RISK ASSESMENT

Risiko audit (audit risk) merupakan Risiko kesalahan auditor dalam memberikan
pendapat wajar tanpa pengecualian atas laporan keuangan yang salah saji secara
material. Risiko bisnis (business risk) merupakan risiko dimana auditor akan menderita
kerugian atau merugikan dalam melakukan praktik profesinya akibat proses pengadilan
atau penolakan publik dalam hubungannya dengan audit. (Guy, Dan et al, 2002).

Pengguna laporan keuangan merupakan unsur utama dalam risiko bisnis. Untuk
menentukan tingkat kepastian yang diperlukan, auditor terlebih dahulu harus
mengidentifikasi pengguna potensial laporan keuangan. Jumlah pengguna laporan
keuangan yang lebih besar akan meningkatkan risiko bisnis dan dapat meningkatkan
tingkat kepastian yang diinginkan auditor.

Menurut SA seksi 312 (PSA No. 25) yang dikutip oleh Soekrisno Agoes (2004), risiko
audit adalah risiko yang timbul karena auditor, tanpa disadari tidak memodifikasikan
pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung
salah saji material.

SAS No. 47, tentang Risiko Audit dan Materialitas dalam Pelaksanaan Audit (AU 312),
meminta auditor untuk menilai risiko audit. SAS No. 47, juga menjelaskan bahwa risiko
salah saji (misstatement) yang material dalam laporan keuangan yang disebabkan oleh
penipuan merupakan bagian dari risiko audit dan meminta auditor secara khusus menilai
risiko tersebut.

Audit tidak menjamin bahwa laporan keuangan telah bebas dari salah saji material,
maka terdapat beberapa derajat risiko bahwa laporan keuangan mengandung salah saji
yang tidak terdeteksi oleh auditor. Dengan demikian dalam perencanaan pekerjaannya,
auditor harus mempertimbangkan risiko audit tersebut.

Konsep keseluruhan mengenai risiko audit merupakan kebalikan dari konsep keyakinan
yang memadai. Semakin tinggi kepastian yang ingin diperoleh auditor dalam
menyatakan pendapat yang benar, semakin rendah risiko audit yang akan ia terima. Jika
99% kepastian diinginkan, maka risiko audit adalah 1%, sementara jika kepastian
sebesar 95 % dianggap memuaskan, maka risiko audit adalah 5%. Biasanya
pertimbangan professional berkenaan dengan keyakinan yang memadai dan keseluruhan
tingkat risiko audit dirancang sebagai satu kebijakan kantor akuntan public, dan risiko
audit akan dapat dibandingkan antara satu audit dengan audit lainnya. (Boynton,
Jhonson, Kell, 2003).
Tantangan akhir dari suatu audit adalah bahwa auditor tidak dapat memeriksa semua
bukti yang berkaitan dengan setiap asersi untuk setiap saldo akun dan golongan
transaksi. Model risiko audit menjadi pedoman para auditor dalam pengumpulan bukti
audit, sehingga auditor dapat mencapai tingkat keyakinan yang memadai yang
diinginkan.

Komponen Risiko Audit

SAS NO. 47 (AU 312.20) menyatakan bahwa risiko audit terdiri dari 3 komponen:

1. Risiko bawaan (Inherent risk) merupakan kerentanan asersi terhadap salah saji
(misstatement) yang material, dengan mengasumsikan bahwa tidak ada
pengendalian yang berhubungan. Risiko salah saji (misstatement) seperti itu lebih
besar dalam beberapa asersi laporan keuangan dan saldo-saldo atau pengelompokan
yang berhubungan daripada yang lainnya. Risiko ini dipertimbangkan pada tahap
perencanaan audit. Sebagai contoh, perhitungan yang rumit lebih mungkin disajikan
salah jika dibandingkan dengan perhitungan yang sederhana. Akun yang terdiri dari
jumlah yang berasal estimasi akuntansi cenderung mengandung risiko lebih besar
dibandingkan dengan akun yang sifatnya relatif rutin dan berisi data berupa fakta.
2. Risiko Pengendalian (Control Risk) merupakan risiko bahwa suatu salah saji yang
material yang akan terjadi dalam asersi tidak dapat dicegah atau dideteksi secara
tepat waktu oleh pengendalian perusahaan. Risiko ini merupakan fungsi keefektifan
perancangan dan operasi pengendalian internal dalam mencapai tujuan entitas yang
relevan untuk menyusun laporan keuangan entitas. Beberapa risiko pengendalian
akan selalu ada karena keterbatasan yang melekat pada pengendalian internal.
3. Risiko Deteksi (Detection Risk) merupakan risiko bahwa auditor tidak dapat
mendeteksi salah saji yang material dalam suatu perusahaan. Risiko ini merupakan
fungsi keefektifan prosedur audit dan aplikasinya oleh auditor. Hal ini sebagian
muncul dari ketidakpastian yang ada ketika auditor tidak memeriksa semua saldo
akun atau kelompok transaksi untuk mengumpulkan bukti tentang asersi lainnya.
Model Risiko Audit
Model risiko audit, mengekspresikan hubungan antara komponen-komponen risiko audit
sebagai berikut :

AR = IR X CR X DR

Dimana : AR = Audit Risk

IR = Inherent Risk
CR = Control Risk
DR = Detection Risk
Untuk mengilustrasikan penggunaan dari model tersebut, asumsikan bahwa auditor
telah membuat penilaian risiko berikut untuk suatu asersi tertentu seperti asersi
kelengkapan untuk persediaan.

AR = 5%, IR = 75%, CR = 50%

Risiko deteksi dapat ditentukan sebagai berikut :

Risiko deteksi sebesar 13%, berbarti auditor perlu merencanakan pengujian subtantif
dengan suatu cara yang akan menghasilkan risiko yang dapat diterima bahwa terdapat
kemungkinan kegagalan sekitar sebesar 13% dalam mendeteksi salah saji yang
material. Risiko ini dapat diterima jika auditor memiliki keyakinan dari sumber-sumber
lain untuk mendukung penilaian risiko bawaan dan risiko pengendalian.
RISIKO AUDIT

1. Risiko audit dibagi menjadi 2, yaitu:

a) risiko audit keseluruhan berkaitan dengan laporan keuangan sebagai keseluruhan. Audit
keseluruhan merupakan besarnya risiko yang dapat ditanggung oleh auditor dalam menyatakan
bahwa laporan keuangan disajikan secara wajar, padahal kenyataannya, laporan keuangan itu berisi
salah saji material.

b) risiko audit individual berkaitan dengan setiap saldo akun individual yang dicantumkan dalam
laporan keuangan. Risiko audit individual perlu ditentukan untuk setiap akun karena akun tertentu
seringkali sangat penting karena besar saldonya dan/atau frekuensi transaksi perubahannya.

