1. Filosofi COSO
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu,
dan prinsip-prinsip manajemen yang baik mendorong penerapannya di industri dan sectorsektor lain. Audior internal harus memiliki pemahaman mengenai proses penentuan risiko
dan sarana yang digunakan untuk melakukannya. Auditor internal harus memasukan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa control-controk yang
dibutuhkan memang diterapkan untuk mengurangi risiko.
Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus
menerus dari manajemen. Dikatakan Integral karena manajemn tidak dapat menetapkan
tujuan dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak
hambatan yang muncula akan mengahalangi perjalanan mencapai tujuan. Beberapa hambatan
atau resiko akan dating dari luar entitas, sedangkan yang lain dari saham, sebagai contoh :
1. Suatu hukum atau peraturan baru mengalihkan sumber daya dan operasi yang dibutuhkan
untuk mencapai tujuan.
2. Sebuah perusahaan pesaing memperkenalkan produk atau jasa baru yang membutuhkan
tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan
sebelumnya.
3. Sebuah terobosan tehnologi membuat satu atau lebih tujuan menjadi usang.
4. Sebuah manajer yang tidakkompeten mengabaikan tujuan organisasi yang telah
diciptakan.
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan
kesuksesan suatu entitas, hal ini telah dibahas dengan jelas pada studi COSO. Manajemen
juga menggunakan penentuan risiko sebagai alat yang penting dalam merancang systemsistem baru. Sistem baru tersebut baik manual atau terkomputerisasi, dibuat untuk memenuhi
tujuan yang telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses
adalah identifikasi dari semua kejadian dan tindakan yang mungkin mencegah system
mencapai tujuan.
Rencana audit harus dirancang untuk memasukan pertimbangan tentang risiko dan
eksposur organisasi. Menghubungan rencana ausit dengan risiko eksposur, menyatakan
bahwa rencana strategis organisasi harus mempertimbangkan risiko dan eksposur. Rencana
audit harus menilai tingkat kesadaran atas rencana strategis terhadap elemen-elemen prioritas
risiko dan eksposur. Jadi audit secara keseluruhan dapat dipengaruhi oleh hasil proses
manajemen risiko. Practice advisory berisi metode-metode rinci aktivitas audit seperti daftar
isi jadwal pekerjaan audit, pendekatan audit, pelaksanaan audit, pelaporan isi dan evaluasi,
kontrol internal untuk mengurangi risiko.
Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari
observasi dan analisis control, kemudian berlanjut ke penentuan risiko yang berkaitan dengan
operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan
organisasi. McName dan selim menyatakan pendekatan ini tidak tepat karena adanya
kebutuhan untuk mememnuhi tujuan berlebih dahulu, tujuan merupakan dasar operasi dan
tidak selalu berbentuk nyata, bisa bersifat fleksibel dan seharusnya berorientasi dimasa
depan.
Pada
penuli
tersebut
merekomendasikan
sebuah
pendekatan
yang
Audit internal harus menelaah risiko pada bidang-bidang ayng diaudit untuk membuat
program audit. Jika terdapat program manajemn risiko, audit internal harus mengevaluasi
sebagian bagian dari audit. Advisory membahas aspek audit yang disebutkan sebelumnya.
Advisory pertamamembahas pendekatan praktis sebagai sebuah jasa konsultasi bagi klien
audit. Advisory ini merekomendasikan auditor internal untuk :
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi dan menerapkan menajemen
risiko dengan perhatian dewan serta menentukan penyelesaiannya menggunakan operasi
dan kontrol manajemen risiko.
2. Menidentifiaksi kesadaran manajemen dan dewan komisaris akan risiko dan
meenentukan penyelesaiannya melalui proses menajemen risiko.
3. Memberitahu manajemn kekurangan yanga ada pada proses manajemen risiko dengan
memberikan saran untuk melaksanakan proses seperti itu.
4. Mendapatkan pemahaman atas ekspektasi manajemen dan dewan komisaris mengenai
bantuan audit internal yang dapat diberikan dalam proses manajemn risiko.
5. Mendapatkan konsep dari manajemen mengenai peran yang harus dimainkan audit
internal dalam proses tersebut.
