Penentuan Risiko

1. Filosofi COSO
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu,
dan prinsip-prinsip manajemen yang baik mendorong penerapannya di industri dan sectorsektor lain. Audior internal harus memiliki pemahaman mengenai proses penentuan risiko
dan sarana yang digunakan untuk melakukannya. Auditor internal harus memasukan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa control-controk yang
dibutuhkan memang diterapkan untuk mengurangi risiko.
Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus
menerus dari manajemen. Dikatakan Integral karena manajemn tidak dapat menetapkan
tujuan dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak
hambatan yang muncula akan mengahalangi perjalanan mencapai tujuan. Beberapa hambatan
atau resiko akan dating dari luar entitas, sedangkan yang lain dari saham, sebagai contoh :
1. Suatu hukum atau peraturan baru mengalihkan sumber daya dan operasi yang dibutuhkan
untuk mencapai tujuan.
2. Sebuah perusahaan pesaing memperkenalkan produk atau jasa baru yang membutuhkan
tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan
sebelumnya.
3. Sebuah terobosan tehnologi membuat satu atau lebih tujuan menjadi usang.
4. Sebuah manajer yang tidakkompeten mengabaikan tujuan organisasi yang telah
diciptakan.
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan
kesuksesan suatu entitas, hal ini telah dibahas dengan jelas pada studi COSO. Manajemen
juga menggunakan penentuan risiko sebagai alat yang penting dalam merancang systemsistem baru. Sistem baru tersebut baik manual atau terkomputerisasi, dibuat untuk memenuhi
tujuan yang telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses
adalah identifikasi dari semua kejadian dan tindakan yang mungkin mencegah system
mencapai tujuan.
Rencana audit harus dirancang untuk memasukan pertimbangan tentang risiko dan
eksposur organisasi. Menghubungan rencana ausit dengan risiko eksposur, menyatakan

bahwa rencana strategis organisasi harus mempertimbangkan risiko dan eksposur. Rencana
audit harus menilai tingkat kesadaran atas rencana strategis terhadap elemen-elemen prioritas
risiko dan eksposur. Jadi audit secara keseluruhan dapat dipengaruhi oleh hasil proses
manajemen risiko. Practice advisory berisi metode-metode rinci aktivitas audit seperti daftar
isi jadwal pekerjaan audit, pendekatan audit, pelaksanaan audit, pelaporan isi dan evaluasi,
kontrol internal untuk mengurangi risiko.
Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari
observasi dan analisis control, kemudian berlanjut ke penentuan risiko yang berkaitan dengan
operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan
organisasi. McName dan selim menyatakan pendekatan ini tidak tepat karena adanya
kebutuhan untuk mememnuhi tujuan berlebih dahulu, tujuan merupakan dasar operasi dan
tidak selalu berbentuk nyata, bisa bersifat fleksibel dan seharusnya berorientasi dimasa
depan.

Pada

penuli

tersebut

merekomendasikan

sebuah

pendekatan

yang

memepertimbangkan terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian

menentukan risiko melalui tujuan organisasi yang ditetapkan dan kemudian menentukan
risiko melalui identifikasi,pengukuran dan pemenpatan prioritas.
Konsep manajemen risiko ini telah semakin ditrrima dengan risiko dan tidak dapat
dihindarkan disemua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya
melalui berbagai pilihan aktivitas pilihan tersebut mencakup :
Control aktivitas organisasional untuk mengurangi elemen elemen risiko baik dari segi
bersaran maupun jumlah.
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk
kemajuan dan keuntungan.
Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah
pola risiko.
Pendiversifikasian risiko dengan menyebarkan total risiko ke operasi-operasi yang
terpisah.
Pembagian dan pemindahan risko dengan melibatkan perjanjian kontraktual dengan
pihak ketiga untuk menerima sebagian atau semua risiko.
Organisasi tanpa proses manajemen risiko

Audit internal harus menelaah risiko pada bidang-bidang ayng diaudit untuk membuat
program audit. Jika terdapat program manajemn risiko, audit internal harus mengevaluasi
sebagian bagian dari audit. Advisory membahas aspek audit yang disebutkan sebelumnya.
Advisory pertamamembahas pendekatan praktis sebagai sebuah jasa konsultasi bagi klien
audit. Advisory ini merekomendasikan auditor internal untuk :
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi dan menerapkan menajemen
risiko dengan perhatian dewan serta menentukan penyelesaiannya menggunakan operasi
dan kontrol manajemen risiko.
2. Menidentifiaksi kesadaran manajemen dan dewan komisaris akan risiko dan
meenentukan penyelesaiannya melalui proses menajemen risiko.
3. Memberitahu manajemn kekurangan yanga ada pada proses manajemen risiko dengan
memberikan saran untuk melaksanakan proses seperti itu.
4. Mendapatkan pemahaman atas ekspektasi manajemen dan dewan komisaris mengenai
bantuan audit internal yang dapat diberikan dalam proses manajemn risiko.
5. Mendapatkan konsep dari manajemen mengenai peran yang harus dimainkan audit
internal dalam proses tersebut.
6. Memainkan peran proaktif, jika dibutuhkan dalam pengembangan proses manajemen
risiko, tetap dengan mengingat eksposur akan terjadinya penurunan indepedensi.
7. Menjauhkan diri dari peran sebagi pemilik risiko.
Risiko audit dan komponen-komponennya pada audit laporan keuangan
Audit dan manajemen terus mempertanyakan luas probabililtas risiko. Luas risiko adalah
jumlah yang potensi terkena risiko, probabilitas adalah kemungkinan terjadinya risiko. Masih
terdapat hal-hal lain yang harus dipertimbangan pada saat menenetukan risiko, pendapat
tentang kuantifikasi risiko. Pada tingkat laporan keuangan risiko audit adalah riisko bahwa
auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak pendapatnya atas
laporan keuangan yang salah saji secara material. Seorang auditor diharapkan untuk
merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor
sebagai tingkat yang rendah.
Karakteristik manajemen
1. Kebijakan manajemn didominasi hanya oleh satu orang.
2. Manajemen memiliki perilkau yang sangat agresif terhadap laporan keuangan.
3. Perputaran manajemn tinggi

