I.

TUJUAN INTERNAL CONTROL

Sistem pengendalian internal terdiri atas kebijakan dan prosedur yang dirancang untuk
memberikan manajemen kepastian yang layak bahwa perusahaan telah mencapai tujuan dan
sasarannya. Kebijakan dan prosedur ini sering kali disebut dengan pengendalian, secara kolektif
membentuk pengendalian internal entitas tersebut. Biasanya manajemen memiliki tiga tujuan
umum dalam merancang sistem pengendalian internal yang efektif
Adapun tujuan dari kontrol internal, yaitu:
1. Reliabilitas pelaporan keuangan
Manajemen bertanggung jawab untuk menyiapkan laporan untuk para investor, kreditor,
dan pengguna laporan keuangan lainnya. Manajemen mempunyai tanggung jawab hukum
maupun profesional untuk meyakinkan bahwa informasi yang disampaikan secara wajar sesuai
dengan persyaratan pelaporan sperti prinsip prinsip akuntansi yang berlaku umum (GAAP).
Tujuan kontrol internal yang efektif atas laporan keuangan adalah untuk memenuhi tanggung
jawab manajemen menyangkut laporan keuangan tersebut.
2. Efisiensi dan efektivitas operasi
Pengendalian di dalam perusahaan mendorong efisiensi dan efektivitas dari penggunaan
sumber daya untuk mengoptimalkan tujuan atau sasaran-sasaran perusahaan. Tujuan yang
penting dari pengendalian ini adalah memperoleh informasi keuangan dan informasi
nonkeuangan yang akurat tentang operasi perusahaan untuk keperluan pengambilan keputusan.
3. Ketaatan terhadap hukum dan peraturan
Section 404 Sarbanes-Oxley Act mengharuskan seluruh perusahaan publik mengeluarkan
laporan tentang efektivitas pelaksanaan kontrol internal atas pelaporan keuangan. Selain itu,
Section 404 juga mengatur bahwa perusahaan publik, nonpublik, dan nirlaba harus mengikuti
hukum dan peraturan yang berlaku. Beberapa peraturan berhubungan secara tidak langsung
dengan akuntansi, misalnya UU perlindungan lingkungan dan hak sipil . Peraturan yang lain
berhubungan dekat dengan akuntansi, misalnya pajak penghasilan.
Manajemen merancang sistem pengendalian internal untuk mencapai ketiga tujuan ini.
Fokus auditor, baik dalam audit atas laporan maupun audot atas laporan pengendalian internal,
tertuju pada pengendalian atas reliabilitas pelaporan keuangan ditambah pengendalian atas
operasi dan ketaan pada hukum serta peraturan yang dapat secara material mempengaruhi
pelaporan keuangan.
II.

INTERNAL CONTROL BERDASARKAN COSO

Internal control intergrated framework yang dikeluarkan oleh COSO , yaitu kerangka
kerja pengendalian internal yang paling luas diterima di amerika serikat , menguraikan lima
komponen pengendalian internal yang dirancang dan diimplementasikan oleh manajemen untuk
memberikan kepastian yang layak bahwa tujuan pengendaliannya akan tercapai. Setiap
komponen mengandung banyak pengendalian. Tetapi auditor hanya akan berfokus pada

pengendalian yang dirancang untuk mencegah atau mendektesi salah saji yang material dalam
laporan keungan.
Internal control terdiri dari 5 komponen yang saling terkait, yaitu:

Control Environment
Risk Assessment
Control Activities
Information and communication
Monitoring

Pengendalian intern terdiri dari lima komponen yang saling berkaitan sebagai berikut:
o Lingkungan Pengendalian
Lingkungan pengendalian menetapkan corak suatu organisasi, mempengaruhi
kesadaran pengendalian orang-orangnya. Lingkungan pengendalian merupakan dasar untuk
semua komponen pengendalian intern, menyediakan disiplin dan struktur. Lingkungan
pengendalian menyediakan arahan bagi organisasi dan mempengaruhi kesadaran pengendalian
dari orang-orang yang ada di dalam organisasi tersebut. Auditor harus memperoleh pengetahuan
memadai tentang lingkungan pengendalian untuk memahami sikap, kesadaran, dan tindakan
manajemen, dan dewan komisaris terhadap lingkungan pengendalian intern, dengan
mempertimbangkan baik substansi pengendalian maupun dampaknya secara kolektif.

