apa sih itu risiko audit atau audit risk (AR)?

Bagaimana caranya menghitung dan

bagaimana contoh terapannya? Pertanyaan yang sangat bagus. Saya katakan bagus
sebab, bagaimanapun juga, risiko audit sifatnya fundamental di wilayah auditing.
Dalam artian, auditor yang tidak menghitung risiko sebelum menajalankan proses
audit namanya “bunuh diri.” Reputasi KAP, tempat kerja auditor, bisa rusak bila
belakangan ternyata ada skandal hebat yang sedang berlangsung di dalam perusahaan
klien yang baru saja diberikan opini “wajar tanpa pengecualian” (WTP). Bahkan,
salah-salah, bisa ikut terseret kasus pidana jika kasusnya bergulir ke ranah hukum.
Kerja audit itu berisiko, apalagi audit terhadap klien kakap, thus harus benar-benar
diperhitungkan sebelum merancang prosedur audit, sehingga nantinya benar-benar
aman. Dalam artian, opini yang disampaikan bisa dipertanggungjawabkan secara
profesi maupun legal. Masalah yang paling mendasar dari audit: Adalah tidak
mungkin bagi auditor untuk memeriksa transaksi per transaksi, klas transaksi per klas
transaksi, akun per akun, satu per satu. Tidak cukup waktu. Oleh sebab itu maka
auditor wajib mengukur dan memetakan risiko audit terlebih dahulu sebelum mulai
menjalankan proses pemeriksaan. Apa itu Risiko Audit (Audit Risk)? Risiko Audit
atau Audit Risk (AR) adalah kemungkinan risiko salahsaji bersifat material dan/atau
penggelapan (fraud) yang bisa lolos dari proses audit jika auditor tidak melakukan
tugasnya secara cermat. Mengingat risiko itu maka, auditor harus melakuka
pemeriksaan risiko (risk assessment) sebelum menjalankan proses audit, tepatnya
pada fase perencanaan audit (audit planning). Tujuannya: Untuk mengukur dan
memetakan risiko audit yang mungkin timbul thus bisa menentukan dimana proses
pemeriksaan dilaksanakan secara ketat dan dimana agak longgar, dimana audit penuh
(full audit) dan dimana secara acak (random audit). Jenis-Jenis Risiko Audit Ada 3
jenis risiko audit yang wajib diuji dan dipertimbangkan oleh seorang auditor sebelum
menjalankan proses audit, yaitu: (1) risiko inherent (inherent risk), (2) risiko
pengendalian (control risk) dan (3) risiko deteksi (detection risk). 1. Risiko Inherent –
Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat karakter bawaan
dari suatu transaksi, entah karena: (a) kompleksitas transaksi dan klas transaksi; atau
(b) kompleksitas perhitungan; atau (c) aset yg mudah tercuri/digelapkan; atau (d)
ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa
inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan,
juga diluar kendali pihak auditee sendiri. Dengan kata lain, auditor hanya bisa
menemukan tetapi tidak bisa melakukan apa-apa. Beberapa ciri IR yg tinggi, antara
lain: Terjadi profitabilitas dan kinerja laporan keuangan yang terus menurun; Terjadi
kekurangan modal kerja; dan Tingginya asset menganggur (tidak menghasilkan)
Contoh Pemeriksaan IR: Saat memeriksa “Pendapatan,” sebagai seorang auditor anda
melihat 4 faktor penting berikut ini dalam mengukur Risiko Inherent (Inherent Risk):
Usaha Sejenis – Pertimbangkan persaingan di lingkungan usaha sejenis yang
mungkin mempengaruhi pendapatan dan aliran kas auditee. Misalnya: faktor
persaingan (mungkinkah auditee kalah dalam persaingan sehingga revenue nya
menurun?) Kompleksitas Pengakuan Pendapatan – Periksa metode pengakuan
pendapatannya, apakah mengandung kompleksitas yang berpotensi menjadi risiko?