6. Memainkan peran proaktif, jika dibutuhkan dalam pengembangan proses manajemen
risiko, tetap dengan mengingat eksposur akan terjadinya penurunan indepedensi.
7. Menjauhkan diri dari peran sebagi pemilik risiko.
Risiko audit dan komponen-komponennya pada audit laporan keuangan
Audit dan manajemen terus mempertanyakan luas probabililtas risiko. Luas risiko adalah
jumlah yang potensi terkena risiko, probabilitas adalah kemungkinan terjadinya risiko. Masih
terdapat hal-hal lain yang harus dipertimbangan pada saat menenetukan risiko, pendapat
tentang kuantifikasi risiko. Pada tingkat laporan keuangan risiko audit adalah riisko bahwa
auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak pendapatnya atas
laporan keuangan yang salah saji secara material. Seorang auditor diharapkan untuk
merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor
sebagai tingkat yang rendah.
Karakteristik manajemen
1. Kebijakan manajemn didominasi hanya oleh satu orang.
2. Manajemen memiliki perilkau yang sangat agresif terhadap laporan keuangan.
3. Perputaran manajemn tinggi
konsisten.
Hasil-hasil operasi entitas sensitive terhadap faktoe-faktor ekonomi.
Entitas berada pada industry yang menurun.
Organisasi entitas bersifat desentralisasi tanpa pengawasan aktivitas yang memadai.
Entitas diragukan kelangsungan hidupnya.
Karakteristik penugasan
1. Terdapat banyak perdebatan dan/atau masalah akuntansi yang rumit.
2. Terdapat transaksi-transaksi dan saldo-saldo yang signifikan yang sulit diausit.
3. Terdapat transaksi dengan pihak-pihal yang memiliki hubungan istimewa dengan jumlah
yang signifikan dan tidak biasa.
4. Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit dan tidak tersedia
mengenai hal tersebut.
Fakor factor seperti ini tidak dapat dipertimbangkan secara terpisah. Dalam
mempertimbangkan risiko audit pada tingkat saldo akun atau sekelompok transaksi, seorang
auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan.
Risiko bawaan
Risiko bawaan/inheren (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah
satu saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur
struktur control internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat
intrinsic terhadap usaha entitas. Resiko dari salah saji seperti ini lebih besar untuk beberapa
asersi dan saldo atau kelompok transaksi dibandingkan yang lain, sebagai contoh :
1. Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih condong
dilanggar
daripada
asersi
kelengkapan
pada
saat
auditor
mempertimbangkan
control. Karena tidak ad acara untuk mnegurangi risiko sampai nol, maka masih terdapat
risiko meskipun control terbaik telah diterapkan. Tingkat risiko ini merupakan risiko control.
Konsep keyakinan yang wajar mulai diterapkanpada tahap ini. Keyakinna yang wajar adalah
tingkat control yang dicapai pada saat terjadi keseimbangan antara biaya control dan dan
eksposur dengan manfaat yang diterima. Hal ini dapat dipandang sebagai titik ketika risiko
control dan biaya control berada pada ekuilibrium.
Suatu persediaan risiko
Departemen audit internal All state mengembangkan suatu persediaan risiko usaha
untuk membantu dalam:
1. Memberikan kerangka kerja untuk mengidentifikasi risiko-risiko yang paling mengancam
perusahaan sehingga risiko-risiko harus dipertimbangkan dalam perencanaan.
2. Memfasilitasi pembahasan tentang risiko usaha.
3. Membuat suatu infrastruktur untuk mengawasi perubahan pada risiko sepanjang waktu
dan untuk membantu dalam mengidentifikasi risiko-risiko baru.
4. Memepersiapkan manajemn audit dan audit internal mengambil langkah-langkah positif.
5. Meningkatkan keahlian para staf audit dibidang risiko.
2.
3.
4.
5.
6.
7.
8.
9.
Risiko EDI
Pertukaran data elektronik adalah sebuah system komunikasi informasi computer ke
computer yang saling berhubungan untuk dokumen-dokumen bisnis yang terstandarisasi
dibatas batas organisasi. Computer , database dan pusat informasi terhubung oleh jaringan
komunikais public atau lainnya.
mneyatakan risiko jika seorang tidak mengetahui bahayanya. Begitu risiko telah
diidentifikasi, langakh logis selanjutnya adalah membuat sarana untuk mengendalikan risiko
tersebut.
