20 memengaruhi sifat dan keluasan penyujian substantif yang harus dilakukan. Teknik pengumpulan bukti yang digunakan pada tahap ini dapat meliputi teknik manual dan teknik audit komputer khusus. Tahap pengujian substantif melibatkan penyelidikan yang terperinci mengenai berbagai saldo akun dan transaksi. Risiko deteksi yang direncanakan menentukan jumlah bukti substantif yang direncanakan akan dikumpulkan auditor, yang besarnya berlawanan dengan risiko deteksi. Jika risiko deteksi yang direncanakan dikurangi, auditor harus mengumpulkan lebih banyak bukti untuk mencapai rencana pengurangan risiko itu Arens, Elder dan Beasley, 2008. Beberapa uji substantif merupakan aktivitas fisik yang membutuhkan banyak tenaga kerja seperti menghitung kas, menghitung persediaan di gudang dan memverivikasi keberadaan sertifikat saham. Dalam sebuah lingkungan TI, informasi yang dibutuhkan untuk melakukan uji substantif terdapat dalam berbagai file data yang sering kali harus diekstraksi menggunakan software Computer Assissted Audit Tools and Techniques CAATTs Hall dan Singleton, 2007.

3. Penilaian Risiko Audit

Statement on Auditing Standards SAS No. 47 AICPA 1983 memberikan konsep yang menjelaskan model risiko audit dan konsep tersebut disertakan dalam Generally Accepted Auditing Standards GAAS POB, 2000. 21 Risiko audit audit risk adalah probabilitas bahwa auditor akan memberikan pendapat yang wajar bersih atas laporan keuangan yang, pada kenyataanya, salah saji secara material Hall dan Singleton, 2007. Kesalahsajian yang material mungkin dapat disebabkan oleh berbagai kesalahan atau iregularitas, atau keduanya. Iregularitas adalah kesalahan penyajian yang disengaja untuk melakukan penipuan atau menyesatkan para pengguna laporan keuangan. Tiga komponen risiko audit menurut Boynton, Johnson dan Kell 2006: a. Risiko Inheren Inherent Risk Risiko inheren atau risiko bawaan adalah kerentanan suatu asersi terhadap kemungkinan salah saji yang material, dengan asumsi tidak terdapat pengendalian internal yang terkait. b. Risiko Pengendalian Control Risk Risiko pengendalian adalah risiko terjadinya salah saji yang material dalam suatu asersi yang tidak akan dapat dicegah atau dideteksi secara tepat waktu oleh struktur pengendalian intern entitas. c. Risiko Deteksi Detection Risk Risiko deteksi adalah risiko yang timbul karena auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Model risiko audit dapat dinyatakan secara kuantitatif sebagai berikut: AR = IR X CR X DR 22 IR dan CR dinilai oleh pengetahuan auditor atas lingkungan perusahaan, pengujian pengendalian internal, pengalaman sebelumnya dengan klien, dan sebagainya. Terakhir, setelah menilai tingkatan dari IR dan CR, DR atau lingkup dari perencaan prosedur substantif kemudian disesuaikan oleh auditor untuk mendapatkan tingkat AR yang diinginkan DR = AR IR x CR. Misalkan risiko audit dinilai dengan 5, yang sama dengan interval kepercayaan confidence interval 95 dalam statistik. Makin andal pengendalian internal, makin rendah probabilitas CR. Hal itu mengarah pada DR yang lebih rendah, yang akan juga mengarah pada lebih sedikit uji substantif yang dibutuhkan. Peningkatan uji substantif dapat berarti audit yang lebih lama dan mengganggu serta biaya audit yang lebih tinggi Hall dan Singleton, 2007. Menurut Boynton, Johnson dan Kell 2006 risiko deteksi tergantung pada dua faktor lain dalam model risiko audit. Risiko ini akan berubah hanya jika auditor mengubah salah satu dari faktor-faktor model risiko. Jika auditor menyimpulkan bahwa kemungkinan besar akan ada salah saji, dengan mengabaikan pengendalian internal, auditor akan menyimpulkan bahwa risiko inheren adalah tinggi. Risiko inheren