................ A40 Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-undangan, dan Kesalahan Penyajian yang Tidak Dikoreksi Berkaitan dengan Aktivitas di Organisasi Jasa .............................................................................................. A41 Pelaporan oleh Auditor Pemakai .......................................................................... A42-A44 Standar Perikatan Audit (“SPA”) 402, “Pertimbangan Audit yang Terkait dengan Entitas yang Menggunakan Suatu Organisasi Jasa” harus dibaca bersamaaan dengan SPA 200, “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit Berdasarkan Standar Perikatan Audit.” Pendahuluan Ruang Lingkup SPA 1. Standar Perikatan Audit (“SPA”) ini mengatur tentang tanggung jawab auditor pemakai untuk memperoleh bukti audit yang cukup dan tepat ketika suatu entitas pemakai memanfaatkan jasa dari satu atau lebih organisasi jasa. Secara spesifik, standar ini menjelaskan tentang bagaimana auditor pemakai menerapkan SPA 3151 dan SPA 3302 dalam memperoleh pemahaman tentang entitas pemakai, termasuk pengendalian internal yang relevan dengan audit, yang cukup untuk mengidentifikasi dan menilai risiko adanya kesalahan penyajian material dan dalam merancang dan melaksanakan prosedur audit lebih lanjut sebagai respons terhadap risiko tersebut. 2. Banyak entitas melakukan outsource aspek-aspek bisnisnya kepada organisasi penyedia jasa, mulai dari pelaksanaan tugas spesifik di bawah arahan suatu entitas sampai dengan penggantian keseluruhan unit atau fungsi bisnis suatu entitas, seperti fungsi kepatuhan perpajakan. Banyak jasa yang disediakan oleh organisasi semacam itu yang merupakan bagian integral dari kegiatan operasi bisnis entitas; namun, tidak semua jasa tersebut relevan dengan audit. 3. Jasa yang diberikan oleh organisasi jasa relevan dengan audit atas laporan keuangan entitas pemakai ketika jasa tersebut, dan pengendalian terhadap jasa tersebut, merupakan bagian dari sistem informasi entitas pemakai, termasuk proses bisnis yang terkait, yang relevan terhadap pelaporan keuangan. Walaupun sebagian besar pengendalian di organisasi jasa kemungkinan besar berhubungan dengan pelaporan keuangan, ada kemungkinan terdapat pengendalian lain yang relevan terhadap audit, seperti pengendalian atas pengamanan aset. Jasa suatu organisasi jasa yang merupakan bagian dari sistem informasi entitas pemakai, termasuk proses bisnis yang terkait, relevan terhadap pelaporan keuangan jika jasa tersebut berdampak terhadap salah satu di bawah ini: (a) Golongan transaksi dalam entitas pemakai yang signifikan terhadap laporan keuangan entitas pemakai; (b) Prosedur, dalam teknologi informasi (TI) maupun sistem manual, yang dengan itu transaksi entitas pemakai diciptakan, dicatat, diproses, dikoreksi, ditransfer ke buku besar, dan dilaporkan dalam laporan keuangan; (c) Catatan akuntansi yang terkait, baik dalam bentuk elektronik atau manual, informasi pendukung dan akun-akun spesifik dalam laporan keuangan entitas pemakai yang digunakan untuk menciptakan, mencatat, memroses, dan melaporkan transaksi entitas pemakai; termasuk pengoreksian atas informasi yang tidak benar dan cara pentransferan informasi ke buku besar; (d) Bagaimana sistem informasi entitas pemakai mencatat peristiwa dan kondisi, selain transaksi, yang signifikan terhadap laporan keuangan; (e) Proses pelaporan keuangan yang digunakan untuk menyusun laporan keuangan entitas pemakai, termasuk estimasi akuntansi signifikan dan pengungkapan; dan (f) Pengendalian terhadap entri jurnal, termasuk entri jurnal nonstandar yang digunakan untuk mencatat transaksi tidak rutin, transaksi atau penyesuaian yang tidak lazim. 1 SPA 315, “Pengidentifikasian dan Penilaian Risiko atas Keaalahan Penyajian Material melalui Pemahaman atas Entitas dan Lingkungannya.” 2 SPA 330, “Respons Auditor atas Risiko yang Telah Dinilai.” 4. Sifat dan luas pekerjaan yang dilaksanakan oleh auditor pemakai yang berkaitan dengan jasa yang disediakan oleh organisasi jasa tergantung pada sifat dan signifikansi jasa tersebut terhadap entitas pemakai dan relevansinya terhadap audit. 5. SPA ini tidak berlaku bagi jasa yang disediakan oleh institusi keuangan yang terbatas pada pemrosesan, untuk rekening entitas yang ada di institusi keuangan, transaksi yang diotorisasi secara spesifik oleh entitas, seperti pemrosesan transaksi rekening giro oleh bank atau pemrosesan transaksi sekuritas oleh pialang. Di samping itu, SPA ini tidak berlaku terhadap audit atas transaksi yang berasal dari hak kepemilikan kepentingan keuangan dalam entitas lain, seperti firma, korporasi, dan joint venture, bila hak kepemilikan kepentingan dipertanggungjawabkan dan dilaporkan kepada pemegang kepentingan. Tanggal Berlaku Efektif 6. SPA ini berlaku efektif untuk audit laporan keuangan untuk periode dimulai pada atau setelah 1 Januari 2013. Tujuan 7. Tujuan auditor pemakai, ketika entitas pemakai menggunakan jasa dari suatu organisasi jasa, adalah: (a) Untuk memperoleh pemahaman tentang sifat dan signifikansi jasa yang disediakan oleh organisasi jasa dan dampaknya terhadap pengendalian internal entitas pemakai yang relevan dengan audit, yang cukup untuk mengidentifikasi dan menilai risiko kesalahan penyajian material; dan (b) Untuk merancang dan melaksanakan prosedur audit sebagai respons terhadap risiko tersebut. 8. Untuk tujuan SPA, istilah-istilah di bawah ini memiliki makna sebagai berikut: (a) Pengendalian pelengkap entitas pemakai — Pengendalian yang dianggap oleh organisasi jasa, dalam merancang jasanya, akan diimplementasikan oleh entitas pemakai, dan diidentifikasi dalam penjelasan sistemnya jika diperlukan untuk mencapai tujuan pengendalian.Pengujian pengendalian — Suatu prosedur audit yang dirancang untuk mengevaluasi efektivitas operasi pengendalian dalam mencegah, atau mendeteksi dan mengkoreksi, kesalahan penyajian material pada tingkat asersi. (b) Laporan atas deskripsi dan rancangan pengendalian pada suatu organisasi jasa (dalam standar ini disebut sebagai laporan tipe 1)—Sebuah laporan yang terdiri atas: (i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang sistem yang dimiliki oleh organisasi jasa, tujuan pengendalian dan pengendalian terkait yang telah dirancang dan diimplementasikan pada tanggal tertentu; dan (ii) Suatu laporan dari auditor jasa yang bertujuan untuk menyampaikan keyakinan memadai yang mencakup opini auditor jasa terhadap deskripsi sistem pada organisasi jasa, tujuan pengendalian dan pengendalian terkait, dan kesesuaian rancangan pengendalian untuk mencapai tujuan pengendalian yang telah ditentukan. (c) Laporan tentang deskripsi, rancangan, dan efektivitas operasi pengendalian dalam suatu organisasi jasa (dalam SPA ini disebut sebagai laporan tipe 2)—Sebuah laporan yang berisi: (i) Suatu deskripsi, yang disusun oleh manajemen organisasi jasa, tentang sistem dalam organisasi jasa, tujuan pengendalian dan pengendalian-pengendalian yang terkait, rancangan dan