BAB I

PENDAHULUAN

A. Latar Belakang
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen
dan auditor internal. Auditor internal harus memahami proses penentuan risiko dan
sarana yang digunakan untuk menentukan risiko. Auditor harus memasukkan hasil
penentuan risiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol
yang dibutuhkan memang diterapkan untuk mengurangi risiko.
Auditor internal dibutuhkan kehadirannya untuk memastikan bahwa
kelemahan yang ditemukan selama tahun berjalan telah diperbaiki sehingga tercipta
laporan tahunan manajemen yang mengemukakan kondisi sistem terkontrol.
Karena kekrusialan kepentingan penentuan risiko itulah, mahasiswa perlu
memahami bagaimana kerja seorang auditor internal dalam menentukan risiko.
Makalah ini memberikan pengetahuan bagi mahasiswa mengenai gambaran umum
penentuan risiko.

B. Rumusan Masalah
1. Apakah yang dimaksud dengan risiko audit?
2. Bagaimana cara mengidentifikasi dan mengatasi risiko?

C. Tujuan
1. Memahami konsep risiko audit dan penentuan risiko.
2. Dapat mengidentifikasi risiko audit dan dapat melaksanakan program audit
berbasis risiko.

1
 BAB II
ISI

A. Filosofi COSO

Penentuan risiko (risk asessment) merupakan hal penting bagi manajemen

dan auditor internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk
bank-bank tertentu, dan prissip-prinsip manajemen yang baik mendorong
penerapannya di industri dan sektor-sektor lain. Auditor internal harus
memasukkan hasil penentuan risiko ke dalam program audit untuk memastikan
bahwa kontrol-kontrol yang dibutuhkan memang diterapkan untuk mengurangi
risiko.

Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi,

mengawali pembahasan tentang penentuan risiko dengan ringkasan berikut:

Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam
yang harus ditentukan. Persyaratan awal adalah adanya penetapan tujuan, yang
dihubungkan pada tingkat-tingkat yang berbeda dan konsisten dalam organisasi.
Penentuan risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk
mencapai tujuan (entitas), yang membentuk suatu dasar untuk menentukan cara
pengelolaan risiko. Karena kondisi ekonomi, industri, peraturan dan operasi akan
terus berubah, maka dibutuhkan mekanisme untuk mengidentifikasi dan
menangani risiko-risiko khusus yang berhubungan dengan perubahan.

Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan

(integral) dan terus menerus dari manajemen. Dikatakan intergral karena
manajemen tidak dapat menetapkan tujuan dengan mudah mengasumsikan bahwa
tujuan tersebut akan tercapai. Banyak hambatan yang muncul akan menghalangi
perjalanan mencapai tujuan. Beberapa hambatan, atau risko dari luar entitas
sedangkan yang lainnya dari dalam, sebagai contoh:

2
  Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi
yang dibutuhkan untuk mencapai tujuan.
 Sebuah perusahaan pesaing memperkenalkan produk atau jasa baru yang
membutuhkan tindakan segera dan menciptakan tujuan baru dengan
menurunkan prioritas tujuan sebelumnya.
 Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang.
 Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang
telah ditetapkan.

Daftar risiko kelihatannya tidak hanya sampai disini. Tujuan penentuan risiko
adalah untuk membuat karyawan sadar akan beragam risiko yang ada serta
prioritas, dan keterbatasan dari daftar risiko tersebut. Sejumlah risiko tidaklah
statis, selalu ada risiko-risiko yang muncul setiap waktu. Oleh karena itu,
penentuan risiko merupakan fungsi yang berkelanjutan dalam proses manajemen
yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses penentuan
risiko itu sendiri merupakan hal penting bagi audit.

B. Siapa yang Memanfaatkan Penentuan Risiko

Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk

memastikan kesuksesan suatu entitas, hal ini telah dibahas dengan jelas pada studi
COSO. Manajemen juga menggunakan penentuan risiko sebagai alat yang penting
dalam merancang sistem–sistem baru. Bagian penting dalam perancangan dan
pengembangan proses adalah identifikasi dari semua kejadian dan tindakan yang
mungkin mencegah sistem dan mencapai tujuannya.

Berdasarkan Undang–Undang terbaru, bank–bank yang melebihi skala usaha

tertentu disyaratkan untuk membuat penentuan risiko setiap tahun yang akan
digunakan sebagai dasar untuk membuat pernyataan publik mengenai kondisi dari
sistem kontrol internal. Akuntan independen bank tersebut diminta untuk menilai
akurasi laporan tersebut.

3
 Akuntan publik harus membuat penentuan risiko untuk memenuhi standar
mereka. Akuntan publik juga melakukan penentuan risiko dalam merencanakan
audit mereka, seperti apa saja risiko kegagalan yang bisa mengancam pencapaian
tujuan audit, dan lain sebagainya. Tidak diragukan lagi, bahwa auditor internal
telah terlibat dalam penentuan risiko sejak awal profesi ini berdiri.

Pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan

persyaratan mutlak untuk menentukan prosedur kontrol yang harus diterapkan.
Pada kebanyakan entitas, departemen audit internal akan menjadi pemain utama
dalam penentuan resiko yang mengarahkan laporan tahunan manajemen untuk
mengemukakan konsidi sistem kontrol auditor khusus mungkin dibutuhkan
dibeberapa entitas untuk memastikan bahwa kelemahan yang ditemukan selama
tahun tersebut telah diperbaiki pada tanggal laporan akhir tahun.

Merencanakan Penentuan Risiko dan Exposur

Rencana audit harus dirancang untuk memasukkan pertimbangan tentang risiko

dan exposur organisasi. Rencana audit harus menilai tingkat kesadaran atas rencana
strategis terhadap elemen-elemen prioritas risiko dan exposur. Jadi,audit secara
keseluruhna dapat dipengaruhi olehh hasil manajemen risiko.

