Anda di halaman 1dari 15

RMK

PENGAUDITAN INTERNAL
(STRATEGI PENENTUAN RISIKO)

OLEH :

AHMAD RAFIF RAYA

A31114511

PROGRAM STUDI AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS HASANUDDIN

2017
1. PENENTUAN RISIKO AUDIT

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan
sarana yang digunakan untuk melakukannya. Auditor internal harus memasukkan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang
dibutuhkan memang diterapkan untuk mengurangi risiko.

Tujuan penetuan risiko adalah untuk membuat karyawan sadar akan beragam risiko yang ada
serta prioritas, keterbatasan dari daftar risiko tersebut. Sejumlah risiko tidaklah statis, selalu
ada risiko yang muncul setiap waktu. Oleh karena itu penentuan risiko merupakan fungsi
yang berkelanjutan dalam proses manajemen yang harus dilakukan secara berorganisasi dan
berurutan.

Siapa yang Memanfaatkan Penentuan Risiko ?


Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan
kesuksesan suatu entitas. Manajemen juga menggunakna penentuan risiko sebagai alat yang
penting dalam merancang sistem-sistem baru. Sistem baru tersebut, baik manual ataupun
terkomputerisasi, dibuat untuk memenuhi tujuan yang telah ditetapkan. Bagian penting dalam
perancangan dan pengembangan proses adalah identifikasi dari semua kejadian dan tindakana
yang mungkin mencegah sistem dari pencapaian tujuan.
Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka. Statement
on Auditing Standards (SAS) No. 55 dari American Institute of Certified Accountantsn
(AICPA) menguraikan tanggungjawab akuntan untuk mendapatkan pemahaman atas sistem
kontrol. Akuntan publik juga melakukan penentuan risiko dalam merencanakan audit mereka.
Apa saja risiko-risiko kegagalan yang dapat mengancam pencapaian tujuan audit? Pengujian
audit mana yang seharusnya digunakan untuk memastikan bahwa tujuan audit tercapai? Satu
risiko yang dapat muncul adalah memilih pengujian yang tidak tepat, yang lainnya adalah
penggunaan rencana dan teknik pengambilan sampel yang tidak tepat dan lain sebagainya.
Pengidentifikasian ketidakwajaran yang potensial merupakan persyaratan mutlak untuk
menentukan prosedur kontrol yang harus diterapkan. Pada kebanyakan entitas, departemen
audit internal akan menjadi pemain utama dalam penentuan risiko yang mengarahkan laporan
tahunan manajemen untuk mengemukakan kondisi sistem kontrol. Pekerjaan auidtor internal
yang berkelanjutan harus dipertimbangkan dalam membuat leporan tersebut. Audit khusus

2
mungkin dibutuhkan dalam beberapa entitas untuk memastikan bahwa kelemahan yang
ditemukan selama tahun tersebut telah diperbaiki pada tanggal laporan akhir.

Merencanakan Penentuan Risiko dan Ekspour


Renacana audit harus dirancang untuk memasukkan pertimbangan tentang risiko dan eksposur
organisasi. Pretice Advisory 2010-2, Menghubungkan Rencana Audit dengan Risiko dan
Eksposur, menyatakan bahwa rencana strategis organisasi harus mempertimbangkan risiko
dan eksposur. Rencana audit ahrus menilai tingkat kesadaran atas rencanan strategis terhadap
elemen-elemen prioritas risiko dan eksposur. Jadi, audit secara keseluruhan dapat dipengaruhi
oleh hasil proses manajemen risiko. Practice Advisory berisi metode-metode rinci aktivitas
audit seperti daftar isi jadwal pekerjaan audit, pendekatan audit, pelaksanaan audit, pelaporan
isi, dan evaluasi kontrol internal untuk mengurangi risiko.

Memperluas Audit Berbasis Risiko


Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari observasi
dan analisis kontrol, kemudian berkelanjutan ke penentuan risiko yang berkaitan dengan
operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan
organisasi. Tujuan merupakan dasar operasi dan tidak selalu berbentuk nyata, bisa bersidat
fleksibel dan seharusnya berorientasi ke masa depan.

