Menanggapi RisikoMenanggapi risiko merupakan tahapan kedua dalam proses audit, tujuannya ialah memperoleh bukti audit yang cukup dan tepat mengenai risiko yang dinilai. Hal ini dapat dicapai dengan merancang dan mengimplementasi tanggapan yang tepat terhadap risiko salah saji yang dinilai, pada tingkat laporan keuangan maupun asersi. Auditor melakukan pendekatan dengan berbagai cara, yaitu:1) Menangani setiap risiko yang dinilai, secara bergantian sesuai dengan sifatnya (misalnya, ketika perekonomian sedang menurun) dan dengan merancang tanggapan audit yang tepat dalam bentuk prosedur audit yang selanjutnya.2) Menangani setiap risiko yang dinilai, sesuai dengan materialitas dari area laporan keuangan atau disclosure yang terkena dampak risiko tersebut. auditor kemudian merancang tanggapan dalam bentuk prosedur audit selanjutnya yang tepat.3) Memulai dengan daftar prosedur audit baku untuk setiap area laporan keuangan dan asersi yang material dan membuat penyesuaian (menambah, memodifikasi, dan mengeliminasi prosedur) untuk merancang tanggapan yang tepat terhadap risiko yang dinilai.Langkah awal untuk merancang tanggapan audit yang efektif adalah dengan membuat daftar risiko yang telah dinilai dan dikembangkan pada akhir tahap penilaian risiko. Selanjutnya tanggapan menyeluruh, yaitu risiko yang pervasif pada tingkat laporan keuangan (seperti kelemahan lingkungan pengendalian dan/ atau potensi terjadinya kecurangan yang dapat berdampak terhadap banyak asersi) ditangani melalui rancangan dan implementasi tanggapan menyeluruh oleh auditor. Penilaian risiko pada tingkat laporan keuangan dilakukan sedini mungkin, agar tanggapan menyeluruh dapat dibuat diawal audit untuk mengatur hal-hal seperti penunjukan staf, tingkat supervisi yang diperlukan, dan prosedur audit yang digunakan.Faktor penting dalam menentukan luasnya suatu prosedur audit ialah performance materiality atau materialitas pelaksanaan, hal ini ditetapkan untuk laporan keuangan secara keseluruhan dan dimodifikasi untuk memperhitungkan risiko tertentu berkenaan dengan saldo akun, transaksi, atau disclosure dalam laporan keuangan. Secara umum luasnya prosedur audit ditentukan (seperti banyaknya sampel yang diuji, atau seberapa rinci prosedur analitikal substantif) akan meningkat dengan meningkatnya risiko salah saji material.Dalam membuat rencana audit terinci, auditor akan menggunakan kearifan profesionalnya untuk memilih jenis prosedur audit yang tepat. Program audit yang efektif didasarkan pada perpaduan yang tepat dari beberapa prosedur yang secara kolektif akan menurunkan risiko audit ke tingkat rendah yang dapat diterima. Lalu alat uji seperti apa yang akan digunakan auditor untuk prosedur audit selanjutnya? Akan dibahas selanjutnya.Prosedur SubstantifProsedur substantif adalah suatu prosedur audit yang dirancang untuk mendeteksi salah saji yang material pada tingkat asersi. Prosedur ini terdiri atas (1) uji detail (test of details) atas jenis transaksi, saldo akun, dan disclosure; dan (2) prosedur analitikal substantif. Prosedur substantif digunakan auditor untuk mengumpulkan bukti tentang asersi yang menjadi dasar dan merupakan bagian yang tidak terpisahkan dalam saldo akun dan jenis transaksi dan digunakan untuk mendeteksi salah saji material.Prosedur substantif meliputi pemilihan sampel (saldo akun atau transaksi) yang mewakili seluruh populasi untuk: (1) Recalculate untuk memastikan accuracy; (2) Meminta konfirmasi saldo (piutang, saldo bank, dll); (3) Memastikan transaksi dicatat pada periode yang benar (cut-off tests); (4) Membandingkan angka-angka antar periode (analytical procedures); (5) Menginspeksi dokumen pendukung; (6) Mengamati eksistensi fisik dari aset yang dicatat; dan (7) Menelaah kecukupan penyisihan untuk penurunan nilai seperti piutang ragu-ragu.Seorang auditor wajib merancang dan melaksanakan prosedur substantif untuk setiap jenis/kelompok transaksi, saldo akun, dan disclosure (ISA 330.18). Prosedur substantif dirancang auditor utuk mendeteksi salah saji yang material pada tingkat asersi. Ada dua jenis prosedur substantif seperti yang telah disebutkan di atas, yaitu:1) Uji detail (test of details), yaitu pada uji ini auditor melihat substansi (misalnya dari satu akun) dengan menganalisis rincian atau detailnya. Uji ini digunakan untuk mengumpulkan bukti audit yang memastikan angka dalam laporan keuangan berkenaan dengan asersi-asersi seperti existence, accuracy, dan valuation.2) Prosedur analitikal substantif, yaitu sama halnya dengan uji detail, sebagai prosedur substantif ia melihat substansi angka dalam laporan keuangan. Perbedaannya ialah, prosedur ini menggunakan hubungan data keuangan dan data nonkeuangan yang dapat diprakirakan. Prosedur ini pada umumnya diterapkan pada transaksi yang besar volumenya karena dalam