implementasi pengendalian tersebut pada tanggal at au sepanjang periode tertentu dan, dalam beberapa kasus, efektivitas operasi pengendalian tersebut sepanjang periode tertentu; dan (ii) Suatu laporan yang disusun oleh auditor jasa dengan tujuan untuk menyampaikan keyakinan memadai yang meliputi: a. Opini auditor jasa terhadap deskripsi sistem organisasi jasa, tujuan pengendalian dan pengendalian-pengendalian yang terkait, kesesuaian rancangan pengendalian untuk mencapai tujuan pengendalian yang telah ditentukan, dan efektivitas operasi pengendalian; dan b. Suatu deskripsi tentang pengujian pengendalian yang dilaksanakan oleh auditor jasa dan hasilnya. (d) Auditor jasa — Seorang auditor yang, atas permintaan organisasi jasa, menyediakan laporan asurans atas pengendalian suatu organisasi jasa. (e) Organisasi jasa — Suatu organisasi pihak ketiga (atau segmen suatu organisasi pihak ketiga) yang menyediakan jasa kepada entitas pemakai yang merupakan bagian sistem informasi organisasi entitas tersebut yang relevan dengan pelaporan keuangan. (f) Sistem organisasi jasa — Kebijakan dan prosedur yang dirancang, diimplementasikan, dan dipelihara oleh organisasi jasa untuk menyediakan jasa yang tercakup dalam laporan auditor jasa kepada entitas pemakai. (g) Organisasi subjasa — Suatu organisasi jasa yang digunakan oleh organisasi jasa lain untuk melaksanakan beberapa jasa bagi entitas pemakai yang menjadi bagian sistem informasi entitas pemakai tersebut yang relevan terhadap pelaporan keuangan. (h) Auditor pemakai — Seorang auditor yang melaksanakan audit dan membuat laporan audit atas laporan keuangan suatu entitas pemakai. (i) Entitas pemakai — Suatu entitas yang menggunakan suatu organisasi jasa dan yang laporan keuangannya diaudit. Ketentuan Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Suatu Organisasi Jasa, Termasuk Pengendalian Internal 9. Pada waktu pemerolehan pemahaman tentang entitas pemakai berdasarkan SPA 315,3 auditor pemakai harus memperoleh suatu pemahaman tentang bagaimana entitas pemakai memanfaatkan jasa organisasi jasa dalam kegiatan operasi entitas pemakai, termasuk: (Ref: Para. A1-A2) (a) Sifat jasa yang disediakan oleh organisasi jasa dan signifikansi jasa tersebut bagi entitas pemakai, termasuk dampak jasa tersebut terhadap pengendalian internal entitas pemakai; (Ref: Para. A3-A5) (b) Sifat dan materialitas transaksi yang diproses atau akun-akun atau proses pelaporan keuangan yang dipengaruhi oleh organisasi jasa; (Ref: Para. A6) (c) Tingkat interaksi antara aktivitas organisasi jasa dan aktivitas entitas pemakai; dan (Ref: Para. A7) (d) Sifat hubungan antara entitas pemakai dan organisasi jasa, termasuk persyaratan perjanjian yang relevan untuk aktivitas yang dijalankan oleh organisasi jasa. (Ref: Para. A8-A11) 10. Pada waktu pemerolehan suatu pemahaman atas pengendalian internal yang relevan terhadap audit berdasarkan SPA 315,4 auditor pemakai harus mengevaluasi rancangan dan implementasi pengendalian yang relevan di entitas pemakai yang berhubungan dengan jasa yang diberikan oleh organisasi jasa, termasuk pengendalian yang diterapkan terhadap transaksi yang diproses oleh organisasi jasa. (Ref: Para. A12-A14) 11. Auditor pemakai harus menentukan apakah suatu pemahaman yang memadai tentang sifat dan signifikansi jasa yang disediakan oleh organisasi jasa dan dampaknya terhadap pengendalian internal entitas pemakai yang relevan terhadap audit telah diperoleh untuk menyediakan suatu dasar untuk mengidentifikasi dan menilai risiko kesalahan penyajian material. 12. Jika auditor pemakai tidak mampu memperoleh pemahaman yang cukup dari entitas pemakai, auditor pemakai harus memperoleh pemahaman dari satu atau beberapa prosedur berikut: (Ref: Para. A15-A20) (a) Memperoleh laporan tipe 1 atau tipe 2, jika tersedia; (b) Menghubungi organisasi jasa, melalui entitas pemakai, untuk memperoleh informasi spesifik; (c) Mengunjungi organisasi jasa dan melaksanakan prosedur yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan pada organisasi jasa; atau (d) Menggunakan auditor lain untuk melaksanakan prosedur yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan pada organisasi jasa. Menggunakan Suatu Laporan Tipe 1 atau Tipe 2 untuk Mendukung Pemahaman Auditor Pemakai Tentang Organisasi Jasa 13. Dalam menentukan kecukupan dan ketepatan bukti audit yang disediakan oleh suatu laporan tipe 1 atau tipe 2, auditor pemakai harus puas atas: (Ref: Para. A21) a. Kompetensi profesional auditor jasa dan independensi terhadap organisasi jasa; dan b. Kecukupan standar yang dipakai sebagai acuan laporan tipe 1 atau tipe 2 yang dikeluarkan. 14. Jika auditor pemakai merencanakan untuk menggunakan laporan tipe 1 atau tipe 2 sebagai bukti audit untuk mendukung pemahaman auditor pemakai tentang rancangan dan implementasi pengendalian di organisasi jasa, auditor pemakai harus melakukan hal-hal sebagai berikut: (Ref: Para. A22-A23) (a) Mengevaluasi apakah deskripsi dan rancangan pengendalian dalam organisasi jasa pada suatu tanggal atau suatu periode telah tepat untuk tujuan auditor pemakai; (b) Mengevaluasi kecukupan dan ketepatan bukti yang disediakan oleh laporan untuk memahami pengendalian internal entitas pemakai yang relevan dengan audit; dan (c) Menentukan apakah pengendalian pelengkap entitas pemakai yang diidentifikasi oleh organisasi jasa adalah relevan bagi entitas pemakai dan, jika demikian, memperoleh pemahaman apakah entitas pemakai telah merancang dan mengimplementasikan pengendalian tersebut. Respons terhadap Risiko yang telah Dinilai atas Kesalahan Penyajian Material 15. Dalam merespons risiko yang telah dinilai berdasarkan SPA 330, auditor pemakai harus melakukan hal-hal sebagai berikut: (Ref: Para. A24-A28): a. Menentukan apakah kecukupan dan ketepatan bukti audit tentang asersi laporan keuangan yang relevan tersedia dari catatan yang ada di tangan entitas pemakai; dan, jika tidak, b. Melaksanakan prosedur audit lebih lanjut untuk memperoleh bukti audit yang cukup dan tepat atau menggunakan auditor lain untuk melaksanakan prosedur tersebut di organisasi jasa bagi kepentingan auditor pemakai. Pengujian Pengendalian 16. Jika penilaian risiko auditor pemakai memasukkan suatu harapan bahwa pengendalian di organisasi jasa telah beroperasi secara efektif, auditor pemakai harus memperoleh bukti audit mengenai efektivitas operasi pengendalian yang dijalankan tersebut dari satu atau beberapa prosedur berikut: (Ref: Para. A29-A30) a. Memperoleh laporan tipe 2, jika tersedia; b. Melaksanakan pengujian pengendalian yang tepat di organisasi jasa; atau c. Menggunakan auditor lain untuk melaksanakan pengujian pengendalian di organisasi jasa bagi kepentingan auditor pemakai. Penggunaan Laporan Tipe 2 sebagai Bukti Audit Bahwa Pengendalian di Organisasi Jasa Beroperasi Secara Efektif 17. Jika, sesuai dengan paragraf 16(a), auditor pemakai merencanakan untuk menggunakan laporan tipe 2 sebagai bukti audit bahwa pengendalian di organisasi