Organisasi Tanpa Proses Manajemen Risiko


IIA menerbitkan dua Practice Advisory yang berhubungan dengan manajemen risiko,
Practice Advisory 2100-4 Peran Audit Internal dalam Organisasi yang Tidak Memiliki
Proses Manajemen Risiko, dan Practice Advisory 2110-1, Penilaian Kecukupan Proses
Manajemen Risiko. Advisory terakhir membahas mengenai aspek audit ke dua. Advisory
pertama membahas mengenai pendekatan praktis sebagai sebuah jasa konsultasi bagi klien
audit. Advisory ini merekomendasikan auditor internal untuk :
1) Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan manajemen
risiko dan perhatian Dewan serta menentukan penyelesaiannya menggunakan operasi dan
kontrol manajemen risiko.
2) Mengidentifikasi kesadaran manajemen dan Dewan Komisaris akan risiko dan menentukan
penyelesaiannya melalui manajemen risiko.
3) Memberitahu manajemen kekurangan yang ada pada proses manajemen risiko dan
memberikan saran untuk melaksanakan proses seperti itu.

3
4) Mendapatkan pemahaman atas ekspektasi manajemen dan Dewan Komisaris mengenai
bantuan audit internal yang dapat diberikan dalam proses manajemen risiko.
5) Mendapatkan konsep dari manajemen menganai peran yang harus dimainkan audit internal
dalam proses tersebut.
6) Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses manajemen
risiko, dengan tetap mengingat eksposur akan terjadinya penurunan independensi.
7) Menjauhkan diri dari berperan sebagai pemilik risiko.

Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan


AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Stetement on Auditing
Standards (No. 47, No, 53, No. 55). Risiko audit terdiri dari dua tingkatan, tingkat laporan
keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan keuangan,
risiko audit adalah risiko bahwa auditor mungkin secara tidak sengaja gagal memodifikasi
dengan layak pendapatannya atas laporan keuangan yang salah saji secara material. Seorang
auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa yang
dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada
tingkat laoran keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbnagkan karakteristik manajemen, karakteristik operasi dan industri, dan
karakteristik penugasan.

Risiko Bawaan
Risiko bawaan (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah saji yang
material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur konrol
internal terkait yang diterapkan. Risiko bawaan adalah risiko yang berisifat intrinstik terhadap
usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan saldo atau
kelompok transaksi dibandingkan dengan yang lain.
Auidtor dapat mengevaluasi risiko bawaan yang ada pada klien dengan memperhatikan
industri secara keseluruhan. Risiko bawaan juga terdapat pada suatu organisasi akibat budaya
perusahaan yang diterapkan. Sebuah organisasi dapat dikelola secara ketat oleh suatu
kelompok kecil yang memiliki filosofi kami ingin bebas dari kebijakan dan prosedur tertulis
yang mengikat agar bisa menanggapi suatu kejadian secara langsung dan segera. Risiko yang
berorientasi pada budaya perusahaan merupakan risiko-risiko yang melekat pada gaya
manajemen.

4
Jika risiko-risiko bawaan pada organisasi telah diperhitungkan, langkah selanjutnya adalah
menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko
tersebut. Pertimbangan-pertimbangna ini melibatkan risiko kontrol.

Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada
suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan,
atau prosedur kontrol internal suatu entitas. Beberapa risiko kontrol akan tetap ada karena
adanya keterbatasan yang melekat pada struktur kontrol internal.
Seorang auditor dapat menilai risiko kontrol pada tingkat meksimum apabila kebijakan
maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi
efektivitasnya. Jika auditor menetapkan risiko konrol dibawah maksimum, auditor tersebut
diharapkan memperoleh bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur
yang layak untuk memberikan penetapan tersebut.

Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah saji
material yang tedapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor
memutuskan tidak memeriksa 100 persen saldo atau transaksi atau ketidakpastian lainnya.
Termasuk dalam ketidakpastian lainnya ini adalah pemilihan prosedur audit yang tidak layak,
salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit.
Ketidakpastian lainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui
perencanaan dan perngawasan audit yang sesuai.

2. STRATEGI PENENTUAN RISIKO AUDIT

Strategi Penentuan Risiko Bell Canada


Bell Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari proses
pencatatan auditnya. Suatu perangkat dibuat untuk membantu auditor menentukan jenis atau
tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi ke dalam
dubproses, fungsi, atau ektivitas kunci. Bagian-bagian ini membentuk suatu sumbu pada
matriks risiko. Pada sumbu yang lain auditor membuat daftar sepuluh risiko usaha umum
perusahaan. Disetiap sel auditor menggunakan sistem skor sederhana.

