Tugas Individu

AUDIT INTERNAL

BAB III : PENENTUAN RISIKO

Nama : MUTMAINNA

Nim : A31114001

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

MAKASSAR

2017
FILOSOFI COSO

Penentuan resiko (risk assessment) merupakan hal penting bagi manajemen dan
auditor internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank
tertentu, dan prinsip-prinsip manajemen yang baik mendorong penerapannya di industry dan
sector-sektor lain. Auditor internal harus memasukkan hsil penentuan risiko ke dalam
program audit untuk memastikan bahwa control-kontrol yang dibutuhkan memang diterapkan
untuk mengurangi risiko.

Penentuan risiko merupakan tanggungjawab yang tidak terpisahkan dan terus-

menerus dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan
tujuan dan dengan mudah mengansumsikan bahwa tujuan tersebut akan tercapai. Banyak
hambatan yang muncul akan meng-halangi perjalanan mencapai tujuan.
Beberapa hambatan atau risiko akan datang. Sebagai contoh:

Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang
dibutuhkan untuk mencapai tujuan

Sebuah perusahaan pesaing memperkenalkan produk atau jasa baru yang

membutuhkan tindakan segera dan menciptakan tujuan baru dengan menurunkan
prioritas tujuan sebelumnya

Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang

Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah
ditetapkan.
.
Siapa yang Memanfaatkan Penentuan Risiko ?
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk
memastikan kesuksesan suatu entitas. Manajemen juga menggunakan penentuan risiko
sebagai alat yang penting dalam merancang sistem-sistem baru.
Sistem baru tersebut, baik manual atau komputerisasi, dibuat untuk memenuhi tujuan
yang telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah
identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai
tujuannya.
 Auditor internal terlibat dalam penentuan risiko sejak awal profesi berdiri. Kesalahan
yang bisa terjadi dilakukan dengan pengidentifikasian kesalahan atau ketidakwajaran yang
potensial merupakan persyaratan mutlak untuk menentukan prosedur kontrol yang harus
diterapkan.

Merencanakan Penentuan Risiko dan Eksposur

Rencana audit harus dirancang untuk memasukkan pertimbangan tentang risiko dan
eksposur organisasi. Practice Advisory 2010-2, Menghubungkan rencana audit dengan risiko
dan eksposur, menyatakan bahwa rencana strategis organisasi harus mempertimbangkan
risiko dan eksposur. Rencana audit harus menilai tingkat strategis terhadap elemen-elemen
prioritas risiko dan eksposur.

Memperluas Audit Berbasis Risiko

Konsep audit berbasis risiko secara tradisional bermula dari observasi dan analisis
control, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi, dan akhirnya
ke pennetuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi.
Para penulis merekomendasikan sebuah pendekatan yang mempertimbangkan
Memperluas Audit Berbasis Risiko
terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan risiko melalui
identifikasi, pengukuran dan penempatan prioritas dan akhirnya melakukan manajemen risiko
dengan cara:
a. Mengendalikan dan menerima risiko
b. Menghindari atau mendiversifikasi risiko
c. Membagi & mentransfer bagian-bagian risiko ke unit-unitnya
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat
dihindarkan disemua jenis operasi dan adanya kebutuhan untuk mengakomodikasikannya
melalui berbagai pilihan aktivitas pilihan-pilihan tersebut mencakup :
Control aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari
segi besaran maupun jumlah
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan
untuk kemajuan dan keuntungan
 Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk
mengubah pola risiko.
Pendiversifikasian risiko dengan menyebarkan total risiko ke operasi-operasi yang
terpisah
Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan
pihak ketiga untuk menerima sebagian atau semua risiko.

Organisai Tanpa Proses Manajemen Risiko

Advisory ini merekomendasikan auditor internal untuk :

1. Membantu organisasi dalam mengidentifikasi, mengevaluasi dan menerapkan
manajemen risiko dan perhatian dewan serta menentukan penyelesaiannya
menggunakan operasi dan control manajemen risiko.
2. Mengidentifikasi kesadaran manajemen dan dewan komisaris akan risiko dan
menentukan penyelesaian melalui proses manajemen risiko
3. Memberitahukan manajemen kekurangan yang ada pada proses manajemen risiko dan
memberikan saran untuk melaksanakan proses seperti itu.

Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan

Pada tingkat laporan keuangan - risiko audit adalah risiko bahwa auditor mungkin
secara tidak sengaja gagal memodifikasi dengan layak pendapatnya atas laporan keuangan
yang salah saji secara material. Auditor diharap-kan untuk merencanakan audit sehingga
risiko audit dibatasi pada apa yang dipertimbangkan auditor sebagai tingkat rendah.
Dalam menentukan risiko audit pada tingkat laporan keuangan, standar audit (AU
316) menyatakan bahwa seorang auditor harus mempertimbangkan karakteristik manajemen,
karakteristik operasi dan industri serta karakteristik penugasan.

Karakteristik Manajemen
a. Kebijakan manajemen didominasi hanya satu orang
b. Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan
c. Perputaran manajemen tinggi
d. Manajemen yang sangat berlebihan dalam menekankan pencapaian proyeksi laba
e. Manajemen memiliki reputasi yang buruk dalam komunikasi bisnis
Karakteristik Operasi dan Industri
a. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau
tidak konsisiten
b. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi
c. Entitas berada pada industri yang menurun
d. Organisasi entitas bersifat desentralisasi tanpa pengawasan aktivitas yang memadai
e. Entitas diragukan kelangsungan hidupnya

Karakteristik Penugasan
a. Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang sulit
b. Terdapat tansaksi-transaksi dengan pihak-pihak yang memiliki hubungan istimewa
dalam jumlah yang signifikan dan tidak biasa
c. Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit atau tidak
tersedia data mengenai hal tersebut.
SAS memberikan contoh faktor-faktor berikut yang harus dipertimbangkan auditor dalam
mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:

a. Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan

b. Masalah-masalah akuntansi yang rumit dan mengandung perdebatan

c. Transaksi-transaksi yang sering terjadi atau susah untuk diaudit

d. Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari
audit sebelumnya

e. Kerentanan aktiva untuk disalahgunakan

f. Kompetensi dan pengalaman karyawan yang memproses data mengenai ranvangan

dan operasi kebijakan dan prosedur yang layak untuk membenarkan penetapan
tersebut.

Risiko Bawaan/ inheren

 Risiko bawaan adalah kerentanan suatu asersi atas terjadinya salah saji yang material,
dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur kontrol internal
terkait yang ditetapkan.

Risiko Kontrol
Risiko control adalah risiko bahwa salah saji material yang terjadi pada suatu asersi
tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau prosedur
kontrol internal suatu entitas.

Risiko Deteksi
Risiko deteksi adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material
yang terdapat pada suatu asersi.

Hubungan Antar Risiko

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun
kualitatif. SAS memberikan rumus berikut ini :

Risiko Audit = Risiko Bawaan x Risiko Kontrolx risiko deteksi

Ketika menggunakan rumus ini auditor bisa menilai risiko audit yang direncanakan
untuk sebuah asersi, risiko bawannya dan risiko controlnya untuk menentukan risiko
penentuan yang direncanakan dengan menentukan risiko deteksi.

Risiko Deteksi = risiko audit/(risiko bawaan x risiko control)

Seoramg auditor akan memilih prosedur-prosedur audit yang menurutnya akan

mengurangi risiko deteksi dibawah risiko penemuan yang direncanakan.

Suatu Persediaan Risiko

Departemen auditor internal Allstate mengembangkan suatu persediaan risiko usaha

untuk membantu dalam :
 Memberikan kerangka kerja untuk mengidentifikasikan risiko-risiko yang paling
mengancam perusahaan sehingga risiko-risiko ini harus dipertimbangkan dalam
perencanaan

Memfasilitasi pembahasan tentang risiko usaha

Meningkatkan keahlian para staf audit dibidang risiko.

Pengembangan persediaan risiko mencakup proses yang terdiri dari empat tahap

1. Identifikasi risiko-risiko puncak

2. Mengonsolidasikan dan mengorganisasikan risiko-risiko tersebut\

3. Membuat model persediaan risiko dan daftar risiko

4. Mengelola persediaan risiko tersebut

Persediaan risiko disusun dalam dua bagian dasar. Risiko-risiko ekternal mencakup :

Lingkungan

Bencana

Pasar keuangan

Peringkat

Risiko-risiko internal mencakup

Sumber daya manusia

Integritas

Informasi dan teknologi

Akuntansi dan pelaporan

Keuangan.
Pertanyaan-Pertanyaan Dasar Tentang Risiko

Apakah terdapat temuan-temuan signifikan pada audit-audit sebelumnya ?

Bagaimana lingkup audit sebelumnya ?

Kapan audit terakhir dilakukan ?

Berapa nilai dolar transaksi-transaksi melalui entitas ?