Kontrol internal adalah sebuah proses yang dipengaruhi oelh dewan direksi entitas,
manajemendan karyawan lainnya. Yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuaan pada katagori katagori berikut :
1. Efektifitas dan efisiensi oprasi
2. Keandalan pelaporan keuangan
3. Ketaatan terhadap hokum dan regulasi yang berlaku
Manajemen Risiko
Artikel baru tentang risiko telah menyarankan auditor internal untuk membantu
menejemen dengan tidak hanya mengidentifikasi area risiko-risiko tetapi juga mmebantu
manajemen dalam mengendalikan risiko tersebut secara positif. Auditor membantu
manajemen untuk mengambil risiko-risiko yang mneguntungkan dan berhati-hati dengan
cara- cara yang layak dan efisien. Akan tetapi disamping penentuan risiko dan bantuan
kepada manajemennya dalam merubah risiko menjadi elemen pendapat institual, auditor
harus memperluas bidang audit agar bias mencakup control risiko, pendanaan risiko dan
administrasi risiko menjadi :
Kontrol risiko :
1. Mendukung suatu program control risiko dan kerugian secara proaktif
2. Memberikan insentif maksimum untuk peran serta dalam program control risiko
3. Memonitor efektifitas control risiko
Pendanaan risiko :
1. Mempertimbnagkan semua sumber keuangan yang tersedia
2. Mempertahankan proteksi terhadap kerusakan yang mungkin timbul
3. Mengalokasiakn biaya pendanaan risiko antara unit-unit operasi secara wajar
Administrasi :
1.
2.
3.
4.
Jadi auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari
manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk
memberi kontribusi bagi kebaikan manajemen.
Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasikan dan di prioritaskan.
Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi atau
justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh mananmen dan
dewan komunis.
Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik
Metode-metode Analitis
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang
optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metodemetode itu adalah:
memudahkan modifikasi. Meskipun merupakan alat yang efektif, pembuatan baganalir tidak
sepenuhnya digunakan karena tidak efisien.
Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir.
Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak
tenaga.
Jika bagan sudah dibuat, maka bagan tersebut siap ditelaah, dianalisis dan diperbarui
pada audit selanjutnya. Bagan tersebut juga membantu pengembangan dan pemeliharaan
program audit. Bagan alir yang diperbarui menjadi bagian dari arsip permanen.
Pertanyaan dijawab Ya" atau Tidak" (digaris bawahi) dan setiap perubahan "Komentar"
dicatat oleh auditor. "Metode" menentukan jawaban dicatat. Suatu tanya jawab, yaitu
bertanya kepada klien, bukan merupakan sumber yang dapat diandalkan seperti halnya
observasi. Memeriksa bahan bukti dokumen yang diperoleh selama pengujian lebih
diharapkan daripada sekedar observasi. Pengujian catatan dan transaksi member peluang
untuk memeriksa kejadian dan mengevaluasi risiko selama jangka waktu tertentu
dibandingkan dengan periode pengamatan yang pendek. Hal ini diperlukan untuk
mengevaluasi fungsi kontrol kunci.
Kolom Dikerjakan Oleh" harus berisi nama atau inisial orang yang melakukan aktivitas
tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat
penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat
ketidaksesuaian ini terhadap risiko.
Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa
kuesioner tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi
selanjutnya setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi
baru, pemberlakuan hukum dan peraturan baru, danmunculnya banyak peristiwa lain
membutuhkan penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih
dilakukan bisa jadi bukanlah prosedur terbaik bagi organisasi. lCQ harus dinilai terusmenerus untuk menentukan bahwa pertanyaan dan konteks jawabannya tetap relevan.
Auditor harus memastikan bahwa lCQ mengikuti dan merespons perubahan dalam
organisasi, metode operasi, dan tujuan organisasi. Perubahan dalam setiap hal ini
membutuhkan perubahan dalam ICQ.
Analisis Matriks
Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control
and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis
matriks tersebut dapat digunakan untuk analisis kontrol di aktivitas mana pun.
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memiliki control yang layak. Matriks kontrol juga mengakui
bahwa control tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai
contoh, sebuah kunci melindungi asset dan kemungkinan hilang dengan membatasi akses.