4. Manajemen sangat berlebihandalam menekankan pencapaian proyeksi laba.

5. Manajemn memiliki reputasi yang buruk dalam komunitas bisnis.
Karakteristik operasi dan industry
1. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak
2.
3.
4.
5.

konsisten.
Hasil-hasil operasi entitas sensitive terhadap faktoe-faktor ekonomi.
Entitas berada pada industry yang menurun.
Organisasi entitas bersifat desentralisasi tanpa pengawasan aktivitas yang memadai.
Entitas diragukan kelangsungan hidupnya.

Karakteristik penugasan
1. Terdapat banyak perdebatan dan/atau masalah akuntansi yang rumit.
2. Terdapat transaksi-transaksi dan saldo-saldo yang signifikan yang sulit diausit.
3. Terdapat transaksi dengan pihak-pihal yang memiliki hubungan istimewa dengan jumlah
yang signifikan dan tidak biasa.
4. Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit dan tidak tersedia
mengenai hal tersebut.
Fakor factor seperti ini tidak dapat dipertimbangkan secara terpisah. Dalam
mempertimbangkan risiko audit pada tingkat saldo akun atau sekelompok transaksi, seorang
auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan.

Risiko bawaan
Risiko bawaan/inheren (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah
satu saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur
struktur control internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat
intrinsic terhadap usaha entitas. Resiko dari salah saji seperti ini lebih besar untuk beberapa
asersi dan saldo atau kelompok transaksi dibandingkan yang lain, sebagai contoh :

1. Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih condong
dilanggar

daripada

asersi

kelengkapan

pada

saat

auditor

mempertimbangkan

kelangsungan hidup entitas.

2. Peritungan biaya pensiun lebih cendrung salah saji dibandingkan perhitungan biaya
depresiasi menggunakan metode garis lurus.
3. Kas lebih rawan dicuri dibandinagn persediaan baru kapur/
4. Faktor-faktor eksternal terhadap entitas seperti perubahan tehnologi yang mungkin
membuat persediaan tertentu menjadi using dan dinilai terlalu tinggi.
Auditor mampu mengetahui risiko bawaan yang ada pada klien dengan memeperhatikan
industry secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak
disahan pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi
sekelompok risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan.
Risiko control
Risiko control (control risk) adalah risiko bawaan salah saji material yang bisa terjadi
pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur,
kebijakan atau prosedur control internal suatu entitas. Beberapa risiko control akan tetap ada
karena adanya keterbatasan yang melekat pada struktur control internal.
Risiko Deteksi
Resiko deteksi (detection risk) adalah resiko bahwa auditor tidak dapat mendeteksi salah
saji material yang terdapat pda suatu asersi. Risiko deteksi dapat terjadi karena seorang
auditor memutuskan tidak periksa 100% saldo atau transaksi karena ktidakpastian lainnya.
Termasuk dalam ketidakpastian lainnya ini adalah pemilihan prosedur audit yang tidak layak,
salah penerapan prosedur audit yang tidak layak, salah penerapan prosedur audit atau salah
interpretasi hasil hasil prosedur audit. Ketidakpastian lainnya harus dikurangi sampai ke
tingkat yang bisa diterima melalui perencanaan dan pengawasan audit yang sesuai.
Hubungan Antar-Resiko
Identifikasi risiko pada suatu organisasi bermula dari sisiko bawaan yang terkait dengan
usaha dan gaya mnaajemnnya. Risiko-risiko tersebut dihadapi dengan membuat siistem

control. Karena tidak ad acara untuk mnegurangi risiko sampai nol, maka masih terdapat
risiko meskipun control terbaik telah diterapkan. Tingkat risiko ini merupakan risiko control.
Konsep keyakinan yang wajar mulai diterapkanpada tahap ini. Keyakinna yang wajar adalah
tingkat control yang dicapai pada saat terjadi keseimbangan antara biaya control dan dan
eksposur dengan manfaat yang diterima. Hal ini dapat dipandang sebagai titik ketika risiko
control dan biaya control berada pada ekuilibrium.
Suatu persediaan risiko
Departemen audit internal All state mengembangkan suatu persediaan risiko usaha
untuk membantu dalam:
1. Memberikan kerangka kerja untuk mengidentifikasi risiko-risiko yang paling mengancam
perusahaan sehingga risiko-risiko harus dipertimbangkan dalam perencanaan.
2. Memfasilitasi pembahasan tentang risiko usaha.
3. Membuat suatu infrastruktur untuk mengawasi perubahan pada risiko sepanjang waktu
dan untuk membantu dalam mengidentifikasi risiko-risiko baru.
4. Memepersiapkan manajemn audit dan audit internal mengambil langkah-langkah positif.
5. Meningkatkan keahlian para staf audit dibidang risiko.