C. Memperluas Audit Berbasis Risiko (Risk Based Auditing)

Konsep audit berbasis risiko secara tradisional bermula dari observasi dan
analisis kontrol, berlanjut ke penentuan risiko yang berkaitan dengan oprasi, dan
akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan organisasi.
Mcnamee dan Selim menyatakan pendekatan apakah aktivitas ini tidak tepat karena
adanya kebuthan untuk memenuhi tujuan terlebih dahulu, tujuan merupakan dasar
operasi dan tidak selalu berbentuk nyata, bisa bersifat fleksibel dan seharusnya–
berorientasi ke masa depan. Para penulis tersebut merekomendasikan sebuah
pendekatan yang mempertimbangkan terlebih dahulu tujuan organisasi yang

4
ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran, dan
penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara:
Mengendalikan dan menerima risiko, atau
Menghindari atau mendiversifikasi risiko, atau
Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya.
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat
dihindarkan di semua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan tersebut
mencakup :
kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik
dari segi besaran maupun jumlah;
penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang
diperlukan untuk kemajuan dan keuntungan;
penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk
mengubah pola risiko;
pendiversifikasian risiko dengan menyebarkan total risiko ke operasi-operasi
yang terpisah. Misalnya: menggunakan berbagai pemasok untuk bahan baku
yang penting; dan
pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual
dengan pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya
adalah asuransi.
Adanya perhatian ke masa depan merupakan perluasan dari pengakuan risiko
ke manajemen risiko. Hal ini merupakan contoh audit internal menuju bidang yang
memberikan unsur bernilai tambah terhadap fungsi yang bernilai waktu, yang
berkaitan dengan risiko dan penggunaan audit berbasis risiko.

Organisasi Tanpa Proses Manajemen Risiko

Sebagian besar bab ini telah menjelaskan dua aspek risiko: pertama, auditor
internal harus menelaah risiko pada bidang-bidang yang diaudit untuk membuat

5
program audit. Kedua, jika terdapat program manajemen risiko, auditor internal
harus mengevaluasinya sebagai bagian dari audit. IIA baru-baru ini telah
menerbitkan dua Practice Advisory yang berhubungan dengan manajemen risiko,
Practice Advisory 2100-4, “Peran Audit Internal dalam Organisasi yang Tidak
Memiliki Proses Manajemen Risiko,” dan Practice Advisory 2110-1, “Penilaian
Kecukupan Proses Manajemen Risiko.” Advisory terakhir membahas aspek audit
kedua yang disebutkan sebelumnya. Advisory yang pertama membahas pendekatan
praktis sebagai jasa sebuah konsultasi bagi klien audit. Advisory ini
merekomendasikan auditor internal untuk:
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
manajemen risiko dan perhatian Dewan serta menentukan penyelesaiannya
menggunakan operasi dan kontrol manajemen risiko.
2. Mengidentifikasi kesadaran manajemen dan Dewan Komisaris akan risiko dan
menentukan penyelesaiannya melalui proses manajemen risiko.
3. Memberitahu manajemen kekurangan yang ada pada proses manajemen risiko
dan memberikan saran untuk melaksanakan proses seperti itu.
4. Mendapatkan pemahaman atas ekspektasi manajemen dan Dewan Komisaris
mengenai bantuan audit internal yang dapat diberikan dalam proses manajemen
risiko.
5. Mendapatkan konsep dari manajemen mengenai peran yang harus dimainkan
audit internal dalam proses tersebut.
6. Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses
manajemen risiko, dengan tetap mengingat eksposur akan terjadinya penurunan
independensi.
7. Menjauhkan diri dari berperan sebagai pemilik risiko.
Kepala bagian audit harus mengingat bahwa bantuan ini jangan melampaui filosofi
persyaratan jasa pemberian keyakinan dan konsultasi yang normal.

6
D. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan
Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko.
Luas risiko adalah jumlah yang berpotensi terkena risiko; probabilitas adalah
kemungkinan terjadinya risiko. Masih terdapat hal-hal lain yang harus
dipertimbangkan pada saat menentukan dampak risiko. Pendapat tentang
kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian
selanjutnya.
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa
Statement on Auditing Standards terbaru (No. 47, No. 53, dan No. 55). Risiko audit
terdiri atas dua tingkatan−tingkat laporan keuangan dan saldo akun (atau tingkat
kelompok transaksi). Pada tingkat laporan keuangan, risiko audit adalah “risiko
bahwa auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak
pendapatnya atas laporan keuangan yang salah saji secara material.” Seorang
auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada
apa yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan
risiko audit pada tingkat laporan keuangan, standar audit (AU 316) menyatakan
bahwa seorang auditor harus mempertimbangkan karakteristik manajemen,
karakteristik operasi dan industi, dan karakteristik penugasan. Faktor-faktor yang
disebutkan berikut ini bisa menunjukkan situasi yang meningkatkan risiko audit:

1. Karakteristik Manajemen
- Profitabilitas entitas dibandingkan dengan industri ternyata tidak memadai
atau tidak konsisten.
- Hasil-hasil entitas sensitif terhadap faktor-faktor ekonomi.
- Entitas berada pada industri yang menurun.
- Organisasi entitas bersifat desentralisasi tanpa pengawasan aktivitas yang
memadai.
- Entitas diragukan kelangsungan hidupnya.

7
2. Karakterisik Penugasan
- Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang
sulit.
- Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit
diaudit.
- Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa
dalam jumlah yang signifikan dan tidak biasa.
- Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit atau
tidak tersedia data mengenai hal tersebut.

Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok
transaksi, seorang auditor harus mempertimbangkan asersi-asersi laporan
keuangan.

Asersi adalah representasi manajemen yang terdapat dalam saldo akun,

kelompok transaksi, dan pengungkapan.

SAS (Statement on Auditing standards) mengidentifikasi lima asersi umum

manajemen (atau asersi laporan keuangan):

1. Keterjadian atau keberadaan;

2. Kelengkapan;
3. Hak dan kewajiban;
4. Penilaian atau alokasi; dan
5. Penyajian dan pengungkapan.

Risiko Audit pada tingkat saldo atau kelompok memiliki 3 komponen yaitu
Risiko Bawaan, Risiko Kontrol, dan Risiko Deteksi

SAS memberikan contoh faktor-faktor yang harus dipertimbangkan auditor

dalam mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:

1. Dampak faktor-faktor risiko yang diidntifikasi pada tingkat laporan

keuangan.