5
3 mengidentifkasi kemungkinan terjadi yang besar,
2 mengidentifkasi kemungkinannya sedang,
1 mengidentifikasi kemungkinannya kecil.

Risiko usaha: Dampak

1. Catatan Keuangan yang Salah Laporan keuangan dan catatan manajemen


keungan, pencatatan, nilai klasifikasi, atau
waktu.
2. Prinsip-prinsip Akuntansi yang Prosedur-prosedur yang tidak konsisten
Tidak Dapat Diterima dengan GAAP atau tidak sesuai dengan
kondisi.
3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap
kemampuan menyediakan jasa atau terhadap
fungsi.
4. Kritik Pemerintah atau Tindakan Sanksi berkenaan dengan hukum, peraturan,
Hukum atau otoriatas pemerintah.
5. Biaya yang Berlebihan Setiap pengeluaran, baik pengeluaran modal
maupun beban, yang seharusnya bisa
dihindari atau dikurangi.
6. Pendapatan yang Kurang Kehilangan pendapatan atau kompenasasi ke
pihak yang berhak.
7. Kerusakan atau Kehilangan Aktiva Penguangan nilai atau kehilangan fasilitas,
peralatan, bahan baku, kas, atau klaim
terhadap uang atau data.
8. Kerugian Kompetitif Dan Ketidakmampuan memenuhi permintaan
Ketidakpuasan Publik/Pelanggan pasar atau merespon secara efektif terhadap
tantangan persaingan.
9. Kecurangan dan Konflik Penyalahgunaan kebijakan, aturan atau etika,
Kepentingan atau penurunan kepercayaan. Aspek moneter
atau informasi yang menyesatkan.
10. Kebijakan atau Keputusan Integritas informasi untuk pengambilan
Manajamen yang Salah keputusan manajemen yang mengakibatkan
ketidaktepatan perencanaan,

6
pengorganisasian, pengarahan dan lain-lain
(Sawyers, Hal 125)

Auditor dapat memenuhi target dengan tingkat risiko bawaan tertinggi. Auditor membuat skor
risiko untuk setiap proses perusahaan dan mengarahkan tindakan audit ke arah tersebut. Akan
tetapi, daerah risiko harus dievaluasi kepentingannya terhadap fungsi dan kesejahteraan
organisasi. Jadi, operasi berisiko tinggi tidak akan memiliki prioritas tinggi jika operasi
tersebut tidak penting terhadap kesejahteraan organisasi.

Auditor Internal dan Risiko Perdagangan Elektronik


Kepentingan auditor dalam hal ini adalah untuk menentukan dampak fungsi perdagangan
elektrinik (electronic commerce EC) terhadap risiko organisasi. Dengan asumsi risiko-
risiko ini dapat diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi
informasi (TI), menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk
mengurangi risiko-risiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang
direkomendasikan ini mencakup :
Risiko dan dampaknya terhadap organisasi.
Modifikasi atau aktivitas terkait yang diekomendasikan.
Dampak modifikasi risiko terhadap operasi.
Tingkat pengurangan risiko yang akan dicapai.
Eksposur keuangan yang terkait dengan operasi.
Biaya modifikasi yang dilakukan.
Elemen-elemen waktu.
Kemungkinan sukses.
Rekomendasi jika terdapat lebih dari satu ukuran.

Risiko EDI
Pertukaran data elektronik (electronic data interchange EDI) adalah sebuah sistem
komunikasi komputer-ke-komputer yang saling berhubungan untuk dokumen-dokumen bisnis
yang terstandarisasi di batas-batas organisasi. Komputer, database, dan pusat informasi
terhubung oleh jaringan komunikasi publik atau lainnya. Kerawanan sistem EDI tinggi karena
kegagalan sistem pada setiap tiga tahapan, yaitu inisiasi, transaksi, dan tujuan akan
mengganggu transaksi.

7
Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal yang berkaiatan dirinci
pada tampilan faktor-faktor risiko dan aktivitas kontrol. Elemen area tersebut adalah :
Tercurinya akses informasi
Hilangnay integritas data
Kurang lengkapnya transaksi
Tidak tersedianya sistem EDI
Ketidakmampuan untuk mengirmkan transaksi
Kurangnya pedoman hukum.