2. Unsur-unsur risiko audit:

a) Risiko bawaan adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu
salah saji material, dengan asumsi bahwa tidak terdapat kebijakan dan prosedur pengendalian intern
yang terkait. Risiko salah saji demikian adalah lebih besar pada saldo akun atau golongan transaksi
tertentu dibandingkan dengan yang lain.

b) Risiko pengendalian adalah risiko terjadinya salah saji material dalam suatu asersi yang tidak
dapat dicegah atau dideteksi sacara tepat waktu oleh pengendalian intern entitas. Risiko ini
ditentukan oleh efektifitas kebijakan dan prosedur pengendalian intern untuk mencapai tujuan
umum pengendalian intern yang relevan dengan audit atas laporan keuanagan entitas. Risiko
pengendalian tertentu akan selalu ada karena keterbatasan bawaan dalam setiap pengendalian
intern.

c) Risiko deteksi adalah risiko sebagai akibat auditor tidak dapat mendeteksi salah saji material
yang terdapat dalam suatu asersi. Risiko deteksi ditentukan oleh efektivitas prosedur audit dan
penerapannya oleh auditor. Risiko ini timbul sebagai karena ketidakpastian yang ada pada waktu
auditor tidak memeriksa 100% saldo akun atau golongan transaksi,dan sebagian lagi karena
ketidakpastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut diperiksa 100%.

3. Risiko audit 5%, risiko bawaan 70%, risiko pengendalian 40%.

a) Risiko deteksi

b) Manfaat perhitungan risiko deteksi dalam perencanaan audit yaitu dapat digunakan oleh
auditor dalam memutuskan jumlah bukti audit yang dikumpulkan oleh auditor dalam audit atas akun
sediaan. Jika teknik statistical sampling digunakan oleh auditor, risiko deteksi sebesar 18% tersebut
menjadi salah satu faktor yang dipertimbangkan oleh audir dalam penentuan ukuran sampel. Jika
auditor menggunakan non-statistical sampling, auditor akan memilih risiko deteksi yang lebih tinggi
dan oleh karena itu, ia akan membatasi pengujian yang dilakukan terhadap akun sediaan.

4. Perbedaan antara risiko bawaan dan risiko pengendalian dengan risiko deteksi adalah risiko
bawaan adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji
material, dengan asumsi bahwa tidak terdapat kebijakan dan prosedur pengendalian intern. Risiko
pengendalian adalah risiko terjadinya salah saji material dalam suatu asersi yang tidak dapat dicegah
atau dideteksi sacara tepat waktu oleh pengendalian intern entitas. Risiko deteksi adalah risiko
sebagai akibat auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi.

5. Hubungan antara risiko bawaan, risko pengendalian, risiko deteksi, dan risiko audit adalah
risiko bawaan dan risiko pengendalian berbeda dengan risiko deteksi. Kedua risiko yang disebut
terdahulu ada, terlepas dari dilakukan atau tidaknya audit atas laporan keuangan, sedangkan risiko
deteksi berhubungan dengan prosedur audir dan dapat diubah oleh keputusan auditor itu sendiri.
Risiko deteksi mempunyai hubungan yang terbalik dengan risiko bawaan dan risiko pengendalian.
Semakin kecil risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin besar risiko
deteksi yang dapat diterima. Sebaliknya, semakin besar risiko bawaan dan risiko pangendalian yang
diyakini oleh auditor, semakin kecil tingkat risiko deteksi yang dapat diterima. Komponen risiko audit
ini dapat ditentukan secara kuantitatif, seperti dalam bentuk persentase atau secara nonkuantitatif
yang berkisar, misalnya, dari minimum sampai maksimum.

6. Strategi awal yang dipilih auditor dalam perencanaan audit atas asersi individual atau
sekelompok asersi yang disajikan dalam laporan keuangan adalah:

a) Pendekatan trutma substantif. Dalam strategi ini, auditor mengumpulkan semua atau hampir
semua bukti audit dengan menggunakan pengujian substantif dan auditor sedikit meletakkan
kepercayaan atau tidak mempercayai pengendalian intern. Pendekatan ini biasanya mengakibatkan
penaksiran risiko pengendalian pada tingkat atau mendekati maksimum.

b) Pendekatan tingkat risiko pengendalian taksiran rendah. Dalam pendekatan ini, auditor
meletakkan kepercayaan moderat atau pada tingkat kepercayaan penuh terhadap pengendalian,
dan sebagai akibatnya auditor hanya melaksanakan sedikit pengujian substantif.

7. Dalam mengembangkan strategi audit awal untuk suatu asersi, auditor mempertimbangkan 4
faktor, yaitu:

a) Tingkat risiko pengendalian taksiran yang direncanakan.

b) Luasnya pemahaman atas pengendalian intern yang harus diperoleh.

c) Pengujian pengendalian yang harus dilaksanakan untuk menaksir risiko pengendalian.

d) Tingkat pengujian substantif yang direncanakan untuk mengurangi risiko audit ke tingkat yang
cukup rendah.

8. Perbedaan antara 2 strategi audit awal:

Pendekatan terutama substantif Pendekatan risiko pengendalian intern

1. Auditor merencanakan taksiran risiko 1. Auditor merencanakan taksiran risiko

pengendalian pada tingkat maksimum atau pengendalian pada tingkat moderat atau
mendekati maksimum. tingkat rendah.

2. Auditor merencanakan prosedur yang 2. Auditor merencanakan prosedur yang

kurang ekstensif untuk memperoleh lebih ekstensif untuk memperoleh
 pemahaman atas pengendalian intern. pemahaman atas pengendalian intern.