Integritas dan nilai nilai etis. Integritas yang dimiliki perusahaan termasuk pimpinan dan
karyawan agar saling melelakukan pengendalin internal memiliki 5 komponen
Komitmen pada kompetensi. Komitmen perusahaan pada kompetensi yang ada agar
perusahan berjalan dengan baik
Partisipasi dewan komisaris atau komie audit. Bagaimana sikap dan kesadaran dewan
komisaris atau komite audit agar tercapai pengendalian yang baik
Filosofi dan gaya manajemen.
Struktur organisasi
Kebijakan dan praktik sumber daya manusia

o Penaksiran Risiko
Penaksiran risiko adalah identifikasi entitas dan analisis terhadap risiko yang relevan untuk
mencapai tujuannya, membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
Penentuan risiko tujuan laporan keuangan adalah identifkasi organisasi, analisis, dan manajemen
risiko yang berkaitan dengan pembuatan laporan keuangan yang disajikan sesuai dengan PABU.
Manajemen risiko menganalisis hubungan risiko asersi spesifik laporan keuangan dengan
aktivitas seperti pencatatan, pemrosesan, pengikhtisaran, dan pelaporan data-data keuangan.
Risiko yang relevan dengan pelaporan keuangan mencakup peristiwa dan keadaan intern maupun
ekstern yang dapat terjadi dan secara negatif mempengaruhi kemampuan entitas untuk mencatat,

mengolah, meringkas, dan melaporkan data keuangan konsisten dengan asersi manajemen dalam
laporan keuangan. Risiko dapat timbul atau berubah karena berbagai keadaan, antara lain
perubahan dalam lingkungan operasi, personel baru, sistem informasi yang baru atau yang
diperbaiki, teknologi baru, lini produk, produk, atau aktivitas baru, restrukturisasi korporasi,
operasi luar negeri, dan standar akuntansi baru.
o Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang membantu menjamin
bahwaarahan manajemen dilaksanakan. Aktivitas tersebut membantu memastikan bahwa
tindakan yang diperlukan untuk menanggulangi risiko dalam pencapaian tujuan entitas. Aktivitas
pengendalian memiliki berbagai tujuan dan diterapkan di berbagai tingkat organisasi dan fungsi.
Umumnya aktivitas pengendalian yang mungkin relevan dengan audit dapat digolongkan sebagai
kebijakan dan prosedur yang berkaitan dengan review terhadap kinerja, pengolahan informasi,
pengendalian fisik, dan pemisahan tugas. Aktivitas pengendalian dapat dikategorikan sebagai
berikut.
a) Pengendalian Pemrosesan Informasi

pengendalian umum
pengendalian aplikasi
otorisasi yang tepat
pencatatan dan dokumentasi
pemeriksaan independen

b) Pemisahan tugas
c) Pengendalian fisik
d) Telaah kinerja

o Informasi Dan Komunikasi

Informasi dan komunikasi adalah pengidentifikasian, penangkapan, dan pertukaran informasi
dalam suatu bentuk dan waktu yang memungkinkan orang melaksanakan tanggung jawab
mereka. Sistem informasi yang relevan dalam pelaporan keuangan yang meliputi sistem
akuntansi yang berisi metode untuk mengidentifikasikan, menggabungkan, menganalisa,
mengklasikasi, mencatat, dan melaporkan transaksi serta menjaga akuntabilitas asset dan
kewajiban. Komunikasi meliputi penyediaan deskripsi tugas individu dan tanggung jawab
berkaitan dengan struktur pengendalian intern dalam pelaporan keuangan. Auditor harus
memperoleh pengetahuan memadai tentang sistem informasi yang relevan dengan
pelaporankeuangan untuk memahami :
a) Golongan transaksi dalam operasi entitas yang signifikan bagi laporan keuangan
b) Bagaimana transaksi tersebut dimulai

c) Catatan akuntansi, informasi pendukung, dan akun tertentu dalam laporan keuangan
yang tercakup dalam pengolahan dan pelaporan transaksi
d) Pengolahan akuntansi yang dicakup sejak saat transaksi dimulai sampai
dengan dimasukkan ke dalam laporan keuangan, termasuk alat elektronik yang digunakan
untuk mengirim, memproses, memelihara, dan mengakses informasi.

