MODUL AUDIT INTERNAL

Chapter 3: Strategi Penentuan Resiko

Disusun Oleh :
BILQIS RATU ZHABRINA
A31114326

JURUSAN AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS HASANUDDIN
MAKASSAR
2017

i
 KATA PENGANTAR

Segala puji bagi Tuhan Yang Maha Esa yang telah menolong hamba-Nya
menyelesaikan modul ini tepat waktu. Tanpa pertolongan-Nya mungkin kami tidak akan
sanggup menyelesaikan dengan baik.
Modul ini disusun agar pembaca dapat mengetahui lebih jauh berbagai hal mengenai
Strategi Penentuan Resiko berdasarkan pengamatan dari berbagai sumber yang telah
kami temukan dan pahami.
Kami juga mengucapkan terima kasih kepada dosen pembimbing Audit Internal
yang telah banyak memberikan kami pengarahan agar dapat menyelesaikan modul ini.
Semoga modul ini dapat memberikan wawasan yang lebih luas kepada pembaca, walaupun
modul ini memiliki kelebihan dan kekurangan. Kami mohon saran dan kritiknya. Terima
kasih.

Makassar, 24 Oktober 2017

Penulis

ii
 DAFTAR ISI

HALAMAN SAMPUL i

KATA PENGANTAR ii

DAFTAR ISI iii

BAGIAN I TINJAUAN MATA KULIAH 1

BAGIAN II PENDAHULUAN 4

BAGIAN III MATERI PEMBELAJARAN 6

BAGIAN IV LATIHAN 20

BAGIAN V RANGKUMAN 21

BAGIAN VI TES FORMATIF 22

BAGIAN VII UMPAN BALIK ATAU TINDAK LANJUT 23

BAGIAN VIII KUNCI TES FORMATIF 24

DAFTAR PUSTAKA 26

iii
 BAB I
TINJAUAN MATA KULIAH

1. DESKRIPSI MATA KULIAH

Mata kuliah Pengauditan Internal merupakan mata kuliah yang akan membahas
mengenai model-model internal kontrol, strategi penentuan risiko, survey pendahuluan,
program audit, pekerjaan lapangan yang mana dalam pengerjaan lapangan ini terbagi
menjadi dua, yaitu pengerjaan lapangan I dan pengerjaan lapangan II, kemudian
membahas mengenai temuan audit, kertas kerja audit, sampling audit, metode analisis,
audit sistem informasi, laporan audit internal hingga mengenai laporan untuk manajemen
eksekutif dan dewan komisaris.

2. KEGUNAAN MATA KULIAH

Modul ini dibuat untuk digunakan sebagai bahan pembelajaran mengenai mata
kuliah Pengauditan Internal. Dimana materi yang terdapat dalam beberapa lampiran
tertentu dalam modul ini, serta yang dikutip dalam daftar pustaka, dapat digunakan juga
sebagai bahan pembelajaran.
Setelah mengikuti mata kuliah ini diharapkan pembaca dapat melaksanakan
pengauditan internal serta penyusunan laporan audit.

3. SASARAN PEMBELAJARAN
Setelah mempelajari modul ini diharapkan pembaca akan:
Mampu memahami dan membedakan model-model internal kontrol
Mampu memahami dan menjelaskan strategi penentuan risiko
Mampu memahami dan menjelaskan tujuan dan sasaran survey pendahuluan
Mampu memahami dan menjelaskan manfaat program audit
Mampu memahami dan menjelaskan proses dan tujuan pengerjaan lapangan
Mampu memahami dan menjelaskan temuan audit
Mampu memahami dan menjelaskan kertas kerja audit
Mampu memahami dan menjelaskan sampling audit
Mampu memahami dan menjelaskan metode analisis
Mampu memahami dan menjelaskan audit sistem informasi
Mampu memahami dan menjelaskan maksud dan tujuan laporan aduit internal
Mampu memahami laporan untuk manajemen eksekutif dan dewan komisaris

4. URUTAN PENYAJIAN
Materi ke: Topik Sub Topik

1 Metode-metode internal kontrol Definisi internal kontrol.

Manfaat internal kontrol.
Sistem internal kontrol.