Faktor-faktor Risiko dan Aktivitas Kontrol


Faktor-faktor Risiko Kontrol Internal
1. Akses informasi yang tidak terotorisasi. Kontrol akses
a. Hacker mengakses sistem. Kata sandi (password); mekanisme
dial-back; ID pengguna; kunci
penyimpanan; tingkat akses yang
b. Interpretasi selama transisi. berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media
yang aman; serat optik; enkripsi;
lapisan lintasan; emplop elektronik
c. Penyadapan (wiretapping). rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran
penahan akses.
2. Hilangnya Intergritas Data. Pengecekan keotentikan data.
a. Perubahan/pemalsuan data. Protokol pemberitahuan.
b. Tidak adanya jejak audit dalam bentuk Log terkomputerisasi.
kertas.
c. Hilangnya tanda tangan fisik. Tanda tangan digital; mekanisme
pengesahan.
d. Adanya kesalahan pada sistem. Pengecekan edit.
e. Gangguan oleh karyawan yang Pemisahan tugas; tingkat akses yang
memiliki otoritas. berbeda.

8
3. Kurang lengkapnya transaksi Pemberitahuan.
a. Transaksi selama transmisi Total kelompok; penomoran
b. Duplikasi transaksi akibat transmisi berurutan.
ulang Pengecekan satu per satu
dibandingkan dengan arsip
pengendali.
4. Tidak berjalannya sistem EDI Sistem yang menoleransi kegagalan.
a. Penyebab logis, seperti virus, kuda Paket entivirus; perangkat keras dan
Trojan, kesalahan program, kesalahan perangkat lunak yang bebas kesalahan.
perangkat keras dan lunak.
b. Penyebab alami, seperti kebijakan,
banjir, gempa, kerusakan listrik, dll. Pengamanan di luar kantor, RAID,
c. Sabotase oleh orang yang memiliki disk mirroring.
otorisasi. Pelatihan; pengumuman prosedur dan
kebijakan kontrol.
5. Ketidakmampuan untuk mengirimkan Format data terstruktur/terstandarisasi;
transaksi. ketaatan pada protokol
ANSI/EDIFACT.
6. Kurangnya pedoman hukum. Perjanjian definisi-definisi hukum,
tanggungjawab dan keajiban.

Adanya beberapa lapis kontrol memiliki dampak yang berlipat untuk mengurangi risiko
kontrol. Risiko kontrol yang tiga lapis kontrol, yaitu kontrol administratif, kontrol fisik dan
perangkat lunak, akan gagal, dihitung dengan persamaan ini:

CREDI=CRA*CRP*CPS

Keterangan:
CREDI = Risiko Kontrol Sistem EDI.
CRA = risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.
CRS = Risiko Kontrol gagalnya kontrol perangkat lunak

9
Membuat Rencana Penentuan Risiko
Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem
kontrol dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungin untuk
menentukan risiko jika seseorang tida mengetahui bahayanya. Begitu risiko telah
diidentifikasi, langkah logis selanjutnya adalah membuat sarana untuk mengandalkan risiko
tersebut. Penentuan risiko tercakup dalam definisi kontrol intrnal. Studi COSO adalah
member definisi kontrol internal yang ada saat ini dan diakui secara luas.
Kontrol internal adalah sebuah proses, ayang dipengaruhi oleh dewan direksi entitas,
manajemne, dan karyawan lainnya, yang dirancang untuk memenuhi keyakinan yang wajar
mengenai pencapaian tujuan pada kategori-kategori berikut :
Efektivitas dan efisiensi operasi.
Keandalan pelaporan keuangan.
Ketaatan terhadap hukum dan regulasi yang berlaku.

