MANAJEMEN RISIKO

FALSAFAH COSO
Makalah ini terfokus pada risiko auditor internal dan eksternal umumnya, audit laporan
keuangan (LK) khususnya, dan lebih khususnya lagi pada risiko akuntan publik.
Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor
internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi,
penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar
menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko
internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus
pada pengamanan sasaran strategis korporasi.
Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan
teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk
mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen
risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen
yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran
dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.
Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :

Pesaing meluncurkan produk baru

Perubahan teknologi menyebabkan jasa atau produk tidak laku

Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan

Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing

KKN menggerus laba dan membuat perusahaan keropos

PENGGUNA HASIL PENILAIAN-PENETAPAN RISIKO

Analisis risiko digunakan untuk mengurangi risiko, makin kecil risiko maka makin besar
kemungkinan meraih sasaran korporasi. Berbagai yurisdiksi hukum meminta setiap bank
melakukan penilaian-risiko dan mengumumkan kondisi pengendalian internal kepada publik,
auditor eksternal diwajibkan membuat atestasi tentang pernyataan bank tersebut & kondisi
pengendalian internal bank, untuk melindungi deposito publik. Otoritas Pasar Modal AS (SEC)
meminta semua emiten membuat Laporan Penilaian Risiko sejak 1979 untuk melindungi
kepentingan investor. SAS 55 AICPA menyatakan bahwa auditor eksternal bertanggungjawab
untuk memperoleh & memahami sistem pengendalian audit laporan keuangan. Akuntan publik
juga membuat asessmen risiko terkait perencanaan audit LK, untuk mendeteksi risiko kegagalan
auditor mencapai sasaran audit, untuk menentukan metode pengujian yang tepat menuju sasaran
audit, antara lain perencanaan sampling dan penggunaan teknik audit secara tepat. Auditor
internal harus selalu bertanya Hal-hal apa saja yang mungkin tidak berjalan sesuai rencana?,
mengidentifikasi potensi kesalahan, menengarai gejala ketidakwajaran segala sesuatu yang

memberi tanda-tanda bahaya atau tanda-tanda risiko. Auditor internal melakukan asesmen risiko
untuk meyakini bahwa sarana-pengendalian tertentu masih berfungsi efektif.
PERENCANAAN ASESMEN RISIKO
Perencanaan audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam
mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko kegagalan
organisasi. Manajemen risiko berpengaruh pada perencanaan audit. Auditor melakukan evaluasi
kendali internal sebagai sarana penghindaran risiko.
PERLUASAN AUDIT BERBASIS RISIKO
Pada awalnya, kegiatan audit dimulai dengan observasi terhadap control (pengendalian), analisis
pengendalian, disusul kegiatan analisis risiko tiap jenis operasi korporasi tersebut dan analisis
keselarasan aktivitas dengan sasaran korporasi.
Perluasan Audit Berbasis Risiko mencakupi kegiatan identifikasi, pengukuran dan analisis risiko,
lalu memilih aktivitas strategis terkait manajemen risiko sbb:
1. Mengendalikan risiko, aktivitas pengurangan risiko, besar risiko, jumlah risiko atau
frekuensi terjadinya risiko
2. Menerima risiko dan/atau risiko residual (setelah segala upaya mitigasi risiko dilakukan)
3. Menghindari risiko, merancang ulang proses bisnis yang tak berkonsekuensi risiko
tertentu
4. Pembagian risiko, pembelahan risiko, memikul risiko beramai-ramai (risk sharing) atau
transfer risiko ke unit organisasi lain (bagian lain) atau pihak ketiga (di luar korporasi)
yang lebih mampu mengelola-mengendalikan risiko tersebut
AUDIT INTERNAL DAN MANAJEMEN RISIKO
Tugas auditor internal antara lain adalah meng-audit risiko; melakukan evaluasi risiko,
mengusulkan pendirian manajemen risiko sambil menjelaskan manfaat manajemen risiko, atau
menyatakan dukungan atas program manajemen risiko. Auditor internal menerima instruksi &
bagian peran audit internal dalam manajemen risiko dari Dewan Audit atau Komite Audit,
agar secara independen auditor mengevaluasi manajemen risiko dan program memerangi risiko.
Auditor internal pada umumnya bersikap abstain untuk manajemen risiko departemen auditor
internal sendiri, kecuali diminta Dewan Audit untuk melakukan self-assessment.
RISIKO AUDIT LAPORAN KEUANGAN
Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit
Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk
mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang
mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas
manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.
Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah

Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama

Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya

perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)

Mutasi manajemen amat tinggi

Manajemen amat berkepentingan utk mencapai proyeksi laba

Reputasi buruk manajemen di mata publik

Sebagai contoh, sifat Industri dan operasi yang mengandung risiko audit adalah

Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis

Laba tidak konsisten

Kinerja amat dipengaruhi faktor eksternal

Entitas berada dalam industri turun-daun

Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian

Entitas kelihatannya tidak akan going concern

Sebagai contoh, sifat penugasan audit yang mengandung risiko audit laporan keuangan adalah

Banyak perkecualian, banyak isu akuntansi

Banyak transaksi atau saldo sulit di audit

Banyak transaksi hubungan istimewa yang tidak lazim

Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.