jasa beroperasi secara efektif, auditor pemakai harus menentukan apakah laporan auditor pemakai menyediakan bukti audit yang cukup dan tepat tentang efektivitas pengendalian untuk mendukung penilaian risiko auditor pemakai dengan: (Ref: Para. A31-A39) a. Mengevaluasi apakah deskripsi, rancangan, dan efektivitas operasi pengendalian di organisasi jasa pada suatu tanggal atau suatu periode sesuai dengan tujuan auditor pemakai; b. Menentukan apakah pengendalian pelengkap entitas pemakai yang diidentifikasi oleh organisasi jasa relevan dengan entitas pemakai dan, jika demikian, memperoleh suatu pemahaman apakah entitas pemakai telah merancang dan mengimplementasikan pengendalian tersebut dan, jika demikian, menguji efektivitas operasi pengendalian tersebut; c. Mengevaluasi kecukupan periode waktu yang dicakup oleh pengujian pengendalian dan waktu yang berlalu sejak pelaksanaan pengujian pengendalian tersebut; dan d. Mengevaluasi apakah pengujian pengendalian dilaksanakan oleh auditor jasa dan hasilnya, seperti dijelaskan dalam laporan auditor jasa, relevan dengan asersi dalam laporan keuangan entitas pemakai, dan menyediakan bukti audit yang cukup dan tepat untuk mendukung penilaian risiko auditor pemakai. Laporan Tipe 1 dan Tipe 2 yang Tidak Memasukkan Jasa dari Organisasi Subjasa 18. Apabila auditor pemakai merencanakan untuk menggunakan laporan tipe 1 atau tipe 2 yang tidak memasukkan jasa yang disediakan oleh organisasi subjasa dan jasa tersebut relevan dengan audit atas laporan keuangan entitas pemakai, auditor pemakai harus menerapkan persyaratan SPA ini sesuai dengan jasa yang disediakan oleh organisasi subjasa. (Ref: Para. A40) Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-undangan, dan Kesalahan Penyajian yang Tidak Dikoreksi dalam Hubungannya dengan Aktivitas di Organisasi Jasa 19. Auditor pemakai harus meminta keterangan kepada manajemen entitas pemakai apakah organisasi jasa telah melaporkan kepada entitas pemakai, atau apakah entitas pemakai menyadari adanya kecurangan, ketidakpatuhan terhadap peraturan perundang-undangan, atau kesalahan penyajian yang tidak dikoreksi yang mempengaruhi laporan keuangan entitas pemakai. Auditor pemakai harus mengevaluasi bagaimana hal-hal tersebut mempengaruhi sifat, waktu, dan luas prosedur audit lebih lanjut, termasuk dampak terhadap kesimpulan dan laporan auditor pemakai. (Ref: Para. A41) Pelaporan oleh Auditor Pemakai 20. Auditor pemakai harus memodifikasi opini dalam laporan auditor pemakai berdasarkan SPA 7053 jika auditor pemakai tidak dapat memperoleh bukti audit yang cukup dan tepat tentang jasa yang diberikan oleh organisasi jasa yang relevan terhadap audit atas laporan keuangan entitas pemakai. (Ref: Para. A42) 21. Auditor pemakai harus tidak mengacu ke pekerjaan auditor jasa dalam laporan auditor pemakai yang berisi opini tanpa modifikasian kecuali jika diwajibkan oleh peraturan perundang-undangan. Jika pengacuan tersebut diwajibkan oleh peraturan perundang undangan, laporan auditor pemakai harus menunjukkan bahwa pengacuan tersebut tidak mengurangi tanggung jawab auditor pemakai terhadap opini audit tersebut. (Ref: Para. A43) 22. Jika pengacuan ke pekerjaan auditor jasa relevan dengan suatu pemahaman tentang suatu modifikasi atas opini auditor pemakai, auditor pemakai harus menunjukkan bahwa pengacuan tersebut tidak mengurangi tanggung jawab auditor pemakai terhadap opini auditnya. (Ref: Para. A44) ≈≈≈≈≈≈≈≈≈ Materi Penerapan dan Penjelasan Lain Pemerolehan Pemahaman Tentang Jasa yang Disediakan oleh Organisasi Jasa, Termasuk Pengendalian Internal Sumber Informasi (Ref: Para. 9) A1. Informasi tentang sifat dari jasa-jasa yang disediakan oleh organisasi jasa mungkin tersedia dari berbagai macam sumber, seperti: a. Panduan pemakai, b. Ikhtisar sistem, c. Panduan teknis, d. Kontrak atau perjanjian tingkat jasa antara entitas pemakai dan organisasi jasa, e. Laporan oleh organisasi jasa, auditor internal atau badan pengatur yang berwenang untuk mengendalikan organisasi jasa, f. Laporan oleh auditor jasa, termasuk surat pernyataan manajemen, jika tersedia. A2. Pengetahuan yang diperoleh melalui pengalaman auditor pemakai dengan organisasi jasa, contohnya melalui pengalaman dalam perikatan audit lain, dapat juga bermanfaat dalam memperoleh pemahaman tentang sifat jasa yang disediakan oleh organisasi jasa. Hal ini secara khusus dapat bermanfaat jika jasa dan pengendalian pada organisasi jasa atas jasa tersebut mempunyai standar yang tinggi. Sifat Jasa yang Disediakan oleh Organisasi Jasa (Ref: Para. 9(a)) A3. Suatu entitas pemakai dapat menggunakan organisasi jasa seperti memroses transaksi dan menjaga akuntabilitasnya, atau mencatat transaksi dan memroses data terkait. Organisasi jasa yang menyediakan jasa seperti itu meliputi, sebagai contoh, trust department bank yang menginvestasikan dan memberikan jasa aset untuk imbalan karyawan atau untuk pihak lain; bankir yang memberikan jasa hipotik untuk pihak lain; dan 3 SPA 705, “Modifikasi atas Pendapat dalam Laporan Auditor Independen,” paragraf 6. penyedia jasa aplikasi yang menyediakan paket aplikasi perangkat lunak dan sebuah lingkungan teknologi yang membantu pelanggan untuk memroses transaksi operasi dan keuangan. A4. Contoh jasa yang disediakan oleh organisasi jasa yang relevan dengan audit meliputi: Menyelenggarakan catatan akuntansi entitas pemakai. Manajemen aset. Penciptaan, pencatatan atau pemrosesan transaksi sebagai agen entitas pemakai. Pertimbangan Khusus bagi Entitas Lebih Kecil A5. Entitas lebih kecil dapat menggunakan jasa pembukuan dari pihak luar, mulai dari pemrosesan transaksi tertentu (misalnya, pembayaran pajak atas gaji) dan penyelenggaraan catatan akuntansi sampai dengan penyusunan laporan keuangan. Penggunaan suatu organisasi jasa tersebut untuk penyusunan laporan keuangan tidak membebaskan manajemen entitas lebih kecil, dan jika berlaku, pihak yang bertanggung jawab atas tata kelola, dari tangggung jawabnya terhadap laporan keuangan yang dihasilkan.4 Sifat dan Materialitas Transaksi yang Diproses oleh Organisasi Jasa (Ref: Para. 9(b)) A6. Suatu organisasi jasa dapat menetapkan kebijakan dan prosedur yang berdampak atas pengendalian internal entitas pemakai. Kebijakan dan prosedur ini paling tidak, secara fisik dan secara operasional, terpisah dari entitas pemakai. Signifikansi pengendalian organisasi jasa terhadap pengendalian entitas pemakai tergantung pada sifat transaksi yang disediakan oleh organisasi jasa, termasuk sifat dan materialitas transaksi yang diproses untuk entitas pemakai. Dalam situasi tertentu, transaksi yang diproses dan akun yang dipengaruhi oleh organisasi jasa mungkin tidak tampak material bagi laporan keuangan entitas pemakai, namun sifat transaksi yang diproses mungkin signifikan dan keadaan tersebut auditor pemakai dapat menetapkan bahwa pemahaman atas pengendalian tersebut diperlukan dalam keadaan tersebut. Tingkat Interaksi antara Aktivitas Organisasi Jasa dengan