3. Auditor merencanakan sedikit, jika ada, 3. Auditor merencanakan pengujian

pengujian pengendalian. pengendalian secara luas.

4. Auditor merencanakan akan melakukan 4. Auditor merencanakan akan membatasi

pengujian substantif secara luas. penggunaan pengujian substansif.

PROSEDUR PENILAIAN RISIKO

TINJAUAN UMUM

Tujuan prosedur penilaian risiko adalah mengidentifikasi dan menilai risiko salah saji yang material
dalam laporan keuangan. Tujuan ini dapat dicapai melalui pemahaman mengenai entitas dan
lingkungannya, termasuk pemahaman mengenai pengendalian intern dari entitas tersebut.

· Bukti Audit

Prosedur penilaian risiko memberikan bukti audit untuk mendukung penilaian risiko pada tingkat
laporan keuangan dan pada tingkat asersi. Namun, bukti itu saja tidak cukup. Bukti prosedur
penilaian risiko harus dilengkapi dengan prosedur audit lanjutan yang merupakan tanggapan atas
risiko yang diidentifikasi, seperi pengujian pengendalian dan/atau prosedur substantif.

KETIGA PROSEDUR PENILAIAN RISIKO

ketiga prosedur penilaian risiko ini terdiri atas:

A. Prosedur menanyakan kepada manajemen dan pihak lain (inquiries of management and others)

B. pengamatan dan inspeksi (observation and inspection)

C. prosedur analitikal (analytical procedures)

MENANYAKAN KEPADA MANAJEMEN DAN PIHAK LAIN

ISA 240:17

Auditor wajib menanyakan kepada manajemen tentang:

· Peniaian oleh manajemen mengenai risiko salah saji yang material dalam laporan keuangan
karena kecurangan, termasuk tentang sifat, luas dan berapa seringnya penilaian tersebut dilakukan.

· Proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko

kecurangandalam entitas itu, termasuk risiko kecurangan yang diidentifikasi oleh manajemen atau
yang dilaporkan kepada manajemen atau risiko kecurangan mungkin terjadi dalam jenis transaksi,
saldo akun atau pengungkapan.
· Komunikasi manajemen dengan tcwg mengenai proses yang dilakukan manajemen untuk
mengidentifikasi dan menanggapi risiko kecurangan dalam entitas itu

· Komunikasi manajemen dengan karyawan, jika ada,tentang pandangan manajemen mengenai

praktik-praktik bisnis dan perilaku etis.

PROSEDUR ANALITIKAL

Prosedur analitikal sebagai prosedur penilaian risiko membantu mengidentifikasi hal-hal yang
mempunyai implikasi terhadap laporan keuangan dan audit. Disamping sebagai prosedur penilaian
risiko, prosedur analitikal juga dapat digunakan sebagai prosedur audit selanjutnya dalam:

· Memperoleh bukti mengenai asersi laporan keuangan.

· Melakukan review menyeluruh atas laporan keuangan pada atau menjelang akhir audit

Hasil prosedur analitikal dibandingkan dengan informasi yang dikumpulkan untuk:

· Mengidentifikasi risiko salah saji yang material mengenai asersi yang terkandung dalam unsur-
unsur laporan keuangan yang signifikan

· Membantu merancang sifat, waktu dan luasnya prosedur audit selanjutnya

OBSERVASI DAN INSPEKSI

Observasi atau pengamatan dan Inspeksi (oservation and inspection) mempunyai dua fungsi:

· Mendukung prosedur inquiries (bertanya) kepada manajemen dan pihak-pihak lain

· Menyediakan informasi tambahan mengenai entitas dan lingkungannya

Prosedur Potensi Penerapannya

Observasi Pertimbangan untuk mengamati:

· Bagaimana entitas beroperasi dan dikelola

· Bangunan pabrik, dan fasilitas lain yang digunakan dan dimiliki entitas

· Gaya kepemimpinan manajemen

· Pelaksanaan berbagai prosedur pengendalian internal

· Kepatuhan terhadap kebijakan utama

Inspeksi Pertimbangan untuk menginspeksi dokumen seperti :

· Rencana bisnis strategi dan proposal bisnis

· Kajian industri dan laporan median mengenai entitas

· Kontrak dan komitmen besar

 · Ketentuan perundangan dan korespondensi dengan regulator

· Korespondensi dengan pengacara bankir dan pemangku kepentingan lain

· Kebijakan dan catatan akuntansi

· Buku pedoman pengendalian internal

SUMBER LAIN MENGENAI RISIKO

Sumber Penjelasan

Prosedur Ini adalah prosedur yang dilakukan sebelum audit dimulai, yakni untuk
menerima/melanjutkan klien memutuskan apakah KAP akan menerima atau meneruskan audit
untuk entitas yang sudah menjadi kliennya tahu lalu.

Penugasan masa lalu Pengalaman dari penugasan audit atau penugasan lain di entitas
tersebut pada masa lalu, bisa dimanfaatkan untuk menilai risiko tahun
ini.

Informasi eksternal · Inquiries pada pengacara atau ahli penilaian yang digunakan
entitas

· Reviu atas laporan yang dibuat bank atau lembaga pemeringkat

(rating agencies)

· Informasi mengenai industri yang bersangkutan dan keadaan

ekonomi

Diskusi tim audit Diskusi tim audit (termasuk engagement partner-nya) mengenai
kerawanan laporan keuangan entitas tersebut terhadap risiko-risiko
tertentu
 I. PENGERTIAN RESIKO
Resiko adalah segala hambatan yang mungkin terjadi dalam pencapaian suatu
tujuan. Sedangkan menurut beberapa ahli artii dari resiko adalah sebagai berikut :

• Resiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode tertentu
(Arthur Williams dan Richard, M.H)

• Resiko adalah ketidaktentuan (uncertainy) yang mungkin melahirkan peristiwa kerugian

(loss) (A. Abas Salim)

• Resiko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto)

• Resiko adalah probalitas sesuatu hasil / outcome yang berbeda dengan yang diharapkan
(Herman Darmawi)