Untuk mengurangi risiko, auditor wajib mendapatkan asersi LK berupa pernyataan (semacam
pernyataan jaminan) manajemen (management representation) tentang (1) eksistensi, (2)
kelengkapan, (3) hak dan kewajiban, (4) evaluasi dan alokasi, (5) penyajian dan pengungkapan
berbagai akun dan pos penting Laporan Keuangan.
Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan
kelompok transaksi sejenis adalah

Salah saji akun tersebut

Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)

Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada
(detection risk).

Pada standar auditing, pertimbangan auditor dalam evaluasi risiko saldo akun dan jenis transaksi,
misalnya adalah

Dampak risiko-teridentifikasi pada laporan keuangan.

Kerumitan isu akuntansi

Frekuensi transaksi sulit-diaudit.

Temuan salah-saji pada audit terdahulu.

Kemungkinan salah apropriasi aset.

Kualitas SDM proses-data.

Unsur pertimbangan dalam penetapan saldo akun.

Besar suatu pos dalam neraca.

Kerumitan kalkulasi tertentu.

RISIKO INHEREN
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis
operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak
ada.
Sebagai contoh:
1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait
kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan
aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih
cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun
tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis &
kaku) untuk meningkatkan kreativitas dan layanan pelanggan.

7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko
budaya.
RISIKO PENGENDALIAN
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak
tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau
prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian
internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan
penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus
lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu
membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur
terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapatdapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi
penyimpangan, KKN dan salah saji material.
RISIKO DETEKSI
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang
sebetulnya ada.
Risiko deteksi muncul karena
1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah
tafsir terhadap hasil audit.
HUBUNGAN ANTAR RISIKO
Hubungan risiko terformula standar audit adalah bahwa audit risk = inherent risk X control risk
X detection risk,dimana Detection Risk = Audit Risk/(Inherent Risk X Control Risk), dan Inherent
risk dan control risk terjadi di luar kekuasaan auditor.
Auditor hanya dapat mengurangi detection risk, makin besar inherent risk dan control risk,
makin besar bukti audit (audit sampling, observasi dll) harus dikumpulkan. Sebagai catatan
pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing,
prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100%
atau full audit) pada wilayah kecurigaan tersebut.
Inherent risk terkait pada

Jenis bisnis, jenis industri

Jenis aktivitas, rantai nilai

Gaya manajemen

Iklim / atmosfer manajemen

Sebagai misal, bagi BPKP sebagai internal auditor NKRI :

Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah
daerah otonom sederajat.

Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala Pemda yang kuat,
bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi
kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD
yang kuat, dan rakyat yang apatis.

RISK INVENTORY
Daftar risiko paripurna diperoleh dari konsolidasi pengorganisasian manajemen risiko sebagai
kerangka dasar risiko bagi seluruh korporasi.
Sebagai contoh, external risk inventory mencakupi antara lain

Risiko lingkungan

Kemungkinan bencana alam

Pasar uang

Rating

Sebagai contoh, internal risk inventory antara lain adalah

SDM

Integritas

IT

Akuntansi dan pelaporan

Keuangan

Auditor wajib membuat top minds of risks melalui rating risiko, pembuatan daftar risiko
terbesar, ancaman terbesar yang harus dipertimbangkan pada penyusunan rencana strategis,
diikuti pemutahiran risk inventory secara berkala. Auditor wajib membuat daftar pemicu
risiko menjadi kenyataan-bencana. Direksi korporasi wajib memberi fasilitas diskusi risiko
bisnis, membangun infrastruktur pemantau risiko bisnis, membangun sistem identifikasi jenis
baru risiko. Auditor internal harus bersikap proaktif terhadap risiko, jangan mengandalkan
deteksi risiko telah (terlanjur) menjadi kenyataan, menjamin bahwa jumlah SDM pakar risiko
harus seimbang dengan besar & kerumitan korporasi.
PERTANYAAN DASAR AUDITOR TENTANG RISIKO

Apa temuan audit terdahulu?

Berapa lama audit terdahulu terakhir dilakukan?

Berapa sering audit terdahulu dilakukan?

Perubahan mendasar apa saja yang terjadi pada sistem tata cara kerja?

Perubahan mendasar apa saja terjadi pada manajemen SDM dan kualitas SDM korporasi?

Perubahan mendasar produk/jasa utama yang mengubah risiko korporasi?

Bagaimana perbandingan nilai rupiah biaya & sarana pengendalian internal dengan nilai
rupiah aset yang dikendalikan?

Berapa besar volume transaksi, frekuensi transaksi utama?

Berapa likuid dan/atau luwes (fleksibel) seluruh aset korporasi?

Bagaimana kesehatan pemisahan pekerjaan, tugas, dan tanggungjawab departemental dan

individu?

Berapa besar pengaruh manajemen informasi terhadap sukses kegagalan korporasi?

Berapa besar tekanan pencapaian target penjualan, laba, dividen dan kewajiban
pertumbuhan semua itu?

Bagaimana ketat-longgar peraturan per UU berdampak pada korporasi?

Berapa sering terjadi kasus pelanggaran etika?

Berapa tinggi tingkat pengetahuan, keterampilan, pengalaman untuk setiap tugas strategis
dalam korporasi, yang menyulitkan manajemen SDM?

Siapa saja bertugas sebagai wakil perusahaan menghadapi pelanggan, pemasok,

pemerintah & pengawas perusahaan?