Pertanyaan- pertanyaan dasar tentang risiko

Organisasi telah mengevaluasi berbagai cara berbeda untuk menilai risiko. Pertanyaan
pertanyan berikut ini telah digunakan dalam penentuan risiko :
1.
2.
3.
4.
5.
6.
7.
8.

Apakah terdapat temuan-temuan signifikan pada audit-audit sebelumnya ?

Bagaimana lingkup audit sebelumnya ?
Kpaan audit terakhir dilakukan ?
Perubahan-perubahan apa yang telah terjadi pada system ?
Perubahan-perubahan apa yang telah terjadi pada personalia ?
Perubahan-perubahan apa yang telah terjadi pada produk dan/atau jasa yang ditawarkan ?
Berapa nilai dollar aktiva yang dikuasai?
Berapa nilai dolar transaksi melalui entitas?

9. Apa kepentingan entitas terhadap induk perusahaan?

10. Seberapa likuit aktivanya ?
11. Bagaimana pemisahan tugasnya ?
12. Seberapa sensitive informasi tersebut bagi entitas ?
13. Bagaimana tekanan untuk memenuhi tujuan atau ukuran usaha lainnya ?
14. Bagaimana dampak hokum dan regulasi terhadap entitas ?
15. Seberpa sering karyawan menghadapi kemungkinan untuk melakukan tindakan-tindakan
tidak etis ?
16. Tingkat pengetahuan yang bagaimana yang diperlukan untuk melaksanakan fungsi
entitas?
17. Seberapa sering karyawan berhubungan dengan pelanggan entitas ?
18. Seberapa rumit operasi entitas ?

Strategi penentuan risiko Bells Canada

Bells Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari
proses perencanaan auditnya. Suatu perangkat dibuat untukmembantu aditor menentukan
jenis atau tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi
kedalam sub-proses, fungsi dan aktivitas kunci. Bagian-bagian ini membentuk suatu sumbu
pada metriks risiko.
Audit internal dan Risiko perdagangan Elektronik
Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan
elektronik terhadap risiko organisasi. Dengan asumsi risiko-risiko ini dapat diidentifikasi
auditor seharusnya, terkadang dengan bantuan ahli tehnologi informasi, menenetukan dan
menggambarkan ukuran-ukuran yang bias diambil untuk mengurangi risiko-risiko tersebut
ketingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini mencakup :
1. Risiko dan dampaknya terhadap organisasi

2.
3.
4.
5.
6.
7.
8.
9.

Modifikasi atau aktivitas terkait dengan yang direkomendasikan

Dampak modifikasi risiko terhadap operasi
Tingkat pengurangan risiko yabf akan dicapai
Eksposur keuangan terkait dengan opearsi
Biaya modifikasi yang dilakukan
Elemen elemen waktu
Kemungkinan sukses
Rekomendasi jika terdapat lebih dari satu ukuran

Risiko EDI
Pertukaran data elektronik adalah sebuah system komunikasi informasi computer ke
computer yang saling berhubungan untuk dokumen-dokumen bisnis yang terstandarisasi
dibatas batas organisasi. Computer , database dan pusat informasi terhubung oleh jaringan
komunikais public atau lainnya.

Terdapat enam faktor risiko:

1.
2.
3.
4.
5.
6.

Tercurinya akses informasi

Hilangnya integgritas data
Kurang lengkapnya transaksi
Tidak tersedianya system EDI
Ketidakmampuan untuk mnegirimkan transaksi
Kurangnya pedoman hokum.

Risiko kecurangan manajemen

Artikel terbaru mengenai risiko terkait dengan kecurangan atau penipuan yang dilakukan
oleh manajemen membahas model risiko kecurangan yang dapat digunakan oleh auditor
internal. Para penulis menganjurkan penggunaan proseur analitis :
1. Membuat ekspektais kuantitatif untuk saldo akun
2. Membuat risiko investigasi dan saldo materialitas kuantitatif
3. Membandingkan saldo akun actual dengan ekspektai auditor
Membuat rencana penentuan risiko
Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, system
control, dan penentuan risiko tidak dapat dipaiahkan satu sama lain. Tidak mungkin untuk

mneyatakan risiko jika seorang tidak mengetahui bahayanya. Begitu risiko telah
diidentifikasi, langakh logis selanjutnya adalah membuat sarana untuk mengendalikan risiko
tersebut.
Kontrol internal adalah sebuah proses yang dipengaruhi oelh dewan direksi entitas,
manajemendan karyawan lainnya. Yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuaan pada katagori katagori berikut :
1. Efektifitas dan efisiensi oprasi
2. Keandalan pelaporan keuangan
3. Ketaatan terhadap hokum dan regulasi yang berlaku

