Risiko dan Pengendalian Internal dalam Perspektif Audit Dalam menjalankan suatu proses bisnis, ketidakpastian (uncertainty) merupakan

suatu kondisi yang tidak dapat dihindari. Adanya ketidakpastian tersebut menyebabkan munculnya kemungkinan perusahaan mengalami kegagalan dalam mencapai tujuan yang telah ditetapkan. Oleh karena itu, dalam rangka menghadapi risiko tersebut, perusahaan biasanya memiliki serangkaian prosedur yang sengaja didesain oleh orang-orang yang memegang kepentingan di dalam organisasi untuk mendapatkan jaminan yang memadai terkait dengan tujuan yang ingin dicapai oleh organisasi, prosedur tersebut dikenal dengan pengendalian internal. Pengendalian dinilai efektif jika dapat memberikan reasonable assurance bahwa perusahaan tersebut akan dapat mencapai tujuan-tujuannya. Munculnya risiko dalam operasi bisnis suatu perusahaan memang tidak dapat dihindari. Dalam pendekatan audit, terdapat tiga risiko yang dipertimbangkan dalam pelaksanaan prosedur audit yaitu risiko bawaan, risiko pengendalian, dan risiko audit. Risiko-risiko tersebut dapat mempengaruhi keseluruhan kualitas pada produk, personil, dan jasa yang disediakan perusahaan. Oleh karena itu, pengendalian internal yang telah didesain oleh manajemen diharapkan dapat mengelola atau merespon risiko-risiko tersebut melalui serangkaian proses yang dikenal dengan manajemen risiko (risk management). Manajemen risiko pada dasarnya tidak dapat menghilangkan risiko yang dihadapi perusahaan, akan tetapi melalui manajemen risiko yang baik suatu perusahaan dapat meminimalisasi atau mengurangi risiko yang dihadapi perusahaan. Pengelolaan risiko (management of risk) merupakan hal inti pada tata kelola sistem informasi (IS governance). Semakin kompleks lingkungan bisnis ditambah dengan semakin beragamnya penggunaan solusi yang berbasis teknologi, kebutuhan atas pengelolaan risiko semakin besar. Pada suatu perusahaan yang telah terkomputerisasi, pemahaman terhadap keseluruhan proses bisnis perusahaan mutlak diperlukan. Selain itu, auditor harus memahami risiko-risiko bawaan yang muncul pada lingkungan yang telah mengintegrasikan sistem informasinya (terkomputerisasi). Pemahaman terhadap proses bisnis dan lingkungan teknologi informasi merupakan pendekatan yang harus dilakukan

auditor dengan berkolaborasi dengan manajemen. Auditor sistem informasi harus menggabungkan pemahamannya agar dapat menentukan risiko signifikan terhadap sistem informasi dan juga risiko signifikan yang berasal dari sistem informasi. Pengendalian internal yang dilakukan pada lingkungan yang telah terkomputerisasi dapat diklasifikasikan berdasarkan cakupan tujuan yang ingin dikendalikan yaitu pengendalian pada general control objectives, data and transaction objectives, dan program control objectives. Arti penting pengendalian internal dalam organisasi telah dipahami Sarbanes Oxley Act sehingga membuat acuan khusus kepada perusahaan-perusahaan untuk mengimplementasikan pengendalian seperti yang direkomendasikan COSO. Bagi lingkungan yang telah terintegrasi dengan sistem informasi, COSO telah secara spesifik memuat aspek pengendalian IT dalam beberapa komponen rerangka COSO. Di samping itu, rekomendasi penerapan pengendalian pada lingkungan yang berbasis sistem informasi juga disampaikan oleh ITGI. ITGI merupakan lembaga yang mengembangkan pemikiran dan standar internasional dalam mengatur dan mengendalikan teknologi informasi perusahaan. ITGI menyusun COBIT yang menyediakan rerangka praktik yang baik dan menyajikan kegiatan-kegiatan dengan memanfaatkan IT dalam struktur yang logis dan terkelola yang berguna bagi CIO, senior manajemen, IT manajemen, dan profesi pengendalian. Dalam COBIT dijelaskan model yang membagi IT menjadi empat domain dan 34 proses yang selaras dengan area tangggung jawab perencanaan, pembangunan, pelaksanaan dan pengawasan, dan penyajian hasil akhir IT. Rerangka konseptual yang dikembangkan oleh COBIT dalam mendukung tata kelola IT harus dapat memastikan bahwa penggunaan IT sejalan dengan bisnis, IT memungkinkan perusahaan menjalankan bisnisnya dan memaksimasi benefit, sumber daya IT digunakan secara bertanggung jawab, risiko IT dikelola secara tepat. Sebagai salah satu hal yang sangat penting dalam tata kelola IT, pengukuran kinerja juga diatur dalam COBIT. Dalam hal ini, COBIT juga menjelaskan mengenai pengaturan dan pengawasan tujuan yang terukur mengenai apa hal yang dibutuhkan untuk dipenuhi oleh proses IT dan bagaimana cara pemenuhannya.