1

2 Strategi penentuan risiko
3 Survey pendahuluan
4 Program audit
5 Pekerjaan lapangan I
6 Pekerjaan lapangan II
7 Temuan Audit
8 Kertas Kerja
Karakteristik internal kontrol.
Model-model internal kontrol.
Penentuan risiko audit.
Strategi penentuan risiko audit.
Hubungan antarrisiko.
Metode-metode analisis.
Metode survey.
Tujuan dan sasaran survey.
Pengendalian untuk mencapai
tujuan.
Manfaat program audit.
Tanggungjawab auditor internal.
Definisi ekonomis efisisen dan
efektivitas.
Tujuan dan prosedur audit.
Persiapan program audit.
Proses dan tujuan pekerjaan
lapangan.
Pelaksanaan audit dengan
pengendalian.
Bagian-bagian pekerjaan lapangan.
Audit SMART (Selective
Monitoring and Assesment of Risk
and Trends).
Teknik-teknik audit internal.
Audit fungsional.
Audit operasional.
Audit terintegrasi (keuangan,
kinerja, dan sistem informasi).
Bukti audit (fisik pengakuan,
dokumentasi dan hasil analisis).
Sifat temuan audit.
Cara mengontruksi temuan.
Tingkat signifikansi temuan.
Elemen-elemen temuan audit.
Pembahasan temuan.
Pencatatan temuan.
Pengkomunikasian temuan.
Definisi kertas kerja.
Fungsi kertas kerja.
Dokumentasi.
Tingkat relevansi KK.
Kecukupan Kertas Kerja.
Ringkasan kertas kerja.
Kertas kerja elektronik.
Bentuk-bentuk kertas kerja.
2
 9 Sampling Audit Definisi sampling.
Pemilihan sampling.
Penarikan sampling.
Ukuran sampling.
Sampling statistik dan non statistik.
10 Metode Analisis Model-model riset operasi.
Prosedur analitis.
Analisis sensitifitas.
Curva pembelajaran.
Simulasi.
Pohon keputusan.
11 Audit Sistem Informasi Komponen-komponen sistem
operasi
Pengendalian sistem informasi
(umum dan operasional)
Siklus pengembangan sistem.
Keamanan fisik dan penyimpanan.
Perubahan program.
12 Laporan Audit Internal Maksud dan tujuan pelaporan.
Friksi dalam penulisan laporan.
Solusi yang ditawarkan.
Cara memasarkan laporan audit.
Tindakan atas rekomendasi audit.
13 Laporan untuk Manajemen Faktor-faktor kepada komite.
Komunikasi dengan dewan
Eksekutif dan Dewan komisaris
komisaris.
Laporan aktivitas.
Produktivitas audit.
Laporan evaluasi.
Ringkasan opini (rekomendasi
audit).
Ringkasan penyebab varians.

5. PETUNJUK BELAJAR
Agar pembaca berhasil menguasai dan memahami materi dalam modul ini, maka
bacalah dengan cermat dan ikuti petunjuk berikut dengan baik, antara lain:
Bacalah doa terlebih dahulu sesuai dengan keyakinan, agar diberikan kemudahan
dalam mempelajari materi dalam modul ini.
Bacalah materi dengan seksama pada setiap chapter sebelum perkuliahan berlangsung,
sehingga isi dari materi ini dapat dipahami dengan baik.
Buat dan isilah rencana pembelajaran yang terdapat pada modul ini agar dapat
berkonsultasi dengan dosen pembimbing apabila mendapat kesulitan dalam
pembelajaran.

3
 BAB II
PENDAHULUAN

1. SASARAN PEMBELAJARAN
Adapun sasaran pembelajaran dalam modul ini adalah sebagai berikut:
Mampu memahami penentuan resiko audit.
Mampu memahami strategi penentuan resiko audit.
Mampu memahami hubungan antar resiko audit.
Mampu memahami metode-metode analisis resiko.

2. RUANG LINGKUP MODUL

Modul ini merupakan modul ke dua dari tiga belas modul dalam mata kuliah
pengauditan internal. Modul pertama ini akan membahas penentuan resiko audit, strategi
penentuan resiko, hubungan antar resiko audit, dan metode-metode analisis resiko.

3. MANFAAT MEMPELAJARI MODUL

Agar pembaca dapat lebih mudah dalam memahami materi yang disajikan dimana
dalam modul ini, materi yang disajikan secara lebih ringkas dibandingkan dengan
referensi buku-buku yang membahas mengenai Strategi Penentuan Resiko sehingga
membantu pembaca lebih mudah untuk memahami materi terkait.

4. URUTAN PEMBAHASAN
Secara garis besar urutan pembahasan dalam modul dua ini adalah sebagai berikut:
Penentuan resiko audit
Strategi penentuan resiko
Hubungan antar resiko audit
Metode-metode analisis resiko

BAB III
MATERI PEMBELAJARAN

PENENTUAN RESIKO AUDIT

Penentuan resiko merupakan suatu fungsi yang berkelanjutan dalam proses
manajemen yang harus dilakukan secara berorganisasi dan berurutan. Tujuannya adalah agar

4
karyawan sadar akan berbagai resiko yang ada dan mengetahui keterbatasan dari resiko
tersebut.

SIAPA YANG MEMANFAATKAN PENENTUAN RISIKO?

Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk
memastikan kesuksesan suatu entitas. Manajemen juga menggunakna penentuan risiko
sebagai alat yang penting dalam merancang sistem-sistem baru. Sistem baru tersebut, baik
manual ataupun terkomputerisasi, dibuat untuk memenuhi tujuan yang telah ditetapkan.
Bagian penting dalam perancangan dan pengembangan proses adalah identifikasi dari semua
kejadian dan tindakana yang mungkin mencegah sistem dari pencapaian tujuan.
Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka.
Statement on Auditing Standards (SAS) No. 55 dari American Institute of Certified
Accountantsn (AICPA) menguraikan tanggungjawab akuntan untuk mendapatkan
pemahaman atas sistem kontrol. Akuntan publik juga melakukan penentuan risiko dalam
merencanakan audit mereka. Apa saja risiko-risiko kegagalan yang dapat mengancam
pencapaian tujuan audit? Pengujian audit mana yang seharusnya digunakan untuk
memastikan bahwa tujuan audit tercapai? Satu risiko yang dapat muncul adalah memilih
pengujian yang tidak tepat, yang lainnya adalah penggunaan rencana dan teknik
pengambilan sampel yang tidak tepat dan lain sebagianya.
Pengidentifikasian ketidakwajaran yang potensal merupakan persyaratan mutlak untuk
menentukan prosedur kontrol yang harus diterapkan. Pada kebanyakan entitas, departemen
audit internal akan menjadi pemain utama dalam penentuan risiko yang mengarahkan
laporan tahunan manajemen untuk mengemukakan kondisi sistem kontrol. Pekerjaan auidtor
internal yang berkelanjutan harus dipertimbangkan dalam membuat leporan tersebut. Audit
khusus mungkin dibutuhkan dalam beberapa entitas untuk memastikan bahwa kelemahan
yang ditemukan selama tahun tersebut telah diperbaiki pada tanggal laporan akhir.

