Pertanyaan-pertanyaan Dasar tentang Risiko

Pertanyaan-pertanyaan tentang risiko yang dianggap signifkan diajukan guna

menerapkan lebih banyak kontrol untuk risiko-risiko mereka dan mengaudit area-area
yang memiliki tingkat risiko yang lebih tinggi. Hal ini guna membantu manajemen dan
auditor internal untuk mengtahui eksposur risiko yang telah berubah seiring perubahan
praktit bisnis. Sebagai contoh, manajemen semakin menyadari risiko pasar, yaitu
permintaan atas produk-produk perusahaan. Di pihak lain, risiko informasi meningkat
drastis dengan adanya internet yang memungkinkan usaha dan perdagangan dilakukan
melalui internet. Jika perubahan-perubahan seperti ini tidak disadari, hal ini akan
sangat membahayakan perusahaan.

Masing-masing perusahaan memiliki cara tersendiri dalam menilai risiko. Berikut

adalah pertanyaan yang lazim digunakan dalam penentuan risiko:

1. Apakah terdapat temuan-teman signifikan dalam audit sebelumnya?

2. Bagaimana lingkup audit sebelumnya?
3. Kapan audit terakhir dilakukan?
4. Perubahan-perubahan apa yang terjadi dalam sistem?
5. Perubahan-perubahan apa yang terjadi dalam personalia?
6. Perubahan-perubahan apa yang terjadi pada produk/jasa yang ditawarkan?
7. Berapa nilai transaksi melalui perusahaan?
8. Seberapa likuid aset perusahaan?
9. Bagaimana pemisahan tugas dan wewenang dalam organisasi perusahaan?
10. Berapa besar tekanan untuk memenuhi tujuan perusahaan?
11. Bagaimana dampak hukum dan regulasi terhadap perusahaan?
12. Berapa besar kemungkinan karyawan melakukan tindakan tidak etis?
13. Bagaiana penerapan fungsi dalam perusahaan?
14. Bagaimana tingkat kerumitan operasi perusahaan?
15. Berapa sering karyawan melakukan tindakan tidak etis?
Pertanyaan-pertanyaan tersebut kemudian diidentifikasi jawabannya. Jawaban-
jawaban tersebuut yang pada akhirnya dihubungkan dengan nilai-nilai yang digunakan
auditor. Jawaban-jawaban tersebut kemudian dibuat skor yang menggunakan sistem
pakar (expert syste). Setelah skor ditentukan, auditor bisa membuat rencana audit
berdasarkan skor relatif. Kemudian auditor mengavaluasi risiko-risiko tersebut dalam
waktu audit yang telah ditetapkan.

Strategi Penentuan Risiko Bell Canada

Bell Canada menggunakan evaluasi risiko sebagai sebuah bagian integral dari proses
perencanaan audit. Suatu perangkat dibuat untuk membantu auditor menentukan jenis
atau tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi ke
dalam subproses, fungsi, atau aktivitas kunci. Bagian-bagian ini membentuk satu
sumbu pada matriks risiko. Pada sumbu yang lain auditor membuat daftar 10 risiko
usaha umum perusahaan. Di setiap sel auditor menggunakan sistem skor sederhana:

3 mengindikasikan kemungkinan terjadinya besar;

2 mengindikasikan kemungkinannya sedang;

1 mengindikasikan kemungkinannya kecil.