Risiko Kecurangan Manajemen

Artike terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang
dilakukan oleh manajemen membahas model risiko kecurangan yang dapat digunakan oleh
auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis :

1. Membuat ekspektasi kauntitatif untuk saldo akun

2. Membuat risiko investigative dan saldo materialitas kuantitatif

3. Membandingkan saldo akun actual dengan ekspektasi auditor.

Membuat Rencana Penentuan Resiko

Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi,

sistem kontrol, dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin
untuk menentukan risiko jika seseorang tidak mengetahui bahayanya.begitu risiko telah
diidentifikasi, langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko
tersebut.

Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuan pada kategori-kategori berikut ini:

Efektivitas dan efisiensi operasi

Keandalan pelaporan keuangan
Ketaatan terhadap hukum dan regulasi yang berlaku

Dalam pembahasannya mengenai penentuan risiko, studi COSO menyatakan :

Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan :

 Tujuan Operasioanl Hal ini berkaitan dengan efektivitas dan efisiensi operasi
entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya
terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen
mengenai struktur dan kinerja.
Tujuan Pelaporan Keuangan Hal ini berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang mengandung
kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan
eksternal.
Tujuan-tujuan Ketaatan Tujuan-tujuan ini berkaitan dengan ketaatan terhadap
hukum dan peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantung
pada faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa
untuk semua entitas dalam beberapa kasus dan dalam beberapa industri.

Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan dan

ketaatan untuk operasi tersebut :

Untuk menerima semua pembayaran secara tepat waktu (operasioanal)

Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi
piutang usaha (keuangan)
Untuk memastikan bahwa kemampuan untuk menegoisasikan jumlah yang tertera di
cek memang telah disetujui (operasional)
Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional)
Untuk menyetor ke bank secara tepat waktu agar bisa mendapatkan pendapatan
bunga maksimum (operasional)
Untuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan)
Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan
penanganan cek untuk menghindari tidak adanya pihak yang bertanggung jawab
ketika terjadi kehilangan atau kecurangan (operasional dan ketaatan)
Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai
prosedur (operasional dan keuangan)
Untuk memberikan pengukuran kinerja bagi unit dan karyawan di dalamnya untuk
memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk
memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima
(operasional dan ketaatan).

Tujuan : Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.

Risiko-risiko :

Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke
ruang penerimaan surat.
Amplop-amplop berisi pembayaran sangat rawan ketika diidentifikasi dan disortir di
ruangan penyortiran sebelum diberikan ke unit pemrosesan.
Cek-cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank
disiapkan.
Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan
Uang yang akan disetor bisa jadi hilang atau dicuri selama perjalanan dari area
pemrosesan ke bank.
Seorang karyawan bisa dirampok selama perjalanan ke bank pada saat menyetorkan.

Tujuan : Untuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga.

Risiko-risiko :

Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.
Pembayaran mungkin tidak dipisahkan diruang penyortiran dan diberikan ke unit
pemrosesan secara tepat waktu.
Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan
ke bank sebelum batas waktu jam 2 siang.
Hal-hal pengecualian bisa jadi membuat penyetoran ditunda sampai hari (-hari)
berikutnya.
Kegagalan peralatan dapat memperlambat pemrosesan.

Manajemen Risiko

Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan

dan berhati-hati dengan cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah
yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi.

Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam
mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang
audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. Jadi :

Kontrol risiko :

Mendukung suatu program kontrol risiko dan kerugian secara proaktif.

Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko
Memonitor efektivitas aktivitas kontrol risiko.
Pendanaan risiko :

Mempertimbangkan semua sumber keuangan yang tersedia

Mempertahankan proteksi terhadap kerusakan yang mungkin timbul
Mengalokasikan biaya pendanaan risiko diantara unit-unit operasi secara wajar.

Administrasi risiko :

Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko

Menerapkan struktur manajemen risiko yang terdefinisi dengan baik.
Mengembangkan tujuan tahunan yang ditergetkan dengan jelas.
Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.

Tujuan-tujuan Proses Mnajemen Risiko

Dalam mengevaluasi proses manajemen risiko, auditor internal harus

memformulasikan suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian
lima tujuan kunci yang tercantum pada Practice Advisory 2110-1, Penilaian Kecukupan
Proses Manajemen Risiko. Tujuan-tujuan ini adalah :

Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.
Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat
diterima oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai
rencana strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan uantuk mengurangi,
atau justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh
manajemen dan dewan komisaris.
Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanankan untuk secara
periodik menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.
Dewan komisaris dan manajemen menrima laporan periodik mengenai hasil periodik
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi
periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang
berkepentingan.