Entitas Pemakai (Ref: Para. 9(c)) A7. Signifikansi pengendalian organisasi jasa terhadap pengendalian entitas pemakai juga tergantung pada tingkat interaksi antara aktivitas organisasi jasa dengan entitas pemakai jasa. Tingkat interaksi mengacu pada seberapa luas entitas pemakai dapat melakukan dan memilih untuk mengimplementasikan pengendalian yang efektif atas pemrosesan yang dilakukan oleh organisasi jasa. Sebagai contoh, suatu tingkat interaksi yang tinggi terjadi antara aktivitas entitas pemakai dan aktivitas organisasi jasa pada wakt u entitas pemakai mengotorisasi transaksi dan organisasi jasa memroses dan melaksanakan akuntansi transaksi tersebut. Dalam keadaan ini, lebih praktis bagi entitas pemakai untuk mengimplementasikan pengendalian yang efektif atas transaksi ini. Di lain pihak, pada waktu organisasi jasa menciptakan atau memulai pencatatan, pemrosesan, dan melakukan akuntansi untuk transaksi entitas pemakai, terdapat tingkat interaksi yang rendah antara kedua organisasi tersebut. Dalam kondisi ini, entitas pemakai mungkin tidak dapat melakukan, atau mungkin memilih untuk tidak melakukan, implementasi pengendalian yang efektif terhadap transaksi ini pada entitas pemakai dan mungkin mengandalkan pengendalian pada organisasi jasa. 4 SPA 200, “Tujuan Keseluruhan Auditor Independen dan Pelaksanaan Audit Berdasarkan Standar Audit,“ paragraf 4 dan A2 A3. Sifat Hubungan antara Etitas Pemakai dengan Organisasi Jasa (Ref: Para. 9(d)) A8. Kontrak atau perjanjian tingkat jasa antara entitas pemakai dan organisasi jasa dapat menyediakan hal-hal sebagai berikut: Informasi yang disediakan untuk entitas pemakai dan tanggung jawab untuk menciptakan transaksi yang terkait dengan aktivitas yang dilaksanakan oleh organisasi jasa; Penerapan ketentuan badan pengatur tentang bentuk catatan yang harus dipelihara, atau akses terhadap catatan tersebut; Ganti rugi, jika ada, yang disediakan bagi entitas pemakai jika ter jadi kegagalan dalam suatu pelaksaan kontrak atau perjanjian tingkat jasa; Apakah organisasi jasa akan menyediakan suatu laporan atas pengendaliannya dan, jika demikian, apakah laporan tersebut adalah laporan tipe 1 atau tipe 2; Apakah auditor pemakai berhak untuk mengakses catatan akuntansi entitas pemakai yang dipelihara oleh organisasi jasa dan informasi lain yang diperlukan untuk pelaksanaan audit; dan Apakah perjanjian mengijinkan komunikasi langsung antara auditor pemakai dan auditor jasa. A9. Terdapat suatu hubungan langsung antara organisasi jasa dengan entitas pemakai dan antara organisasi jasa dengan auditor jasa. Hubungan ini tidak perlu menciptakan suatu hubungan langsung antara auditor pemakai dan auditor jasa. Bila tidak terdapat hubungan langsung antara auditor pemakai dan auditor jasa, komunikasi antara auditor pemakai dan auditor jasa biasanya dilakukan melalui entitas pemakai dan organisasi jasa. Suatu hubungan langsung juga dapat diciptakan antara auditor pemakai dan auditor jasa, dengan memperhitungkan etika yang relevan dan pertimbangan tentang kerahasiaan. Sebagai contoh, auditor pemakai dapat memanfaatkan auditor jasa untuk melaksanakan prosedur atas kepentingan auditor pemakai, seperti: a. Pengujian pengendalian di organisasi jasa; atau b. Prosedur substantif atas transaksi dan saldo pada laporan keuangan entitas pemakai yang dipelihara oleh organisasi jasa. Pertimbangan Khusus untuk Entitas Sektor Publik A10. Auditor sektor publik umumnya mempunyai hak akses yang luas yang ditetapkan oleh legislasi. Namun, mungkin terdapat situasi dimana hak akses tersebut tidak tersedia, sebagai contoh pada waktu organisasi jasa berada di lokasi dalam suatu yuridiksi yang berbeda. Dalam kasus tersebut, auditor sektor publik mungkin perlu untuk memperoleh suatu pemahaman atas legislasi yang berlaku di yuridiksi yang berbeda tersebut untuk menentukan apakah hak akses yang tepat dapat diperoleh. Auditor sektor publik dapat juga memperoleh atau meminta entitas pemakai untuk memasukkan hak akses pada setiap perjanjian kontraktual antara entitas pemakai dengan organisasi jasa. A11. Auditor sektor publik dapat juga menggunakan auditor lain untuk melakukan pengujian pengendalian atau prosedur substantif dalam kaitannya dengan kepatuhan terhadap peraturan perundang-undangan atau otoritas lain. Pemahaman atas Pengendalian yang Terkait dengan Jasa yang Disediakan oleh Organisasi Jasa (Ref: Para. 10) A12. Entitas pemakai dapat menetapkan pengendalian atas jasa organisasi jasa yang mungkin diuji oleh auditor pemakai dan dapat membuat auditor pemakai menyimpulkan bahwa pengendalian entitas pemakai beroperasi secara efektif untuk beberapa atau semua asersi yang terkait, tanpa memperhatikan bahwa pengendalian berada di organisasi jasa. Sebagai contoh, jika suatu entitas pemakai memanfaatkan organisasi jasa untuk memproses transaksi penggajian, entitas pemakai dapat menetapkan pengendalian atas pengiriman dan penerimaan informasi penggajian yang dapat mencegah atau mendeteksi kesalahan penyajian material. Pengendalian ini dapat meliputi: Membandingkan data yang dikirim ke organisasi jasa dengan laporan informasi yang diterima dari organisasi jasa setelah data tersebut diproses. Menghitung ulang sampel atas jumlah gaji untuk memastikan keakuratan perhitungannya dan mereviu kewajaran jumlah gaji. A13. Dalam situasi ini, auditor pemakai dapat melakukan pengujian terhadap pengendalian entitas atas pemakai proses penggajian yang akan menyediakan dasar bagi auditor pemakai untuk menyimpulkan bahwa pengendalian entitas pemakai telah beroperasi secara efektif untuk asersi yang terkait dengan transaksi penggajian. A14. Seperti yang dicantumkan dalam SPA 315,5 dalam hubungannya dengan beberapa risiko, auditor pemakai dapat mempertimbangkan bahwa tidak mungkin atau tidak praktis untuk memperoleh bukti audit yang cukup dan tepat hanya dari prosedur substantif. Risiko tersebut mungkin terkait dengan ketidakakuratan atau ketidaklengkapan pencatatan golongan transaksi yang rutin dan signifikan dan saldo akun, yang karakteristiknya seringkali memerlukan pemrosesan otomatis yang tinggi dengan sedikit atau tanpa intervensi secara manual. Karakteristik pemrosesan otomatis seperti itu mungkin ada pada saat entitas pemakai memanfaatkan organisasi jasa. Dalam kasus seperti ini, pengendalian entitas pemakai atas risiko tersebut relevan terhadap audit dan auditor pemakai perlu memperoleh pemahaman tentang, dan mengevaluasi, pengendalianpengendalian tersebut yang sesuai dengan paragraf 9 dan 10 SPA ini. Prosedur Lebih Lanjut Jika Pemahaman yang Memadai Tidak Dapat Diperoleh dari Entitas Pemakai (Ref: Para. 12) A15. Keputusan auditor pemakai tentang prosedur yang akan diambil, secara individual atau dalam kombinasi, dalam paragraf 12, dalam rangka memperoleh informasi yang diperlukan untuk menyediakan suatu dasar untuk mengidentifikasi dan menilai risiko kesalahan penyajian material sehubungan dengan penggunaan organisasi jasa oleh entitas pemakai, dapat