8
 2. Masalah-masalah akuntansi yang rumit dan mengandung perdebatan.
3. Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.
4. Salah saji signifikan yang mungkin terjadi, berdasarkan hasil audit
sebelumnya.
5. Kerentanan aset untuk disalahgunakan.
6. Kompetensi dan pengalaman karyawan yang memproses data.
7. Tingkat pertimbangan dalam menentukan saldo akun atau transaksi.
8. Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau kelas
transaksi.

3. Risiko Bawaan
Risiko bawaan (inherent risk) adalah kerentanan suatu asersi atas
terjadinya salah saji yang material, dengan mengasumsikan bahwa tidak ada
kebijakan atau prosedur struktur kontrol internal terkait deitetapkan. Jika risiko
bawaan dalam suatu organisasi telah diperhitungkan langkah selanjutnya
adalah menilai tindakan untuk mencegah atau mendeteksi kejadian akibat risiko
tersebut. Pertimbangan- pertimbangan ini melibatkan risiko kontrol.

4. Risiko Kontrol
Risiko control (control risk) adalah risiko bahwa salah saji material yang
bisa terjadi pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat
waktu oleh struktur, kebijakan, atau prosedur kontrol internal suatu entitas.

5. Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat
mendeteksi salah saji material yang terdapat pada suatu asersi. Risiko deteksi
dapat terjadi karena seorang auditor memutuskan tidak memeriksa 100% saldo
atau transaksi atau karena ketidakpastian lainnya.

9
 6. Hubungan Antar-risiko
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuntitatif
maupun kualitatif SAS memberikan rumus berikut:

Risiko Audit = Risiko bawaan x Risiko kontrol x Risiko deteksi

Dengan rumus tersebut seorang auditor dapat menilai risiko audit yang
direncanakan untuk sebuah asersi.

E. Suatu Persedian Risiko

Departemen audit internal Allstate mengembangkan suatu “persediaan risiko

usaha” untuk membantu dalam:

 Memberikan kerangka kerja untuk mengidentifikasi risiko-risiko yang

paling mengancam perusahaan sehingga risiko-risiko ini harus
dipertimbangkan dalam perencanaan.
 Memfasilitasi pembahasan tentang risiko usaha.
 Membuat suatu infrastruktur untuk mengawasi perubahan pada risiko usaha
sepanjang waktu dan untuk membantu mengidentifikasi risiko-risiko baru.
 Mempersiapkan manajemen dan audit internal mengambil langkah-langkah
proaktif.
 Meningkatkan keahlian para staf audit dibidang risiko.

Pengembangan persediaan risiko mencakup proses yang terdiri dari 4 tahap:

1. Identifikasi risiko-risiko puncak.

2. Mengonsolidasi dan mengorganisasikan risiko-risiko tersebut.
3. Membuat model persediaan risiko dan daftar risiko.
4. Mengelola persediaan risiko tersebut.

10
 Persediaan risiko disusun dalam 2 bagian dasar:

Risiko eksternal mencakup:

 Lingkungan
 Bencana
 Pasar keuangan
 Peringkat

Risiko Internal mencakup:

 Sumber daya manusia

 Integritas
 Informasi dan teknologi
 Akuntansi dan pelaporan
 Keuangan

F. Pertanyaan-pertanyaan Dasar tentang Risiko

Pertanyaan-pertanyaan tentang risiko yang dianggap signifkan diajukan

guna menerapkan lebih banyak kontrol untuk risiko-risiko mereka dan mengaudit
area-area yang memiliki tingkat risiko yang lebih tinggi. Hal ini guna membantu
manajemen dan auditor internal untuk mengtahui eksposur risiko yang telah
berubah seiring perubahan praktik bisnis. Sebagai contoh, manajemen semakin
menyadari risiko pasar, yaitu permintaan atas produk-produk perusahaan. Di pihak
lain, risiko informasi meningkat drastis dengan adanya internet yang
memungkinkan usaha dan perdagangan dilakukan melalui internet. Jika perubahan-
perubahan seperti ini tidak disadari, hal ini akan sangat membahayakan perusahaan.

Masing-masing perusahaan memiliki cara tersendiri dalam menilai risiko.

Berikut adalah pertanyaan yang lazim digunakan dalam penentuan risiko:

1. Apakah terdapat temuan-teman signifikan dalam audit sebelumnya?

11
 2. Bagaimana lingkup audit sebelumnya?
3. Kapan audit terakhir dilakukan?
4. Perubahan-perubahan apa yang terjadi dalam sistem?
5. Perubahan-perubahan apa yang terjadi dalam personalia?
6. Perubahan-perubahan apa yang terjadi pada produk/jasa yang ditawarkan?
7. Berapa nilai transaksi melalui perusahaan?
8. Seberapa likuid aset perusahaan?
9. Bagaimana pemisahan tugas dan wewenang dalam organisasi perusahaan?
10. Berapa besar tekanan untuk memenuhi tujuan perusahaan?
11. Bagaimana dampak hukum dan regulasi terhadap perusahaan?
12. Berapa besar kemungkinan karyawan melakukan tindakan tidak etis?
13. Bagaiana penerapan fungsi dalam perusahaan?
14. Bagaimana tingkat kerumitan operasi perusahaan?
15. Berapa sering karyawan melakukan tindakan tidak etis?

Pertanyaan-pertanyaan tersebut kemudian diidentifikasi jawabannya.

Jawaban-jawaban tersebut yang pada akhirnya dihubungkan dengan nilai-nilai
yang digunakan auditor. Jawaban-jawaban tersebut kemudian dibuat skor yang
menggunakan sistem pakar (expert syste). Setelah skor ditentukan, auditor bisa
membuat rencana audit berdasarkan skor relatif. Kemudian auditor mengavaluasi
risiko-risiko tersebut dalam waktu audit yang telah ditetapkan.

G. Strategi Penentuan Risiko Bell Canada

Bell Canada menggunakan evaluasi risiko sebagai sebuah bagian integral

dari proses perencanaan audit. Suatu perangkat dibuat untuk membantu auditor
menentukan jenis atau tingkat risiko setiap operasi yang diaudit. Setiap operasi
yang diaudit dibagi ke dalam subproses, fungsi, atau aktivitas kunci. Bagian-bagian
ini membentuk satu sumbu pada matriks risiko. Pada sumbu yang lain auditor

12
 membuat daftar 10 risiko usaha umum perusahaan. Di setiap sel auditor
menggunakan sistem skor sederhana:

3 mengindikasikan kemungkinan terjadinya besar;

2 mengindikasikan kemungkinannya sedang;

1 mengindikasikan kemungkinannya kecil.