o Pemantauan / Monitoring
Pemantauan adalah proses yang menentukan kualitas kinerja pengendalian intern sepanjang
waktu. Pemantauan mencakup penentuan desain dan operasi pengendalian tepat waktu dan
pengambilan tindakan koreksi. Proses ini dilaksanakan melalui kegiatan yang berlangsung secara
terus menerus, evaluasi secara terpisah, atau dengan berbagai kombinasi dari keduanya. Di
berbagai entitas, auditor intern atau personel yang melakukan pekerjaan serupa memberikan
kontribusi dalam memantau aktivitas entitas. Aktivitas pemantauan dapat mencakup penggunaan
informasi dan komunikasi dengan pihak luar seperti keluhan pelanggan dan respon dari badan
pengatur yang dapat memberikan petunjuk tentang masalah atau bidang yang memerlukan
perbaikan. Komponen pengendalian intern tersebut berlaku dalam audit setiap entitas.
Komponen tersebut harus dipertimbangkan dalam hubungannya dengan ukuran entitas,
karakteristik kepemilikan dan organisasi entitas, sifat bisnis entitas, keberagaman dan
kompleksitas operasi entitas, metode yang digunakan oleh entitas untuk mengirimkan, mengolah,
memelihara, dan mengakses informasi, serta penerapan persyaratan hukum dan peraturan

Fokus Internal Coso:

1.

Fokus Pengguna Utama adalah manajemen.

2.

Sudut pandang atas internal control adalah kesatuan beberapa proses secara umum.

3. Tujuan yang ingin dicapai dari sebuah internal control adalah pengoperasian sistem
yang efektif dan efisien, pelaporan laporan keuangan yang handal serta kesesuaian
dengan peraturan yang berlaku.
4. Komponen/domain yang dituju adalah pengendalian atas lingkungan, manajemen
resiko, pengawasan serta pengendalian atas aktivitas informasi dan komunikasi.
5.

Fokus pengendalian dari eSAC adalah keseluruhan entitas.

6. Evaluasi atas internal control ditujukan atas seberapa efektif pengendalian tersebut
diterapkan dalam poin waktu tertentu.
7. Pertanggungjawaban atas sistem pengendalian dari eSAC ditujukan kepada
manajemen.

III.

JENIS JENIS RESIKO

o Risiko Deteksi Terencana

Risiko deteksi terencana (planned detection risk) merupakan ukuran risiko bahwa bukti audit
atas segmen tertentu akan gagal mendeteksi keberadaan salah saji yang melebihi suatu nilai salah
saji yang masih dapat ditoleransi, andaikan salah saji semacam itu ada. Terdapat dua poin utama
tentang risiko deteksi terencana ini yaitu sebagai berikut :
1. Risiko ini tergantung pada ketiga faktor lainnya yang terdapat dalam model. Risiko
deteksi terencana hanya akan berubah jika auditor melakukan perubahan pada salah satu
dari ketiga faktor lainnya tersebut.
2. Risiko ini menentukan nilai substantif yang direncanakan oleh auditor untuk
dikumpulkan, yang merupakan kebalikan dari ukuran risiko deteksi terencana itu sendiri.
Jika nilai risiko deteksi terencana berkurang, maka auditor harus mengumpulkan lebih banyak
bukti audit untuk mencapai nilai risiko deteksi yang berkurang ini.
PDR=

AAR
IR CR

PDR

= risiko deteksi yang direncanakan (planned detection risk)

AAR = risiko yang dapat diterima (acceptable audit risk)

IR

= risiko inheren (inherent risk)

CR

= risiko pengendalian (control risk)

o Risiko inheren
Risiko inheren (inheren risiko) merupakan suatu ukuran yang dipergunakan oleh auditor
dalam menilai adanya kemungkinan bahwa terdapat sejumlah salah saji yang material
(kekeliruan atau kecurangan) dalam suatu segmen sebelum ia mempertimbangkan keefektifan
dan pengendalian intern yang ada. Dengan mengasumsikan tiadanya pengendalian intern, maka
risiko inheren ini dapat dinyatakan sebagai kerentanan laporan keuangan terhadap timbulnya
salah saji yang material. Jika auditor, dengan mengabaikan pengendalian intern, menyimpulkan
bahwa terdapat suatu kecenderungan yang tinggi atas keberadaan sejumlah salah saji, maka
auditor akan menyimpulkan bahwa tingkat risiko inherennya tinggi. pengendalian intern
diabaikan dalam menetapkan dalam menetapkan nilai risiko inheren karena pengendalian intern
ini dipertimbangkan secara terpisah dalam model risiko audit sebagai risiko pengendalian.
Penilaian ini cenderung didasarkan atas sejumlah diskusi yang telah dilakukan dengan pihak
manajemen, pemahaman yang dimiliki akan perusahaan, serta hasil-hasil yang diperoleh dari
tahun-tahun sebelumnya.