Sedangkan penilaian resiko menurut Muhammad Badrus adalah sebuah aktifitas

yang dilakukan untuk mendeteksi atau mengevaluasi kemungkinan adanya kesalahan atau
penurunan kualitas akibat beroperasinya suatu kegiatan. Pendapat lainnya, penilaian risiko
adalah mengkuantitatifkan atau menggolongkan tingkatan risiko agar mudah dikelola dan
dilakukan penanganan yang tepat sesuai prinsip Cost and Benefit. Penentuan resiko (risk
assessment) merupakan hal penting bagi manajemen dan auditor. Bagi manajemen
penentuan resiko merupakan tanggungjawab yang tidak terpisahkan dan dilakukan secara
terus menerus. Karena manajemen tidak dapat menetapkan tujuan dan dengan mudah
mengasumsikan bahwa tujuan tersebut telah tercapai. Banyak hambatan yang timbul dalam
pencapaian tujuan tersebut dan hambatan tersebut bisa berasal dari luar entitas maupun
dari dalam entitas. Sejumlah resiko tidaklah dalam bentuk yang statis tetapi juga dinamis
sesuai dengan perubahan yang terjadi sehingga selalu ada resiko-resiko baru yang muncul
setiap waktu. Oleh karena itu penentuan resiko harus berjalan berkelanjutan dalam proses
manajemen yang dilakukan secara terorganisir dan berurutan.

Sedangkan bagi auditor, dalam kegiatan audit harus memasukan hasil penentuan
resiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan
memang diterapkan untuk mengurangi risiko. Resiko dalam audit atau resiko audit
memperlihatkan resiko yang dihadapi auditor yang menyatakan bahwa laporan keuangan
tersebut telah benar sehingga dan pendapat auditor telah diterbitkan, tetapi pada
kenyataannya laporan tersebut ternyata tidak benar dan materialitasnya tinggi. hal tersebut
menyebabkan pendapat auditor tersebut menjadi tidak bermutu bagi para penggunanya. Hal
ini bisa terjadi karena auditor hanya mampu mengumpulkan bukti berdasarkan tes transaksi
dan kesalahan yang telah diatur sedemikian rupa menyebabkan menjadi sangat sulit
dideteksi meskipun auditor telah bekerja sesuai dengan standar audit yang berlaku.

Menurut studi yang dilakukan oleh COSO, pembahasan tentang penentuan resiko
adalah sebagai berikut:

“Setiap entitas menghadapi berbagai resiko baik dari lua maupun dari dalam yang harus
ditentukan. Persyaratan awal untuk menentukan resiko adalah adanya penetapan tujuan
yang dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi.
Penentuan resiko adalah identifikasi dan analisis resiko-resiko yang relevan untuk mencapai
tujuan entitas, yang membentuk suatu dasar untuk menentukan cara pengelolaan resiko.
Karena kondisi ekonomi, industri, peraturan, dan operasi akan terus menerus berubah,
maka dibutuhkan mekanisme untuk mengidentifikasi dan menangani resiko-resiko khusus
yang berhubungan dengan perubahan.”

Pada proses perencanaan audit, salah satu proses yang harus dilakukan oleh
seorang auditor adalah melakukan penilaian resiko bisnis klien. Auditor mempergunakan
pengetahuan yang didapatkan dari pemahaman sistem strategi akan bisnis dan industri klien
untuk melakukan penilaian resiko tersebut. Resiko bisnis klien adalah resiko dimana klien
akan gagal dalam mencapai tujuannnya. Perhatian utama seorang auditor adalah resiko dari
salah saji material dalam laporan keuangan yang disebabkan oleh resiko bisnis klien. Dalam
menilai resiko bisnis klien juga harus mempertimbangkan kontrol manajemen yang bisa
mengurangi resiko bisnis .

Auditor menerima sejumlah tingkat resiko atau ketidakpastian dalam melaksanakan

fungsi auditnya. Auditor mengenali bahwa terdapat suatu ketidakpastian tentang kompetensi
bukti, ketidakpastian tentang efektivitas dari dari pengendalian intern yang dimiliki klien,
serta ketidakpastian tentang apakah laporan keuangan telah disajikan secara wajar pada
saat audit telah selesai dilakukan. Auditor yang efektif mengenali kehadiran sejumlah risiko
serta akan bergumul dengan risiko-risiko tersebut dalam suatu cara pendekatan yang tepat.
Mayoritas risiko yang dihadapi oleh auditor sulit untuk diukur serta membutuhkan pemikiran
yang cermat agar dapat direspons dengan tepat. Menjawab berbagai risiko ini secara tepat
merupakan suatu hal kritis dalam rangka menghasilkan suatu audit yang berkualitas tinggi.

Auditor mendapat sebuah pemahaman tentang bisnis dan industri klien dan menilai
risiko bisnis klien untuk menilai kemungkinan salah saji mateial dalam laporan keuangan
klien. Auditor menggunakan model risiko audit untuk mengidentifikasikan lebih jauh
potensial untuk kesalahan saji dan dimana mereka paling mungkin terjadi.

Cara utama yang dipergunakan oleh auditor untuk

mempertimbangkan risiko yang ada dalam merencanakan bukti audit yang akan
dikumpulkan adalah melalui penerapan model risiko audit (audit risk model). Sumber dari
model risiko audit ini adalah literatur profesional yang terdapat dalam SAS 39 (AU350)
tentang sampling audit serta dalam SAS 47 (AU 312) tentang materialitas dan risiko. Model
resiko audit umumnya digunakan bagi berbagai tujuan perencanaan untuk memutuskan
berapa banyak bukti audit yang akan dikumpulkan pada setiap siklusnya. Formula atas
model resiko audit adalah sebagai berikut:

Keterangan : PDR : planned detection risk (rentan bukti yang harus dikumpulkan auditor)
 AAR : acceptable audit risk (tingkatan resiko yang masih bisa
diterima auditor)

IR : inheren risk (keyakinan atas tidak adanya salah saji diluar SPI)

CR : control risk (keyakinan atas efektifitas SPI)

II. JENIS-JENIS RESIKO

A. Risiko Deteksi Terencana
Risiko deteksi terencana (planned detection risk) merupakan ukuran risiko bahwa
bukti audit atas segmen tertentu akan gagal mendeteksi keberadaan salah saji yang
melebihi suatu nilai salah saji yang masih dapat ditoleransi, andaikan salah saji semacam itu
ada. Terdapat dua poin utama tentang risiko deteksi terencana ini yaitu sebagai berikut :

1. Risiko ini tergantung pada ketiga faktor lainnya yang terdapat dalam model. Risiko deteksi
terencana hanya akan berubah jika auditor melakukan perubahan pada salah satu dari
ketiga faktor lainnya tersebut.