1. Merencanakan Penentuan Risiko dan Eksposur

Di dalam Standar 2010 tentang Perencanaan, Kepala Eksekutif Audit (CAE) harus
menetapkan rencana berbasis risiko untuk menentukan prioritas Aktivitas Audit Internal,
yang konsisten selaras dengan tujuan organisasi. Untuk itu, CAE harus
mempertimbangkan kerangka kerja manajemen risiko organisasi, termasuk dengan
menggunakan risk appetite yang ditetapkan oleh manajemen untuk berbagai kegiatan
atau bagian dari organisasi. Jika kerangka kerja manajemen risiko tidak tersedia, CAE
menggunakan penilaiannya sendiri atas risiko-risiko yang ada setelah berkonsultasi
dengan manajemen senior dan Dewan.

5
2. Memperluas Audit Berbasis Resiko
Konsep audit berbasis resiko secara tradisional dianggap tidak tepat karena
cenderung memenuhi tujuan perusahaan terlebih dahulu. Para penulis merekomendasikan
sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan organisasi yang
ditetapkan dan kemudian menentukan resiko melalui identifikasi, pengukuran, dan
penempatan prioritas, dan akhirnya melakukan manajemen resiko dengan cara:
mengendalikan dan menerima resiko, menghindari atau mendeverifikasi resiko, atau
membagi dan mentransfer bagian-bagian resiko ke unit-unit lainnya.
Konsep manajemen resiko ini telah diterima karena risiko tidak dapat dihindarkan
disemua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui
berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup kontrol, penerimaan,
penghindaran, pendiversifikasian, serta pembagian dan pemindahan.
3. Organisasi Tanpa Proses Manajemen Risiko
IIA menerbitkan dua Practice Advisory yang berhubungan dengan manajemen
risiko, Practice Advisory 2100-4 Peran Audit Internal dalam Organisasi yang Tidak
Memiliki Proses Manajemen Risiko, dan Practice Advisory 2110-1, Penilaian
Kecukupan Proses Manajemen Risiko. Advisory terakhir membahas mengenai aspek
audit ke dua. Advisory pertama membahas mengenai pendekatan praktis sebagai sebuah
jasa konsultasi bagi klien audit. Advisory ini merekomendasikan auditor internal untuk:
1) Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
manajemen risiko dan perhatian Dewan serta menentukan penyelesaiannya
menggunakan operasi dan kontrol manajemen risiko.
2) Mengidentifikasi kesadaran manajemen dan Dewan Komisaris akan risiko dan
menentukan penyelesaiannya melalui manajemen risiko.
3) Memberitahu manajemen kekurangan yang ada pada proses manajemen risiko dan
memberikan saran untuk melaksanakan proses seperti itu.
4) Mendapatkan pemahaman atas ekspektasi manajemen dan Dewan Komisaris
mengenai bantuan audit internal yang dapat diberikan dalam proses manajemen risiko.
5) Mendapatkan konsep dari manajemen menganai peran yang harus dimainkan audit
internal dalam proses tersebut.
6) Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses
manajemen risiko, dengan tetap mengingat eksposur akan terjadinya penurunan
independensi.
7) Menjauhkan diri dari berperan sebagai pemilik risiko.

4. Risiko Audit dan Komponen-Komponen pada Audit Laporan Keuangan

Auditor dan menajemen harus mempertanyakan luas dan probabilitas risiko. Luas
risiko adalah jumlah yang berpotensi terkena risiko. Probabilitas adalah kemungkinan

6
terjadinya risiko. Masih terdapat hal-hal yang ahrus dipertimbangkan pada saat
menentukan dampak risiko.

AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Stetement on
Auditing Standards (No. 47, No, 53, No. 55). Risiko audit terdiri dari dua tingkatan,
tingkat laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat
laporan keuangan, risiko audit adalah risiko bahwa auditor mungkin secara tidak sengaja
gagal memodifikasi dengan layak pendapatannya atas laporan keuangan yang salah saji
secara material. Seorang auditor diharapkan untuk merencanakan audit sehingga risiko
audit dibatasi pada apa yang dipertimbangkan auditor sebagai tingkat yang rendah.
Dalam menentukan risiko audit pada tingkat laoran keuangan, standar audit (AU 316)
menyatakan bahwa seorang auditor harus mempertimbnagka karakteristik manajemen,
karakteristik operasi dan industri, dan karakteristik penugasan. Faktor-faktor yang
disebutkan berikut ini bisa menunjukkan situasi yang dapat meningkatkan risiko audit.
Karakteristik Manajemen
a. Kebijakan manajemen didominasi hanya oleh satu orang.
b. Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan.
c. Perputaran manajemen tinggi.
d. Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba.
e. Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.

Karakteristik Operasi dan Industri

a. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau
tidak konsisiten.
b. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
c. Entitas berada pada industri yang meunurun.
d. Opersi entitas bersifat desentraliasasi tanap pengawasan aktivitas yang memadai.
e. Entitas diraguakn kelangsungan hidupnya.
Karakteristik Penugasan
a. Terdapat banyak perbedaan dan/atau masalah-masalah akuntansi yang sulit.
b. Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit.
c. Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dengna
jumlah yang signifikan dan tidak biasa.
d. Sebelumnya terdaoat salah saji yang signifikan dan dideteksi selama audit atau tidak
tersedia data mengenai hal tersebut.
Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh,
ukuran, kompleksitas, dan kepmilikan entitas akan meningkatkan atau mengurangi
faktor-faktor ini.