dipengaruhi oleh hal-hal sebagai berikut: Ukuran entitas pemakai dan organisasi jasa; Kompleksitas transaksi di entitas pemakai dan kompleksitas jasa yang disediakan oleh organisasi jasa; Lokasi organisasi jasa (contohnya, auditor pemakai dapat memutuskan untuk menggunakan auditor lain untuk melaksanakan prosedur di organisasi jasa untuk kepentingan auditor pemakai jika organisasi jasa terletak di lokasi yang jauh); Apakah prosedur diharapkan secara efektif menyediakan bukti audit yang cukup dan tepat untuk auditor pemakai; dan Sifat hubungan antara entitas pemakai dan organisasi jasa. A16. Suatu organisasi jasa dapat melakukan perikatan dengan auditor jasa untuk melaporkan penjelasan dan rancangan pengendaliannya (laporan tipe 1) atau penjelasan dan rancangan pengendalian dan efektivitas operasi pengendalian (laporan tipe 2). Laporan 5 SPA 315, paragraf 30 tipe 1 atau tipe 2 dapat dikeluarkan berdasarkan Standar Perikatan Asurans Lain (SPAL) 34026 atau berdasarkan standar yang ditetapkan oleh organisasi berwenang atau organisasi pembuat standar yang telah diakui (yang dapat mengidentifikasi lewat berbagai nama, seperti laporan tipe A atau tipe B). A17. Ketersediaan laporan tipe 1 atau tipe 2 biasanya tergantung pada apakah perjanjian antara organisasi jasa dan entitas pemakai mencakup penyediaan laporan tersebut oleh organisasi jasa. Organisasi jasa dapat juga memilih, dengan alasan praktis, untuk menyediakan laporan tipe 1 atau tipe 2 bagi entitas pemakai. Namun demikian, dalam beberapa kasus, laporan tipe 1 atau tipe 2 mungkin tidak tersedia bagi entitas pemakai. A18. Dalam beberapa keadaan, suatu entitas pemakai dapat melakukan outsource satu atau beberapa unit atau fungsi bisnis yang signifikan, seperti seluruh fungsi perencanaan dan kepatuhan pajak, atau fungsi keuangan dan akuntansi atau fungsi pengawasan ke satu atau beberapa organisasi jasa. Oleh karena laporan tentang pengendalian di organisasi jasa mungkin tidak tersedia dalam keadaan seperti ini, kunjungan ke organisasi jasa adalah prosedur yang paling efektif bagi auditor pemakai untuk menambah pemahaman atas pengendalian di organisasi jasa, karena adanya kemungkinan terjadinya interaksi langsung antara manajemen entitas pemakai dengan manajemen organisasi jasa. A19. Auditor lain mungkin terbiasa melaksanakan prosedur yang akan menyediakan informasi yang diperlukan tentang pengendalian yang relevan di organisasi jasa. Jika laporan tipe 1 atau tipe 2 telah diterbitkan, auditor pemakai dapat menggunakan auditor jasa untuk melaksanakan prosedur-prosedur ini karena auditor jasa telah memiliki hubungan dengan organisasi jasa. Auditor pemakai yang menggunakan pekerjaan auditor lain dapat menggunakan panduan dalam SPA 6007 karena berkaitan dengan upaya untuk memahami auditor lain (termasuk independensi dan kompetensi profesional auditor tersebut), keterlibatan pada pekerjaan auditor lain dalam perencanaan sifat, ruang lingkup, dan waktu pekerjaan, dan dalam mengevaluasi kecukupan dan ketepatan bukti audit yang diperoleh. A20. Suatu entitas pemakai dapat memanfaatkan organisasi jasa yang akan menggunakan organisasi subjasa untuk menyediakan beberapa jasa yang disediakan bagi entitas pemakai yang menjadi bagian dari sistem informasi entitas pemakai yang relevan terhadap pelaporan keuangan. Organisasi subjasa dapat merupakan suatu entitas yang terpisah dari atau terkait dengan organisasi jasa. Auditor pemakai mungkin perlu mempertimbangkan pengendalian di organisasi subjasa. Dalam situasi dimana satu atau beberapa organisasi subjasa digunakan, interaksi antara aktivitas entitas pemakai dan aktivitas organisasi jasa diperluas untuk mencakup interaksi antara entitas pemakai, organisasi jasa, dan organisasi subjasa. Tingkat interaksi ini, baik sifat dan materialitas transaksi yang diproses oleh organisasi jasa dan organisasi subjasa merupakan faktor yang paling penting bagi auditor pemakai untuk dipertimbangkan dalam penentuan signifikansi pengendalian di organisasi jasa dan organisasi subjasa atas pengendalian entitas pemakai. 6 7 [Usulan] SPAL 3402, “Laporan Asurans atas Pengendalian pada Organisasi Jasa Pihak Ketiga.” SPA 600, paragraf 2, menyatakan “Auditor dapat mengetahui SPA ini, yang disesuaikan seperlunya sesuai dengan keadaan, bermanfaat pada saat auditor melibatkan auditor lain dalam audit atas laporan keuangan yang bukan merupakan laporan keuangan grup.” Lihat juga paragraf 19 atau SPA 600. Penggunaan Laporan Tipe 1 atau Tipe 2 untuk Mendukung Pemahaman Auditor Pemakai tentang Organisasi Jasa (Ref: Para. 13-14) A21. Auditor pemakai dapat meminta keterangan tentang auditor jasa kepada organisasi profesional auditor jasa atau praktisi lain dan menanyakan apakah auditor jasa masuk dalam pengawasan oleh regulator. Auditor jasa mungkin berpraktik di yurisdiksi yang mengikuti standar yang berbeda sehubungan dengan laporan atas pengendalian pada organisasi jasa, dan auditor pemakai perlu memperoleh informasi tentang standar yang digunakan oleh auditor jasa dari organisasi pembuat standar yang bersangkutan. A22. Laporan tipe 1 atau tipe 2, bersama dengan informasi tentang entitas pemakai, dapat membantu auditor pemakai untuk memperoleh pemahaman atas: a. Aspek pengendalian di organisasi jasa yang mungkin berdampak terhadap pemrosesan transaksi entitas pemakai, termasuk penggunaan organisasi subjasa; b. Arus transaksi signifikan melalui organisasi jasa untuk menentukan titik-titik dalam arus transaksi yang di dalamnya kesalahan penyajian material atas laporan keuangan entitas pemakai dapat terjadi; c. Tujuan pengendalian di organisasi jasa yang relevan dengan asersi laporan keuangan entitas pemakai; dan d. Apakah pengendalian di organisasi jasa telah dirancang dan diimplementasikan dengan baik untuk mencegah atau mendeteksi kesalahan pemrosesan yang dapat menimbulkan kesalahan penyajian material dalam laporan keuangan entitas pemakai. Suatu laporan tipe 1 atau tipe 2 dapat membantu auditor pemakai dalam memperoleh pemahaman memadai untuk mengidentifikasi dan menilai risiko kesalahan penyajian material. Namun, laporan tipe 1, tidak menyediakan bukti atas efektivitas operasi pengendalian yang relevan. A23. Laporan tipe 1 atau tipe 2 untuk tanggal atau untuk periode di luar periode pelaporan suatu entitas pemakai dapat membantu auditor pemakai dalam memperoleh pemahaman awal atas pengendalian yang diimplementasikan di organisasi jasa jika laporan tersebut dilengkapi dengan tambahan informasi saat ini dari berbagai sumber. Jika penjelasan organisasi jasa tentang pengendalian pada tanggal atau untuk periode sebelum periode awal pelaksanaan audit, auditor pemakai dapat melaksanakan prosedur untuk memutakhirkan informasi yang terdapat dalam laporan tipe 1 dan tipe 2, seperti: Mendiskusikan perubahan yang terjadi di organisasi jasa tersebut dengan personel entitas pemakai yang mengetahui adanya perubahan tersebut; Mereviu dokumen dan korespondensi terkini yang dibuat oleh