berbanding terbalik dengan risiko deteksi yang direncanakan dan bersifat langsung dengan bukti. Selain meningkatkan bukti audit untuk risiko inheren yang lebih tinggi dalam bidang audit tertentu, auditor biasanya juga menugaskan staf 23 yang lebih berpengalaman pada bidang itu serta mereview pengujian audit yang telah selesai secara lebih menyeluruh. Sedangkan jika auditor mengasumsikan pengendalian internal sama sekali tidak efektif untuk mencegah atau mendeteksi salah saji. Kesimpulan tersebut akan menetapkan faktor risiko yang tinggi. Semakin efektif pengendalian internal semakin rendah faktor risiko yang dapat ditetapkan untuk risiko pengendalian. SAS 107 AU 312 menyebut kombinasi risiko inheren dan risiko pengendalian ini risiko salah saji yang material risk of material misstatement. Seperti pada risiko inheren, hubungan antara risiko pengendalian dan risiko deteksi adalah berbanding terbalik, sedangkan hubungan antara risiko pengendalian dan bukti substantif bersifat langsung. Jika auditor menyimpulkan bahwa pengendalian internal efektif, risiko deteksi yang direncanakan dapat diperbesar sehingga bukti dapat dikurangi dan akan memperkecil kemungkinan terjadinya salah saji dalam laporan keuangan. Auditor harus memahami pengendalian internal yang ada, mengevaluasi seberapa baik pengendalian tersebut berfungsi, serta menguji keefektifannya. Auditor perusahaan swasta dan entitas lainnya juga mungkin mengandalkan pengendalian yang efektif, terutama bila pemrosesan transaksi sehari-hari melibatkan prosedur yang sangat terotomasi. Apabila pengendalian mungkin tidak efektif dan risiko inheren tinggi, penggunaan 24 model risiko audit akan menyebabkan auditor mengurangi risiko deteksi sehingga meningkatkan bukti. Perbedaan antara risiko-risiko dalam model risiko audit adalah dalam risiko inheren dan risiko pengendalian didasarkan pada ekspektasi atau prediksi auditor mengenai kondisi klien. Contoh risiko inheren adalah persedian yang belum terjual setelah dua tahun. Sementara contoh risiko pengendalian yang rendah adalah pemisahan tugas yang memadai antara penyimpanan aktiva dan akuntansi. Risiko deteksi sangat tergantung pada kedua risiko lainnya. Dalam mengembangkan strategi audit pendahuluan, auditor menspesifikasikan empat komponen berikut Boynton, Johnson dan Kell, 2006: a. Tingkat risiko bawaan yang dinilai. b. Tingkat risiko pengendalian yang direncanakan untuk dinilai dengan mempertimbangkan: 1. Luas pemahaman mengenai pengendalian intern yang diperoleh. 2. Pengujian pengendalian yang dilaksanakan dalam mengukur risiko pengendalian. c. Tingkat risiko prosedur analitis yang direncanakan untuk dinilai dengan mempertimbangkan: 1. Luas pemahaman tentang bisnis dan industri yang diperoleh. 2. Prosedur analitis yang akan dilaksanakan yang menyediakan bukti mengenai penyajian wajar dari suatu asersi. 25 d. Tingkat pengujian rincian yang direncanakan, apabila dikombinasikan dengan prosedur lain, mengurangi risiko audit hingga tingkat rendah yang sesuai. Sedangkan menurut Arens, Elder dan Beasley, 2008 auditor harus memiliki faktor-faktor yang menyebabkan risiko inheren dan memodifikasi bukti audit untuk memperhitungkan faktor-faktor tersebut. Auditor harus mempertimbangkan beberapa faktor utama ketika menilai risiko inheren: a. Sifat bisnis klien b. Hasil audit sebelumnya c. Penugasan awal versus penugasan berulang d. Pihak-pihak yang terkait e. Transaksi nonrutin f. Pertimbangan yang diperlukan untuk mencatat saldo akun dan transaksi dengan tepat g. Unsur-unsur populasi h. Faktor-faktor yang berkaitan dengan pelaporan keuangan yang curang i. Faktor-faktor yang berkaitan dengan misaproriasi aktiva

4. Sistem Informasi