Berapa rumit dan canggih kegiatan operasional perusahaan?

Berapa besar pengaruh LK Auditan terhadap sentimen harga saham, citra perusahaan dan
pemangku kepentingan kepada perusahaan.

CONTOH PRAKTIK STRATEGI MANAJEMEN RISIKO

Evaluasi risiko adalah tugas integral dari auditor internal, risiko menurut kelompok probabilitas
terjadinya. Auditor menentukan jenis risiko, tingkat risiko, audit program berbasis risiko dan

melakukan audit sub-proses kunci, fungsi kunci, aktivitas kunci. Risiko bisnis-bisnis universal
terkait auditing adalah sbb :
The business risks are :
Impact
Financial statements and financial management
1.
Erroneous Financial Records
records, recording, classification value, or time.
2.
Unacceptable Accounting
Procedures inconsistent with accounting
Principles
standards or inappropriate to the circumstances.
Significant impairment to ability to provide
3.
Business Interruption
service or to function.
4.
Government Criticism or Legal Penalties brought by judicial, regulatory, or
Action
government authorities.
Any expenditures, capital or expense, that could
5.
Excessive Costs
have been avoided or lessened.
Loss of income or compensation to which
6.
Deficient Revenues
entitled. Market share.
Reduction in value or loss of facilities,
7.
Destruction or Loss of Assets equipment, material, cash, or claims to monies
or data.
Inability to remain abreast of demands of the
8.
Competitive Disadvantage and
marketplace or to respond effectively to
Public / Customer Dissatisfaction
competitive challenge.
Intentional abuse of policies, rules or ethics, or
9.
Fraud and Conflict or interest erosion of basic honesty. Monetary aspects or
misleading information.
Integrity of information for management
10. Erroneous Management
decision-making causing inappropriate planning,
Policies or Decisions
organizing, directing, etc.

Salah satu pertanyaan yang sering muncul di seputaran auditing adalah: apa sih itu risiko audit
atau audit risk (AR)? Bagaimana caranya menghitung dan bagaimana contoh terapannya?
Pertanyaan yang sangat bagus. Saya katakan bagus sebab, bagaimanapun juga, risiko audit
sifatnya fundamental di wilayah auditing. Dalam artian, auditor yang tidak menghitung risiko
sebelum menajalankan proses audit namanya bunuh diri.
Reputasi KAP, tempat kerja auditor, bisa rusak bila belakangan ternyata ada skandal hebat yang
sedang berlangsung di dalam perusahaan klien yang baru saja diberikan opini wajar tanpa
pengecualian (WTP). Bahkan, salah-salah, bisa ikut terseret kasus pidana jika kasusnya bergulir
ke ranah hukum.
Kerja audit itu berisiko, apalagi audit terhadap klien kakap, thus harus benar-benar
diperhitungkan sebelum merancang prosedur audit, sehingga nantinya benar-benar aman. Dalam
artian, opini yang disampaikan bisa dipertanggungjawabkan secara profesi maupun legal.
Masalah yang paling mendasar dari audit:

Adalah tidak mungkin bagi auditor untuk memeriksa transaksi per transaksi, klas transaksi per
klas transaksi, akun per akun, satu per satu. Tidak cukup waktu.
Oleh sebab itu maka auditor wajib mengukur dan memetakan risiko audit terlebih dahulu
sebelum mulai menjalankan proses pemeriksaan.
So, apa itu risiko audit atau audit risk?

Apa itu Risiko Audit (Audit Risk)?

Risiko Audit atau Audit Risk (AR) adalah kemungkinan risiko salahsaji bersifat material
dan/atau penggelapan (fraud) yang bisa lolos dari proses audit jika auditor tidak melakukan
tugasnya secara cermat.
Mengingat risiko itu maka, auditor harus melakuka pemeriksaan risiko (risk assessment) sebelum
menjalankan proses audit, tepatnya pada fase perencanaan audit (audit planning).
Tujuannya: Untuk mengukur dan memetakan risiko audit yang mungkin timbul thus bisa
menentukan dimana proses pemeriksaan dilaksanakan secara ketat dan dimana agak longgar,
dimana audit penuh (full audit) dan dimana secara acak (random audit).

Jenis-Jenis Risiko Audit

Ada 3 jenis risiko audit yang wajib diuji dan dipertimbangkan oleh seorang auditor sebelum
menjalankan proses audit, yaitu: (1) risiko inherent (inherent risk), (2) risiko pengendalian
(control risk) dan (c) risiko deteksi (detection risk).
Audit Risk (AR) terdiri dari Inherent Risk (IR), Control Risk (CR) dan Detection Risk
(DR)

Click To Tweet
Untuk lebih jelasnya kita lihat satu per satu:
1. Risiko Inherent Atau Inherent Risk (IR) adalah risiko yang mungkin timbul akibat
karakter bawaan dari suatu transaksi, entah karena: (a) kompleksitas transaksi dan klas transaksi;
atau (b) kompleksitas perhitungan; atau (c) aset yg mudah tercuri/digelapkan; atau (d) ketiadaan
informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah
diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak

auditee sendiri. Dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan
apa-apa. Beberapa ciri IR yg tinggi, antara lain:

Terjadi profitabilitas (dan indikator kinerja kunci lainnya) yang terus menurun;

Terjadi kekurangan modal kerja; dan

Tingginya asset menganggur (tidak menghasilkan)

Contoh Pemeriksaan IR: Saat memeriksa Pendapatan, sebagai seorang auditor anda melihat
4 faktor penting berikut ini dalam mengukur Risiko Inherent (Inherent Risk):

Usaha Sejenis Pertimbangkan persaingan di lingkungan usaha sejenis

yang mungkin mempengaruhi pendapatan dan aliran kas auditee. Misalnya:
faktor persaingan (mungkinkah auditee kalah dalam persaingan sehingga
revenue nya menurun?)