organisasi jasa; atau Mendiskusikan perubahan yang terjadi dengan personel organisasi jasa. Respons Terhadap Risiko atas Kesalahan Penyajian Material yang Telah Dinilai (Ref: Para. 15) A24. Apakah penggunaan organisasi jasa meningkatkan risiko kesalahan penyajian material entitas pemakai tergantung pada sifat jasa yang disediakan dan pengendalian terhadap jasa tersebut; dalam beberapa kondisi, penggunaan organisasi jasa dapat menurunkan risiko kesalahan penyajian material entitas pemakai, khususnya jika entitas pemakai tidak memiliki keahlian yang diperlukan dalam menjalankan aktivitas tertentu, seperti menciptakan, memproses, dan mencatat transaksi, atau tidak memiliki sumber daya yang memadai (contoh, suatu sistem teknologi informasi). A25. Bila organisasi jasa memelihara unsur yang material atas catatan akuntansi entitas pemakai, akses langsung terhadap catatan tersebut mungkin saja dibutuhkan oleh auditor pemakai untuk memperoleh bukti audit yang cukup dan tepat yang terkait dengan pengoperasian pengendalian terhadap catatan tersebut atau untuk membuktikan transaksi dan saldo yang tercatat dalam catatan tersebut, atau keduanya. Akses tersebut mungkin melibatkan inspeksi fisik atas catatan di organisasi jasa atau pengajuan pertanyaan tentang catatan yang dipelihara secara elektronik dari entitas pemakai atau lokasi lain, atau keduanya. Jika akses langsung ditempuh secara elektronik, auditor pemakai dapat memperoleh bukti atas kecukupan pengendalian yang dijalankan organisasi jasa atas kelengkapan dan integritas data entitas pemakai yang menjadi tanggung jawab organisasi jasa. A26. Dalam menentukan sifat dan luas bukti audit yang harus diperoleh sehubungan dengan saldo yang menggambarkan aset yang dimiliki atau transaksi yang dijalankan oleh organisasi jasa untuk kepentingan entitas pemakai, auditor pemakai mungkin perlu mempertimbangkan prosedur-prosedur di bawah ini: a. Menginspeksi catatan dan dokumen yang dipegang oleh entitas pemakai: keandalan sumber bukti ini ditentukan oleh sifat dan luasnya catatan akuntansi dan dokumentasi pendukung yang disimpan oleh entitas pemakai. Dalam beberapa kondisi, entitas pemakai mungkin tidak memelihara catatan yang independen atau dokumentasi atas transaksi spesifik untuk kepentingannya. b. Menginspeksi catatan dan dokumen yang disimpan oleh organisasi jasa: akses auditor pemakai terhadap catatan organisasi jasa dapat ditetapkan sebagai bagian dari perjanjian kontraktual antara entitas pemakai dan organisasi jasa. Auditor pemakai dapat juga menggunakan auditor lain, untuk kepentingan auditor pemakai, dalam memperoleh akses terhadap catatan entitas pemakai yang dipelihara oleh organisasi jasa. c. Memperoleh konfirmasi atas saldo dan transaksi dari organisasi jasa: jika entitas pemakai memelihara catatan atas saldo dan transaksi yang independen, konfirmasi dari organisasi jasa yang menguatkan catatan entitas pemakai dapat meningkatkan keandalan bukti audit mengenai keberadaan dari transaksi dan aset yang bersangkutan. Sebagai contoh, jika organisasi yang memiliki jasa yang beragam digunakan, seperti manajer investasi dan jasa kustodian, dan organisasi jasa tersebut menyelenggarakan catatan yang independen, auditor pemakai dapat mengonfirmasi saldo ke organisasi tersebut untuk membandingkan informasi ini dengan catatan independen di entitas pemakai. Jika entitas pemakai tidak memelihara catatan yang independen, maka informasi yang diperoleh dalam konfirmasi dari organisasi jasa hanyalah merupakan sebuah pernyataan atas hal-hal yang digambarkan dalam catatan yang dipelihara oleh organisasi jasa. Dengan demikian, konfirmasi tersebut, secara individual, bukan merupakan bukti audit yang handal. Dalam situasi ini, auditor pemakai dapat mempertimbangkan apakah terdapat sumber bukti independen lain yang dapat diidentifikasi. d. Melakukan prosedur analitis terhadap catatan yang dipelihara oleh entitas pemakai at au terhadap laporan yang diterima dari organisasi jasa: efektivitas prosedur analitik tersebut akan bervariasi, tergantung pada asersi, dan dipengaruhi oleh luasnya dan rincian dari informasi yang tersedia. A27. Auditor lain dapat melaksanakan prosedur substantif bagi kepentingan auditor pemakai. Perikatan yang demikian dapat melibatkan pelaksanaan, oleh auditor lain, atas prosedur yang disetujui oleh entitas pemakai dan auditornya serta oleh organisasi jasa dan auditornya. Temuan-temuan yang berasal dari prosedur yang dilaksanakan oleh auditor lain direviu oleh auditor pemakai untuk menentukan apakah temuan-temuan tersebut merupakan bukti audit yang cukup dan tepat. Sebagai tambahan, terdapat beberapa ketentuan yang dikeluarkan oleh pemerintah yang berwenang atau melalui perjanjian kontraktual yang mewajibkan auditor jasa untuk melaksanakan prosedur substantif yang telah dirancang. Hasil penerapan prosedur yang diharuskan atas saldo dan transaksi yang diproses oleh organisasi jasa dapat digunakan oleh auditor pemakai sebagai bagian dari bukti yang diperlukan untuk mendukung opini auditnya. Dalam kondisi seperti ini, akan berguna bagi auditor pemakai dan auditor jasa untuk menyetujui, sebelum pelaksanaan prosedur tersebut diatas, dokumentasi audit atau akses atas dokumentasi audit yang akan disediakan bagi auditor pemakai. A28. Dalam kondisi tertentu, khususnya pada saat suatu entitas pemakai melakukan outsource beberapa atau semua fungsi keuangan kepada organisasi jasa, auditor pemakai dapat menghadapi situasi dimana porsi signifikan dari bukti audit berada di organisasi jasa. Prosedur substantif mungkin perlu dilaksanakan di organisasi jasa oleh auditor pemakai atau auditor lain untuk kepentingan auditor pemakai. Auditor jasa dapat menyediakan laporan tipe 2 dan, sebagai tambahan, dapat juga melaksanakan prosedur substantif untuk kepentingan auditor pemakai. Keterlibatan auditor lain tidak mengubah tanggung jawab auditor pemakai untuk memperoleh bukti audit yang cukup dan tepat sebagai basis yang memadai dalam mendukung opini auditor pemakai. Dengan demikian, pertimbangan auditor pemakai tentang apakah kecukupan dan ketepatan bukti audit telah diperoleh dan apakah auditor pemakai perlu melaksanakan prosedur substantif lebih lanjut meliputi keterlibatan auditor pemakai dengan, atau bukti atas arahan, pengawasan, dan pelaksanaan prosedur substantif yang dilaksanakan oleh auditor lain. Pengujian Pengendalian (Ref: Para. 16) A29. Auditor pemakai diwajibkan oleh SPA 3308 untuk merancang dan melaksanakan pengujian pengendalian untuk memperoleh bukti audit yang cukup dan tepat atas efektivitas operasi dari pengendalian yang relevan dalam situasi tertentu. Dalam konteks organisasi jasa, persyaratan ini diterapkan bila: a. Penilaian risiko kesalahan penyajian material oleh auditor pemakai mencakup harapan bahwa pengendalian di organisasi jasa beroperasi secara efektif (yakni, auditor pemakai bermaksud untuk mengandalkan efektivitas operasi pengendalian di organisasi jasa dalam menentukan