7
 Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan
berdampak pada:
1) Penugasan staf;
2) Pengawasan yang dibutuhkan;
3) Keseluruhan startegi audit;
4) Tingkat skeptisme profesional;
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok
transaksi, seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan.
Asersi adalah representasi manajemen yang terdapat dalam saldo akun, kelompok
transaksi dan pengungkapan. SAS mengidentifikasi lima asersi umum manajemen (atau
asersi laporan keuangan) yaitu keterjadian atau keberadaan, kelengkapan, hak dan
kewajiban, penilaian atau alokasi, serta penyajian dan pengungkapan.
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas:
a) Risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh
dirinya sendiri atau dengan yang lainnya yang dapat berdampak material terhadap
laporan keuangan (disebut risiko bawaan atau risiko kontrol).
b) Risiko bahwa auditor tidak akan mendeteksi salah saji tersebut bila memang terjadi
salah saji (disebut risiko deteksi).
Seorang auditor diharapkan untuk merencakan audit sehingga risiko audit pada
tingkat saldo atau kelompok transaksi dibatasi sehingga memungkinkan auditor
memberikan opini pada risiko audit yang rendah pada tingkat laporan keuangan.
SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan
auditor dalam mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:
a. Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan.
b. Masalah-masalah akuntansi yang rumit dan mengandung perbedaan.
c. Transaksi-transaksi yang sering teradi atau sulit untuk diaudit.
d. Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang
diperoleh dari audit sebelumnya.
e. Ketentuan aktiva untuk disalah gunakan.
f. Kompetensi dan pengalaman karyawan yang memproses data.
g. Tingkat pertimbangan dalam menentukan saldo akun atau transaski.
h. Ukuran dan volume hal-hal yang mencakup dalam saldo akun atau kelas
transaksi.
i. Komplesitas perhitungan.
Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu
kontribusi yang besar bagi literatur audit. Hal ini dengan jelas mengidentifikasikan cara
menentukan pekerjaan audit yang dibutuhkan untuk memenuhi tanggungjawab audit.
Risiko Bawaan

8
 Risiko bawaan (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah
saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur
struktur konrol internal terkait yang diterapkan. Risiko bawaan adalah risiko yang
berisifat intrinstik terhadap usaha entitas. Risiko dari salah saji seperti ini lebih besar
untuk beberapa asersi dan saldo atau kelompok transaksi dibandingkan dengan yang lian.
Auidtor dapat mengevaluasi risiko bawaan yang ada pada klien dengan
memperhatikan industri secara keseluruhan. Risiko bawaan juga terdapat pada suatu
organisasi akibat budaya perusahaan yang diterapkan. Sebuah organisasi dapat dikelola
secara ketat oleh suatu kelompok kecil yang memiliki filosofi kami ingin bebas dari
kebijakan dan prosedur tertulis yang mengikat agar bisa menanggapi suatu kejadian
secara langsung dan segera. Risiko yang berorientasi pada budaya perusahaan
merupakan risiko-risiko yang melekat pada gaya manajemen.
Jika risiko-risiko bawaan pada organisasi telah diperhitungkan, langkah selanjutnya
adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-
risiko tersebut. Pertimbangan-pertimbangna ini melibatkan risiko kontrol.
Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa
terjadi pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh
struktur, kebijakan, atau prosedur kontrol internal suatu entitas. Beberapa risiko kontrol
akan tetap ada karena adanya keterbatasan yang melekat pada struktur kontrol internal.
Seorang auditor dapat menilai risiko kontrol pada tingkat meksimum apabila
kebijakan maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk
mengevaluasi efektivitasnya. Jika auditor menetapkan risiko konrol dibawah maksimum,
auditor tersebut diharapkan memperoleh bahan bukti mengenai rancangan dan operasi
kebijakan dan prosedur yang layak untuk memberikan penetapan tersebut.
Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi
salah saji material yang tedapat pada suatu asersi. Risiko deteksi dapat terjadi karena
seorang auditor memutuskan tidak memeriksa 100 persen saldo atau transaksi atau
ketidakpastian lainnya. Termasuk dalam ketidakpastian lainnya ini adalah pemilihan
prosedur audit yang tidak layak, salah penerapan prosedur audit, atau salah interpretasi
hasil-hasil prosedur audit. Ketidakpastian lainnya harus dikurangi sampai ke tingkat yang
bisa diterima melalui perencanaan dan perngawasan audit yang sesuai.

STRATEGI PENENTUAN RISIKO AUDIT

9
1. Strategi Penentuan Risiko Bell Canada
Bell Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari
proses pencatatan auditnya. Suatu perangkat dibuat untuk membantu auditor menentukan
jenis atau tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi ke
dalam dubproses, fungsi, atau ektivitas kunci. Bagian-bagian ini membentuk suatu sumbu
pada matriks risiko. Pada sumbu yang lain auditor membuat daftar sepuluh risiko usaha
umum perusahaan. Disetiap sel auditor menggunakan sistem skor sederhana.
3 mengidentifkasi kemungkinan terjadi yang besar,
2 mengidentifkasi kemungkinannya sedang,
1 mengidentifikasi kemungkinannya kecil.