Manajemen Risiko
Artikel baru tentang risiko telah menyarankan auditor internal untuk membantu
menejemen dengan tidak hanya mengidentifikasi area risiko-risiko tetapi juga mmebantu
manajemen dalam mengendalikan risiko tersebut secara positif. Auditor membantu
manajemen untuk mengambil risiko-risiko yang mneguntungkan dan berhati-hati dengan
cara- cara yang layak dan efisien. Akan tetapi disamping penentuan risiko dan bantuan
kepada manajemennya dalam merubah risiko menjadi elemen pendapat institual, auditor
harus memperluas bidang audit agar bias mencakup control risiko, pendanaan risiko dan
administrasi risiko menjadi :
Kontrol risiko :
1. Mendukung suatu program control risiko dan kerugian secara proaktif
2. Memberikan insentif maksimum untuk peran serta dalam program control risiko
3. Memonitor efektifitas control risiko
Pendanaan risiko :
1. Mempertimbnagkan semua sumber keuangan yang tersedia
2. Mempertahankan proteksi terhadap kerusakan yang mungkin timbul
3. Mengalokasiakn biaya pendanaan risiko antara unit-unit operasi secara wajar
Administrasi :

1.
2.
3.
4.

Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko

Menerapkan struktur manajemn risiko yang terdefinisi dengan baik
Mengembangkan tujuan tahunan yang ditargetkan dengan jelas
Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh

Jadi auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari
manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk
memberi kontribusi bagi kebaikan manajemen.

Tujuan-tujuan Proses Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko. auditor inteernal harus memformulasikan
suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci
yang tercantum pada Practice Advisory 2110-1, Penilaian Kecukupan Proses Manajemen
Risiko. Tujuan-tujuan ini adalah:

Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasikan dan di prioritaskan.
Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi termasuk penerimaan risiko yang dirancang untuk mencapai rencana

strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi atau
justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh mananmen dan

dewan komunis.
Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik

menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.

Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodic
tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.

Metode-metode Analitis
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang
optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metodemetode itu adalah:

Pembuatan bagan alir

Kuesioner control internal
Analisis matriks
Metodologi ilustratif COSO
Metode Courtnev

Pembuatan Bagan Alir

Pembuatan bagan alir (flow charting) adalah sebuah metode analisis efisiensi dan kontrol
operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran
aktivitas melalui proses. Bagan tersebut memungkinkan untuk melihat" operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan dan kelemahankelemahan control. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan
karyawan operasional; bagaikan sebuah peta jalan yang merupakan alat komunikasi yang
lebih baik dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan
alir juga menawarkan peluang untuk menyajikan secara komparatif suatu gambar mengenai
pendekatan alternatif untuk suatu proses.
Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di
masa lalu karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas
kertas menggunakan pola plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis
tangan yang final seringkali merupakan produk akhir dari proses sebelumnya yang banyak
mengandung kesalahan dan banyak dihapus. Bagan alir yangditulis tangan tidak

memudahkan modifikasi. Meskipun merupakan alat yang efektif, pembuatan baganalir tidak
sepenuhnya digunakan karena tidak efisien.
Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir.
Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak
tenaga.
Jika bagan sudah dibuat, maka bagan tersebut siap ditelaah, dianalisis dan diperbarui
pada audit selanjutnya. Bagan tersebut juga membantu pengembangan dan pemeliharaan
program audit. Bagan alir yang diperbarui menjadi bagian dari arsip permanen.

Kuesioner Kontrol Internal

Pada bab yang membahas Survei Pendahuluan, kuisioner dibahas sebagai sebuah sarana
untuk mendapatkan informasi tentang fungsi yang akan disurvei dan segera diaudit. Terdapat
kuisioner jenis lain yang biasa digunakan oleh auditor. Kuisioner tersebut dikenal sebagai
kuisioner control internal (internal control questionnaire-ICQ). Kuisioner ini berbeda dari
kuisioner dengan pertanyaan terbuka yang digunakan dalam survey pendahuluan.
Kuisioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan yang membutuhkan
tanggapan naratif dari responden. Kuisioner seperti ini mencari informasi untuk memperluas
pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan
membutuhkan jawaban ya atau tidak disertai komentar. ICQ membutuhkan jawaban
yang langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan.
ICQ digunakan untuk evaluasi berkelanjutan atas kontrol yang ada dan dapat digunakan
dalam analitis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktifitas atau proses
telah dianalisis dan kontrol yang sesuai yang telah diterapkan. ICQ merupakan uji ketaatan
yang dimaksudkan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko
dapat dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor mengenai
kontrol yang seharusnya diterapkan dan diuji selama audit.