Hal ini juga memberikan akuntabilitas untuk menangani asset karena orang yang memegang
kunci akan bertanggung jawab jika asset yang sudah diamankan tersebut hilang. Suatu
anggaran menetapkan tujuan dan sasaran yang akan dicapai dari menjadi alat ukur kinerja.
Anggaran juga menetapkan otoritas manajer untuk bertindak dalam kendala keuangan berupa
anggaran.
Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1);
tingkat keyakinan ini disebut sebagai primer (P) karena merupakan control utama
menghadapi risiko.
Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan
menghadapi risiko lain (Risiko2), Tetapi tingkat keyakinannya lebih kecil dari control yang
semula dirancang untuk itu.
Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko2 memiliki kontrol primernya
sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan menghadapi risiko 2
ketika menghadapi Risiko 1. Suatu control dapat memberikan tingkat keyakinan ketiga atas
control yang lain (risiko 3). Tingkat keyakinan ini disebut sebagai berguna (B).Tingkat
keyakinan tersebut tidak cukup hanya mengandalkan control menghadapi Risiko 3 tetapi
control ini bisa memunculkan pertanda atas adanya Risiko3 yang harus di investigasi.
Matriks risiko dan control tampak seperti ini:
Kontrol
Kontrol B
Kontrol C
B
B
P
A
Risiko 1
Risiko 2
Risiko 3
P
S
Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini. Dalam
sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yang berkaitan dengan
akses ke arsip data.
Perhatikan risiko-risiko berikut ini dan kontrol primernya.
1.
RISIKO
Individu yang tidak memiliki
KONTROL PRIMER
a. ID pengguna dan kata sandi dibutuhkan
untuk mengakses system komputer
pengamanan data
belum masuk.
Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol? ID pengguna dan
kata sandi (A) adalah kontrol primer untuk menghadapi orang dalam yang tidak terotorisasi
yang mencoba mengakses catatan computer organisasi.
Memutuskan sambungan modem pada saat tidak digunakan (B) merupakan perlindungan
primer menghadapi penyusup luar. Mereka tidak dapat mengakses pada waktu sirkuit
terhubung ke pengguna resmi. Jika modem tidak disambungkan pada saat sesi resmi
diselesaikan, tidak ada jalan bagi hacker untuk mengakses. Jika modem masih terkoneksi dan
sirkuit masih terbuka, tingkat kontrol selanjutnya ID pengguna dan kata sandi akan tersedia
sebagai penghalang terhadap hacker (sekunder). Kontrol tersebut dapat diandalkan untuk
menghadapi hacker meskipun dibuat untuk menghadapi orang dalam yang tidak memiliki
otorisasi. (Primer) Jika modem terkoneksi dan hacker mencoba selama beberapa hari, laporan
pengamanan harian (C) akan memberi tanda kepada pegawai pengamanan data (Berguna).
Penelaahan atas laporan pengamanan harian berguna untuk menghadapi orang dalam
yang tidak memiliki otonsasi karena akan melaporkan seseorang yang mencoba mengakses
dengan ID pengguna dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini
pegawai pengamanan data dapat memulai langkah-langkah untuk menemukan orang yang
mencoba masuk. Mengapa ini hanya merupakan control yang berguna? Laporan tersebut
tidak bernilai dalam mencegah akses ke computer. Apalagi, laporan tersebut menampilkan
upaya yang gagal ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang
bukan merupakan kesalahan berbahaya. Oleh karena itu, laporan tersebut tidak dapat
diandalkan dalam mendeteksi segera atau hanya upaya akses dengan niat jahat.
Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol primer yang
berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya untuk menerapkan beberapa
kontrol atas risiko yang sama karena takut salah satu bisa rusak. Jika kontrol dibuat tunggal
tetapi dapat digunakan untuk lebih dari satu tujuan dan memberikan kontrol yang
dibutuhkan, sistem tersebut sudah lebih kuat tanpa perlu tambahan biaya.
mendeteksmya sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di atas, dua
kontrol-memutuskan kata sandi dan modem - adalah control preventif. Orang-orang jahat"
tidak bisa mendapat akse karena control ini diterapkan.
Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan
upaya orang-orang tidak bertanggungjawab untuk masuk ke sistem. Jika pengguna yang tidak
memiliki otorisasi bisa mengakses pada hari pertama, laporan di pagi hari akan memberikan
informasi yang bisa digunakan untuk mengejar si hacker, tetapi hanya setelah kejadian.
Kontrol detektif memiliki sifat aktivitas setelah fakta dan membutuhkan empat unit
tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi atau menemukan masalah atau
risiko yang ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang
tidak diinginkan untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan.
Tindakan ketiga adalah koreksi. Tindakan terakhir adalah pengecekan terhadap tindakan
korektif untuk melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau
dinetralkan.
Ada dua aspek lain dari kontrol detektif yang membuatnya kurang efektif dibandingkan
control preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Penelaahan dan
analisis dapat ditangguhkan jika tekanan lain meningkat dan dapat diabaikan jika orang yang
ditugaskan merasa pekerjaan tersebut tidak menyenangkan. Kedua, kontrol detektif
kelihatannya hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak di inginkan.
Akan tetapi, kita tidak bisa mengetahui tidak adanya hal-hal yang tidak di inginkan atau tidak
adanya risiko sampai pemeriksaan diselesaikan. Untuk itulah terdapat keadaan-keadaan yang
kontrol detektif merupakan satu-satunya pilihan. Bukan control preventif yang bisa
mengamankan setiap risiko yang mungkin muncul.
Sebagai contoh, buku cek dapat ditempatkan dalam tempat terkunci-sebuah kontrol
preventif. Hal ini tidak menghilangkan kebutuhan untuk memeriksa cek untuk mendeteksi
adanya perubahan yang dilakukan dan pemalsuan-sebuah kontrol detektif.
Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol
preventif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan.
Sehingga matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis. Contoh
sebelumnya digunakan dengan sifat kontrol ditampilkan dalam tanda kurung.
Risiko 1
Risiko 2
Risiko 3
Kontrol A
P(p)
S(p)
Kontrol B
P(p)
Kontrol C
B(d)
B(d)
P(d)
Dalam beberapa penggunaan dari pendekatan ini. tanda (p) atau (d) ditempatkan pada awal
kolom dengan identifikasi kontrol. Hal ini cenderung menghilangkannva dari daerah
pertimbangan jika analisis dilakukan. Memposisikan sifat dengan tingkat keyakinan
meningkatkan efisiensi dan efektivitas analisis, khususnya jika matriksnya besar dengan
banyak kolom dan baris.
Perangkat Evaluasi berisi dua jenis umum perangkat. Perangkat pertama adalah
Perangkat Komponen; yang kedua adalah Lembar Kerja Penentuan Risiko dan Aktifitas
Kontrol.
Perangkat Komponen merujuk pada analisis komponen-komponen sistem control. Untuk
mengingatkan dari studi COSO, definisi control adalah:
Kontrol internal adalah sebuah proses yang dipengaruhi oleh dewan direksi perusahaan,
manajemen dan karyawan lainnya, untuk memberikan keyakinan yang wajar mengenai
pencapaian tujuan dalam kategori-kategori berikut ini:
Tahap pertama dari lembar kerja Perangkat Komponen lingkungan kontrol berisi
masalah-masalah substantive (komitmen terhadap kompetensi dan fokus perhatian adalah
sarana-sarana yang digunakan untuk mengukur pencapaian masalah-masalah substantif.
Lembar kerja tersebut tampak sebagai berikut:
Penerapan pendekatan ini cukup mudah. Setiap langkah mengalir secara logis dan
langkah sebelumnya.
ditentukan
Hubungan antara risiko dan aktivitas kontrol dengan tujuan-tujuan lainnya ditentukan
dengan melihat risiko yang sama atau aktivitas kontrol dalam tujuan-tujuan yang lainserupa dengan metode matriks.
Metode Courtney
Satu teknik penilaian yang menarik dan sederhana sehubungan dengan biaya kontrol
dikembangkan oleh Robert Courtney saat ia bergabung dalam Divisi Sistem Komunikasi
lBM. Teknik tersebut melibatkan perhitungan yang menempatkan nilai uang (dolar,rupiah) ke
risiko-risiko potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa
menciptakan kesulitan. Jika pendekatan ini digunakan, auditor internal harus berupaya
mencapai
kesepakatan
dengan
manajemen
tentang
nilai-nilai
yang
diberikan dan frekuensi-frekuensi yang diestimasi. Hal ini bisa jadi subjektif, tetapi sebuah
konsensus dapat menghasilkan tingkat keandalan yang dapat diterima.