Risiko usaha: Dampak

1. Catatan Keuangan yang Salah Laporan keuangan dan catatan manajemen

keungan, pencatatan, nilai klasifikasi, atau
waktu.
2. Prinsip-prinsip Akuntansi yang Prosedur-prosedur yang tidak konsisten
Tidak Dapat Diterima dengan GAAP atau tidak sesuai dengan
kondisi.
3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap
kemampuan menyediakan jasa atau terhadap
fungsi.
4. Kritik Pemerintah atau Tindakan Sanksi berkenaan dengan hukum, peraturan,
Hukum atau otoritas pemerintah.
5. Biaya yang Berlebihan Setiap pengeluaran, baik pengeluaran modal
maupun beban, yang seharusnya bisa
dihindari atau dikurangi.
6. Pendapatan yang Kurang Kehilangan pendapatan atau kompenasasi ke
pihak yang berhak.
7. Kerusakan atau Kehilangan Aktiva Penguangan nilai atau kehilangan fasilitas,
peralatan, bahan baku, kas, atau klaim
terhadap uang atau data.
8. Kerugian Kompetitif Dan Ketidakmampuan memenuhi permintaan
Ketidakpuasan Publik/Pelanggan pasar atau merespon secara efektif terhadap
tantangan persaingan.
9. Kecurangan dan Konflik Penyalahgunaan kebijakan, aturan atau etika,
Kepentingan atau penurunan kepercayaan. Aspek moneter
atau informasi yang menyesatkan.
10. Kebijakan atau Keputusan Integritas informasi untuk pengambilan

10
 Manajamen yang Salah keputusan manajemen yang mengakibatkan
ketidaktepatan perencanaan,
pengorganisasian, pengarahan dan lain-lain

Auditor dapat memenuhi target dengan tingkat risiko bawaan tertinggi. Auditor
membuat skor risiko untuk setiap proses perusahaan dan mengarahkan tindakan audit ke
arah tersebut. Akan tetapi, daerah risiko harus dievaluasi kepentingannya terhadap fungsi
dan kesejahteraan organisasi. Jadi, operasi berisiko tinggi tidak akan memiliki prioritas
tinggi jika operasi tersebut tidak penting terhadap kesejahteraan organisasi.

2. Auditor Internal dan Risiko Perdagangan Elektronik

Kepentingan auditor dalam hal ini adalah untuk menentukan dampak fungsi
perdagangan elektrinik (electronic commerce EC) terhadap risiko organisasi. Dengan
asumsi risiko-risiko ini dapat diidentifikasi, auditor seharusnya, terkadang dengan
bantuan ahli teknologi informasi (TI), menentukan dan menggambarkan ukuran-ukuran
yang bisa diambil untuk mengurangi risiko-risiko tersebut ke tingkat yang dapat diterima.
Ukuran-ukuran yang direkomendasikan ini mencakup:
a. Risiko dan dampaknya terhadap organisasi.
b. Modifikasi atau aktivitas terkait yang diekomendasikan.
c. Dampak modifikasi risiko terhadap operasi.
d. Tingkat pengurangan risiko yang akan dicapai.
e. Eksposur keuangan yang terkait dengan operasi.
f. Biaya modifikasi yang dilakukan.
g. Elemen-elemen waktu.
h. Kemungkinan sukses.
i. Rekomendasi jika terdapat lebih dari satu ukuran.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan
risiko analisis ini harus sering dilakukan. Auditor internal atau ahli TI terkait, atau
keduanya, harus memahami perkembangan dibidang ini terutama mengenai:
a. Perubahan teknologi TI yang terbaru.
b. Situasi yang diberitakan baru-baru ini.
c. Perubahan dalam operasi organisasi.

3. Risiko EDI
Pertukaran data elektronik (electronic data interchange EDI) adalah sebuah sistem
komunikasi komputer-ke-komputer yang saling berhubungan untuk dokumen-dokumen
bisnis yang terstandarisasi di batas-batas organisasi. Komputer, database, dan pusat
informasi terhubung oleh jaringan komunikasi publik atau lainnya. Kerawanan sistem

11
EDI tinggi karena kegagalan sistem pada setiap tiga tahapan, yaitu inisiasi, transaksi, dan
tujuan akan mengganggu transaksi.
Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal yang berkaitan
dirinci pada tampilan di bawah ini:

Faktor-faktor Risiko Kontrol Internal

1. Akses informasi yang tidak Kontrol akses

Kata sandi (password); mekanisme dial-
terotorisasi.
a. Hacker mengakses sistem. back; ID pengguna; kunci penyimpanan;
tingkat akses yang berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media yang
b. Interpretasi selama transisi.
aman; serat optik; enkripsi; lapisan
lintasan; emplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran penahan
c. Penyadapan (wiretapping).
akses.
2. Hilangnya Intergritas Data. Pengecekan keotentikan data.
a. Perubahan/pemalsuan data. Protokol pemberitahuan.
b. Tidak adanya jejak audit dalam Log terkomputerisasi.
bentuk kertas.
Tanda tangan digital; mekanisme
c. Hilangnya tanda tangan fisik.
pengesahan.
d. Adanya kesalahan pada sistem. Pengecekan edit.
e. Gangguan oleh karyawan yang Pemisahan tugas; tingkat akses yang
memiliki otoritas. berbeda.
3. Kurang lengkapnya transaksi Pemberitahuan.
a. Transaksi selama transmisi Total kelompok; penomoran berurutan.
b. Duplikasi transaksi akibat Pengecekan satu per satu dibandingkan
transmisi ulang dengan arsip pengendali.
4. Tidak berjalannya sistem EDI Sistem yang menoleransi kegagalan.
a. Penyebab logis, seperti virus, kuda Paket entivirus; perangkat keras dan
Trojan, kesalahan program, perangkat lunak yang bebas kesalahan.
kesalahan perangkat keras dan
lunak. Pengamanan di luar kantor, RAID, disk
b. Penyebab alami, seperti kebijakan,
mirroring.
banjir, gempa, kerusakan listrik,
Pelatihan; pengumuman prosedur dan
dll.
c. Sabotase oleh orang yang memiliki kebijakan kontrol.
otorisasi.
5. Ketidakmampuan untuk mengirimkan Format data terstruktur/terstandarisasi;