Metode-metode Analitis

Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol

yang optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode.
Metode-metode ini adalah :
 Pembuatan bagan alir
Kuesioner kontrol internal
Analisis matriks
Metodologi ilustratif COSO
Metode Courtney

Pembuatan Bagan Alir

Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan
kontrol operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal
aliran aktivitas melalui proses. Bagan tersebut memungkinkan untuk melihat operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-
kelemahan kontrol.

Kuesioner Kontrol Internal

Kuesioner merupakan sebuah sarana untuk mendapatkan informasi tentang fungsi

yang akan disurvei dan segera diaudit. Terdapat kuesioner jenis lain yang biasa digunakan
oleh auditor yang dikenal sebagai kuesioner kontrol internal (internal control questionnaire-
ICQ)

ICQ digunakan untuk evaluasi berkelanjutan atas kontrol yang ada dan dapat
digunakan dalam analisis risiko. ICQ merupakan uji ketaatan yang dimaksudkan untuk
memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat dievaluasi.

Analisis Matriks

Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko
guna memastikan bahwa setiap risiko memiliki kontrol yang layak. Matriks kontrol juga
mengakui bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari suatu risiko.

Kontrol Preventif dan Detektif

Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol

detektif mendeteksinya sehingga tindakan korektif bisa dilakukan. Suatu kontrol preventif
lebih disukai daripada kontroldetektif karena kontrol preventif lebih efisien dan kecil
kemungkinan untuk bisa dikompromikan, atau diabaikan.

Metodologi Ilustratif COSO

 Studi COSO mencakup satu volume berjudul Evaluation Tools. Dalam pendahuluan
volume ini terdapat penrnyataan ini :

Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi. Perangkat

tersebut bukan merupakan bagian yang integral darikerangka kerja, dan penyajiannya
disni tidaklah untuk menyarankan semua hal yang perlu dipertimbangkan dalam
mengevaluasi suatu sistem kontrol internal, atau bahwa semua masalah harus
disajikan dalam rangka untuk menyimpulkan bahwa suatu sistem adalah efektif.
Demikianpula, tidak terdapat saran bahwa perangkat-perangkat tersebut merupakan
metode yang lebih disukai untuk dilakukan dan mendokumentasikan sebuah evaluasi.

Selanjutnya studi tersebut menyatakan :

Kontrol internal memiliki lima komponen yang saling berkaitan, yaitu :

1. Lingkungan kontrol
2. Penentuan risiko
3. Aktivitas-aktivitas kontrol
4. Informasi dan komunikasi
5. Pengawasan

Metode Courtney

Suatu teknik penilaian yang menarik dan sederhana sehubungan dengan biaya kontrol
dikembangkan oleh Robert Courtney saat ia bergabung dalam Devisi Sistem Komunikasi
IBM. Teknik tersebut melibatkan perhitungan yang menempatkan nilai uang (dolar, rupiah)
ke risiko-risiko potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa
menciptakan kesulitan.

Metode Lain Pemberian Nilai

Metode pemberian nilai yang lain dan lebih sederhana hanya memasukkan estimasi
kerugian, bukan risiko keterjadian. Hal ini disebut nilai yang diharapkan.

Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah

mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas pertanyaan-
pertanyaan yang dapat mereka simpulkan merupakan risiko penentu yang signifikan.
Pentingnya Pengunkapan Risiko

Penulis menganalisis FASB 5 dan AcSEC SOP 94-6 dalam memberikan deskripsi
yang menarik bagi auditor internal.

Risiko organisasional harus dibagi menjadi :

Risiko operasi
Risiko estimasi
Risiko konsentrasi

Kebutuhan akan Beberapa Perangkat

Tidak ada suatu perangkat yang sempurna umtuk melaksanakan penentuan risiko atau
mengukur efektivitas kontrol.

SAS memberi auditor alat untuk mengevaluasi sifat risiko dan kontrol dalam suatu
entitas.
Pembuatan bagan alir paling bernilai selama survei pendahuluan jika auditor
mendapatkan pemahaman akan proses yang ada. Memiliki gambaran tentang kontrol
dan penerapannya merupakan hal penting untuk pembuatan penentuan risiko.
Alat evaluasi COSO dapat bernilai untuk menilai risiko dalam struktur kontrol dan
menilai risiko dalam operasi.
Analisis matriks merupakan alat berharga untuk langkah selanjutnya dalam penilaian.
Analisis tersebut membadingkan risiko khusus dengan kontrol dan mengukur
kedalaman cakupan kontrol.