2. Risiko ini menentukan nilai substantif yang direncanakan oleh auditor untuk dikumpulkan,
yang merupakan kebalikan dari ukuran risiko deteksi terencana itu sendiri.

Jika nilai risiko deteksi terencana berkurang, maka auditor harus mengumpulkan
lebih banyak bukti audit untuk mencapai nilai risiko deteksi yang berkurang ini.

B. Risko inheren
Risko inheren (inheren risiko) merupakan suatu ukuran yang dipergunakan oleh
auditor dalam menilai adanya kemungkinan bahwa terdapat sejumlah salah saji yang
material (kekeliruan atau kecurangan) dalam suatu segmen sebelum ia mempertimbangkan
keefektifan dan pengendalian intern yang ada. Dengan mengasumsikan tiadanya
pengendalian intern, maka risiko inheren ini dapat dinyatakan sebagai kerentanan laporan
keuangan terhadap timbulnya salah saji yang material. Jika auditor, dengan mengabaikan
pengendalian intern, menyimpulkan bahwa terdapat suatu kecenderungan yang tinggi atas
keberadaan sejumlah salah saji, maka auditor akan menyimpulkan bahwa tingkat risiko
inherennya tinggi. pengendalian intern diabaikan dalam menetapkan dalam menetapkan
nilai risiko inheren karena pengendalian intern ini dipertimbangkan secara terpisah dalam
model risiko audit sebagai risiko pengendalian. Penilaian ini cenderung didasarkan atas
sejumlah diskusi yang telah dilakukan dengan pihak manajemen, pemahaman yang dimiliki
akan perusahaan, serta hasil-hasil yang diperoleh dari tahun-tahun sebelumnya.

Hubungan antara risiko dengan risiko deteksi terencana serta dengan bukti audit
yang direncanakan adalah sebagai berikut : risiko inheren saling berlawanan dengan risiko
deteksi terencana serta memiliki hubungan yang searah dengan bukti audit.

Selain semakin meningkatnya bukti audit yang diperlukan untuk suatu tingkat risiko
inheren yang lebih tinggi dalam suatu area audit tertentu, merupakan hal yang umum
 dilakukan pula untuk menugaskan staf yang telah memiliki lebih banyak pengalaman untuk
melakukan audit pada area tersebut serta melakukan riview yang lebih mendalam pada
kertas kerja yang telah selesai dibuat. Sebagai contoh : jika risiko inheren atas keusangan
persediaan sanagt tinggi, maka sangatlah masuk akal bila kantor akuntan publik memilih
staf yang berpengalaman untuk melakukan sejumlah tes yang lebih mendalam atas
keusangan persediaan ini dan melakukan review yang lebih cermat atas hasil-hasil yang
diperoleh dari audit ini.

C. Resiko pengendalian
Resiko pengendalian (control risk) merupakan ukuran yang digunakan oleh auditor
untuk menilai adanya kemungkina bahwa terdapat sejumlah salah saji material yang
melebihi nilai salah saji yang masi dapat ditoleransi atas segmen tertentu akan tidak
terhadang atau tidak terdeteksi oleh pengendalian intern yang dimiliki klien. Resiko
pengendalian ini memperhatikan 2 hal berikut:

1. penilaian tentang apakah pengendalian intern yang dimiliki klien efektif untuk mencegah
atau mendeteksi terjadinya salah saji.

2. kehendak auditor membuat penilaian tersebut senantiasa berada di bawah nilai maksimum
(100 persen) sebagai bagian dari rencana audit yang dibuatnya.

Model resiko audit menunjukan hubungan yang erat antara resiko inheren dan resiko
pengendalian.

Sama dengan yang terjadi pada resiko inheren, hubungan antara resiko
pengendalian dan resiko deteksi terencana adalah saling berlawanan, sementara hubungan
antara resiko pengendalian dan bukti substantif merupakan hubungan yang searah. Sebagai
contoh, jika auditor menyimpulkan bahwa pengendalian intern bersifat efektif, maka nilai
resiko deteksi terencana dapat meningkat sehingga jumlah bukti audit yang direncanakan
akan dikumpulkan akan turun. Auditor dapat meningkatkan resiko deteksi terencana pada
saat pengendalian intern bersifat efektif karena pengendalian intern yang efektif akan
mengurangi kemungkinan hadirnya salah saji dalam laporan keuangan.

Sebelum auditor dapat menetapkan nilai resiko pengendalian kurang dari 100
persen, auditor harus memahami pengendalian intern yang ada, dan berdasarkan
pemahaman itu, auditor melakukan evaluasi tentang bagaimana seharusnya fungsi
pengendalian intern tersebut, serta melakukan uji atas efektifitas pengendalian intern
tersebut. Hal pertama dari semua ini adalah keharusan untuk memahami semua jenis audit.
Dua hal terakhir adalah langkah-langkah penilaian resiko pengendalian yang diperlukan jika
auditor memilih untuk memberikan nilai atas resiko pengendalian supaya berada di bawah
nilai maksimum.
D. Resiko akseptibilitas audit
Resiko akseptibilitas audit (acceptable audit risk) merupakan ukuran atas tingkat
kesediaan auditor untuk menerima kenyataan bahwa laporan keuangan mungkin masih
mengandung salah saji yang material setelah audit selesai dilaksanakan serta suatu laporan
audit wajar tanpa syarat telah diterbitkan. Ketika auditor memutuskan untuk menetapkan
suatu tingkat resiko akseptibilitas audit yang lebih rendah, hal tersbut berarti bahwa auditor
ingin memperoleh tingkat keyakinan yang lebih tinggi bahwa laporan keuangan tidak
mengandung salah saji yang material. Resiko nol berarti yakin sekali, dan suatu tingkat
resiko sebesar 100 persen berarti benar-benar tidak yakin.