Pertanyaan dijawab Ya" atau Tidak" (digaris bawahi) dan setiap perubahan "Komentar"
dicatat oleh auditor. "Metode" menentukan jawaban dicatat. Suatu tanya jawab, yaitu
bertanya kepada klien, bukan merupakan sumber yang dapat diandalkan seperti halnya
observasi. Memeriksa bahan bukti dokumen yang diperoleh selama pengujian lebih
diharapkan daripada sekedar observasi. Pengujian catatan dan transaksi member peluang
untuk memeriksa kejadian dan mengevaluasi risiko selama jangka waktu tertentu
dibandingkan dengan periode pengamatan yang pendek. Hal ini diperlukan untuk
mengevaluasi fungsi kontrol kunci.
Kolom Dikerjakan Oleh" harus berisi nama atau inisial orang yang melakukan aktivitas
tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat
penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat
ketidaksesuaian ini terhadap risiko.
Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa
kuesioner tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi
selanjutnya setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi
baru, pemberlakuan hukum dan peraturan baru, danmunculnya banyak peristiwa lain
membutuhkan penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih
dilakukan bisa jadi bukanlah prosedur terbaik bagi organisasi. lCQ harus dinilai terusmenerus untuk menentukan bahwa pertanyaan dan konteks jawabannya tetap relevan.
Auditor harus memastikan bahwa lCQ mengikuti dan merespons perubahan dalam
organisasi, metode operasi, dan tujuan organisasi. Perubahan dalam setiap hal ini
membutuhkan perubahan dalam ICQ.

Analisis Matriks
Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control
and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis
matriks tersebut dapat digunakan untuk analisis kontrol di aktivitas mana pun.
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memiliki control yang layak. Matriks kontrol juga mengakui
bahwa control tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai
contoh, sebuah kunci melindungi asset dan kemungkinan hilang dengan membatasi akses.
Hal ini juga memberikan akuntabilitas untuk menangani asset karena orang yang memegang
kunci akan bertanggung jawab jika asset yang sudah diamankan tersebut hilang. Suatu
anggaran menetapkan tujuan dan sasaran yang akan dicapai dari menjadi alat ukur kinerja.
Anggaran juga menetapkan otoritas manajer untuk bertindak dalam kendala keuangan berupa
anggaran.
Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1);
tingkat keyakinan ini disebut sebagai primer (P) karena merupakan control utama
menghadapi risiko.
Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan
menghadapi risiko lain (Risiko2), Tetapi tingkat keyakinannya lebih kecil dari control yang
semula dirancang untuk itu.

Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko2 memiliki kontrol primernya
sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan menghadapi risiko 2
ketika menghadapi Risiko 1. Suatu control dapat memberikan tingkat keyakinan ketiga atas
control yang lain (risiko 3). Tingkat keyakinan ini disebut sebagai berguna (B).Tingkat
keyakinan tersebut tidak cukup hanya mengandalkan control menghadapi Risiko 3 tetapi
control ini bisa memunculkan pertanda atas adanya Risiko3 yang harus di investigasi.
Matriks risiko dan control tampak seperti ini:
Kontrol

Kontrol B

Kontrol C

B
B
P

A
Risiko 1
Risiko 2
Risiko 3

P
S

Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini. Dalam
sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yang berkaitan dengan
akses ke arsip data.
Perhatikan risiko-risiko berikut ini dan kontrol primernya.
1.

RISIKO
Individu yang tidak memiliki

otorisasi di dalam organisasi bisa

KONTROL PRIMER
a. ID pengguna dan kata sandi dibutuhkan
untuk mengakses system komputer

mengakses catatan komputer.

2.

Individu yang tidak memiliki

otorisasi di luar organisasi bisa

mengakses catatan komputer.
3.

Individu yang tidak memiliki

b. Alat modem dihubungkan hanya jika

pengguna eksternal yang dikenal meminta
akses dan tidak disambungkan di akhir sesi
c. Laporan usaha yang gagal dihasilkan dari

otorisasi bisa mencoba mendapatkan

sistem pengaman, dan laporan tersebut

akses ke catatan computer, dan bisa

diperiksa setiap hari oleh pegawai

berhasil di masa depan meskipun

pengamanan data

belum masuk.
Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol? ID pengguna dan
kata sandi (A) adalah kontrol primer untuk menghadapi orang dalam yang tidak terotorisasi
yang mencoba mengakses catatan computer organisasi.

Memutuskan sambungan modem pada saat tidak digunakan (B) merupakan perlindungan
primer menghadapi penyusup luar. Mereka tidak dapat mengakses pada waktu sirkuit
terhubung ke pengguna resmi. Jika modem tidak disambungkan pada saat sesi resmi
diselesaikan, tidak ada jalan bagi hacker untuk mengakses. Jika modem masih terkoneksi dan
sirkuit masih terbuka, tingkat kontrol selanjutnya ID pengguna dan kata sandi akan tersedia
sebagai penghalang terhadap hacker (sekunder). Kontrol tersebut dapat diandalkan untuk
menghadapi hacker meskipun dibuat untuk menghadapi orang dalam yang tidak memiliki
otorisasi. (Primer) Jika modem terkoneksi dan hacker mencoba selama beberapa hari, laporan
pengamanan harian (C) akan memberi tanda kepada pegawai pengamanan data (Berguna).
Penelaahan atas laporan pengamanan harian berguna untuk menghadapi orang dalam
yang tidak memiliki otonsasi karena akan melaporkan seseorang yang mencoba mengakses
dengan ID pengguna dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini
pegawai pengamanan data dapat memulai langkah-langkah untuk menemukan orang yang
mencoba masuk. Mengapa ini hanya merupakan control yang berguna? Laporan tersebut
tidak bernilai dalam mencegah akses ke computer. Apalagi, laporan tersebut menampilkan
upaya yang gagal ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang
bukan merupakan kesalahan berbahaya. Oleh karena itu, laporan tersebut tidak dapat
diandalkan dalam mendeteksi segera atau hanya upaya akses dengan niat jahat.
Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol primer yang
berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya untuk menerapkan beberapa
kontrol atas risiko yang sama karena takut salah satu bisa rusak. Jika kontrol dibuat tunggal
tetapi dapat digunakan untuk lebih dari satu tujuan dan memberikan kontrol yang
dibutuhkan, sistem tersebut sudah lebih kuat tanpa perlu tambahan biaya.