Risiko Usaha Dampak

1. Catatan keuangan yang salah Laporan keuangan dan catatan
manajemen keuangan, pencatata, nilai
klasifikasi, atau waktu.
2. Prinsip-prinsip akuntansi yang Prosedur-prosedur yang tidak sesuai
tidak dapat diterima dengan GAAP atau tidak sesuai dengan
kondisi.
3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap
kemampuan menyediakan jasa atau
terhadap fungsi.
 4. Kritik pemerintah atau tindakan Sanksi berkenaan dengan hukum,
hukum peraturan, atau otoritas pemerintah.
5. Biaya yang berlebihan Setip pengeluaran, baik pengeluaran
modal maupun beban, yang seharusnya
bisa dikurangi/dihindari.
6. Pendapatan yang kurang Kehilangan pendapatan atau kompensasi
ke pihak yang berhak. Pangsa pasar
7. Kerusakan atau kehilangan aset Pengurangan nilai atau kehilangan
fasilitas, peralatan, bahan baku, kas, atau
klaim terhadap uang atau data.
8. Kerugian kompetitif dan Ketidak mampuan memenuhi
ketidakpuasan publik/pelanggan permintaan pasar atau merespons secara
efektif terhadap tantangan persaingan.
9. Kecurangan dan konflik Penyalahgunaan kebijakan, aturan/etika,
kepentingan atau penurunan kepercayaan. Aspek
moneter atau informasi yang
menyesatkan.
10. Kebijakan atau keputusan Integritas informasi untuk pengambilan
manajemen yang salah keputusan manajemen yang
mengakibatkan ketidaktepatan
perencanaan, pengorganisasian,
pengarahan, dan lain-lain.

Auditor dapat memenuhi target dengan tingkat risiko bawaan tertinggi. Auditor
membuat skor risiko untuk setiap proses perusahaan dan mengarahkan tindakan audit
kea rah tersebut. Akan tetapi, daerah risiko tetap harus dievaluasi kepentingannya
terhadap fungsi dan kesejahteraan organisasi.
Audit Internal dan Risiko Perdagangan Elektronik

Audit terhadap electronic commerce perlu dilakukan agar dapa menentukan dampak
dari perdagangan elektronik terhadap risiko organisasi. Bantuan dari ahli teknologi
informasi sangat diperlukan auditor untuk menentukan dan menggambarkan ukuran-
ukuran yang bisa diambil untuk mengurangi risiko-risiko tersebut ke tingkat yang dapat
diterima. Ukuran yang direkomendasikan mencakup:

 Risiko dan dampaknya terhadap organisasi.

 Modifikasi atau aktivitas terkait yang direkomendasikan.
 Dampak modifikasi tersebut terhadap operasi.
 Tingkat pengurangan risiko yang dapat dicapai.
 Eksposur keuangan yang terkait dengan operasi.
 Biaya modifikasi.
 Elemen-elemen waktu.
 Kemungkinan keberhasilan.
 Rekomendasi lain jika terdapat lebih dai satu ukuran.

Karena percepatan perubahan pada fungsi perdagangan elektronik, auditor dan ahli IT
harus memahami perkembangannya meliputi perubahan teknologi terbaru, situasi
terbaru, dan perubahan dalam operasi organisasi.

Parker dalam monografnya menyatakan bahwa aktivitas audit internal berbasis TI perlu
melakukan hal-hal berikut:

1. Pemahaman atas sistem dan infrastruktur:

 Front-end web server;
 Metode transmisi dan protokol;
 Firewalls;
 Gateways;
 Back end;
 Middleware; dan
  kemungkinan koneksi dengan sistem perkantoran
2. menentikan informasi apa yang penting, elemen data dan program yang
mempengaruhi data, bagamana program yang didistribusikan, lokasi, server,
pihak-pihak eksternal, dan proses yang terlibat.
3. Pencatatan dan evaluasi kontrol serta prosedur yang mnangani informasi
penting dan sensitif.
4. Penilaian prosedur pengawasan.
5. Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak
ketiga.
Parker juga menyatakan bahwa, “Sertifikasi dari pihak ketiga yang dapat dipercaya
merupakan cara lain menyediakan faktor-faktor yang dapat diverifikasi ke pihak-pihak
yang berkepentingan.” Ia menyatakan bahwa, “Merupakan hal penting untuk
mengetahui siapa yang melaksanakan pekerjaan, keahlian, dan kualifikasi mereka, dan
kriteria yang digunakan dalam penelaahan” (Sawyer:2003).