Dalam audit terdapat istilah audit assurance atau tingkat keyakinan, yaitu merupakan
pelengkap dari resiko akseptibilitas audit. Audit assurance dihitung dengan perhitungan satu
dikurangi resiko akseptibilitas audit. Sebagai contoh, tingkat resiko akseptibilitas audit
sebesar 2 persen sama dengan tingkat audit assurance sebesar 98 persen.

Dengan mempergunakan model audit, akan terlihat adanya hubungan yang searah
antara resiko akseptibilitas audit dan resiko deteksi terencana, serta hubungan yang saling
berlawanan antara resiko akseptibilitas audit dan bukti audit yang direncanakan. Sebagai
contoh, jika auditor memutuskan akan mengurangi nilai resiko akseptibilitas audit, maka
akan mengurangi pula resiko deteksi terencana serta bukti audit yang direncanakan akan
dikumpulkan harus ditingkatkan. Auditor pun seringkali harus menugaskan staf yang lebih
berpengalaman atau mereview kertas kerja dengan lebih cermat bagi klien dengan tingkat
resiko akseptibilitas audit yang lebih rendah.

E. Resiko kecurangan
Resiko kecurangan merupakan resiko selain 4 resiko di atas dan resiko ini biasanya
di perhitungkan di luar dari model resiko audit. Karena resiko kecurangan secara konsep
dan praktek sangat sulit untuk dipisahkan faktor-faktornya ke dalam 4 jenis resiko di atas.
Kecurangan sendiri memiliki arti kesalahan penyajian yang dilakukan secara sengaja dalam
bentuk penggelapan aktiva dan kecurangan pelaporan keuangan.

Untuk menilai resiko kecurangan, auditor mengumpulkan informasi untuk

menentukan luasnya keberadaan kondisi kecurangan. Hal-hal yang menyebabkan timbulnya
resiko kecurangan antara lain tekanan yang diterima manajemen baik kelompok maupun
individual, kesempatan yang tercipta, dan perilaku manajemen untuk membiarkan terjadinya
tindakan ketidakjujuran tersebut.

III. PENILAIAN RISIKO

A. Menilai Risiko Yang Dapat Diterima ( Acceptable Audit Risk )
 Auditor harus memutuskan risiko audit yang dapat diterima yang tepat bagi suatu
audit selama perencanaan audit. Pertama, auditor memutuskan risiko risiko penugasan.

Risiko penugasan (engagement risk) adalah risiko bahwa auditor atau organisasi
yang membawahi auditor akan menderita kerugian setelah selesainya audit, walaupun
laporan audit sudah benar.

Untuk menilai risiko audit yang dapat diterima, auditor harus menilai setiap factor
yang mempengaruhi risiko audit yang dapat diterima

Faktor faktor utama yang mempengaruhi resiko penugasan dan mempengaruhi

resiko yang audit yang dapat diterima antara lain:

a. Derajat ketergantungan pemakai eksternal pada laporan keuangan

b. Kemungkinan klien mengalami kesulitan keuangan

c. Integritas manajemen

Metode yang digunakan menilai risiko audit yang dapat diterima

a. Derajat ketergantungan pemakai eksternal pada laporan keuangan

 Menelaah laporan keuangan

 Membaca notulen rapat dewan direksi unruk menentukan rencana masa depan

 Membahas rencana pembiayaan dengan manajemen.

b. Kemungkinan klien mengalami kesulitan

 Menganalisis keuangan laporan keuangan dan menggunakan prosedur analitis lainnya

 Menelaah laporan arus kas historis dan proyeksi, untuk mempelajari arus kas masuk dan
keluar

c. Integritas manajemen

 Menganalisa prosedur penerimaan klien dan kelanjutan klien.

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK

Penilaian risiko pemeriksaan yang dapat diterima secara kualitatif bisa dibagi
menjadi 3 kategori yaitu:

1. Tingkat risiko pemeriksaan yang dapat diterima rendah,

2. Tingkat risiko pemeriksaan yang dapat diterima menengah,

3. Tingkat risiko pemeriksan yang dapat diterima tinggi.

 Sedangkan penilaian risiko pemeriksaan menggunakan pendekatan kuantitatif
menetapkan tingkat risiko pemeriksaan yang dapat diterima merujuk pada ASOSAI yaitu:

1. Tingkat risiko pemeriksaan yang dapat diterima sebesar 5 %, artinya tingkat keyakinan
pemeriksa atas opininya sebesar 95% (AAR=1-tingkat keyakinan). Tingkat ini berlaku untuk
sebagian besar entitas yang diperiksa.

2. Tingkat risiko pemeriksaan yang dapat diterima sebesar 3%, artinya tingkat keyakinan
pemeriksa atas opininya sebesar 97%. Tingkat ini dinilai cukup memadai untuk beberapa
entitas yang sangat sensitif atau berisiko tinggi.

3. Tingkat risiko pemeriksaan yang dapat diterima sebesar 1%, artinya tingkat keyakinan
pemeriksa atas opininya sampai 99%. Tingkat ini berlaku bagi beberapa entitas dengan ciri-
ciri sebagai berikut:

 Entitas tersebut mempunyai pengguna eksternal yang sangat ekstensif perhatiannya

terhadap laporan keuangan entitas tersebut, dan/atau

 Entitas tersebut cukup rentan akan terjadinya salah saji material dan secara politik sensitif
dan/atau adanya harapan atas kewajaran laporan keuangan entitas tersebut sehingga
pemeriksa membutuhkan tingkat keyakinan yang sangat tinggi.

Pemeriksa harus menentukan risiko pemeriksaan yang dapat diterima berdasarkan

identifikasi kondisi entitas yang diperiksa dan juga informasi penting lainnya yang berkaitan.
Pemeriksa juga perlu mempertimbangkan harapan penugasan atas entitas diperiksa apalagi
jika entitas tersebut mempunyai stakeholders yang luas.

B. Menilai Risiko Inheren (Inherent Risk)

Auditor melakukan penilaian risiko inheren selama tahap perencanaan dan

memperbaharui penilaian tersebut selama audit berlangsung. Auditor harus mengevaluasi
informasi yang mempengaruhi risiko inheren serta memutuskan faktor risiko inheren yang
tepat bagi setiap tujuan audit.