Kontrol Preventif dan Detektif

Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol-preventif atau detektif.
Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol detektif

mendeteksmya sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di atas, dua
kontrol-memutuskan kata sandi dan modem - adalah control preventif. Orang-orang jahat"
tidak bisa mendapat akse karena control ini diterapkan.
Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan
upaya orang-orang tidak bertanggungjawab untuk masuk ke sistem. Jika pengguna yang tidak
memiliki otorisasi bisa mengakses pada hari pertama, laporan di pagi hari akan memberikan
informasi yang bisa digunakan untuk mengejar si hacker, tetapi hanya setelah kejadian.
Kontrol detektif memiliki sifat aktivitas setelah fakta dan membutuhkan empat unit
tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi atau menemukan masalah atau
risiko yang ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang
tidak diinginkan untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan.
Tindakan ketiga adalah koreksi. Tindakan terakhir adalah pengecekan terhadap tindakan
korektif untuk melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau
dinetralkan.
Ada dua aspek lain dari kontrol detektif yang membuatnya kurang efektif dibandingkan
control preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Penelaahan dan
analisis dapat ditangguhkan jika tekanan lain meningkat dan dapat diabaikan jika orang yang
ditugaskan merasa pekerjaan tersebut tidak menyenangkan. Kedua, kontrol detektif
kelihatannya hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak di inginkan.
Akan tetapi, kita tidak bisa mengetahui tidak adanya hal-hal yang tidak di inginkan atau tidak
adanya risiko sampai pemeriksaan diselesaikan. Untuk itulah terdapat keadaan-keadaan yang
kontrol detektif merupakan satu-satunya pilihan. Bukan control preventif yang bisa
mengamankan setiap risiko yang mungkin muncul.
Sebagai contoh, buku cek dapat ditempatkan dalam tempat terkunci-sebuah kontrol
preventif. Hal ini tidak menghilangkan kebutuhan untuk memeriksa cek untuk mendeteksi
adanya perubahan yang dilakukan dan pemalsuan-sebuah kontrol detektif.
Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol
preventif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan.

Sehingga matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis. Contoh
sebelumnya digunakan dengan sifat kontrol ditampilkan dalam tanda kurung.

Risiko 1
Risiko 2
Risiko 3

Kontrol A
P(p)
S(p)

Kontrol B
P(p)

Kontrol C
B(d)
B(d)
P(d)

Dalam beberapa penggunaan dari pendekatan ini. tanda (p) atau (d) ditempatkan pada awal
kolom dengan identifikasi kontrol. Hal ini cenderung menghilangkannva dari daerah
pertimbangan jika analisis dilakukan. Memposisikan sifat dengan tingkat keyakinan
meningkatkan efisiensi dan efektivitas analisis, khususnya jika matriksnya besar dengan
banyak kolom dan baris.

Metodologi Ilustratif COSO

Studi COSO mencakup satu volume berjudul Evaluation Tools" (Perangkat Evaluasi).
Dalam pendahuluan volume ini terdapat pernyataan ini:
Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi. Perangkat tersebut
bukan merupakan bagian yang integral dari Kerangka Kerja. dan penyajiannya di sini
tidaklah untuk menyarankan semua hal yang perlu dipertimbangkan dalam
mengevaluasi suatu sistem kontrol internal, atau bahwa semua masalah harus disajikan
dalam rangka untuk menyimpulkan bahwa suatu sistem adalah efektif. Demikian pula.
tidak terdapat saran bahwa perangkat-perangkat tersebut merupakan metcde yang lebih
disukai untuk dilakukan dan mendokumentasikan sebuah evaluasi. (Semua penekanan
berasaldari studi COSO.)
Pengutipan pernyataan ini tidak dimaksudkan untuk menghilangkan nilai dari Perangkat
Evaluasi. Justru, ketika nilai dan kegunaannya dibahas di sini, terdapat kecenderungan untuk
memandang sebuah ilustrasi yang termasuk dalam karya semisal seperti studi COSO sebagai
satu-satunya kata yang "benar" dalam setiap aspek. Tetapi, teknik-teknik ini bagus dalam
mengatakan bahwa auditor internal dan yang lain mengenai bagaimana sistem kontrol dapat
dianalisis dan risiko dinilai.