Kompleksitas Pengakuan Pendapatan Periksa metode pengakuan

pendapatannya, apakah mengandung kompleksitas yang berpotensi menjadi
risiko? Contoh pengakuan pendapatan dengan perhitungan kompleks dan
berpotensi mengandung risiko bawaan adalah metode persentase
penyelesaian yang biasa digunakan oleh jenis usaha real estate atau
developer ATAU metode pengakuan pendapatan atas kontrak lainnya yang
lamanya melewati satu tahun buku.

Kesulitan dalam Menakar Akurasi Perhitungan Revenue Periksa

besarnya nilai revenue dipengaruhi oleh perhitungan yang akurasinya sulit
diukur? Misal: menggunakan Cadangan Bad Debt dan yang angka
persentasenya menggunakan estimasi (termasuk write off nya).

Salah Saji Pada Audit Sebelumnya Anda juga dapat menggunakan

laporan hasil audit priode sebelumnya sebagai tambahan bahan
pertimbangan; akun-akun yang kerap mengandung salah saji pada periodeperiode sebelumnya besar kemungkinannya mengandung risiko inherent.

Catatan Penting: 2 (dua) faktor berikut ikut menentukan tingginya tingkat IR

Penugasan audit pertama kalinya untuk klien yang sama oleh auditor
dihitung sebagai faktor IR yang penting. Misalnya PT JAK baru IPO tanggal 1
Juni 2015, maka audit yang diselenggarakan pertama kali (untuk Laporan
Keuang Per 31 Desember 2015) diasumsikan mengandung IR yang tinggi,
sebab auditor tidak memiliki informasi valid mengenai kondisi keuangan PT
JAK yang bisa dipercaya.

Perusahaan yang memiliki anak/cabang dalam jumlah banyak dan melibatkan

banyak mata uang asing, diasumsikan mengandung IR yang tinggi. Sebab
model perusahaan seperti ini cenderung menghasilkan laporan keuangan
yang kompleks dan besar kemungkinan terjadi banyak kesalahan dalam

proses konsolidasi laporan yang disebabkan oleh kompleksitas data transaksi

yang terlibat di dalamnya.

2. Risiko Pengendalian Atau Control Risk (CR) adalah risiko yang bisa timbul akibat
kelemahan sistim pengendalian intern (SPI) auditee, entah karena desainnya yang lemah atau
pelaksanaanya yang tidak sesuai desainthus tidak mampu mencegah potensi salahsaji bersifat
material dan/atau penggelapan (fraud). CR tidak bisa dikendalikan oleh auditor akan tetapi bisa
dikendalikan oleh auditee jika mereka mau. Karakter perusahaan ber CR tinggi, antara lain:

Struktur Organisasi (SO), tidak jelas dengan pembagian tugas yang juga tidak
jelas. Jika ini terjadi maka bisa dipastikan CR nya tinggi;

Lemahnya pengawasan manajemen (para manager) terhadap operasional

perusahaan (ciri ini bisa dilihat dari beberapa hal, misal: tidak ada level
otorisasi transaksi yang jelas, semua orang bisa mengakses semua
data/informasi, tidak ada aktivitas supervisi, tidak pernah ada audit fisik,
tidak ada performance review, tidak ada budgeted financial statement). Kalau
ini yang terjadi maka angka persentase CR sudah pasti tinggi.

Tidak memiliki auditor internal dan komite audit. Jika ini yang tejadi maka
bisa dipastikan angka CR juga tinggi.

Sistim Pengendalian Internal lemah atau tidak efektif (semua aspek SPI perlu
diperiksa terlebih dahulu untuk menentukan faktor ini, perhatikan contoh
dibawah.

Contoh Pemeriksaan SPI: Yang paling klasik, anda memeriksa faktor Pemisahan Tugas pada
departemen-departemen yang berpotensi terjadi Asset Fraud. Dua jenis asset dimana kerap
terjadi fraud adalah wilayah Persediaan dan Kas. Katakanlah anda sedang memeriksa
Persediaan. Di sini anda memeriksa apakah ada 2 pekerjaan terkait atau lebih dirangkap oleh satu
orang petugas? Misal:

Pegawai Purchasing merangkap sebagai petugas yang penerima barang atau

pekerjaan gudang persediaan lainnya (ini buruk); atau Pegawai Shipping
merangkap sebagai petugas gudang yang mengurus persediaan barang jadi
(ini juga buruk).

Foreman di bagian produksi (yang biasa request persediaan untuk keperluan

produksi) diijinkan bebas keluar-masuk gudang persediaan bahan baku atau
bahan penolong (ini buruk).

Pegawai admin yang input Receipt of Goods (ROG) memiliki kemampuan

akses ke dalam data-data accounting terkait seperti Accounts Payable
(Utang)

Pegawai admin yang input picking sheet di Shipping memiliki kemampuan

akses ke dalam data-data accounting terkait seperti Accounts Receivable
(Piutang).