sifat, waktu, dan luas prosedur substantif); atau b. Prosedur substantif saja, atau dalam kombinasi dengan pengujian atas efektivitas operasi pengendalian di entitas pemakai, tidak dapat menyediakan bukti audit yang cukup dan tepat pada tingkat asersi. A30. Jika laporan tipe 2 tidak tersedia, auditor pemakai dapat menghubungi organisasi jasa, melalui entitas pemakai, untuk meminta organisasi jasa menunjuk auditor jasa untuk menyediakan laporan tipe 2 yang meliputi pengujian efektivitas operasi pengendalian yang relevan atau auditor pemakai dapat menggunakan auditor lain untuk menguji efektivitas operasi pengendalian tersebut di organisasi jasa. Auditor pemakai dapat juga mengunjungi organisasi jasa dan melakukan pengujian pengendalian yang relevan jik a organisasi jasa menyetujui hal itu. Penilaian risiko yang dilakukan oleh auditor pemakai 8 SPA 330, paragraf 8. didasarkan pada bukti yang disediakan oleh hasil pekerjaan auditor lain dan prosedur yang dilakukan sendiri oleh auditor pemakai. Penggunaan Laporan Tipe 2 sebagai Bukti Audit bahwa Pengendalian di Organisasi Jasa telah Beroperasi Secara Efektif (Ref: Para.17) A31. Laporan tipe 2 mungkin ditujukan untuk memenuhi kebutuhan beberapa auditor pemakai yang berbeda; oleh karena itu pengujian pengendalian dan hasilnya yang dijelaskan dalam laporan auditor jasa mungkin tidak relevan dengan asersi yang signifikan terhadap laporan keuangan entitas pemakai. Pengujian pengendalian yang relevan beserta hasilnya dievaluasi untuk menentukan bahwa laporan auditor jasa telah menyediak an bukti audit yang cukup dan tepat tentang efektivitas pengendalian untuk mendukung penilaian risiko yang dilakukan oleh auditor pemakai. Dalam melakukan hal tersebut, auditor pemakai dapat mempertimbangkan faktor-faktor sebagai berikut: a. Periode waktu yang dicakup oleh pengujian pengendalian dan waktu yang telah berlalu sejak pelaksanaan pengujian pengendalian; b. Ruang lingkup pekerjaan auditor jasa serta jasa-jasa dan proses-proses yang tercakup, pengendalian yang diuji dan pengujian yang dilakukan, serta k eterkaitan pengendalian yang diuji dengan pengendalian di entitas pemakai; dan c. Hasil pengujian pengendalian tersebut dan opini auditor jasa atas efektivitas operasi pengendalian. A32. Untuk asersi tertentu, semakin pendek periode yang dicakup oleh suatu pengujian spesifik dan semakin lama jangka waktu yang lewat setelah pelaksanaan pengujian tersebut, semakin sedikit bukti audit yang dapat disediakan oleh pengujian tersebut. Dalam membandingkan antara periode yang dicakup oleh laporan tipe 2 dengan periode pelaporan keuangan entitas pemakai, auditor pemakai dapat menyimpulkan bahwa laporan tipe 2 memberikan bukti audit yang lebih sedikit jika terjadi tumpang tindih antara periode yang dicakup oleh laporan tipe 2 dan periode yang auditor pemakai bermaksud untuk mengandalkan laporan tersebut. Jika hal ini terjadi, laporan tipe 2 yang mencakup periode sebelumnya atau sesudahnya dapat menyediakan tambahan bukti audit. Dalam hal lain, auditor pemakai dapat menentukan perlu tidaknya untuk melaksanakan, atau menggunakan auditor lain untuk melaksanakan pengujian atas pengendalian di organisasi jasa untuk memperoleh bukti audit yang cukup dan tepat tentang efektivitas operasi pengendalian tersebut. A33. Auditor pemakai mungkin perlu memperoleh tambahan bukti tentang perubahan signifikan atas pengendalian yang relevan di organisasi jasa di luar periode yang dicakup oleh laporan tipe 2, atau menentukan prosedur audit tambahan yang perlu dilaksanakan. Faktor-faktor yang relevan dalam menentukan bukti audit tambahan yang perlu diperoleh tentang pengendalian di organisasi jasa yang dioperasikan di luar periode yang dicakup dalam laporan auditor jasa meliputi: Signifikansi risiko kesalahan penyajian material yang dinilai pada tingkat asersi tertentu; Pengendalian spesifik yang diuji selama periode interim, dan perubahan signifikan dalam pengendalian tersebut sejak diuji, termasuk perubahan sistem informasi, proses, dan personel; Tingkat dimana bukti audit tentang efektivitas operasi pengendalian tersebut diperoleh; Lama periode yang tersisa; Luasnya prosedur substantif lebih lanjut yang hendak dikurangi oleh auditor pemakai berdasarkan keyakinan atas pengendalian; dan Efektivitas lingkungan dan pemantauan pengendalian di entitas pemakai. A34. Tambahan bukti audit dapat diperoleh, sebagai contoh, dengan memperluas pengujian pengendalian selama waktu yang tersisa atau dengan menguji pemantauan pengendalian di entitas pemakai. A35. Jika periode pengujian auditor jasa berada seluruhnya di luar periode pelaporan keuangan entitas pemakai, auditor pemakai tidak dapat mengandalkan pengujian tersebut untuk menyimpulkan bahwa pengendalian di entitas pemakai telah beroperasi secara efektif karena pengujian tersebut tidak menyediakan bukti efektifitas pengendalian di periode audit tahun berjalan, kecuali jika dilakukan prosedur lain. A36. Dalam kondisi tertentu, suatu jasa yang disediakan oleh organisasi jasa mungkin dirancang dengan asumsi bahwa beberapa pengendalian tertentu akan diimplementasikan oleh entitas pemakai. Sebagai contoh, jasa tersebut mungkin dirancang dengan asumsi bahwa entitas pemakai akan memiliki pengendalian untuk mengotorisasi transaksi sebelum transaksi tersebut dikirim ke organisasi jasa untuk diproses. Dalam situasi tersebut, deskripsi pengendalian organisasi jasa mungkin mencakup deskripsi tentang pengendalian komplementer di entitas pemakai. Auditor pemakai mempertimbangkan apakah pengendalian komplementer di entitas pemakai tersebut relevan dengan jasa yang disediakan untuk entitas pemakai. A37. Jika auditor pemakai yakin bahwa laporan auditor jasa tidak menyediakan bukti audit yang cukup dan tepat, sebagai contoh, jika laporan auditor jasa tidak berisi suatu deskripsi tentang pengujian atas pengendalian beserta hasilnya yang dilakukan oleh auditor jasa, auditor pemakai dapat melengkapi pemahaman tentang prosedur auditor jasa dan kesimpulannya dengan cara menghubungi organisasi jasa, melalui entitas pemakai, untuk meminta suatu pembahasan dengan auditor jasa tentang ruang lingkup dan hasil pekerjaan auditor jasa tersebut. Jika diperlukan, auditor pemakai dapat menghubungi organisasi jasa, melalui entitas pemakai, untuk meminta auditor jasa melaksanakan prosedur di organisasi jasa. Sebagai alternatif, auditor pemakai atau auditor lain atas permintaan auditor pemakai, dapat melakukan prosedur tersebut. A38. Laporan tipe 2 auditor jasa mengidentifikasi hasil pengujian, termasuk penyimpangan dan informasi lain yang dapat mempengaruhi kesimpulan auditor pemakai. Penyimpangan yang diketahui oleh auditor pemakai atau opini modifikasi dalam laporan tipe 2 auditor jasa tidak secara otomatis berarti bahwa laporan tipe 2 auditor jasa tidak berguna bagi audit atas laporan keuangan entitas pemakai dalam penilaian risiko kesalahan penyajian material. Akan tetapi, penyimpangan dan hal yang menyebabkan