Perangkat Evaluasi berisi dua jenis umum perangkat. Perangkat pertama adalah
Perangkat Komponen; yang kedua adalah Lembar Kerja Penentuan Risiko dan Aktifitas
Kontrol.
Perangkat Komponen merujuk pada analisis komponen-komponen sistem control. Untuk
mengingatkan dari studi COSO, definisi control adalah:
Kontrol internal adalah sebuah proses yang dipengaruhi oleh dewan direksi perusahaan,
manajemen dan karyawan lainnya, untuk memberikan keyakinan yang wajar mengenai
pencapaian tujuan dalam kategori-kategori berikut ini:

Efektifitas dan efisiensi operasi

Keandalan pelaporan keuangan
Ketaatan dengan hukum dan aturan yang berlaku.

Selanjutnya studi tersebut menyatakan:

Kontrol internal terdiri atas lima komponen yang saling berkaitan. Komponenkomponen ini berasal dari cara manajemen menjalankan bisnis, dan di integrasikan
dengan proses manajemen. Komponen-komponen tersebut adalah:

Lingkungan Kontrol Inti suatu bisnis adalah orang-orangnya, karakteristiknya

masing-masing termasuk integritas, nilai-nilai etika, dan kompetensi dan
lingkungan tempat mereka bekerja. Hal-hal tersebut merupakan mesin penggerak
perusahaan dan merupakan fondasi segala sesuatunya ditempatkan.

Penentuan Risiko Perusahaan harus mewaspadai dan mengelola risiko yang

dihadapinya. Perusahaan harus menetapkan tujuan, terintegrasi dengan penjualan,
produksi, pemasaran, keuangan dan aktifitas-aktifitas lainnya sehingga organisasi
beroperasi secara harmonis. Perusahaan juga harus menetapkan mekanisme untuk

mengidentifikasi, menganalisis dan mengelola risiko-risiko terkait.

Aktifitas-aktifitas Kontrol - Kebijakan dan prosedur kontrol harus ditetapkan dan
dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan yang

diidentifikasi oleh manajemen diperlukan untuk menghadapi risiko terhadap

pencapaian tujuan entitas secara efektif dilakukan.

Informasi dan Komunikasi Di sekitar aktifitas-aktifitas ini terdapat sistem
informasi dan komunikasi. Hal ini memungkinkan karyawan perusahaan
mendapatkan dan menukar informasi yang diperlukan untuk melaksanakan,

mengelola dan mengendalikan operasinya.

Pengawasan Keseluruhan proses harus dimonitor dan dibuat perubahan bila
diperlukan. Dengan cara ini, system dapat bereaksi secara dinamis, berubah seiring
dengan perubahan kondisi.

Perangkat Komponen dirancang untuk mengevaluasi setiap komponen di atas dalam

struktur entitas. Setiap komponen dapat dibagi lagi kedalam hal-hal substantif yang disebut
"masalah-masalah yang menjadi fokus. Masalah-masalah ini kemudian dirinci ke dalam
contoh-contoh aplikasi khusus yang dapat diperiksa dan ditanggapi. Sebuah contoh dari
pendekatan ini tercakup dalam sebuah bagian dari lembar kerja yaitu pada lingkungan
kontrol di bawah judul Komitmen pada Kompetensi.

Tahap pertama dari lembar kerja Perangkat Komponen lingkungan kontrol berisi
masalah-masalah substantive (komitmen terhadap kompetensi dan fokus perhatian adalah
sarana-sarana yang digunakan untuk mengukur pencapaian masalah-masalah substantif.
Lembar kerja tersebut tampak sebagai berikut:

Setelah auditor menyelesaikan evaluasi dari setiap fokus perhatian, kemudian

dimasukkan temuan-temuan. Temuan-temuan dimasukkan pada setiap fokus perhatian dan
sebuah ringkasan kesimpulan dan rekomendasi pada keseluruhan masalah substansi.

Penerapan pendekatan ini cukup mudah. Setiap langkah mengalir secara logis dan
langkah sebelumnya.

Tujuan ditentukan; pengidentifikasian risiko menjadi lebih mudah.

Jika risiko telah diidentiiikasi, kemungkinan historis untuk terjadi dapat ditentukan.
Jika risiko diketahui, langkah untuk menghadapinya yaitu aktivitas-aktivitas control dapat

ditentukan
Hubungan antara risiko dan aktivitas kontrol dengan tujuan-tujuan lainnya ditentukan
dengan melihat risiko yang sama atau aktivitas kontrol dalam tujuan-tujuan yang lainserupa dengan metode matriks.

Akhirnya, sebuah kesimpulan diformulasi mengenai efektivitas kontrol. Auditor akan

mengakui pentingnya hal ini karena mereka akan mendapatkan kesimpulan untuk setiap
pengujian atas kontrol yang dilakukan dalam audit.
Bila analisis tujuan, risiko, dan aktivitas kontrol telah dilakukan, program audit

diterapkan bersama-sama untuk menguji aktivitas kontrol. Efektivitas aktivitas control

ditentukan dalam analisis risiko. Audit merupakan pengujian kinerja; yaitu apakah aktivitas
kontrol memang diterapkan seperti yang dirancang. Kesimpulan audit akan menjadi sebuah
ukuran kualitas kinerja.