Selain aspek pemisahan tugas anda juga memeriksa akurasi saldo Persediaan yang disajikan pada
Laporan Posisi Keuangan (Neraca.) Ada 2 hal yang bisa anda lakukan di sini, yaitu:

Menelusuri dokumen penerimaan barang masuk-dan-keluar gudang untuk

tanggal-tanggal yang mendekati tanggal tutup buku (jika tutup buku
dilakukan tanggal 31 Desember misalnya, maka periksa dokumen barang
masuk-dan-keluar tanggal 30 hingga 31). Dari hasil pemeriksaan ini mungkin
anda menemukan barang persediaan yang harusnya tidak diperhitungkan
sebagai penambah saldo (atau pengurang saldo) akan tetapi diikutkan oleh
aduitee, atau sebaliknya.

Melakukan perhitungan fisik secara acak (random physical counts). Hasil

penghitungan ini kemudian dibandingkan dengan hasil perhitungan yang
dilakukan oleh auditee, apakah sama? Jika beda, maka uji dengan physical
count terus dilakukan.

Jika auditee menggunakan peralatan teknologi dalam mengelola persediaan

misalnya Self-alarming antitheft tags atau Electronic Cash Register (ECR),
maka anda perlu memeriksa apakah peralatan tersebut berfungsi dengan
baik atau rusak atau tidak konsisten?

Catatan:
Kombinasi IR dengan CR disebut Risiko Salahsaji Bersifat Material (material
misstatement risk)

Click To Tweet
Baik IR dan CR bisa diuji secara bersamaan atau terpisah.
3. Risiko Deteksi Atau Detection Risk (DR), adalah risiko yang bisa timbul akibat kegagalan
auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). DR
ada dalam kendali auditor. Karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti
mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal
(tidak mungkin menghilangkan risiko ini sepenuhnya). Ada 4 faktor yang berpotensi
menghasilkan DR yang tinggi, yaitu:

Salah Mengaplikasikan Prosedur Audit Contoh kesalahan fatal, misalnya:

anda menggunakan rasio untuk mengukur tingkat akurasi angka saldo, dan
ternyata anda menggunakan rasio yang salah.

Salah Menginterpretasikan Hasil Audit Contoh (lanjutan yang tadi): mungkin

sudah menggunakan rasio yang benar, namun anda salah dalam
menginterpretasikan hasil perhitungan (misal: anda menyatakan inventory
sudah disajikan dengan semestinya padahal sebenarnya mengandung
salahsaji bersifat material).

Salah Memilih Metod Uji Setiap saldo akun yang disajikan pada Laporan
Keuangan seharusnya diuji dengan menggunakan metode yang paling sesuai
dengan nature nya masing-masing. Anda ingin memastikan apakah suatu
penjualan memang seharusnya diakui (atau tidak diakui), maka anda
mengujinya dengan melihat tanggal transaksi yang kemudian disandingkan
dengan periodisasi pelaporan (bukan dengan menguji hitungan
matematisnya)

Pengujian CR Yang Kurang Intensive DR juga meningkat bila pengujian

terhadap DR kurang intensif (beberapa wilayah pengendalian lemah namun
lolos dari pengujian karena anda tidak tahu wilayah tersebut ternyata lemah),
sehingga ada salahsaji atau fraud yang tidak terdeteksi selama proses
pengujian anda jalankan.

Agar hal itu tidak terjadi, maka auditorpada fase perencanaan audit (audit planning)
memperkirakan besaran angka DR yang akan dihadapi untuk kemudian diantisipasi dengan
prosedur, teknik dan mote audit yang akan diterapkan. Untuk lebih jelasnya, lanjut ke paragraf
berikut ini

Model Perhitungan Risiko Audit

Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan diajarkan) adalah:
AR = IR x CR x DR
Dimana:
AR = Audit Risk
IR = Inherent Risk
CR = Control Risk
DR = Detection Risk
Model Risiko Audit ini bisa diterapkan dengan 3 langkah berikut ini:
Pertama, Kantor Akuntan Publik (KAP) biasanya sudah mematok besaran angka persentase
Audit Risk (AR) yang bisa diterima (biasanya tak boleh lebih dari 10%).

Kedua, menentukan IR dan CR. Inherent risk (IR) diukur dengan mempertimbangkan faktor
eksternal dan internal seperti yang sudah saya jelaskan di atas. Sedangkan CR diukur dengan
menilai desain dan implementasi sistim pengendalian internal yang dimiliki oleh auditee seperti
yang sudah saya jelaskan di atas.
Ketiga, menentukan DR dengan menggunakan persamaan di atas, sehingga menjadi:
DR = AR/(IR x CR)
Nah, besaran DR inilah yang nantinya akan dijadikan sebagai bahan pertimbangan dalam
merancang prosedur audit, substantive test dan rencana audit secara keseluruhan.
Contoh kasus terapan (sederhana):
Kantor Akuntan Publik JAK dan Rekan menerima penugasan untuk mengaudit PT. ABC Tbk,
untuk pertama kalinya sejak IPO. Engagement Manager, pada fase persiapan audit,
menyampaikan informasi berikut terkait PT ABC Tbk:

Ini adalah sesi audit eksternal pertama kalinya untuk PT ABC Tbk

PT. ABC adalah perusahaan kontraktor yang memiliki banyak cabang di

Singapura, Malaysia, India, Dubai, Jepang dan Australia.