Penggunaan sebuah metode yang secara eksplisit membutuhkan seseorang untuk
membuat estimasi adalah lebih baik daripada tidak ada estimasi sama sekali. Dampak
potensial dari sebuah kejadian diberikan nilai (value-v) dari 1 hingga 7:
Jumlah
Nilai
$ 10
$ 100
$ 1.000
$ 10.000
$ 100.000
$ 1.000.000 =
$ 10.000.000 =
Melebihi biayanya dan memungkinkan pendekatan yang lebih objektif untuk penentuan
risiko.Namun, ada organisasi-organisasi yang justru meyakini sebaliknya dan, bila mereka
menggunakan kuesioner, maka tergantung auditor untuk memutuskan berdasarkan
evaluasinya terhadap jawaban pertanyaan.
Risiko operasi.
Risiko estimasi. dan
Risiko konsentrasi.
Risiko operasi terkait dengan risiko-risiko yang terjadi pada produksi, penjualan, dan
pengadministrasian organisasi. Risiko tersebut mencakup risiko internal dan eksternal.
Risiko estimasi terkait dengan estimasi yang digunakan dalam penyiapan laporan
keuangan (dan operasi).
Risiko konsentrasi terkait dengan konsentrasi pelanggan, pemasok, lini produk dan
pasar.
Sebenarnya terdapat rincian lanjutan berkaitan dengan hal-hal di atas; namun, rincian ini
berada di luar cakupan buku ini. Pembaca bisa membaca artikel rujukan yang dikutip dan
sejumlah referensi lainnya.
Probabilitas suatu kejadian terjadi juga diperhitungkan. Penulis mengutip dari sumber lain
dalam menyarankan penggunaan tiga istilah:
Probabilitas
Kemungkinan kecil
0 - 1S%
Kemungkinan wajar
20 - 50%
Kemungkinan besar
50 - 90%
Rujukan tersebut, menggunakan SOP 94-6, juga memperkenalkan beberapa istilah baru yang
berguna untuk khasanah akuntansi dan auditing:
Kemungkinan terjadi dalam waktu dekat - Tidak melebihi satu tahun dari tanggal laporan.
Berdampak serius - Digunakan untuk merujuk pada kerawanan entitas terhadap
konsentrasi tertentu. Meskipun hal tersebut bisa mengganggu fungsi normal organisasi,
namun masih kurang berbahaya.
Strategi manajemen risiko yang holistik telah menggeser fokus auditor tradisional dalam
mengendalikan risiko. Suatu operasi audit terintegrasi sekarang dipahami dan
memandang risiko sebagai suatu sumber keuntungan.
Sebagai hasil penelitian empiris di bidang keuangan, ia menekankan 12 praktik terbaik
yang diyakininya dapat diterapkan oleh organisasi mana pun dalam mengembangkan
pendekatan manajemen terintegrasi yang positif.
praaudit.
Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah
Menganalisis proses penetapan dan pengelolaan batas risiko
Menelaah fungsi manajemen risiko yang lain, seperti perbendaharaan, ketaatan dan
kontrol akuntansi.
Mengamati proses perencanaan strategis dan hasil-hasilnya
Mengevaluasi inisiatif-inisiatif strategis.
Mengintegrasikan aktivitas-aktivitas audit.
Mendasarkan proses audit pada hasil bersih eksposur risiko dan kontrol pengganti.
Bermitra dengan manajemen dengan memberikan jasa konsultasi dan informasi bernilai
tambah.
Menelaah etika sebagai elemen dasar dari kontrol internal
Melaksanakan audit komprehensif untuk keseluruhan program manajemen risiko.
Pola ini menyarankan bahwa keseluruhan manajemen risiko dapat menjadi kontribusi
produktif bernilai tambah terhadap kemakmuran dan kemajuan organisasi. Auditor internal
memainkan bagian besar dan fungsi tersebut.