Dalam pembahasan mengenai penentuan risiko, studi COSO menyatakan meskipun terdapat
beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan:

Tujuan operasional Hal ini berkaitan dengan efektivitas dan efisiensioperasi entitas,
termasuk tujuan dan kinerja profitabilitas dan pengamanan sumber daya terhadap kerugian.
Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen berdasarkan struktur dan
kinerja.
Tujuan Pelaporan Keuangan Hal ini berkaitan denga penyajian laporan keuangan yanga
andal, termasuk pencegahan pelaporan keuangan publik yang mendukung kecurangan.
Tujuan-tujuan tersebut terutama diarahkan oleh pernyataan-pernyataan eksternal.
Tujuan-tujuan Keteaatan Tujuan-tuuan ini berkaiatan dengan ketaatan terhadap hukum
dan peraturan yang berlaku bagi entitas. Tujuan-tujaun tersebut tergantung pada faktor-
faktor ekternal, seperti peraturan lingkungan, dan cenderung serupa untuk semua entitas
dalam beberapa kasus dan beberapa entitas.

Definisi dari tujuan-tujuan ini membrikan titik awal untuk penentuan risiko. Tujuan-tujuan
umum tersebut dapat dirinci ke dalam tujuan-tuuan khusus dengan risiko-risiko yang dapat
diidentifikasi. Jika risiko-risiko telah diidentifikasi, berbagai pilihan kontrol dapat ditetapkan
untuk risiko-risiko tersebut dalam rangka menentukan prosedur kontrol optimal yang akan
diterapkan.

10
3. HUBUNGAN ANTAR RISIKO

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif mauapun
kulaitatif. SAS memberiakn rumus berikut ini:

Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi

Ketika menggunakan rumus ini, seorang auditor dapat menilai risiko audit yang direncakan
untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan risiko
penemuan yang direncakan dengan menentukan risiko deteksi.

Risiko Deteksi = Risiko Audit / (Risiko Bawaan x Risiko Kontrol)

Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan mengurangi
risiko deteksi dibawah risiko penemuan yang direncanakan. Hal ini menekankan konsep
bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan
dalam struktur kontrol internal yang direkomendasikan dan direncanakan setelah periode
audit tidak akan merubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh
karena itu, untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko
kontrol berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko
kontrol terkait dengan suatu asersi, makin rendah risiko deteksi yang dapat diterima dan
makin banyak bukti yang harus dikumpulkan. Seorang auditor harus melaksanakan bebeapa
pengujian substanstif jika terdapat salah saji amterial. Dalam beberapa kasus auditor tidak
dapat hanya mengandalkan penentuan risiko kontrol dan risiko bawaan untuk menjadi
pembenaran atas tidak dilaksanakannya pengujian substantif. Seorang auditor akan
memodifikasi sifat, waktu, dan luas prosedur audit yang direncanakan, penugasan staf, dan
supervisi yangd ibutuhkan dalam dalam mempertimbangkan reaksi terhadap perubahan dalam
risiko deteksi.

Konsep risiko bawaan adalah salahs atu risiko yang harus diperhatikan auditor internal. Sifat
usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu atmosfer yang
berdampak besar pada risiko bawaan entitas.

11
Setiap entitas memiliki risiko inheres sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memperhatikan risiko bawaan yang berbeda pada bagian
oranisasi yang berbeda.

Identifikasi risiko pada suatu organisasi bermula dari risiko bawaan yang terkait dengan usaha
dan gaya manajemennya. Risiko tersebut dihadapi dengan membuat sistem kontrol. Karena
tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko meskipun
kontrol terbaik telah ditetapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep
keyakinan yang wajar mulai diterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat
kontrol yang dicapai pada saat terjadi keseimbangan antara biaya kontrol dan eskposur
dengan manfaat yang diterima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan
biaya kontrol berada pada ekuilibrium.

4. METODE-METODE ANALITIS

Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang
optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-
metode ini adalah sebagai berikut:

Pembuatan bagan alir


Kuesioner kontrol internal
Analisis matriks
Metodologi ilustratif COSO
Metode Courtney

Pembuatan Bagan Alir


Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol
operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal
aliran aktivitas melalui proses. Bagan tersebut memungkinkan untuk melihat operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-
kelamahan kontrol. Bagan alir merukan sarana komunikasi yang bagus antara auditor dan
karyawa operasional. Bagaikan sebuah peta jalan yang merupakan alat komunikasi yang
lebih baik dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan

12
alir juga menawarkan peluang untuk menajikan secara komparatif suatu gambar mengenai
pendekatan alternatif untuk suatu proses.