Tim internal Audit PT ABC baru dibentuk 2 bulan lalu;

Komite Audit PT ABC terdiri dari Board of Director member yang tidak
satupun memiliki latar belakang bidang akuntansi dan keuangan.

Sementara itu KAP JAK dan Rekan mematok angka 10% sebagai accepted audit risk level.
Dari informasi tersebut, tim audit KAP JAK & Rekan menghitung besaran angka DR yang
harus diantisipasi dengan prosedur dan metode audit yang paling efektif:
Inherent Risk (IR) diperkirakan mencapai 60%, mengingat: (a) klien adalah usaha kontraktor
yang besar kemungkinannya menerapkan metode pengakuan pendapatan bertahap melalui
beberapa periode akuntansi (kompleksitas pengakuan transaksi); (b) ini adalah audit eksternal
pertamakalinya (minim informasi obyektif); dan (c) klien memiliki tingkat kompleksitas
pelporan yang tergolong tinggi dengan adanya banyak perusahaan cabang di luar negeri dengan
mata uang asing yang berbeda-beda pula.
Control Risk (CR) juga diperkirakan mencapai 60%, mengingat: (a) tim internal auditnya PT
ABC Tbk tergolong baru; (b) anggota audit komite nya terdiri dari orang-orang yang tidak
berlatarbelakang akuntansi dan keuanganthus besar kemungkinanya tidak melakukan tugas

pengawasan yang prudent terhadap proses pencatatan dan pelaporan transkasi keuangan PT ABC
Tbk.
Dari simpulan itu, maka sudah bisa ditentukan berapa besarnya angka DR yang harus
diantisipasi oleh auditor, dengan menggunakan persamaan di atas:
AR = IR x CR x DR
10% = 60% x 60% x DR
0.10 = 0.60 x 0.60 x DR
0.10 = 0.36 x DR
DR = 0.10/0.36
DR = 0.278 (dibulatkan)
DR = 0.28 (pembulatan ke atas)
DR = 28%
DR = 28% inilah yang harus diantisipasi dengan prosedur pemeriksaan yang dirancang
sedemikian rupa oleh auditor, sehingga bisa ditekan ke tingkatan yang paling minimal.
Sampai di sini pengenalan tentang risiko audit (audit risk) saya rasa sudah cukup. Di topik
audit berikutnya mungkin kita akan bahas mengenai substantif testing. Sampai ketemu.

Konsep Dasar Audit Berbasis Resiko

A. Reasonable Assurance (Asuransi Yang Layak)
Asuransi yang layak adalah asuransi yang tinggi, tetapi bukan pada tingkat tinggi yang
mutlak (absolute level of assurance). Asuransi yang layak dicapai ketika auditor memperoleh
bukti audit yang cukup dan tepat (sufficient appropriate audit evidence) untuk menekan resiko
audit. Resiko audit adalah resiko dimana auditor memberikan opini yang salah ketika laporan
keuangan disalahsajikan secara material. Auditor ingin menekan resiko audit ini ke tingkat
rendah yang dapat diterima (to an acceptable low level).

B. Inherent Limitations (Kendala Bawaan)

Kendala
Sifat Pelaporan Keuangan

Alasan
Pembuat laporan keuangan memerlukan :

judgment manajemen dalam menerapkan kerangka pelaporan

keuangan, dan keputusan atau penilaian subjektif oleh manajemen
dalam memilih berbagai tafsiran atau judgment yang akseptable

Sifat Bukti Audit yang

Kebanyakan pekerjaan auditor dalam merumuskan pendapatnya

Tersedia

adalah mengumpulkan dan mengevaluasi bukti audit. bukti ini

cenderung bersifat persuasif dan tidak konklusif

Sifat Prosedur Audit

Bagaimanapun bagusnya rancangan prosedur audit, ia tidak akan

mampu mendeteksi setiap salah saji

Pelaporan Keuangan Tepat

Relevansi/nilai informasi keuangan cenderung menurun dengan

Waktu

lewatnya waktu. Oleh karena itu perlu ada keseimbangan antara

kendala informasi dan biayanya

C. Audit Scope (Lingkup Audit)

Setiap perluasan dari tanggung jawab audit yang utama, seperti yang mungkin ditetapkan
dalam ketentuan perundang-undangan, mewajibkan auditor untuk melaksanakan pekerjaan
tambahan dan memodifikasi atau memperluas laporan auditor sesuai dengan perluasan tanggung
jawabnya.
D. Material Misstatement (Salah Saji Yang Material)
Salah saji yang material (Material misstatement) terjadi jika secara layak dapat diharapkan,
akan mempengaruhi keputusan ekonomis pemakai laporan keuangan.
Salah saji yang material bisa:

Terjadi secara sendiri-sendiri atau bersama

Berupa salah saji yang tidak dikoreksi (uncorrected misstatements)

Berupa pengungkapan yang menyesatkan (misleading disclosures)

Berupa kesalahan (error) atau kecurangan (fraud)

E. Assertions (Asersi)
Asersi (assertions) adalah pernyataan (representations) yang diberikan manajemen, secara
eksplisit atau implisit, yang tertanam didalam atau merupakan bagian dari (embodied in) laporan
keuangan. Asersi berhubungan dengan pengakuan (recognition), pengukuran (measurement),
penyajian (presentation), dan pengungkapan (disclosure) dan berbagai unsur laporan keuangan.