Hubungan antara risiko dengan risiko deteksi terencana serta dengan bukti audit yang
direncanakan adalah sebagai berikut : risiko inheren saling berlawanan dengan risiko deteksi
terencana serta memiliki hubungan yang searah dengan bukti audit.
Selain semakin meningkatnya bukti audit yang diperlukan untuk suatu tingkat risiko inheren
yang lebih tinggi dalam suatu area audit tertentu, merupakan hal yang umum dilakukan pula
untuk menugaskan staf yang telah memiliki lebih banyak pengalaman untuk melakukan audit
pada area tersebut serta melakukan riview yang lebih mendalam pada kertas kerja yang telah
selesai dibuat. Sebagai contoh : jika risiko inheren atas keusangan persediaan sanagt tinggi, maka
sangatlah masuk akal bila kantor akuntan publik memilih staf yang berpengalaman untuk
melakukan sejumlah tes yang lebih mendalam atas keusangan persediaan ini dan melakukan
review yang lebih cermat atas hasil-hasil yang diperoleh dari audit ini.
o Resiko pengendalian
Resiko pengendalian (control risk) merupakan ukuran yang digunakan oleh auditor untuk
menilai adanya kemungkina bahwa terdapat sejumlah salah saji material yang melebihi nilai
salah saji yang masi dapat ditoleransi atas segmen tertentu akan tidak terhadang atau tidak
terdeteksi oleh pengendalian intern yang dimiliki klien. Resiko pengendalian ini memperhatikan
2 hal berikut:
1. penilaian tentang apakah pengendalian intern yang dimiliki klien efektif untuk mencegah
atau mendeteksi terjadinya salah saji.
2. kehendak auditor membuat penilaian tersebut senantiasa berada di bawah nilai maksimum
(100 persen) sebagai bagian dari rencana audit yang dibuatnya.
Model resiko audit menunjukan hubungan yang erat antara resiko inheren dan resiko
pengendalian.
Sama dengan yang terjadi pada resiko inheren, hubungan antara resiko pengendalian dan resiko
deteksi terencana adalah saling berlawanan, sementara hubungan antara resiko pengendalian dan
bukti substantif merupakan hubungan yang searah. Sebagai contoh, jika auditor menyimpulkan
bahwa pengendalian intern bersifat efektif, maka nilai resiko deteksi terencana dapat meningkat
sehingga jumlah bukti audit yang direncanakan akan dikumpulkan akan turun. Auditor dapat
meningkatkan resiko deteksi terencana pada saat pengendalian intern bersifat efektif karena
pengendalian intern yang efektif akan mengurangi kemungkinan hadirnya salah saji dalam
laporan keuangan.
Sebelum auditor dapat menetapkan nilai resiko pengendalian kurang dari 100 persen,
auditor harus memahami pengendalian intern yang ada, dan berdasarkan pemahaman itu, auditor
melakukan evaluasi tentang bagaimana seharusnya fungsi pengendalian intern tersebut, serta
melakukan uji atas efektifitas pengendalian intern tersebut. Hal pertama dari semua ini adalah
keharusan untuk memahami semua jenis audit. Dua hal terakhir adalah langkah-langkah
penilaian resiko pengendalian yang diperlukan jika auditor memilih untuk memberikan nilai atas
resiko pengendalian supaya berada di bawah nilai maksimum.

o Resiko akseptibilitas audit

Resiko akseptibilitas audit (acceptable audit risk) merupakan ukuran atas tingkat kesediaan
auditor untuk menerima kenyataan bahwa laporan keuangan mungkin masih mengandung salah
saji yang material setelah audit selesai dilaksanakan serta suatu laporan audit wajar tanpa syarat
telah diterbitkan. Ketika auditor memutuskan untuk menetapkan suatu tingkat resiko
akseptibilitas audit yang lebih rendah, hal tersbut berarti bahwa auditor ingin memperoleh
tingkat keyakinan yang lebih tinggi bahwa laporan keuangan tidak mengandung salah saji yang
material. Resiko nol berarti yakin sekali, dan suatu tingkat resiko sebesar 100 persen berarti
benar-benar tidak yakin.
Dalam audit terdapat istilah audit assurance atau tingkat keyakinan, yaitu merupakan
pelengkap dari resiko akseptibilitas audit. Audit assurance dihitung dengan perhitungan satu
dikurangi resiko akseptibilitas audit. Sebagai contoh, tingkat resiko akseptibilitas audit sebesar 2
persen sama dengan tingkat audit assurance sebesar 98 persen.
Dengan mempergunakan model audit, akan terlihat adanya hubungan yang searah antara
resiko akseptibilitas audit dan resiko deteksi terencana, serta hubungan yang saling berlawanan
antara resiko akseptibilitas audit dan bukti audit yang direncanakan. Sebagai contoh, jika auditor
memutuskan akan mengurangi nilai resiko akseptibilitas audit, maka akan mengurangi pula
resiko deteksi terencana serta bukti audit yang direncanakan akan dikumpulkan harus
ditingkatkan. Auditor pun seringkali harus menugaskan staf yang lebih berpengalaman atau
mereview kertas kerja dengan lebih cermat bagi klien dengan tingkat resiko akseptibilitas audit
yang lebih rendah.