Faktor faktor yang mempengaruhi risiko inheren :

a. Sifat bisnis klien

Risiko inheren untuk akun tertentu dipengaruhi oleh sifat bisnis klien. Pemahaman
auditor atas bisnis klien akan membantu menilai risiko inheren ini.

b. Hasil audit sebelumnya

 Salah saji yang ditemukan dalam audit tahun sebelumnya dapat ditemukan lagi
dalam audit tahun berjalan. Oleh karena itu auditor tidak boleh mengabaikan hasil audit
tahun sebelumnya selama mengembangkan proses audit di tahun berjalan.

c. Penugasan awal vs penugasan berulang

Auditor akan memperoleh pengalaman dan pengetahuan tentang kemungkinan

salah saji setelah mengaudit klien selama beberapa tahun. Auditor menetapkan risiko
inheren yang tinggi pada tahun pertama audit dan mengurangi tinggkat risikonya pada tahun
berikutnya karena telah semakin memahami klien.

d. Pihak pihak yang terkait

Pihak yang terkait yaitu perusahaan induk dengan perusahaan anak, serta
manajemen dan entitas perusahaan. Risiko inheren atas transaksi pihak yang terkait ini
sangat tinggi karena kemungkinan salah saji yang lebih besar.

e. Transaksi non rutin

Transaksi yang tidak biasa bagi klien lebih besar resikonya dibandingkan transaksi
rutin karen pengalaman untuk transaksi non rutin masih sedikit.

f. Pertimbangan yang diperlukan untuk mencatat saldo akun dan transaksi dengan tepat

Auditor harus memperbesar risiko inheren karena banyak akun memerlukan estimasi
dan banyak pertimbangan manajemen.

g. Unsur unsur populasi

Seluruh item yang membentuk populasi mempengaruhi ekspektasi auditor mengenai

salah saji yang material

h. Faktor faktor yang berkaitan dengan pelaporan keuangan yang curang dan misapropriasi
aktiva

Menurut konsep maupun praktik sangat sulit memisahkan faktor faktor risiko
kecurangan ke dalam risiko yang dapat diterima ataupun risiko inheren.

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK

Secara kualitatif, risiko inheren terbagi menjadi lebih rendah dan lebih tinggi.
Pemeriksa dapat mendokumentasikan penilaian risiko inherennya pada setiap level melalui
formulir Audit Risk Matrix (ARM). Berdasarkan analisis pada matriks ARM maka dihasilkan
akun-akun apa saja yang signifikan dan beresiko tinggi terhadap kewajaran laporan
keuangan.
a. Lebih tinggi atau 100%. Pada saat pemeriksa mengidentifikasi risiko tertentu atau faktor lain
yang menimbulkan keyakinan bahwa terdapat kemungkinan yang lebih besar akan
terjadinya kesalahan atas hal yang menurut pemeriksaan penting, pemeriksa akan menilai
risiko inheren bagi asersi laporan keuangan yang relevan dengan kriteria lebih tinggi.
Pemeriksa juga menganggap risiko inheren sebagai 100% sebagai hasil pertimbangan
profesionalnya dan bersifat konservatif.

b. Lebih rendah atau <100%. Jika pemeriksa yakin bahwa kecil kemungkinan terjadinya
kesalahan atas hal yang menurut pemeriksaan penting (dengan asumsi tidak ada
pengendalian), pemeriksa akan memberi penilaian dengan kriteria lebih rendah.

C. Menilai Risiko Deteksi Yang Direncanakan (Planned Detection Risk)

Para auditor menetapkan tingkat risiko deteksi yang dapat diterima (risiko deteksi
yang direncanakan) yang mempengaruhi tes-tes substantif yang mereka lakukan.

a. Jika tingkat risiko deteksi yang direncanakan rendah, maka auditor akan mengumpulkan
bukti sebanyak mungkin untuk menurunkan risiko kesalahan saji .

b. Tingkat risiko deteksi yang direncanakan tinggi maka auditor mengurangi pengumpulan
bukti .

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK,

Ada dua jenis risiko deteksi berkaitan dengan audit sampling, yaitu risiko prosedur
analitis dan risiko pengujian substantive.

a. Risiko prosedur analitis berasal dari keputusan pemeriksa untuk menggunakan

pertimbangannya dan menentukan apakah prosedur analitis merupakan prosedur yang
efektif dan efisien dalam mendapatkan bukti pemeriksaan yang memadai.

b. Penilaian risiko prosedur analitis sangat subyektif dan sulit untuk dikuantifikasikan. Oleh
sebab itu biasanya pemeriksa secara konservatif memberikan nilai risiko ini cukup tinggi,
yaitu antara 40% hingga 100%.

D. Menilai Risiko Pengendalian (Control Risk)

Auditor harus memahami perancangan dan pengimplementasian pengendalian

internal untuk melakukan penilaian pendahuluan atas risiko pengendalian. Setelah
memahami pengendalian internal, auditor dapat membuat penilaian pendahuluan atas risiko
pengendalian sebagai bagian dari penilaian risiko secara keseluruhan. Penilaian ini
 merupakan ukuran ekspektasi auditor bahwa pengendalian internal akan mencegah salah
saji material atau mendeteksi dan mengoreksinya jika terjadi.

Banyak auditor menggunakan matriks risiko pengendalian (control risk matrix) untuk
membantu proses penilaian risiko pengendalian. Tujuannya adalah menyediakan cara yang
mudah untuk mengatur penilaian risiko pengendalian bagi setiap tujuan audit.

Langkah langkah dalam penilaian risiko pengendalian:

 Mengidentifikasi tujuan audit

 Mengidentifikasi pengendalian yang ada

 Menghubungkan pengendalian dengan tujuan audit

 Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan dan

kelemahan yang material

 Menghubungkan defisiensi yang signifikan dan kelemahan yang material dengan tujuan
audit terkait.

 Menilai risiko pengendalian untuk setiap tujuan audit.

Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK

Setelah pemeriksa menilai risiko inheren, risiko pengendalian juga harus dinilai
sebagai bagian proses penilaian risiko dalam pemeriksaan keuangan.