Risiko Audit
Risiko audit (audit risk) adalah risiko memberikan opini audit yang tidak tepat (expressing
an inappropriate audit opinion) atas laporan keuangan yang disalahsajikan secara material.
Tujuan audit ialah menekan risiko audit ini ke tingkat rendah yang dapat diterima auditor.
Untuk menekan risiko audit ke tingkat rendah yang dapat diterima, auditor harus :

Menilai risiko salah saji yang material; dan

Menekan risiko pendeteksian komponen utama risiko audit :

Inherent Risk (Resiko Bawaan)

Kerentanan suatu asersi (mengenai jenis transaksi, saldo akun, atau pengungkapan)
terhadap salah saji yang mungkin material, sendiri, atau tergabung, tanpa memperhitungkan
pengendalian terkait.
Control Risk (Risiko Pengendalian).
Risiko bahwa suatu salah saji bisa terjadi dalam suatu asersi (mengenai jenis transaksi, saldo
akun, atau pengungkapan) dan bisa material, sendiri atau tergabung dengan salah saji lainnya,
tidak tercegah atau terdeteksi dan terkoreksi pada waktunya oleh pengendalian intern entitas.
Detection Risk (Resiko Pendektesian)
Risiko bahwa prosedur yang dilaksanakan auditor untuk menekan risiko audit ke tingkat rendah
yang dapat diterima, tidak akan mendeteksi salah saji yang bisa material, secara individu atau
tergabung dengan salah saji lainnya.

Melaksanakan Audit Berbasis Risiko

Tiga langkah audit berbasis risiko :
Risk

assessment

(menilai

risiko).

Melaksanakan

prosedur

penilaian

risiko

untuk

mengidentifikasi dan menilai risiko salah saji yang material dalam laporan keuangan.
Kutipan dari ISA 315.3 mengenai tujuan auditor dalam proses audit tahap 1.
Tujuan auditor adalah mengidentifikasi dan menilai salah saji yang material, karena
kecurangan atau kesalahan, pada tingkat laporan keuangan dan asersi, melalui pemahaman
terhadap entitas dan lingkungannya, termasuk pengendalian intern entitas, yang memberikan
dasar untuk merancang dan mengimplementasikan tanggapan terhadap risiko (salah saji material)
yang dinilai
Keharusan dalam tahap risk assessment :
Sejak awal, libatkan auditor senior.
Partner (yang memimpin) penugasan dan anggota inti tim audit harus terlibat aktif dalam
merencanakan audit, serta dalam merencanakan dan berpartisipasi dalam diskusi antar anggota
tim audit. Keterlibatan mereka sejak awal memastikan perencanaan audit memanfaatkan
pengalaman dan insight anggota tim senior
Tekankan skeptisisme profesional
Auditor tidak dapat diharapkan mengabaikan pengalaman masa lalunya mengenai integritas dan
kejujuran manajemen dan TCWG (those charged with governance). Namun kepercayaan bahwa
manajemen dan TCWG jujur dan punya integritas, tidak membebaskan auditor dari keharusan
mempertahankan skeptisisme profesional
Rencanakan auditnya
Waktu yang digunakan dalam perencanaan audit (mengembangkan strategi audit) akan
memastikan bahwa tujuan audit sudah dipenuhi dengan benar, dan pekerja staf audit terfokus
pada pengumpulan bukti pada hal-hal yang paling kritikal untuk terjadinya salah saji.

 Laksanakan diskusi tim audit dan komunikasi berkelanjutan

Diskusi/pertemuan perencanaan tim dengan partner penugasan merupakan forum yang sangat
baik untuk:
Menginformasikan kepada staf tentang klien secara umum dan membahas area yang berpotensi
mengandung risiko
Membahas efektifnya strategi audit menyeluruh dan rencana audit, dan, jika perlu, membuat
perubahan
Bertukar pikiran (brainstorming) mengenai bagaimana kecurangan mungkin terjadi dan
kemudian merancang tanggapan yang tepat; dan
Menetapkan tanggung jawab audit kepada staf dan menetapkan waktu penyelesaian tugas
mereka
Fokus pada identifikasi risiko
Langkah terpenting dalam proses penilaian risiko adalah mengidentifikasi semua risiko yang
relevan
Evaluasi secara cerdas tanggapan manajemen mengenai risiko
Bagaimana manajemen merancang/melaksakan pengendalian untuk memitigasi risiko (salah saji
material dalam laporan keuangan) yang sudah diidentifikasi oleh manajemen (sendiri) dan/atau
auditor
Gunakan kearifan profesional
ISA mengharuskan penggunaan dan kemudian pendokumentasian kearifan profesional
(professional judgment) yang penting oleh auditor selam audit.

Risk respone (menanggapi risiko). Merancang dan melaksanakan prosedur audit selanjutnya
yang menanggapi risiko (salah saji yang material) yang telah diidentifikasi dan dinilai, pada
tingkat laporan keuangan dan asersi.

Reporting (pelaporan). Tahap melaporkan meliputi : a) merumuskan pendapat berdasarkan

bukti audit yang diperoleh; dan b) membuat dan menerbitkan laporan yang tepat, sesuai
kesimpulan yang ditarik.