kurun waktu yang cukup panjang, dapat diprediksi. Misalnya hubungan antara laba kotor dengan penjualan (margin).Dalam menentukan prosedur substantif mana yang paling tepat menanggapi risiko yang dinilai, auditor dapat melaksanakan uji detail (test of details) saja atau jika tidak ada salah saji material yang signifikan cukup prosedur analitikal substantif saja, atau dapat mengkombinasikan keduanya. Ketika prosedur analitikal substantif dilaksanakan, auditor harus memastikan keandalan data yang akan digunakan untuk ekspektasi auditor mengenai angka yang dicatat atau rasio yang digunakan.Uji Pengendalian (Test of Controls)Auditor wajib merancang dan melaksanakan uji pengendalian untuk memperoleh bukti audit yang cukup dan tepat mengenai berfungsinya pengendalian yang relevan jika (1) dalam penilaian auditor mengenai risiko salah saji yang material pada tingkat asersi meliputi ekspektasi bahwa pengendalian berfungsi secara efektif (artinya auditor bermaksud menggunakan pengendalian yang efektif itu untuk menentukan sifat, waktu, dan luasnya prosedur substantif); atau (2) prosedur substantif saja tidak memberikan bukti audit yang cukup dan tepat pada tingkat asersi (ISA 330.8).Dalam merancang dan melaksanakan uji pengendalian, auditor wajib (1) melaksanakan prosedur audit lainnya yang dikombinasikan dengan bertanya untuk memperoleh bukti audit yang cukup dan tepat mengenai berfungsinya pengendalian, termasuk (i) bagaimana pengendalian diterapkan pada waktu yang relevan selama audit; (ii) apakah pengendalian diterapkan secara konsisten; dan (iii) oleh siapa dengan cara apa pengendalian diterapkan; (2) menentukan apakah pengendalian yang akan diuji tergantung pada pengendalian lain (pengendalian tidak langsung) dan jika demikian, apakah auditor perlu memperoleh bukti audit untuk meyakinkan bahwa pengendalian tidak langsung juga berfungsi secara efektif (ISA 330.10).Pengendalian spesifik (seperti kegiatan pengendalian) langsung menangani pencegahan atau pendeteksian dan pembetulan salah saji. Di lain pihak, pengendalian persavif memberikan landasan untuk pengendalian spesifik dan mempengaruhi bekerja atau berfungsinya pengendalian spesifik tersebut.Dalam entitas yang lebih kecil, beberapa pengendalian pervasif (seperti lingkungan pengendalian) dapat juga menangani risiko salah saji yang khusus untuk asersi tertentu (misalnya dimana manajer senior langsung terlibat dalam supervisi dan persetujuan atas transaksi sehari-hari). Dalam hal ini, jika pengendalian pervasif diuji dan ternyata berfungsi secara efektif, auditor tidak perlu menguji pengendalian lain (seperti kegiatan pengendalian) yang terkait dengan risiko khusus tadi.Ada kalanya audit dilaksanakan pada tanggal interim (tanggal sebelum akhir tahun) dan jika auditor memperoleh bukti audit mengenai berfungsinya pengendalian secara efektif selama masa interim tersebut maka auditor wajib (1) memperoleh bukti audit mengenai perubahan signifikan terhadap pengendalian tersebut sesudah masa interim, dan (2) menentukan bukti audit tambahan yang harus diperoleh untuk sisa periode, yakni tanggal interim sampai akhir tahun (ISA 330.12). Representasi ManajemenRepresentasi manajemen merupakan representasi tertulis dari manajemen yang menyatakan bahwa mereka percaya sudah memenuhi tanggung jawab atas pembuatan laporan keuangan dan mengenai lengkapnya informasi yang diberikan kepada auditor (ISA 580.6)). Auditor wajib meminta representasi tertulis dari manajemen yang mempunyai tanggung atas laporan keuangan dan mengenai hal-hal terkait (ISA 580.9).Jika auditor ragu/khawatir terhadap kompetensi, integritas, nilai-nilai etika atau kecermatan manajemen, atau mengenai komitmennya untuk melaksanakan hal-hal tersebut, auditor wajib menentukan dampak keraguan/kekahawatiran tersebut terhadap keandalan representasi (lisan atau tulisan) dan bukti audit secara umum (ISA 580.16). Jika manajemen tidak memberikan satu atau lebih representasi tertulis yang diminta (auditor), auditor wajib: (a) membahas hal itu dengan manajemen; (b) mengevaluasi kembali integritas manajemen dan mengevaluasi dampaknya terhadap keandalan representasi (lisan atau tulisan) dan bukti audit secara umum; dan (c) mengambil tindakan yang tepat, termasuk menentukan dampaknya terhadap opini dalam laporan auditor sesuai ISA 705, dengan memperhatikan alenia 20 ISA ini (ISA 580.19).Auditor wajib menolak memberikan pendapat atas laporan keuangan sesuai ISA 705 jika: (a) auditor menyimpulkan ada cukup keraguan mengenai integritas manajemen sehingga representasi tertulis menjadi tidak andal; atau (b) manajemen tidak memberikan representasi tertulis (terkait tanggung jawab atas pembuatan laporan keuangan; memberikan semua informasi relevan dan akses; semua transaksi sudah dicatat dan dicerminkan dalam laporan keuangan).