12
 transaksi. ketaatan pada protokol ANSI/EDIFACT.
6. Kurangnya pedoman hukum. Perjanjian definisi-definisi hukum,
tanggungjawab dan keajiban.

Adanya beberapa lapis kontrol memiliki dampak yang berlipat untuk mengurangi
risiko kontrol. Risiko kontrol yang tiga lapis kontrol, yaitu kontrol administratif, kontrol
fisik dan perangkat lunak, akan gagal, dihitung dengan persamaan ini:

CREDI=CRA*CRP*CPS
Keterangan:
CREDI = Risiko Kontrol Sistem EDI.
CRA = risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.
CRS = Risiko Kontrol gagalnya kontrol perangkat lunak.

4. Membuat Rencana Penentuan Resiko

Penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol
dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungin untuk
menentukan risiko jika seseorang tidak mengetahui bahayanya. Setelah mengidentifikasi
resiko, langkah selanjutnya adalah membuat sarana untuk mengandalkan risiko tersebut.
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen, dan karyawan lainnya, yang dirancang untuk memenuhi keyakinan yang
wajar mengenai pencapaian tujuan pada kategori-kategori berikut:
a) Efektivitas dan efisiensi operasi.
b) Keandalan pelaporan keuangan.
c) Ketaatan terhadap hukum dan regulasi yang berlaku.
Dalam pembahasan mengenai penentuan risiko, studi COSO menyatakan: Meskipun
terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan: Tujuan
operasional, Tujuan Pelaporan Keuangan, dan Tujuan-tujuan Keteaatan.
Tujuan-tujuan umum tersebut dapat dirinci ke dalam tujuan-tuuan khusus dengan
risiko-risiko yang dapat diidentifikasi. Jika risiko-risiko telah diidentifikasi, berbagai
pilihan kontrol dapat ditetapkan untuk risiko-risiko tersebut dalam rangka menentukan
prosedur kontrol optimal yang akan diterapkan.
Auditor harus memulai pemeriksaan dengan mengidentifikasi tujuan opersional,
keuangan, dan ketaatan untuk operasi tersebut:
a) Untuk menerima semua pembayaran secara tepat waktu (operasional).
b) Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi
piutang usaha (keuangan).
c) Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di
cek memang telah di setujui (operasional).
d) Untuk mencegak cek dari kehilangan atau disalahgunakan (operasional).

13
 e) Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan
bunga maksimum (operasional).
f) Untuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan).
g) Untuk menetapkan akuntabilitas bagi tindakan-tindakan yang sehubungan dengan
penanganan cek untuk menghindari tidak adanya pihak yang bertanggungjawab
ketika terjadi kehilangan atau kecurangan (operasional dan ketaatan).
h) Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai
prosedur (operasioan dan keuangan).
i) Untuk memberikan pengukuran kinerja bagi unit karyawan di dalamnya untuk
memberikan penghargaan bagi kinerjadengan kualitas yang tinggi dan memperbaiki
kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima.
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut.

HUBUNGAN ANTAR-RISIKO
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif mauapun
kulaitatif. SAS memberiakn rumus berikut ini:

Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi

Ketika menggunakan rumus ini, seorang auditor dapat menilai risiko audit yang
direncakan untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan
risiko penemuan yang direncakan dengan menentukan risiko deteksi.

Risiko Deteksi = Risiko Audit / (Risiko Bawaan x Risiko Kontrol)

Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan
mengurangi risiko deteksi dibawah risiko penemuan yang direncanakan. Hal ini
menekankan konsep bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai
tambahan, perubahan dalam struktur kontrol internal yang direkomendasikan dan
direncanakan setelah periode audit tidak akan merubah penilaian auditor atas risiko kontrol
untuk periode sekarang. Untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan
dan risiko kontrol berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan
dan risiko kontrol terkait dengan suatu asersi, makin rendah risiko deteksi yang dapat
diterima dan makin banyak bukti yang harus dikumpulkan. Seorang auditor harus
melaksanakan bebeapa pengujian substanstif jika terdapat salah saji amterial. Dalam
beberapa kasus auditor tidak dapat hanya mengandalkan penentuan risiko kontrol dan risiko
bawaan untuk menjadi pembenaran atas tidak dilaksanakannya pengujian substantif.

14
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang direncanakan,
penugasan staf, dan supervisi yangd ibutuhkan dalam dalam mempertimbangkan reaksi
terhadap perubahan dalam risiko deteksi.
Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan auditor
internal. Sifat usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu
atmosfer yang berdampak besar pada risiko bawaan entitas.
Setiap entitas memiliki risiko inheres sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memperhatikan risiko bawaan yang berbeda pada bagian
oranisasi yang berbeda.
Identifikasi risiko pada suatu organisasi bermula dari risiko bawaan yang terkait
dengan usaha dan gaya manajemennya. Risiko tersebut dihadapi dengan membuat sistem
kontrol. Karena tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat
risiko meskipun kontrol terbaik telah ditetapkan. Tingkat risiko ini merupakan risiko kontrol.
Konsep keyakinan yang wajar mulai diterapkan pada tahap ini. Keyakinan yang wajar
adalah tingkat kontrol yang dicapai pada saat terjadi keseimbangan antara biaya kontrol dan
eskposur dengan manfaat yang diterima. Hal ini dapat dipandang sebagai titik ketika risiko
kontrol dan biaya kontrol berada pada ekuilibrium.