Penilaian risiko pengendalian merupakan estimasi terhadap risiko pengendalian

intern yang sangat bergantung pada bagaimana hasil evaluasi pemeriksa yang
bersangkutan terhadap pengendalian intern entitas yang diperiksa, meskipun pertimbangan
profesional pemeriksa masih juga menentukan.

Apabila sistem pengendalian intern entitas yang diperiksa telah dirancang secara
memadai, dan pengujian ketaatan yang dilaksanakan pemeriksa menunjukkan bahwa
pengendalian tersebut telah dijalankan secara memadai pula, maka pemeriksa akan merasa
bahwa pengendalian intern tersebut dapat diandalkan, yang berarti bahwa dia akan
memberikan estimasi yang cukup rendah terhadap risiko ini. Demikian pula sebaliknya.

Berdasarkan matriks CRM, Pemeriksa dapat menilai risiko pengendalian menjadi

"minimum”, "moderat” atau "maksimum”untuk dimasukkan kedalam matriks ARM.

a. Minimum atau keyakinan pemeriksa sangat terjamin atas efektivitas pengendalian intern
dengan rentang risiko pengendalian sebesar 10-30%. Pemeriksa menilai pengendalian
sebagai efektif dan melaksanakan test of controls untuk mengkonfirmasikan bahwa
pengendalian telah beroperasi secara efektif sepanjang periode. Pemeriksa mengevaluasi
kecukupan dari bukti yang sudah diperoleh serta apakah bukti ini mendukung penilaian
 "minimum". Jika pemeriksa menyimpulkan bahwa bukti-bukti pemeriksaan tidak mendukung
penilaian ini, pemeriksa mempertimbangkan kembali evaluasinya atas efektivitas
pengendalian. Jika pengendalian ditemukan ternyata tidak efektif, pemeriksa menilai risiko
pengendalian sebagai "maksimum".

b. Moderat atau keyakinan pemeriksa cukup terjamin atas efektivitas pengendalian intern
dengan rentang risiko pengendalian sebesar 31-70%. Pemeriksa menyimpulkan bahwa
desain dari pengendalian adalah efektif, tetapi pemeriksa tidak melakukan test of controls
untuk mengkonfirmasikan efektifitas pelaksanaannya sepanjang periode. Pemeriksa juga
mempertimbangkan apakah pelaksanaan walkthrough yang dilakukan oleh pemeriksa
terhadap pengendalian memberikan bukti yang cukup untuk menilai risiko sebagai
"moderat". Jika pemeriksa menyimpulkan bahwa bukti tidak mendukung penilaian ini,
pemeriksa mempertimbangkan untuk mendapatkan bukti-bukti tambahan untuk mendukung
penilaian “moderat”, atau menilai risiko pengendalian sebagai "maksimum". Penilaian risiko
pengendalian ini tidak berlaku untuk akun-akun atau asersi-asersi yang dipengaruhi oleh
transaksi-transaksi yang bersifat estimasi, seperti penyusutan, penyisihan piutang ragu-
ragu.

c. Maksimum atau keyakinan pemeriksa tidak terjamin atas efektivitas pengendalian intern
dengan rentang risiko pengendalian sebesar 71-100%. Pemeriksa menilai risiko
pengendalian sebagai maksimum ketika (1) bukti pemeriksaan mengindikasikan bahwa
pengendalian tidak efektif, atau (2) setelah memperoleh pemahaman yang memadai
mengenai proses entitas yang diperiksa:

 Pemeriksa percaya bahwa pengendalian nampaknya akan tidak efektif, atau

 Pemeriksa sudah mengidentifikasi prosedur-prosedur uji substantif yang efisien dan efektif
yang diyakini penting untuk mendukung saldo akun terkait.

E. Menilai Risiko Kecurangan

Dalam menilai risiko kecurangan, SAS 99 memberikan pedoman bagi auditor.

Auditor harus mempertahankan sikap skeptisisme profesional ketika memepertimbangkan
serangkaian informasi termasuk faktor faktor risiko kecurangan, untuk dapat
mengidentifikasi dan menanggapi risiko kecurangan

a. Skeptisisme professional

Selama penugasan, bahwa tim auditor harus mempertahankan sikap dan pikiran yang selalu
mempertanyakan.

b. Evaluasi kritis atas bukti

 Auditor harus menyelidiki secara mendalam permasalahan dan kemungkinan kesalahan
salah saji yang material karen kecurangan.

c. Komunikasi di antara tim audit

Diantara auditor dapat saling bertukar pendapat terutama dengan yang telah
berpengalaman mengenai penilaian risiko kecurangan, dan bagaimana kecurangan
kecurangan itu biasanya terjadi dalam organisasi atau entitas yang diaudit.

d. Mengajukan pertanyaan kepada manajemen

Untuk menilai risiko kecurangan, auditor dapat menanyakan beberapa pertanyaan secara
langsung kepada manajemen ataupun pihak lain dalam organisasi, sehingga terbuka
kesempatan datangnya informasi yang dalam kondisi lain tidak diungkapkan oleh
manajemen ataupun pihak lain dalam organisasi.

e. Prosedur analitis

Auditor harus melakukan prosedur analitis selama tahapan perencanaan audit dan
penyelesaian audit untuk membantu mengidentifikasi kecurangan kecurangan.

f. Faktor faktor risiko

Untuk menilai resiko kecurangan, kondisi yang harus diperhatikan adalah adanya faktor
faktor risiko kecurangan (segitiga kecurangan/ fraud triangle)

 Insentif/tekanan

Manajemen atau pegawai merasakan insentif atau tekanan untuk melakukan kecurangan.
Insentif yang umum bagi entitas untuk memanipulasi laporan keuangan adalah menurunnya
prospek keuangan entitas.

 Kesempatan

Situasi yang membuka kesempatan bagi manajemen atau pegawai lain untuk melakukan
kecurangan. Risiko kecurangan yang lebih besar akan dihadapi oleh entitas yang
menggunakan banyak pertimbangan dan estimasi dalam operasinya.

 Perilaku/rasionalisasi

Karakter, sikap dan nilai nilai etis yang membolehkan manajemen dan pegawai lain bersikap
curang atau lingkungan yang menekan dan membuat adanya rasionalisasi tindakan curang.