2. Menanggapi Risiko/Risk Response

Kutipan ISA 330.3 mengenai tujuan auditor dalam proses audit tahap 2:
Tujuan auditor adalah memperoleh bukti audit yang cukup dan tepat tentang risiko (salah saji
material) yang dinilai, dengan merancang dan mengimplementasikan tanggapan yang tepat
terhadap risiko tersebut
Dalam tahap ini auditor :
Menilai risiko bawaan dan risiko pengendalian pada tingkat laporan keuangan dan pada tingkat
asersi (untuk setiap jenis transaksi, saldo akun, dan pengungkapan)
Mengembangkan prosedur aktif responsif, yakni prosedur audit yang menanggapi risiko yang
dinilai.
Tanggapan

auditor

terhadap

risiko

yang

dinilai

untuk

risiko

salah

saji

material,

didokumentasikan dalam suatu rencana audit yang :

Berisi tanggapan menyeluruh atas risiko yang diidentifikasi pada tingkat laporan keuangan
Mengangani area laporan keuangan yang material; dan
Berisi sifat, luasnya, dan penjadwalan prosedur audit spesifik untuk menanggapi risiko salah saji
material, pada tingkat asersi.
Prosedur audit selanjutnya umumnya terdiri atas prosedur audit substansif seperti uji
rincian (test of details), prosedur analitikal (analytical procedures), dan uji pengendalian (test of
controls). Uji pengendalian lazimnya digunakan jika ada ekspektasi bahwa pengendalian tersebut
berfungsi dengan efektif dalam periode berjalan.
Beberapa hal yang menjadi pertimbangan auditor dalam merencanakan kombinasi prosedur
audit yang tepat (appropriate mix of audit procedures) untuk menanggapi risiko termasuk berikut
ini.

1. Uji Pengendalian (test of controls)

Identifikasi pengendalian intern yang relevan, yang jika diuji dapat mengurangi lingkup
prosedur substansif lainnya.

Identifikasi setiap asersi yang tidak dapat ditangani dengan prosedur substansif saja.

2. Prosedur Analitikal Substansif (Substansive Analytical Procedures). Ini prosedur dimana jumlah
total suatu arus transaksi (misalnya penjualan) dapat diperkirakan dengan cukup tepat
berdasarkan bukti yang tersedia.
3. Pendadakan (Unpredictability). Dalam hal tertentu auditor perlu memasukkan unsur pendadakan
(element of predictability atau element of surprise ) dalam prosedur audit, misalnya ketika
menanggapi salah saji material karena kecurangan.
4. Management Override. Auditor juga mempertimbangkan perlunya prosedur audit yang spesifik
menangani kemungkinan management override atau putusan manajemen untuk meniadakan atau
mengabaikan pengendalian dengan membuat pengecualian
5. Significant Risks. Istilah significant risks atau risiko signifikan dalam isas mempunyai
makna khusus

3. Pelaporan/Reporting
Kutipan dari ISA 700.6 mengenai tujuan auditor dalam proses audit tahap 3:
Tujuan auditor adalah:
Merumuskan opini mengenailaporan keuangan berdasarkan evaluasi atau kesimpulan yang
ditarik atas bukti audit yang diperoleh dan
Memberikan opini dengan jelas, melalui laporan tertulis, yang juga menjelaskan dasar (untuk
memberikan) pendapat tersebut
Tahap terakhir dalam audit adalah menilai bukti audit yag diperlukan dan menentukan
apakah bukti audit itu cukup dan tepat untuk menekan risiko audit ke tingkat rendah yang dapat
diterima.
Dalam tahap ini sangatlah penting untuk menentukan:

Setiap perubahan dalam tingkat risiko yang sinilai;

Apakah kesimpulan yang ditarik dari pekerjaan audit, sudah tepat;
Apakah ada situasi mencurigakan yang dialami; dan
Risiko tambahan (yang sebelumnya tidak teridentifikasi) sudah dinilai dengan tepat dan prosedur
audit selanjutnya, sudah dilaksanakan sebagaimana diwajibkan (ISAs)

Jika semua prosedur sudah dilaksanakan dan kesimpulan dicapai, maka :

Temuan audit dilaporkan kepada manajemen
Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk laporan auditor, harus
dibuat.

Dokumentasi
Dokumentasi audit yang cukup, diharuskan agar auditor yang berpengalaman, yang tidak
berhubungan dengan audit ini, memahami:

Sifat, jadwal, waktu, dan luasnya prosedur audit yang dilaksanakan

Hasil pelaksanaan prosedur tersebut dan bukti audit yang diperoleh; dan

Hal-hal penting yang timbul selama audit berlangsung, kesimpulan yang ditarik;dan kearifan
profesional yang diterapkan untuk sampai pada kesimpulan itu.
Auditor tidak perlu mendokumentasikan :

Hal kecil yang dipertimbangkan, atau semua kearifan profesional yang diterapkan dalam audit;
dan

Kepatuhal terhadap hal-hal yang ditunjukkan dengan jelas dalam dokumen lain dalam audit file.

Manfaat Audit Berbasis Risiko

Beberapa manfaat dari suatu audit berbasis risiko:

Fleksibilitas waktu

Upaya tim audit terfokus pada area kunci

Prosedur audit terfokus pada risiko

Pemahaman atas pengendalian internal

Komunikasi tepat waktu