METODE-METODE ANALISIS
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol
yang optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode.
Metode-metode ini adalah sebagai berikut:
a. Pembuatan bagan alir
Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran
aktivitas melalui proses. Bagan tersebut memungkinkan untuk melihat operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-
kelemahan kontrol. Bagan alir merukan sarana komunikasi yang bagus antara auditor dan
karyawa operasional. Bagaikan sebuah peta jalan yang merupakan alat komunikasi yang
lebih baik dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan
alir juga menawarkan peluang untuk menajikan secara komparatif suatu gambar
mengenai pendekatan alternatif untuk suatu proses.
b. Kuesioner kontrol internal
Kuesioner kontrol internal (internal control questionnaire ICQ) sering digunakan
oleh auditor. ICQ dimulai dengan jawaban yang diketahui atau diinginkan dan
membutuhkan jawaban ya atau tidak disertai komentar. ICQ membutuhkan jawaban

15
 yang langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan.
ICQ digunakan untuk mengevaluasi berkelanjutan atas kontrol yang ada dan dapat
digunakan dalam analisis risiko.
c. Analisis matriks
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko
guna memastikan bahwa setiap risiko memiliki ontrol yang layak. Matriks kontrol juga
mengakui bahwa kontrol tertentu dapat memberikan perlindungan untuk lebih dari satu
risiko. Sebagai contoh, sebuah kunci dari melindungi aset dari kemungkinan hilang
dengan membatasi akses.
d. Metodologi ilustratif COSO
Studi COSO mencakup satu volume berjudul Evaluation Tools (perangkat
evaluasi).Perangkat Evaluasi berisi dua jenis umum perangkat, yaitu:
1) Perangkat Komponen
Perangkat komponen merujuk pada analisis komponen-komponen system kontrol.
Komponen-komponen tersebut adalah:
Lingkungan Kontrol
Penentuan Risiko
Aktivitas-aktivitas kontrol
Informasi dam komunikasi
Pengawasan
Perangkat komponen dirancang untuk mengevaluasi setiap komponen tersebut dalam
struktur entitas. Setiap komponen dapat dibagi ke dalam hal-hal substantif yang
disebut masalah-masalah yang menjadi fokus. Masalah-masalah ini kemudian
dirinci kedalam contoh-contoh aplikasi khusus yang dapat diperiksa dan ditanggapi.
2) Lembar Kerja Penilaian Risiko dan Aktivitas Kontrol
Digunakan untuk menilai tujuan-tujuan khusus, risiko, dan kontrol. Tata letak lempar
kerja tersebut menuntun pembuatnya melalui proses analitis. Bila analisis tujuan,
risiko dan aktivitas kontrol telah dilakukan, program audit diterapkan bersama-sama
untuk menguji aktivitas kontrol memang diterapkan seperti yang dirancan.
Kesimpulan audit akan menjadi sebuah ukuran kualitas kinerja.
e. Metode Courtney
Teknik ini melibatkan perhitungan yang menempatkan nilai uang (dolar, rupiah) ke
risiko potensial, dan estimasi terbuat dari frekuensi yang bersama denagan risiko bisa
menciptakan kesulitan. Jika pendekatan ini digunakan, auditor internal harus berupaya
mencapai kesepakatan dengan manajemen tentang niai-nilai yang diberikan dan frekuensi
yang diestimasi.

16
 BAB IV
LATIHAN

Pilihan Ganda.

1. Menurut Studi COSO, sebuah prakondisi yang dubutuhkan untuk penentuan risiko
adalah?
a. Membuat suatu departemen audit internal
b. Membuat prosedur kontrol atau operasi
c. Membuat tujuan
d. Membuat metode pengawasan
2. Yang mana yang merupakan resiko?
a. Komitmen pada kompetensi
b. Sebuah kode etik
c. Sebuah manual kebijakan karyawan
d. Sebuah perbaikan yang signifikan dalam produk pesaing
3. Pernyataan public tentang kontrol internal dibuat oleh?
a. Manajemen
b. Auditor independen
c. Auditor internal
d. Pemeriksa aturan
4. Komponen mana yang melandasi semua komponen lain dalam struktur kontrol internal!
a. Lingkungan kontrol

17
 b. Penentuan risiko
c. Aktivitas kontrol
d. Informasi dan komunikasi

BAB V
KESIMPULAN

Pada kebanyakan entitas, departemen audit internal akan menjadi pemain utama dalam
penentuan risiko yang mengarahkan laporan tahunan manajemen untuk mengemukakan
kondisi sistem kontrol. Pekerjaan auidtor internal yang berkelanjutan harus dipertimbangkan
dalam membuat leporan tersebut. Audit khusus mungkin dibutuhkan dalam beberapa entitas
untuk memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah diperbaiki
pada tanggal laporan akhir.
Strategi manajemen resiko yang holistic telah menggeser fokus auditor tradisional
dalam mengendalikan resiko. Suatu operasi audit terintegrasi sekarang dipahami dan
memandang resiko sebagai suatu sumber keuntungan.
Keseluruhan manajemen resiko dapat menjadi kontribusi produktif bernilai tambah
terhadap kemakmuran dan kemajuan organisasi. Auditor internal memainkan bagian besar
dari fungsi tersebut.