Risiko EDI (Electronic Data Interchannge)

Pertukaran data elektronik (EDI) adalah sebuah sistem komunikasi informasi
computer-ke-komputer yang saling terhubung untuk dokumen-dokumen bisnis yang
terstandarisasi di batas-batas organisasi.
Area faktor risiko:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirim transaksi
6. Kurangnya pedoman hukum
 CREDI = CRA * CRP * CRS
Keterangan:
CREDI = Risiko kontrol sisitem EDI
CRA = Risiko kontrol gagalnya prosedur administrasi
CRP = Risiko kontrol gagalnya mekanisme fisik
CRS = Risiko kontrol gagalnya control perangkat lunak

Faktor-Faktor Risiko Kontrol Internal

1. Akses informasi yang
diotorisassi:
a. Hecker mengakses sistem
b. Intersepsi selama transmisi
c. Penyadapan (wiretapping)
2. Hilangnya integritas data:
a. Perubahan/pemalsuan data
b. Tidak adanya jejak audit dalam Log terkomputerisasi.
bentuk kertas
c. Hilangnya tanda tanga fisik
d. Gangguan oleh karyawan yang Pengecekan edit.
memiliki otoritas
3. Kurang lengkapnya transaksi
a. Transaksi selama transmisi
tidak Kontrol akses.
Password; mekanisme diel-back; ID
pengguna; kunci penyimpanan; tingkat
akses yang berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media yang
aman; serat optic; enkripsi; lapisan
lintasan; amplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran penahan
akses.
Pengecekan keontetikan data.
Protokol pemberitahuan.
Tanda tangan digital; mekanisme
pengesahan.
Pemisahan tugas; tingkat akses yang
berbeda.
Pemberitahuan.
Total kelompok; penomora berurutan.
 b. Duplikasi transaksi akibat Penegecekan satu demi satu
transmisi ulang dibandingkan arsip pengendali
4. Tindak berjalannya sistem EDI Sistem yang menoleransi kegagalan.
a. Penyebab logis seperti virus, Paket antivirus, perangkat keras dan
kesalahan program, kesalahan lunak yang beba kesalahan.
perangkat keras dan lunak. Pengamanan diluar kantor, RAID, disk
b. Penyebab alami seperti bencana mirroring.
alam Pelatihan; pengumuman prosedur dan
c. Sabotase oleh orang yang kebijakan control.
memiliki otorisasi
5. Ketidakmampuan untuk Format data terstruktur/terstandarisasi;
mengirimkan transaksi ketaatan pada protokol ANSI/EDIFACT
6. Kurangnya pedoman hukum Perjanjian definisi-definisi hukum,
tanggung jawab, dan kewajiban.

Risiko Kecurangan Manajemen

1. Kondisi yang memungkinkan terjadinya kecurangan manajemen:
a. Tidak adanya atau lemahnya kontrol internal
b. Tidak adanya atau lemahnya komite audit
c. Pesatnya pertumbuhan
d. Sedikitnya produk-produk utama
e. Pengambilan keputusan yang tersentralisasi
f. Manajemen yang tidak berpengalaman
2. Motivasi yang dapat melandasi terjadinya kecurangan:
a. Untuk meningkatkan investasi eksternal
b. Untuk menunjukkan laba yang meningkat
c. Untuk menghilangkan persepsi pasar yang negatif
d. Untuk mendapatkan pendanaan
e. Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
 f. Untuk memenuhi tujuan dan sasaran
g. Untuk mendapatkan bonus
3. Tingkah laku manajemen yang dapat mendorong untuk melakukan tindak
kecurangan:
a. Ketidakjujuran
b. Kurangnya perhatian terhadap peraturan dan regulasi
c. Kurangnya komitmen terhadap etika

Membuat Rencana Penentuan Risiko

Studi COSO mnetapkan tiga kategori tujuan umum dalam penetapan risiko:
1. Tujuan Operasional: berkaitan dengan efektivitas dan efisiensi operasi entitas,
termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya
terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan
manajemen mengenai struktur dan kinerja.
2. Tujuan pelaporan keuangan: berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang
mengandung kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh
persyaratan-persyaratan eksternal.
3. Tujuan ketaatan: berkaitan dengan ketaatan terhadap hukum dan peraturan yang
berlaku bagi entitas. Tujuan-tujuan tersebut bergantung pada faktor-faktor
eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk semua
entitas dalam beberapa kasus dan dalam beberapa kasus dan dalam beberapa
industri.