o Resiko kecurangan
Resiko kecurangan merupakan resiko selain 4 resiko di atas dan resiko ini biasanya di
perhitungkan di luar dari model resiko audit. Karena resiko kecurangan secara konsep dan
praktek sangat sulit untuk dipisahkan faktor-faktornya ke dalam 4 jenis resiko di atas.
Kecurangan sendiri memiliki arti kesalahan penyajian yang dilakukan secara sengaja dalam
bentuk penggelapan aktiva dan kecurangan pelaporan keuangan.
Untuk menilai resiko kecurangan, auditor mengumpulkan informasi untuk menentukan
luasnya keberadaan kondisi kecurangan. Hal-hal yang menyebabkan timbulnya resiko
kecurangan antara lain tekanan yang diterima manajemen baik kelompok maupun individual,
kesempatan yang tercipta, dan perilaku manajemen untuk membiarkan terjadinya tindakan
ketidakjujuran tersebut.

IV. PENILAIAN RISIKO

A. Menilai Risiko Yang Dapat Diterima ( Acceptable Audit Risk )

Auditor harus memutuskan risiko audit yang dapat diterima yang tepat bagi suatu audit
selama perencanaan audit. Pertama, auditor memutuskan risiko risiko penugasan. Risiko
penugasan (engagement risk) adalah risiko bahwa auditor atau organisasi yang membawahi
auditor akan menderita kerugian setelah selesainya audit, walaupun laporan audit sudah benar.
Untuk menilai risiko audit yang dapat diterima, auditor harus menilai setiap factor yang
mempengaruhi risiko audit yang dapat diterima
Faktor faktor utama yang mempengaruhi resiko penugasan dan mempengaruhi resiko yang audit
yang dapat diterima antara lain:

Derajat ketergantungan pemakai eksternal pada laporan keuangan

Kemungkinan klien mengalami kesulitan keuangan
Integritas manajemen

Metode yang digunakan menilai risiko audit yang dapat diterima

a. Derajat ketergantungan pemakai eksternal pada laporan keuangan
Menelaah laporan keuangan
Membaca notulen rapat dewan direksi unruk menentukan rencana masa depan
Membahas rencana pembiayaan dengan manajemen.
b. Kemungkinan klien mengalami kesulitan
Menganalisis keuangan laporan keuangan dan menggunakan prosedur analitis
lainnya
Menelaah laporan arus kas historis dan proyeksi, untuk mempelajari arus kas masuk
dan keluar
c. Integritas manajemen
Menganalisa prosedur penerimaan klien dan kelanjutan klien.

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK

Penilaian risiko pemeriksaan yang dapat diterima secara kualitatif bisa dibagi menjadi 3 kategori
yaitu:
1.

Tingkat risiko pemeriksaan yang dapat diterima rendah,

2.

Tingkat risiko pemeriksaan yang dapat diterima menengah,

3.

Tingkat risiko pemeriksan yang dapat diterima tinggi.

Sedangkan penilaian risiko pemeriksaan menggunakan pendekatan kuantitatif

menetapkan tingkat risiko pemeriksaan yang dapat diterima merujuk pada ASOSAI yaitu:

Tingkat risiko pemeriksaan yang dapat diterima sebesar 5 %, artinya tingkat keyakinan
pemeriksa atas opininya sebesar 95% (AAR=1-tingkat keyakinan). Tingkat ini berlaku
untuk sebagian besar entitas yang diperiksa.