18
 BAB VI
TES FORMATIF

1. Sebutkan beberapa contoh hambatan atau risiko yang akan datang dari luar entitas dan
dari dalam entitas!
2. Jelaskan dampak kesimpulan auditor mengenai risiko audit pada tingkat laporan
keuangan!
3. Sebutkan beberapa resiko umum perusahaan beserta dampak yang ditimbulkan!
4. Sebutkan tiga elemen yang digunakan dalam proses evaluasi resiko!

19
 BAB VII
UMPAN BALIK

Setelah mahasiswa mempelajari seluruh materi mengenai Strategi Penentuan Resiko

dalam modul ini, maka terdapat beberapa instrument latihan untuk menguji kemampuan
pemahaman kalian. Hal ini bertujuan untuk mengetahui tingkat kesulitan materi dalam
modul ini, sehingga dapat dilakukan perbaikan dan langkah penyesuaian dimasa yang akan
datang.
Kegiatan umpan balik diberikan dalam bentuk pengujian tertulis melalui instrument dalam
bentuk pilihan ganda, dimana pertanyaan ini berjumlah 4 nomor yang mana tiap nomor mempunyai
skor 1 hingga 4. Kemudian, skor tersebut diolah dalam bentuk nilai persentase. Tingkat keberhasilan
pemahaman anda terhadap materi dalam modul ini, akan ditentukan atas jumlah skor yang anda
peroleh dengan kriteria pembobotan seperti dibawah ini:

Nilai Predikat

100% Baik

85% Sedang

25-50% Kurang

Bagi mahasiswa yang belum mencapai nilai 25-50%, dapat mengulangi belajar
dengan memilih materi-materi yang masih dianggap sulit secara lebih teliti atau melakukan
kegiatan diskusi bersama teman maupun dosen pembimbing dalam mata kuliah ini.

20
 BAB VIII
KUNCI TES FORMATIF

1. Sebutkan beberapa contoh hambatan atau risiko yang akan datang dari luar entitas dan
dari dalam entitas!
Jawab:
2. Jelaskan dampak kesimpulan auditor mengenai risiko audit pada tingkat laporan
keuangan!
Jawab:
Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan
berdampak pada: (1) penugasan staf; (2) pengawasan yang dibutuhkan; (3) keseluruhan
strategi audit; dan (4) tingkat skeptisme professional. Sebagai contoh, pada situasi yang
dirasakan auditor memiliki resiko audit yang meningkat, auditor bisa menugaskan lebih
banyak staf berpengalaman dan menerapkan lebih banyak prosedur substantive selama
audit interim dan akhir tahun.
3. Sebutkan beberapa resiko umum perusahaan beserta dampak yang ditimbulkan!
Jawab:

Risiko usaha: Dampak

1. Catatan Keuangan yang Salah Laporan keuangan dan catatan manajemen

keungan, pencatatan, nilai klasifikasi, atau
waktu.
2. Prinsip-prinsip Akuntansi yang Prosedur-prosedur yang tidak konsisten
Tidak Dapat Diterima dengan GAAP atau tidak sesuai dengan
kondisi.
3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap

21
 kemampuan menyediakan jasa atau terhadap
fungsi.
4. Kritik Pemerintah atau Tindakan Sanksi berkenaan dengan hukum, peraturan,
Hukum atau otoritas pemerintah.
5. Biaya yang Berlebihan Setiap pengeluaran, baik pengeluaran modal
maupun beban, yang seharusnya bisa
dihindari atau dikurangi.
6. Pendapatan yang Kurang Kehilangan pendapatan atau kompenasasi ke
pihak yang berhak.
7. Kerusakan atau Kehilangan Aktiva Penguangan nilai atau kehilangan fasilitas,
peralatan, bahan baku, kas, atau klaim
terhadap uang atau data.
8. Kerugian Kompetitif Dan Ketidakmampuan memenuhi permintaan
Ketidakpuasan Publik/Pelanggan pasar atau merespon secara efektif terhadap
tantangan persaingan.
9. Kecurangan dan Konflik Penyalahgunaan kebijakan, aturan atau etika,
Kepentingan atau penurunan kepercayaan. Aspek moneter
atau informasi yang menyesatkan.
10. Kebijakan atau Keputusan Integritas informasi untuk pengambilan
Manajamen yang Salah keputusan manajemen yang mengakibatkan
ketidaktepatan perencanaan,
pengorganisasian, pengarahan dan lain-lain

4. Sebutkan tiga elemen yang digunakan dalam proses evaluasi resiko!

Jawab:
a) Kondisi yang memungkinkan terjadinya kecurangan manajemen.
b) Motivasi yang dapat melandasi terjadinya kecurangan.
c) Tingkah laku manajemen yang dapat mendorong manajemen untuk melakukan
tindak kecurangan.

22
 DAFTAR PUSTAKA

Anonim. 2016. Penentuan Risiko (Internal Audit). www.coursehero.com. Diakses pada Hari
Selasa, tanggal 24 Oktober 2017.

Anonim. 2015.Strategi Penentuan Risiko. www.gunadarma.repository.id. Diakses pada Hari

Selasa, tanggal 24 Oktober 2017.

Sawyer, Lawrence, at all. 2005. Sawyers Internal Auditing. Florida : The Institute of
Internal Auditors.

23