Kuesioner Kontrol Internal


Kuesioner dibahas sebagai sebuah sarana untuk mendapatkan informasi tentang fungsi
yang akan disurvey dan segera diaudit. Kuesioner kontrol internal (internal control
questionnaire ICQ) sering digunakan oleh aduitor. Kuisioner ini berbeda dengan
pertanyaan terbuka yang digunakan dalam survey pendahuluan. Kusioner pertanyaan
terbuka menanyakan pertanyaan-pertanyaan yang membutuhkan jawaban naratif dari
responden. Kuesioner seperti ini mencari informasi untuk memperluas pemahaman auditor.
ICQ dimulai dengan jawaban yang diketahui atau diinginkan dan membutuhkan jawaban
ya atau tidak disertai komentar. ICQ membutuhkan jawaban yang langsung dan tepat
mengenai ketaatan dengan prosedur-prosedur yang diharapkan.
ICQ digunakan untuk mengevaluasi berkelanjutan atas kontrol yang ada dan dapat
digunakan dalam analisis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktivitas
atau proses telah dianalisis dan dikontrol yang sesuai telah diterapkan. ICQ merupakan uji
ketaatan yang dimaksudkan untuk memastikan bahwa kontrol masih diterapkan dan bahwa
risiko dapat dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor
mengenai kontrol yang seharusnya diterapkan dan diuji selama audit.

Analisis Matriks
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memiliki ontrol yang layak. Matriks kontrol juga
mengakui bahwa kontrol tertentu dapat memberikan perlindungan untuk lebih dari satu
risiko. Sebagai contoh, sebuah kunci dari melindungi aset dari kemungkinan hilang dengan
membatasi akses. Hal ini juga memberikan akuntabilitas untuk menangani aset akrena
orang yang memegang kunci akan bertanggungjawab jika aset yang telah diamankan
tersebut hilang. Suatu angaran menetapkan tujaun dan sasaran yang akan dicapai dan
menjadi alat ukur kinerja. Anggaran juga menetapkan otoritas manajer untuk bertindak
dalam kendala keuangan berupa anggaran.

Metodologi Ilustratif COSO


Studi COSO mencakup satu volume berjudul Evaluation Tools (perangkat evaluasi).
Perangkat Evaluasi berisi dua jenis umum perangkat, yaitu:

13
a. Perangkat Komponen
Perangkat komponen merujuk pada analisis komponen-komponen sistem kontrol.
Komponen-komponen tersebut adalah:
Lingkungan Kontrol
Penentuan Risiko
Aktivitas-aktivitas kontrol
Informasi dam komunikasi
Pengawasan
Perangkat komponen dirancang untuk mengevaluasi setiap komponen tersebut dalam
struktur entitas. Setiap komponen dapat dibagi ke dalam hal-hal substantif yang disebut
masalah-masalah yang menjadi fokus. Masalah-masalah ini kemudian dirinci kedalam
contoh-contoh aplikasi khusus yang dapat diperiksa dan ditanggapi.
b. Lembar Kerja Penilaian Risisko dan Aktivitas Kontrol
Digunakan untuk menilai tujuan-tujuan khusus, risiko, dan kontrol. Tata letak lempar
kerja tersebut menuntun pembuatnya melalui proses analitis. Bila analisis tujuan, risiko
dan aktivitas kontrol telah dilakukan, program audit diterapkan bersama-sama untuk
menguji aktivitas kontrol memang diterapkan seperti yang dirancan. Kesimpulan audit
akan menjadi sebuah ukuran kualitas kinerja.

Metode Courtney
Teknik ini melibatkan perhitungan yang menempatkan nilai uang (dolar, rupiah) ke risiko
potensial, dan estimasi terbuat dari frekuensi yang bersama denagan risiko bisa
menciptakan kesulitan. Jika pendekatan ini digunakan, auditor internal harus berupaya
mencapai kesepakatan dengan manajemen tentang niai-nilai yang diberikan dan frekuensi
yang diestimasi.

Metode Lain Pemberian Nilai


Metode lain pemberian nilai yang lain dan lebih sederhana hanya memasukkan estimasi
lerugian, bukan risiko keterjadian. Hal ini disebut nilai yang diharapkan.

14
DAFTAR PUSTAKA

Sawyer, Lawrence B., Mortimer A. Dittenhoffer dan James H. Scheiner. 2005. Sawyers
Internal Auditing, Fifth Edition. Jakarta: Penerbit Salemba Empat

15