Tingkat risiko pemeriksaan yang dapat diterima sebesar 3%, artinya tingkat keyakinan
pemeriksa atas opininya sebesar 97%. Tingkat ini dinilai cukup memadai untuk beberapa
entitas yang sangat sensitif atau berisiko tinggi.
Tingkat risiko pemeriksaan yang dapat diterima sebesar 1%, artinya tingkat keyakinan
pemeriksa atas opininya sampai 99%. Tingkat ini berlaku bagi beberapa entitas dengan
ciri-ciri sebagai berikut:
a. Entitas tersebut mempunyai pengguna eksternal yang sangat ekstensif perhatiannya
terhadap laporan keuangan entitas tersebut, dan/atau
b. Entitas tersebut cukup rentan akan terjadinya salah saji material dan secara politik
sensitif dan/atau adanya harapan atas kewajaran laporan keuangan entitas tersebut
sehingga pemeriksa membutuhkan tingkat keyakinan yang sangat tinggi.

Pemeriksa harus menentukan risiko pemeriksaan yang dapat diterima berdasarkan

identifikasi kondisi entitas yang diperiksa dan juga informasi penting lainnya yang berkaitan.
Pemeriksa juga perlu mempertimbangkan harapan penugasan atas entitas diperiksa apalagi jika
entitas tersebut mempunyai stakeholders yang luas.

B. Menilai Risiko Inheren (Inherent Risk)

Auditor melakukan penilaian risiko inheren selama tahap perencanaan dan

memperbaharui penilaian tersebut selama audit berlangsung. Auditor harus mengevaluasi
informasi yang mempengaruhi risiko inheren serta memutuskan faktor risiko inheren yang tepat
bagi setiap tujuan audit.
Faktor faktor yang mempengaruhi risiko inheren :
a. Sifat bisnis klien
Risiko inheren untuk akun tertentu dipengaruhi oleh sifat bisnis klien. Pemahaman
auditor atas bisnis klien akan membantu menilai risiko inheren ini.
b. Hasil audit sebelumnya
Salah saji yang ditemukan dalam audit tahun sebelumnya dapat ditemukan lagi dalam
audit tahun berjalan. Oleh karena itu auditor tidak boleh mengabaikan hasil audit tahun
sebelumnya selama mengembangkan proses audit di tahun berjalan.
c. Penugasan awal vs penugasan berulang
Auditor akan memperoleh pengalaman dan pengetahuan tentang kemungkinan salah saji
setelah mengaudit klien selama beberapa tahun. Auditor menetapkan risiko inheren yang
tinggi pada tahun pertama audit dan mengurangi tinggkat risikonya pada tahun
berikutnya karena telah semakin memahami klien.

d. Pihak pihak yang terkait

Pihak yang terkait yaitu perusahaan induk dengan perusahaan anak, serta manajemen dan
entitas perusahaan. Risiko inheren atas transaksi pihak yang terkait ini sangat tinggi
karena kemungkinan salah saji yang lebih besar.
e. Transaksi non rutin
Transaksi yang tidak biasa bagi klien lebih besar resikonya dibandingkan transaksi rutin
karen pengalaman untuk transaksi non rutin masih sedikit.
f. Pertimbangan yang diperlukan untuk mencatat saldo akun dan transaksi dengan tepat
Auditor harus memperbesar risiko inheren karena banyak akun memerlukan estimasi dan
banyak pertimbangan manajemen.
g. Unsur unsur populasi
Seluruh item yang membentuk populasi mempengaruhi ekspektasi auditor mengenai
salah saji yang material
h. Faktor faktor yang berkaitan dengan pelaporan keuangan yang curang dan
misapropriasi aktiva
Menurut konsep maupun praktik sangat sulit memisahkan faktor faktor risiko kecurangan ke
dalam risiko yang dapat diterima ataupun risiko inheren.
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK
Secara kualitatif, risiko inheren terbagi menjadi lebih rendah dan lebih tinggi. Pemeriksa dapat
mendokumentasikan penilaian risiko inherennya pada setiap level melalui formulir Audit Risk
Matrix (ARM). Berdasarkan analisis pada matriks ARM maka dihasilkan akun-akun apa saja
yang signifikan dan beresiko tinggi terhadap kewajaran laporan keuangan.
a. Lebih tinggi atau 100%. Pada saat pemeriksa mengidentifikasi risiko tertentu atau
faktor lain yang menimbulkan keyakinan bahwa terdapat kemungkinan yang lebih besar akan
terjadinya kesalahan atas hal yang menurut pemeriksaan penting, pemeriksa akan menilai risiko
inheren bagi asersi laporan keuangan yang relevan dengan kriteria lebih tinggi. Pemeriksa juga
menganggap risiko inheren sebagai 100% sebagai hasil pertimbangan profesionalnya dan bersifat
konservatif.
b. Lebih rendah atau <100%. Jika pemeriksa yakin bahwa kecil kemungkinan terjadinya
kesalahan atas hal yang menurut pemeriksaan penting (dengan asumsi tidak ada pengendalian),
pemeriksa akan memberi penilaian dengan kriteria lebih rendah.