Tabel 1

Risiko Usaha Dampak

1. Catatan keuangan yang salah Laporan keuangan dan catatan
manajemen keuangan, pencatata, nilai
klasifikasi, atau waktu.
2. Prinsip-prinsip akuntansi yang tidak Prosedur-prosedur yang tidak sesuai
dapat diterima dengan GAAP atau tidak sesuai dengan
kondisi.
3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap
kemampuan menyediakan jasa atau
terhadap fungsi.
4. Kritik pemerintah atau tindakan Sanksi berkenaan dengan hukum,
hukum peraturan, atau otoritas pemerintah.
5. Biaya yang berlebihan Setiap pengeluaran, baik pengeluaran
modal maupun beban, yang seharusnya
bisa dikurangi/dihindari.
6. Pendapatan yang kurang Kehilangan pendapatan atau kompensasi
ke pihak yang berhak. Pangsa pasar
7. Kerusakan atau kehilangan aset Pengurangan nilai atau kehilangan
fasilitas, peralatan, bahan baku, kas, atau
klaim terhadap uang atau data.

13
8. Kerugian kompetitif dan Ketidak mampuan memenuhi
ketidakpuasan publik/pelanggan permintaan pasar atau merespons secara
efektif terhadap tantangan persaingan.
9. Kecurangan dan konflik kepentingan Penyalahgunaan kebijakan, aturan/etika,
atau penurunan kepercayaan. Aspek
moneter atau informasi yang
menyesatkan.
10. Kebijakan atau keputusan Integritas informasi untuk pengambilan
manajemen yang salah keputusan manajemen yang
mengakibatkan ketidaktepatan
perencanaan, pengorganisasian,
pengarahan, dan lain-lain.

Auditor dapat memenuhi target dengan tingkat risiko bawaan tertinggi.

Auditor membuat skor risiko untuk setiap proses perusahaan dan mengarahkan
tindakan audit kea rah tersebut. Akan tetapi, daerah risiko tetap harus dievaluasi
kepentingannya terhadap fungsi dan kesejahteraan organisasi.

H. Auditor Internal dan Risiko Perdagangan Elektronik

Audit terhadap electronic commerce perlu dilakukan agar dapa menentukan

dampak dari perdagangan elektronik terhadap risiko organisasi. Bantuan dari ahli
teknologi informasi sangat diperlukan auditor untuk menentukan dan
menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-risiko
tersebut ke tingkat yang dapat diterima. Ukuran yang direkomendasikan mencakup:

 Risiko dan dampaknya terhadap organisasi.

 Modifikasi atau aktivitas terkait yang direkomendasikan.
 Dampak modifikasi tersebut terhadap operasi.
 Tingkat pengurangan risiko yang dapat dicapai.

14
  Eksposur keuangan yang terkait dengan operasi.
 Biaya modifikasi.
 Elemen-elemen waktu.
 Kemungkinan keberhasilan.
 Rekomendasi lain jika terdapat lebih dai satu ukuran.

Karena percepatan perubahan pada fungsi perdagangan elektronik, auditor

dan ahli IT harus memahami perkembangannya meliputi perubahan teknologi
terbaru, situasi terbaru, dan perubahan dalam operasi organisasi.

Parker dalam monografnya menyatakan bahwa aktivitas audit internal

berbasis TI perlu melakukan hal-hal berikut:

1. Pemahaman atas sistem dan infrastruktur:

 Front-end web server;
 Metode transmisi dan protokol;
 Firewalls;
 Gateways;
 Back end;
 Middleware; dan
 Kemungkinan koneksi dengan sistem perkantoran
2. Menentukan informasi apa yang penting, elemen data dan program yang
mempengaruhi data, bagamana program yang didistribusikan, lokasi, server,
pihak-pihak eksternal, dan proses yang terlibat.
3. Pencatatan dan evaluasi kontrol serta prosedur yang mnangani informasi
penting dan sensitif.
4. Penilaian prosedur pengawasan.
5. Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak
ketiga.
Parker juga menyatakan bahwa, “Sertifikasi dari pihak ketiga yang dapat
dipercaya merupakan cara lain menyediakan faktor-faktor yang dapat diverifikasi

15
 ke pihak-pihak yang berkepentingan.” Ia menyatakan bahwa, “Merupakan hal
penting untuk mengetahui siapa yang melaksanakan pekerjaan, keahlian, dan
kualifikasi mereka, dan kriteria yang digunakan dalam penelaahan” (Sawyer:2003).

I. Risiko EDI

Pertukaran data elektronik/electronic data intercgange (EDI) adalah sebuah

sistem komunikasi informasi computer-ke-komputer yang saling terhubung untuk
dokumen-dokumen bisnis yang terstandarisasi di batas-batas organisasi.
RArea faktor risiko:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirim transaksi
6. Kurangnya pedoman hukum

CREDI = CRA * CRP * CRS

Keterangan:
CREDI = Risiko kontrol sisitem EDI
CRA = Risiko kontrol gagalnya prosedur administrasi
CRP = Risiko kontrol gagalnya mekanisme fisik
CRS = Risiko kontrol gagalnya control perangkat lunak

Tabel 2
Faktor-Faktor Risiko Kontrol Internal
1. Akses informasi yang tidak Kontrol akses.
diotorisassi:
a. Hecker mengakses sistem