Metode Courtney
Satu teknik penilaian yang menarik dan sederhana sehubungan dengan biaya kontrol
dikembangkan oleh Robert Courtney saat ia bergabung dalam Divisi Sistem Komunikasi
lBM. Teknik tersebut melibatkan perhitungan yang menempatkan nilai uang (dolar,rupiah) ke
risiko-risiko potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa
menciptakan kesulitan. Jika pendekatan ini digunakan, auditor internal harus berupaya
mencapai

kesepakatan

dengan

manajemen

tentang

nilai-nilai

yang

diberikan dan frekuensi-frekuensi yang diestimasi. Hal ini bisa jadi subjektif, tetapi sebuah
konsensus dapat menghasilkan tingkat keandalan yang dapat diterima.
Penggunaan sebuah metode yang secara eksplisit membutuhkan seseorang untuk
membuat estimasi adalah lebih baik daripada tidak ada estimasi sama sekali. Dampak
potensial dari sebuah kejadian diberikan nilai (value-v) dari 1 hingga 7:
Jumlah

Nilai

$ 10

$ 100

$ 1.000

$ 10.000

$ 100.000

$ 1.000.000 =

$ 10.000.000 =

Melebihi biayanya dan memungkinkan pendekatan yang lebih objektif untuk penentuan
risiko.Namun, ada organisasi-organisasi yang justru meyakini sebaliknya dan, bila mereka
menggunakan kuesioner, maka tergantung auditor untuk memutuskan berdasarkan
evaluasinya terhadap jawaban pertanyaan.

Pertimbangan Pengungkapan Risiko

Penulis menganalisis FASB 5 dan AcSEC SOP 94-6 dalam memberikan deskripsi yang
menarik bagi auditor intemal.
Risiko organisasional harus dibagi menjadi:

Risiko operasi.
Risiko estimasi. dan
Risiko konsentrasi.

Risiko operasi terkait dengan risiko-risiko yang terjadi pada produksi, penjualan, dan
pengadministrasian organisasi. Risiko tersebut mencakup risiko internal dan eksternal.

Risiko estimasi terkait dengan estimasi yang digunakan dalam penyiapan laporan
keuangan (dan operasi).
Risiko konsentrasi terkait dengan konsentrasi pelanggan, pemasok, lini produk dan
pasar.
Sebenarnya terdapat rincian lanjutan berkaitan dengan hal-hal di atas; namun, rincian ini
berada di luar cakupan buku ini. Pembaca bisa membaca artikel rujukan yang dikutip dan
sejumlah referensi lainnya.
Probabilitas suatu kejadian terjadi juga diperhitungkan. Penulis mengutip dari sumber lain
dalam menyarankan penggunaan tiga istilah:
Probabilitas
Kemungkinan kecil

0 - 1S%

Kemungkinan wajar

20 - 50%

Kemungkinan besar

50 - 90%

Rujukan tersebut, menggunakan SOP 94-6, juga memperkenalkan beberapa istilah baru yang
berguna untuk khasanah akuntansi dan auditing:
Kemungkinan terjadi dalam waktu dekat - Tidak melebihi satu tahun dari tanggal laporan.
Berdampak serius - Digunakan untuk merujuk pada kerawanan entitas terhadap
konsentrasi tertentu. Meskipun hal tersebut bisa mengganggu fungsi normal organisasi,
namun masih kurang berbahaya.

Strategi manajemen risiko yang holistik telah menggeser fokus auditor tradisional dalam
mengendalikan risiko. Suatu operasi audit terintegrasi sekarang dipahami dan
memandang risiko sebagai suatu sumber keuntungan.
Sebagai hasil penelitian empiris di bidang keuangan, ia menekankan 12 praktik terbaik
yang diyakininya dapat diterapkan oleh organisasi mana pun dalam mengembangkan
pendekatan manajemen terintegrasi yang positif.

Ke-12 praktik terbaik tersebut adalah:

Mengombinasikan analisis objektif dan subjektif dari audit keseluruhan untuk

menentukan prioritas audit.

Menganalisis kemampuan manajemen untuk mencapai tujuan dan sasaran dalam narasi

praaudit.
Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah
Menganalisis proses penetapan dan pengelolaan batas risiko
Menelaah fungsi manajemen risiko yang lain, seperti perbendaharaan, ketaatan dan

kontrol akuntansi.
Mengamati proses perencanaan strategis dan hasil-hasilnya
Mengevaluasi inisiatif-inisiatif strategis.
Mengintegrasikan aktivitas-aktivitas audit.

Mendasarkan proses audit pada hasil bersih eksposur risiko dan kontrol pengganti.
Bermitra dengan manajemen dengan memberikan jasa konsultasi dan informasi bernilai

tambah.
Menelaah etika sebagai elemen dasar dari kontrol internal
Melaksanakan audit komprehensif untuk keseluruhan program manajemen risiko.

Pola ini menyarankan bahwa keseluruhan manajemen risiko dapat menjadi kontribusi
produktif bernilai tambah terhadap kemakmuran dan kemajuan organisasi. Auditor internal
memainkan bagian besar dan fungsi tersebut.