C. Menilai Risiko Deteksi Yang Direncanakan (Planned Detection Risk)

Para auditor menetapkan tingkat risiko deteksi yang dapat diterima (risiko deteksi yang
direncanakan) yang mempengaruhi tes-tes substantif yang mereka lakukan.
a. Jika tingkat risiko deteksi yang direncanakan rendah, maka auditor akan
mengumpulkan bukti sebanyak mungkin untuk menurunkan risiko kesalahan saji .
b. Tingkat risiko deteksi yang direncanakan tinggi maka auditor mengurangi
pengumpulan bukti .
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK,
Ada dua jenis risiko deteksi berkaitan dengan audit sampling, yaitu risiko prosedur
analitis dan risiko pengujian substantive.
a. Risiko prosedur analitis berasal dari keputusan pemeriksa untuk menggunakan
pertimbangannya dan menentukan apakah prosedur analitis merupakan prosedur yang
efektif dan efisien dalam mendapatkan bukti pemeriksaan yang memadai.
b. Penilaian risiko prosedur analitis sangat subyektif dan sulit untuk dikuantifikasikan.
Oleh sebab itu biasanya pemeriksa secara konservatif memberikan nilai risiko ini cukup
tinggi, yaitu antara 40% hingga 100%.

D. Menilai Risiko Pengendalian (Control Risk)

Auditor harusmemahami perancangan dan pengimplementasian pengendalian internal

untuk melakukan penilaian pendahuluan atas risiko pengendalian. Setelah memahami
pengendalian internal, auditor dapat membuat penilaian pendahuluan atas risiko pengendalian
sebagai bagian dari penilaian risiko secara keseluruhan. Penilaian ini merupakan ukuran
ekspektasi auditor bahwa pengendalian internal akan mencegah salah saji material atau
mendeteksi dan mengoreksinya jika terjadi.
Banyak auditor menggunakan matriks risiko pengendalian (control risk matrix) untuk
membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara yang
mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit.
Langkah langkah dalam penilaian risiko pengendalian:

Mengidentifikasi tujuan audit

Mengidentifikasi pengendalian yang ada
Menghubungkan pengendalian dengan tujuan audit
Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan
dan kelemahan yang material
Menghubungkan defisiensi yang signifikan dan kelemahan yang material dengan tujuan
audit terkait.
Menilai risiko pengendalian untuk setiap tujuan audit.

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK

Setelah pemeriksa menilai risiko inheren, risiko pengendalian juga harus dinilai sebagai
bagian proses penilaian risiko dalam pemeriksaan keuangan.
Penilaian risiko pengendalian merupakan estimasi terhadap risiko pengendalian intern yang
sangat bergantung pada bagaimana hasil evaluasi pemeriksa yang bersangkutan terhadap
pengendalian intern entitas yang diperiksa, meskipun pertimbangan profesional pemeriksa masih
juga menentukan.
Apabila sistem pengendalian intern entitas yang diperiksa telah dirancang secara memadai,
dan pengujian ketaatan yang dilaksanakan pemeriksa menunjukkan bahwa pengendalian tersebut
telah dijalankan secara memadai pula, maka pemeriksa akan merasa bahwa pengendalian intern
tersebut dapat diandalkan, yang berarti bahwa dia akan memberikan estimasi yang cukup rendah
terhadap risiko ini. Demikian pula sebaliknya.
Berdasarkan matriks CRM, Pemeriksa dapat menilai risiko pengendalian menjadi "minimum,
"moderat atau "maksimumuntuk dimasukkan kedalam matriks ARM.
a. Minimum atau keyakinan pemeriksa sangat terjamin atas efektivitas pengendalian
intern dengan rentang risiko pengendalian sebesar 10-30%. Pemeriksa menilai pengendalian
sebagai efektif dan melaksanakan test of controls untuk mengkonfirmasikan bahwa pengendalian
telah beroperasi secara efektif sepanjang periode. Pemeriksa mengevaluasi kecukupan dari bukti
yang sudah diperoleh serta apakah bukti ini mendukung penilaian "minimum". Jika pemeriksa
menyimpulkan bahwa bukti-bukti pemeriksaan tidak mendukung penilaian ini, pemeriksa
mempertimbangkan kembali evaluasinya atas efektivitas pengendalian. Jika pengendalian
ditemukan ternyata tidak efektif, pemeriksa menilai risiko pengendalian sebagai "maksimum".
b. Moderat atau keyakinan pemeriksa cukup terjamin atas efektivitas pengendalian intern
dengan rentang risiko pengendalian sebesar 31-70%. Pemeriksa menyimpulkan bahwa desain
dari pengendalian adalah efektif, tetapi pemeriksa tidak melakukan test of controls untuk
mengkonfirmasikan efektifitas pelaksanaannya sepanjang periode. Pemeriksa juga
mempertimbangkan apakah pelaksanaan walkthrough yang dilakukan oleh pemeriksa terhadap
pengendalian memberikan bukti yang cukup untuk menilai risiko sebagai "moderat". Jika
pemeriksa menyimpulkan bahwa bukti tidak mendukung penilaian ini, pemeriksa
mempertimbangkan untuk mendapatkan bukti-bukti tambahan untuk mendukung penilaian
moderat, atau menilai risiko pengendalian sebagai "maksimum". Penilaian risiko
pengendalian ini tidak berlaku untuk akun-akun atau asersi-asersi yang dipengaruhi oleh
transaksi-transaksi yang bersifat estimasi, seperti penyusutan, penyisihan piutang ragu-ragu.
c. Maksimum atau keyakinan pemeriksa tidak terjamin atas efektivitas pengendalian
intern dengan rentang risiko pengendalian sebesar 71-100%. Pemeriksa menilai risiko
pengendalian sebagai maksimum ketika (1) bukti pemeriksaan mengindikasikan bahwa
pengendalian tidak efektif, atau (2) setelah memperoleh pemahaman yang memadai mengenai
proses entitas yang diperiksa:

Pemeriksa percaya bahwa pengendalian nampaknya akan tidak efektif, atau

Pemeriksa sudah mengidentifikasi prosedur-prosedur uji substantif yang efisien dan
efektif yang diyakini penting untuk mendukung saldo akun terkait.

E. Menilai Risiko Kecurangan

Dalam menilai risiko kecurangan, SAS 99 memberikan pedoman bagi auditor. Auditor
harus mempertahankan sikap skeptisisme profesional ketika memepertimbangkan serangkaian
informasi termasuk faktor faktor risiko kecurangan, untuk dapat mengidentifikasi dan
menanggapi risiko kecurangan
a. Skeptisisme professional
Selama penugasan, bahwa tim auditor harus mempertahankan sikap dan pikiran yang
selalu mempertanyakan.
b. Evaluasi kritis atas bukti
Auditor harus menyelidiki secara mendalam permasalahan dan kemungkinan kesalahan
salah saji yang material karen kecurangan.
c. Komunikasi di antara tim audit
Diantara auditor dapat saling bertukar pendapat terutama dengan yang telah
berpengalaman mengenai penilaian risiko kecurangan, dan bagaimana kecurangan
kecurangan itu biasanya terjadi dalam organisasi atau entitas yang diaudit.
d. Mengajukan pertanyaan kepada manajemen
Untuk menilai risiko kecurangan, auditor dapat menanyakan beberapa pertanyaan secara
langsung kepada manajemen ataupun pihak lain dalam organisasi, sehingga terbuka
kesempatan datangnya informasi yang dalam kondisi lain tidak diungkapkan oleh
manajemen ataupun pihak lain dalam organisasi.
e. Prosedur analitis
Auditor harus melakukan prosedur analitis selama tahapan perencanaan audit dan
penyelesaian audit untuk membantu mengidentifikasi kecurangan kecurangan.
f. Faktor faktor risiko
Untuk menilai resiko kecurangan, kondisi yang harus diperhatikan adalah adanya faktor
faktor risiko kecurangan (segitiga kecurangan/ fraud triangle)

Insentif/tekanan

Manajemen atau pegawai merasakan insentif atau tekanan untuk melakukan kecurangan. Insentif
yang umum bagi entitas untuk memanipulasi laporan keuangan adalah menurunnya prospek
keuangan entitas.

Kesempatan

Situasi yang membuka kesempatan bagi manajemen atau pegawai lain untuk melakukan
kecurangan. Risiko kecurangan yang lebih besar akan dihadapi oleh entitas yang menggunakan
banyak pertimbangan dan estimasi dalam operasinya.

Perilaku/rasionalisasi

Karakter, sikap dan nilai nilai etis yang membolehkan manajemen dan pegawai lain bersikap
curang atau lingkungan yang menekan dan membuat adanya rasionalisasi tindakan curang.