16
 b. Intersepsi selama transmisi Password; mekanisme diel-back; ID
c. Penyadapan (wiretapping) pengguna; kunci penyimpanan; tingkat
akses yang berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media yang
aman; serat optic; enkripsi; lapisan
lintasan; amplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran penahan
akses.
2. Hilangnya integritas data: Pengecekan keontetikan data.
a. Perubahan/pemalsuan data Protokol pemberitahuan.
b. Tidak adanya jejak audit dalam Log terkomputerisasi.
bentuk kertas Tanda tangan digital; mekanisme
c. Hilangnya tanda tanga fisik pengesahan.
d. Gangguan oleh karyawan yang Pengecekan edit.
memiliki otoritas Pemisahan tugas; tingkat akses yang
berbeda.
3. Kurang lengkapnya transaksi Pemberitahuan.
a. Transaksi selama transmisi Total kelompok; penomora berurutan.
b. Duplikasi transaksi akibat Penegecekan satu demi satu
transmisi ulang dibandingkan arsip pengendali
4. Tindak berjalannya sistem EDI Sistem yang menoleransi kegagalan.
a. Penyebab logis seperti virus, Paket antivirus, perangkat keras dan
kesalahan program, kesalahan lunak yang beba kesalahan.
perangkat keras dan lunak. Pengamanan diluar kantor, RAID, disk
b. Penyebab alami seperti bencana mirroring.
alam Pelatihan; pengumuman prosedur dan
kebijakan control.

17
 c. Sabotase oleh orang
memiliki otorisasi
5. Ketidakmampuan
mengirimkan transaksi
6. Kurangnya pedoman hukum
yang
untuk Format data terstruktur/terstandarisasi;
ketaatan pada protokol ANSI/EDIFACT
Perjanjian definisi-definisi hukum,
tanggung jawab, dan kewajiban.

J. Risiko Kecurangan Manajemen

1. Kondisi yang memungkinkan terjadinya kecurangan manajemen:
a. Tidak adanya atau lemahnya kontrol internal
b. Tidak adanya atau lemahnya komite audit
c. Pesatnya pertumbuhan
d. Sedikitnya produk-produk utama
e. Pengambilan keputusan yang tersentralisasi
f. Manajemen yang tidak berpengalaman
2. Motivasi yang dapat melandasi terjadinya kecurangan:
a. Untuk meningkatkan investasi eksternal
b. Untuk menunjukkan laba yang meningkat
c. Untuk menghilangkan persepsi pasar yang negatif
d. Untuk mendapatkan pendanaan
e. Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
f. Untuk memenuhi tujuan dan sasaran
g. Untuk mendapatkan bonus
3. Tingkah laku manajemen yang dapat mendorong untuk melakukan tindak
kecurangan:
a. Ketidakjujuran
b. Kurangnya perhatian terhadap peraturan dan regulasi
c. Kurangnya komitmen terhadap etika

18
 Membuat Rencana Penentuan Risiko

Studi COSO mnetapkan tiga kategori tujuan umum dalam penetapan risiko:
1. Tujuan Operasional: berkaitan dengan efektivitas dan efisiensi operasi
entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber
daya terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan
pilihan manajemen mengenai struktur dan kinerja.
2. Tujuan pelaporan keuangan: berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang
mengandung kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh
persyaratan-persyaratan eksternal.
3. Tujuan ketaatan: berkaitan dengan ketaatan terhadap hukum dan peraturan
yang berlaku bagi entitas. Tujuan-tujuan tersebut bergantung pada faktor-
faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk
semua entitas dalam beberapa kasus dan dalam beberapa kasus dan dalam
beberapa industri.

K. Manajemen Risiko

Auditor membantu manajemen untuk mengambil risiko-risiko yang

menguntungkan dan berhati-hati dengan cara yang layak dan efisien. Auditor
mengevaluasi langkah-langkah yang ditempuh manajemen untuk mencapai
manfaat terbesar dari organsasi. Auditor menjadi suatu alat evaluasi kantrol positif
yang membantu dalam mengidentifikasi risiko-risiko yang harus diambil dan
kontrol terkait untuk meningkatkan operasi dari posisi pendapatan laba. Akan tetapi
disamping penentuan risiko dan bantuan kepada manajemen dalam mengubah
risiko menjadi elemen pendapatan institusi, auditor harus memperluas bidang audit
agar bisa mencakup kontrol risiko, pendanaan risiko dan administrasi risiko, yaitu:

Kontrol rsiko:

19
 Mendukung sutu kontrol risiko dan kerugian secara proaktif.
 Memberikan insentif maksimum untuk peran serta dalam program kontrol
risiko.
 Memonitor efektifitas aktivitas kontrol risiko.

Pendanaan risiko:

 Mempertimbangkan semua sumber keungan yang ada.

 Mempertimbangkan proteksi terhadap kerusakan yang mungkin timbul.
 Mengalokasikan biaya pendanaan risiko diantara unit operasi secara wajar.

Administrasi:

 Menciptakan dan mempertahankan komitmen manajemen terhadap

manajemen risiko.
 Menerapkan struktur manajemen risiko yang terdefinisi dengan baik.
 Mengembangkan tujuan tahunan yang ditargetkan secara jelas.
 Menjaga komunikasi yang baik dengan semua tingkat menejemen yang
terpengaruh.

Tujuan dan Proses Manajemen Risiko

a. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan
diprioritaskan.
b. Manjemen dan dewan komisaris telah menentukan tingkat risiko yang dapat
diterima oleh organisasi, termasuk penerimaan risiko yang dirancang untuk
mencapai rencana stsategis organisasi.
c. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk
mengurangi atau mengelola risiko pada tingkat yang ditentukan dapat
diterima oleh manajemen dan dewan komisaris.
d. Aktivitas pengawasan dilakukan secara periodic.
e. Dewan komisaris dan menejemen menerima laporan periodik mengenai
hasil proses manajemen risiko.

20
L. Metode-metode Analitis
1. Pembuatan Bagan Alir
Pembuatan bagan alir merupakan sebuah metode analisis efisien dan
kontrol operasi. Diagram alir merupakan penyajian grafis 2 dimensi dari sebuah
operasi dalam hal aliran aktivitas melalui proses. Bagan tersebut
memungkinkan untuk melihat operasi, mengidentifikasi ketidak-efisienan,
langkah yang terbaik, kelemahan kontrol. Diagram alir merupakan sarana
komunikasi ynag baik antara auditor dan karyawan operasional. Bagaikan peta
jalan yang merupakan alat komunikasi yang lebih baik dibanding sebuah narasi
peraturan. Bagan alir merupakan peluang untuk menyajikan secara
komprehensif suatu gambar mengenai pendekatan alternatif.