opini modifikasi dalam laporan tipe 2 auditor jasa dapat dipertimbangkan dalam penilaian oleh auditor pemakai atas pengujian pengendalian yang dilaksanakan oleh auditor jasa. Dalam mempertimbangkan penyimpangan dan hal lain yang menyebabkan opini modifikasi, auditor pemakai dapat membahas hal tersebut dengan auditor jasa. Komunikasi tersebut tergantung pada kontak yang dilakukan oleh entitas pemakai dengan organisasi jasa dan pemerolehan persetujuan dari organisasi jasa untuk berkomunikasi. Pengomunikasian defisiensi dalam pengendalian internal yang diidentifikasi selama audit A39. Auditor pemakai diwajibkan untuk mengomunikasikan secara tertulis tentang defisiensi signifikan yang diidentifikasi selama audit, baik kepada manajemen maupun pihak-pihak yang bertanggung jawab atas tata kelola secara tepat waktu.9 Auditor pemakai juga diminta untuk mengomunikasikan secara tepat waktu kepada manajemen pada tingkat semestinya tentang kelemahan dalam pengendalian internal yang diidentifikasi selama audit, yang menurut pertimbangan profesional auditor, hal tersebut cukup penting untuk memperoleh perhatian manajemen.10 Hal-hal yang harus diidentifikasi oleh auditor pemakai selama audit dan dapat dikomunikasikan kepada manajemen dan pihak-pihak yang bertanggung jawab atas tata kelola entitas pemakai meliputi: a. Pemantauan atas pengendalian yang dapat diimplementasikan oleh entitas pemakai, termasuk pengendalian yang diidentifikasi sebagai hasil pemerolehan laporan tipe 1 atau tipe 2; b. Keadaan dimana pengendalian pelengkap entitas pemakai diketahui ada di dalam laporan tipe 1 atau tipe 2 dan tidak diimplementasikan di entitas pemakai; dan c. Pengendalian yang mungkin diperlukan di organisasi jasa yang tampaknya tidak diimplementasikan atau tidak secara spesifik dicakup oleh laporan tipe 2. Laporan Tipe 1 dan Tipe 2 yang Tidak Memasukkan Jasa Organisasi Subjasa (Ref: Para. 18) A40. Jika suatu organisasi jasa menggunakan suatu organisasi subjasa, laporan auditor jasa dapat memasukkan atau tidak memasukkan tujuan pengendalian yang relevan di organisasi subjasa dan pengendalian yang terkait di dalam penjelasan tentang sistem organisasi jasa dan di dalam ruang lingkup perikatan auditor jasa. Kedua metode pelaporan ini dikenal sebagai metode inklusif dan metode carve-out. Jika laporan tipe 1 atau tipe 2 tidak memasukkan pengendalian di organisasi subjasa, dan jasa yang disediakan oleh organisasi subjasa relevan terhadap audit atas laporan keuangan entitas pemakai, auditor pemakai diwajibkan untuk memenuhi persyaratan Standar Perikatan Audit (SPA) untuk organisasi subjasa. Sifat dan luas pekerjaan yang dilaksanakan oleh auditor pemakai yang berkaitan dengan jasa yang diberikan oleh organisasi subjasa tergantung pada sifat dan signifikansi jasa tersebut bagi entitas pemakai dan relevansi jasa-jasa tersebut terhadap audit. Penerapan ketentuan di paragraf 9 membantu auditor pemakai dalam menentukan dampak organisasi subjasa, serta sifat dan luas pekerjaan yang dilaksanakan. Kecurangan, Ketidakpatuhan terhadap Peraturan Perundang-undangan, dan Kesalahan Penyajian yang Tidak Dikoreksi yang Berkaitan dengan Aktivitas di Organisasi Jasa (Ref: Para. 19) A41. Berdasarkan persyaratan dalam kontrak dengan entitas pemakai, organisasi jasa mungkin diwajibkan untuk mengungkapkan kepada entitas pemakai tentang kecurangan, ketidakpatuhan terhadap peraturan perundang-undangan atau kesalahan penyajian yang tidak dikoreksi yang diakibatkan oleh manajemen atau karyawan organisasi jasa. Seperti yang dijelaskan dalam paragraf 19, auditor pemakai meminta keterangan tentang manajemen entitas pemakai berkaitan dengan apakah organisasi jasa telah melaporkan hal-hal tersebut dan mengevaluasi apakah hal-hal yang dilaporkan oleh organisasi jasa mempengaruhi sifat, waktu dan luas prosedur audit lebih lanjut auditor pemakai. Dalam kondisi tertentu, auditor pemakai dapat meminta informasi tambahan untuk melakukan 9 SPA 265, “Pengomunikasian Defisiensi dalam Pengendalian Internal kepada Pihak yang Bertanggungjawab atas Tata Kelola dan Mana jemen,” paragraf 9-10 10 SPA 265, paragraf 10. pengevaluasian ini, dan dapat pula meminta entitas pemakai untuk menghubungi organisasi jasa dalam rangka memperoleh informasi yang dibutuhkan. Pelaporan oleh Auditor Pemakai (Ref: Para. 20) A42. Bila seorang auditor pemakai tidak dapat memperoleh bukti audit yang cuk up dan tepat yang terkait dengan jasa yang disediakan oleh organisasi jasa dan bukti audit tersebut relevan terhadap audit atas laporan keuangan entitas pemakai, maka terjadilah suatu pembatasan atas ruang lingkup audit. Hal ini mungkin terjadi ketika: Auditor pemakai tidak dapat memperoleh pemahaman memadai tentang jasa yang disediakan oleh organisasi jasa dan tidak memiliki basis untuk mengidentifikasi dan menilai risiko kesalahan penyajian material; Suatu penilaian risiko yang dilakukan oleh auditor pemakai mencakup harapan bahwa pengendalian di organisasi jasa beroperasi secara efektif dan auditor pemakai tidak dapat memperoleh bukti audit yang cukup dan tepat tentang efektivitas operasi pengendalian tersebut; atau Bukti audit yang cukup dan tepat hanya tersedia dari catatan yang dipelihara oleh organisasi jasa, dan auditor pemakai tidak dapat memperoleh akses langsung ke catatan tersebut. Apakah opini yang dinyatakan oleh auditor pemakai berupa opini wajar dengan pengecualian atau opini tidak menyatakan pendapat tergantung pada kesimpulan auditor pemakai tentang apakah dampak yang mungkin ada pada laporan keuangan bersifat material atau pervasif. Pengacuan ke Hasil Pekerjaan Auditor Jasa (Ref: Para. 21-22) A43. Dalam beberapa kasus, peraturan perundang-undangan mungkin mengharuskan suatu pengacuan ke pekerjaan auditor jasa dalam laporan auditor pemakai, sebagai contoh, untuk tujuan transparansi dalam sektor publik. Dalam situasi tersebut, auditor pemakai mungkin membutuhkan persetujuan dari auditor jasa sebelum membuat pengacuan tersebut. A44. Fakta bahwa suatu entitas pemakai menggunakan suatu organisasi jasa tidak mengubah tanggung jawab auditor pemakai menurut SPA untuk memperoleh bukti audit yang cukup dan tepat untuk menjadi basis yang mendukung opini auditor pemakai. Oleh karena itu, auditor pemakai tidak membuat pengacuan ke laporan auditor jasa sebagai basis, sebagian, untuk opini auditor pemakai atas laporan keuangan entitas pemakai. Namun, bila auditor pemakai menyatakan suatu opini modifikasian karena suatu opini modifikasian dalam laporan auditor jasa, auditor pemakai tidak dihalangi dari pengacuan ke laporan auditor pemakai jika pengacuan tersebut membantu dalam menjelaskan alasan opini modifikasian auditor pemakai. Dalam keadaan ini, auditor pemakai mungkin memerlukan izin dari auditor jasa sebelum melakukan pengacuan tersebut. ... View Full Document

ED SPA 402 - Perimbangan Audit Terkait dengan Entitas yang Menggunakan suatu Organisasi Jasa

End of Preview

Sign up now to access the rest of the document