21
 Contoh diagram alir yang ditemukan selama audit:

Pembayaran diterima
dikantor pos

Kotak pos dibaya oleh kurir

dibawa ke ruang pernyotiran

Surat disortir pembayaran

ke kotak kusus

Kotak dikirim ke unit

pemprosesan

Amplop di buka di
bandingkan dengan nota
pembayran

cek
Nota
pembayaran
ya Apakah nota
ya
pembayaran dan
cek sesuai
Nota-nota pengganti
bisa untuk akses
tidak sesuai
Cek asli
Siapkan slip tidak Sipkn
setoran induk btck
berisi
bank Nota pengganti total, kirim
ke EDP
Periksa salinan Siapkan
cek pengganti nota
pembayaran Piutang usaha yang
Setorkan ke bnk diperbarui

Superviser harus
Bandingkan mengetahui semua transksi
aplikasi Kirim surt ke pelanggan
setoran jelaskan pembalasan dan
langkah diambil Resiko tidak ada kontrol 22
untuk penerimaan kas
 2. Kuesioner Kontrol Internal

Kuesioner merupakan sebuah sarana untuk mendapatkan informasi

tentang apa yang akan disurvai dan diaudit. Kuesioner yang digunakan auditor
adalah kuesioner kontrol internal (ICQ). Kuesioner ini mencari informasi untuk
memperluas pemahaman auditor dengan pertanyaan yang hanya membutuhkan
jawaban ya atau tidak. Disertai komentar. ICQ digunakan untuk mengevaluasi
keberlanjutan atas kontrol yang ada dan dapat digunakan dalam analisis risiko.
ICQ juga merupkan uji ketaatan untuk memastikan bahwa kontrol masih
diterapkan dan risiko dapat dievaluasi. Contoh ICQ.

Tabel 3
Pertanyaan Jawaban Komentar Metode Dikerjakan
oleh
Apakah cek- Ya Bagian untuk Tanya
cek Tidak menyakinkan jumlah yang jawab,
dibandingkan diterima observasi,
dengan nota pengujian
pembayaran?
Apa setoran ke Ya Jiak tidak sesuai setoran Tanya
bank sama Tidak akan diverifikasi dan jawab,
dengan dikirim kebank untuk observasi,
pembayaran? dikredit pengujian

3. Analisis Matriks

Sebuah matrik kontrol merupakan alat untuk membandingkan kontrol

dengan risiko guna memastikan setiap risiko memiliki kontrol yang layak dan
pada kontol tertentu dapat memberikan perlindungan untuk lebih dari risiko.

23
 Contoh: kunci melindugi aset dari kehilangan dengan cara membatasi aset.
Tabel matrik risiko dan control

Tabel 4
Kontrol a Kontrol b Kontrol c
Risiko 1 P B
Risiko 2 S P B
Risiko 3 P

Kontrol A di rancang untuk pengamanan atas risiko tertentu. Tingkat

keyakinan ini disebut primer (P) karena merupakan kontrol utama menghadapi
risiko. Dan juga dapat memberikan keyakinan dalam pengamanan risiko lain
(risiko b) tetapi keyakinan lebih kecil dibandingkan degan keyakinan primer,
keyakinan ini disebut sekunder (S). Risiko 2 memiliki kontrol primer (kontrol
B). Pada kontrol yang memberikan tingkat keyakinan ketiga atas kontrol lain
(risiko 3) tingkat keyakinan yang diberikan disebut sebagai berguna (B).

Contoh risiko dan kotrol primer:

Tabel 5
Risiko Kontrol primer
1. Individu yang tidak memiliki otorisasi A. ID pengguna dan kata sandi
di dalam organisasi bisa mengakses dibutuhkan untuk mengakses sistem
catatan computer computer
2. Individu yang tidak memiliki otorisasi B. Alat modem hanya dihubungkan jika
di luar organisasi bisa mengakses catatan pengguna eksternal yang dikenal
computer meminta akses dan tidak
disambungkan di akhir sesi
3. Individu tidak memiliki otorisasi bisa C. Laporan usaha yang gagal dihasilkan
mencoba mendapatkan akses ke catatan dari sistem pengaman dan laporan

24
komputer, dan bisa berhasil di masa tersebut diperiksa setiap hari oleh
depan meskipun belum msuk pegawai pengamanan data

Matrik mengetahiui bahwa kontrol memang diperlukan tetapi biaya

kontrol primer yang berlebihan sangatlah tinggi. Tidak efektif dari segi biaya
untuk menerapkan beberapa kontrol atas risiko yang sama, kerana takut salah
satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat digunakan lebih dari
satu tujuan dan memberikan kontrol yang dibutuhkan, sistem tersebut lebih kuat
tanpa sistem kontrol yng lain.

4. Kontrol Preventif dan Detektif

Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan.
Kontrol detektif digunakan untuk mendeteksinya sehingga tindakan korektif
bisa dilakukan. Dalam cotoh kontrol A dn B merupakan kontrol preventif. Dan
laporan pengamanan harian merupakan kontrol detektif. Kontrol detektif
memiliki sifat “aktivitas setelah fakta” dan membutuhkan 4 unit tindakan
tindakan pertama adalah tindakan penelaahan, rekonsiliasi, atau penemuan
masalah atau risiko yang ada. Tindakan kedua adalah identifikasi dan analisis
kejadian dan kondisi yang tidak diinginkan. Tindakan ketiga adalah koreksi.
Tindakan keempat adalah pengecekan tindakan koreksi untuk mengetahui
apakah risiko tidak diinginkan sudah diperbaiki.
Kekurangan dari kontrol detektif adalah sifatnya lebih mudah dibaikan
dan hanya menghabiskan waktu jika ditemukan hal-hal yang tidak diinginkan.
Dalam kontrol preventif (p) lebih disukai karena lebih efisien dan kecil
kemungkinan untuk bisa dikompromikan. Kolom kontrol preventif dan
detektif.

25
 Tabel 6
Kontrol A Kontrol B Kontrol C
Risiko 1 P(p) P(p) B(d)
Risiko 2 S(p) B(d)
Risiko 3 P(d)

5. Metodologi Ilustratif COSO

Studi COSO mencakup satu volume berjudul ‘Evaluation Tools’ (perangkat

evaluasi). Dalam pendahuluan volume ini terdapat pernyataan ini:
“Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi.
Perangkat tersebut bukan merupakan bagian yang integral dari kerangka
kerja, dan penyajiannya di sini tidaklah untuk menyarankan semua hal
yang perlu dipertimbangkan dalam mengevaluasi suatu sistem kontrol
internal, atau bahwa semua masalah harus disajikan dalam rangka untuk
menyimpulkan bahwa suatu sistem adalah efektif. Demikian pula, tidak
terdapat saran bahwa perangkat-perangkat tersebut merupakan metode
yang lebih disukai dilakukan dan mendokumentasikan sebuah evaluasi.
(semua penekanan berasal dari studi COSO)”.
Perangkat evaluasi berisi dua jenis umum perangkat. Perangkat pertama
adalah perangkat komponen; yang kedua adalah Lembar Kerja Penentuan
Risiko dan Aktivitas Kontrol. Perangkat komponen merujuk pada analisis
komponen-komponen sistem kontrol. Untuk mengingatkan, dari studi COSO,
definisi kontrol adalah:
Kontrol internal adalah sebuah proses yang dipengaruhi oleh dewan direksi
perusahaan, manajemen, dan karyawan lainnya untuk memberikan keyakinan
yang wajar mengenai pencapaian tujuan dalam kategori-kategori berikut ini:
 Efektivitas dan efisiensi operasi
 Keandalan pelaporan keuangan
 Ketaatan dengan hukum dan aturan yang berlaku
Selanjutnya studi tersebut menyatakan:

26
 Kontrol internal terdiri atas lima komponen yang saling berkaitan.
Komponen-komponen ini berasal dari cara manajemen menjalankan bisnis, dan
diintegrasikan dengan proses manajemen. Komponen-komponen tersebut
adalah:
 Lingkungan Kontrol˗˗inti suatu biasnis adalah orang-
orangnya˗˗karakteristiknya masing-masing, termasuk integritas, nilai-nilai
etika, dan kompetensi˗˗dan lingkungan tempat mereka bekerja. Hal-hal
tersebut merupakan mesin penggerak perusahaan dan merupakan fondasi
segala sesuatunya ditempatkan.
 Penentuan Risiko˗˗perusahaan harus mewaspadai dan mengelola risiko yang
dihadapinya. Perusahaaan harus menetapkan tujuan, terintegrasi dengan
penjualan, produksi, pemasaran, keuangan, dan aktivitas-aktivitas lainnya
sehingga organisasi beroperasi secara harmonis. Perusahaan juga harus
menetapkan mekanisme untuk mengidentifikasi, menganalisis, dan
mengelola risiko-risiko terkait.
 Aktivitas-aktivitas kontrol˗˗kebijakan dan prosedur kontrol harus ditetapkan
dan dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan
yang diidentifikasi oleh manajemen diperlukan untuk menghadapi risiko
terhadap pencapaian tujuan entitas secara efektif dilakukan.
 Informasi dan komunikasi˗˗di sekitar aktivitas-aktivitas ini terdapat sistem
informasi dan komunikasi. Hal ini memungkinkan karyawan perusahaan
mendapatkan dan menukar informasi yang diperlukan untuk melaksanakan,
mengelola, dan mengendalikan operasinya.
 Pengawasan˗˗keseluruhan proses harus dimonitor, dan dibuat perubahan bila
diperlukan. Dengan cara ini, sistem dapat bereaksi secara dinamis, berubah
seiring dengan perubahan kondisi.
Perangkat komponen dirancang untuk mengevaluasi setiap komponen
di atas dalam struktur entitas.
Tahap pertama dari lembar kerja perangkat komponen lingkungan
kontrol berisi masalah-masalah substantif (komitmen terhadap kompetensi dan

27
 fokus perhatian adalah sarana-sarana yang digunakan untuk mengukur
pencapaian masalah-masalah substantif). Lembar kerja tersebut tampak sebagai
berikut:

Tabel 7
Komitmen pada Kompetensi
Manajemen harus menspesifikasikan tingkat kompetensi yang
diperlukan untuk pekerjaan tertentu dan menerjemahkan
tingkat kompetensi yang diinginkan tersebut ke dalam
pengetahuan dan keahlian yang dibutuhkan.
 Deskripsi pekerjaan formal atau informal atau sarana
lain untuk mendefinisikan tugas yang melibatkan
beberapa pekerjaan. Sebagai contoh, pertimbangkan
apakah:
 Manajemen telah menganalisis, secara formal maupun
informal, tugas-tugas yang terdiri atas pekerjaan-
pekerjaan tertentu, dengan mempertimbangkan faktor-
faktor tersebut yang masing-masing individu harus
memiliki pertimbangan dan cakupan pengawasan yang dibutuhkan.
 Analisis pengetahuan dan keahlian yang diperlukan
untuk melaksanakan pekerjaan dengan layak. Sebagai
contoh, pertimbangkan apakah:
 Manajemen telah menentukan pengetahuan dan
keahlian yang dibutuhkan untuk melaksanakan
pekerjaan-pekerjaan tertentu.
 Terdapat bukti yang mengindikasikan bahwa karyawan
Memiliki pengetahuan dan keahlian yang dibutuhkan.

Kesimpulan/Tindakan yang Diperlukan

28
 Setelah auditor menyelesaikan evaluasi dari setiap fokus perhatian,
kemudian dimasukkan temuan-temuan. Temuan-temuan dimasukkan pada
setiap fokus perhatian dan sebuah ringkasan kesimpulan dan rekomendasi pada
keseluruhan masalah substansi.
Lembar kerja penilaian risiko dan aktivitas kontrol digunakan untuk
menilai tujuan-tujuan khusus, risiko, dan kontrol. Tata letak lembar kerja
tersebut menuntun pembuatnya melalui proses analitis. Hal ini mencakup
langkah-langkah berikut ini:
Tabel 8
Tujuan Sebuah pernyataan tujuan yang jelas yang cukup spesifik
untuk dianalsis.
O.F.K Kategori-kategori dari tujuan-tujuan umum:
Operasional,finansial, atau ketaatan yang berlaku untuk
tujuan-tujuan rinci ini.
Analisis Risiko
Faktor-faktor risiko Risiko-risiko khusus yang dapat menghambat
pencapaian tujuan-tujuan rinci.
Kemungkinan Kemungkinan terjadinya risiko dalam skala rendah,
sedang, dan tinggi
Tindakan/Aktivitas Aktivitas kontrol yang yang spesifik yang dapat
Kontrol/Tanggapan mencegah pendeteksian risiko jika benar terjadi.
Tujuan-tujuan lain yang Sebuah rujukan silang ke setiap tujuan-tujuan lain yang
dipengaruhi akan dipengaruhi oleh risiko atau aktivitas kontrol ini.
Evaluasi dan Sebuah pertimbangan efektivitas kontrol dalam
Kesimpulan berhubungan dengan risiko yang mengancam
pencapaian tujuan.

Penerapan sistem analisis ini paling dapat dipahami dengan sebuah contoh.
Berikut ini contoh yang diambil dari volume perangkat evaluasi COSO.

29
 Tabel 9
Tujuan Semua bahan baku yang diterima dicatat dengan akurat.
Operasional, finansial, ketaatan.
Analisis Risiko
Faktor-faktor risiko Kuantitas aktual yang diterima bisa jadi tidak sama
dengan kuantitas yang tertera pada pesanan pembelian
atau dokumen pengiriman dari pemasok.
Kemungkinan Sedang Tinggi
Tindakan/Aktivitas Barang yang diterima dihitung, ditimbang, atau
Kontrol/Tanggapan diperiksa kuantitasnya.
Penerimaan dihitung dua kali secara acak oleh
supervisor departemen penerimaan.
Kuantitas yang diterima menurut laporan penerimaan
dibandingkan dengan dokumen pengiriman pemasok
dan dengan pesanan pembelian.
Kekurangan bahan baku dicatat pada dokumen
penerimaan dan setiap kelebihan bahan baku ditolak.
Jika terjadi kelebihan bahan baku, dokumen
ditandatangani oleh perusahaan transportasi untuk
dikembalikan ke pemasok.
Dokumen diberikan ke bagian utang dagang untuk
pemrosesan dan aktivitas kontrol selanjutnya.
Tujuan-tujuan lain yang Tujuan Produksi.
dipengaruhi
Evaluasi dan Kontrol cukup memadai untuk mencapai tujuan.
Kesimpulan

Bila analisis tujuan, risiko, dan aktivitas kontrol telah dilakukan,

program audit diterapkan bersama-sama untuk menguji aktivitas kontrol.
Efektivitas aktivitas kontrol ditentukan dalam analisis risiko. Audit merupakan

30
 pengujian kinerja: yaitu, apakah aktivitas kontrol memang diterapkan seperti
yang dirancang. Kesimpulan audit akan menjadi sebuah ukuran kualitas kerja.

6. Metode Courtney
Metode Courtney adalah metode yang dikembangkan oleh Robert Courtney
saat ia bergabung dengan Divisi Sistem Komunikasi IBM. Teknik tersebut
melibatkan perhitungan yang menempatkan nilai uang ke risiko-risiko
potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa
menciptakan kesulitan. Jika pendekatan ini dilakukan, auditor internal harus
berupaya mencapai kesepakatan dengan manajemen tentang nilai-nilai yang
diberikan dan frekuensi-frekuensi yang diestimasi. Hal ini bisa jadi subjektif,
tapi sebuah konsensus dapat menghasilkan tingkat keandalan yang dapat
diterima.

M. Metode Lain Pemberian Nilai

Metode pemberian nilai yang lain dan lebih sederhana hanya memasukkan
estimasi kerugian, bukan risiko keterjadian. Hal ini disebut nilai yang diharapkan.

N. Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi
telah mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas
pertanyaan-pertanyaan yang dapat mereka simpulkan merupakan risiko penentu
yang signifikan. Pertanyaan-pertanyaan tersebut divalidasi melalui pengalaman
lampau dan melalui pembahasan dengan manajemen dan pegawai audit internal.

31
O. Pertimbangan Pengungkapan Risiko

Risiko organisasional harus dibagi menjadi:

 Risiko operasi, terkait dengan risiko-risiko yang terjadi pada produksi,

penjualan, dan pengadministrasian organisasi. Risiko tersebut mencakup
risiko internal dan eksternal.
 Risiko estimasi, terkait dengan estimasi yang digunakan dalam penyiapan
laporan keuangan (dan operasi).
 Risiko konsentrasi, terkait dengan konsentrasi pelanggan, pemasok, lini
produk, dan pasar.

P. Kebutuhan akan Beberapa Perangkat

Perangkat yang dibutuhkan auditor brbeda untuk tujuan yang berbeda. Berikut
perangkat yang sering digunakan:
1. SAS memberi auditor alat mengevaluasi sifat risiko dan kontrol dalam
suatu entitas.
2. Pembuatan bagan alir paling bernilai selama survei pendahuluan jika
auditor ingin mendapatkan pemahaman akan proses yang ada. Memiliki
gampabaran tentang kontrol dan penerapannya merupakan hal penting
untuk pembuatan penentuan risiko.
3. Alat evaluasi COSO dapat bernilai untuk menilai risiko dalam struktur
control dan menilai risiko dalam operasi.
4. Analisis matriks merupakan alat berharga untuk langkah selanjutnya
dalam penilaian. Analisis tersebut membandingkan risiko khusus dengan
kontrol dan mengukur kedalaman cakupan control

32
 BAB III
PENUTUP

Simpulan
1. Setidaknya ada tiga risiko audit pada tingkat transaksi yaitu risiko bawaan,
risiko control, dan risiko deteksi.
2. Ada enam metode dalam menganalisis penentuan risiko yang dapat digunakan
yaitu: pembuatan bagan alir, kuesioner control internal, analisis matriks,
control preventif dan detektif, metodologi ilustratif COSO, dan metode
Courtney.

33
 DAFTAR PUSTAKA

Sawyer, Lawrence B., Dittenhofer., Scheiner. 2003. Sawyer’s Internal Auditing Audit
Internal Sawyer.Jakarta:Salemba Empat.

34