Contoh pengakuan pendapatan dengan perhitungan kompleks dan berpotensi
mengandung risiko bawaan adalah “metode persentase penyelesaian” yang biasa
digunakan oleh jenis usaha real estate atau developer ATAU metode pengakuan
pendapatan atas kontrak lainnya yang lamanya melewati satu tahun buku. Kesulitan
dalam Menakar Akurasi Perhitungan Revenue – Periksa besarnya nilai revenue
dipengaruhi oleh perhitungan yang akurasinya sulit diukur? Misal: menggunakan
“Cadangan Bad Debt” dan yang angka persentasenya menggunakan estimasi
(termasuk write off nya). Salah Saji Pada Audit Sebelumnya – Anda juga dapat
menggunakan laporan hasil audit priode sebelumnya sebagai tambahan bahan
pertimbangan; akun-akun yang kerap mengandung salah saji pada periode-periode
sebelumnya besar kemungkinannya mengandung risiko inherent. Catatan Penting: 2
(dua) faktor berikut ikut menentukan tingginya tingkat IR Penugasan audit pertama
kalinya untuk klien yang sama oleh auditor dihitung sebagai faktor IR yang penting.
Misalnya PT ABC baru IPO tanggal 1 Juni 2015, maka audit yang diselenggarakan
pertama kali (untuk Laporan Keuang Per 31 Desember 2015) diasumsikan
mengandung IR yang tinggi, sebab auditor tidak memiliki informasi valid mengenai
kondisi keuangan PT ABC yang bisa dipercaya. Perusahaan yang memiliki
anak/cabang dalam jumlah banyak dan melibatkan banyak mata uang asing,
diasumsikan mengandung IR yang tinggi. Sebab model perusahaan seperti ini
cenderung menghasilkan laporan keuangan yang kompleks dan besar kemungkinan
terjadi banyak kesalahan dalam proses konsolidasi laporan yang disebabkan oleh
kompleksitas data transaksi yang terlibat di dalamnya. 2. Risiko Pengendalian – Atau
‘Control Risk’ (CR) adalah risiko yang bisa timbul akibat kelemahan sistim
pengendalian intern (SPI) auditee, entah karena desainnya yang lemah atau
pelaksanaanya yang tidak sesuai desain—thus tidak mampu mencegah potensi
salahsaji bersifat material dan/atau penggelapan (fraud). CR tidak bisa dikendalikan
oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau. Karakter
perusahaan ber CR tinggi, antara lain: Struktur Organisasi (SO), tidak jelas dengan
pembagian tugas yang juga tidak jelas. Jika ini terjadi maka bisa dipastikan CR nya
tinggi; Lemahnya pengawasan manajemen (para manager) terhadap operasional
perusahaan (ciri ini bisa dilihat dari beberapa hal, misal: tidak ada level otorisasi
transaksi yang jelas, semua orang bisa mengakses semua data/informasi, tidak ada
aktivitas supervisi, tidak pernah ada audit fisik, tidak ada performance review, tidak
ada budgeted financial statement). Kalau ini yang terjadi maka angka persentase CR
sudah pasti tinggi. Tidak memiliki auditor internal dan komite audit. Jika ini yang
tejadi maka bisa dipastikan angka CR juga tinggi. Sistim Pengendalian Internal lemah
atau tidak efektif (semua aspek SPI perlu diperiksa terlebih dahulu untuk menentukan
faktor ini, perhatikan contoh dibawah. Contoh Pemeriksaan SPI: Yang paling klasik,
anda memeriksa faktor “Pemisahan Tugas” pada departemen-departemen yang
berpotensi terjadi “Asset Fraud.” Dua jenis asset dimana kerap terjadi fraud adalah
wilayah “Persediaan” dan “Kas.” Katakanlah anda sedang memeriksa Persediaan. Di
sini anda memeriksa apakah ada 2 pekerjaan terkait atau lebih dirangkap oleh satu
orang petugas? Misal: Pegawai Purchasing merangkap sebagai petugas yang penerima
barang atau pekerjaan gudang persediaan lainnya (ini buruk); atau Pegawai Shipping
merangkap sebagai petugas gudang yang mengurus persediaan barang jadi (ini juga
buruk). Foreman di bagian produksi (yang biasa request persediaan untuk keperluan
produksi) diijinkan bebas keluar-masuk gudang persediaan bahan baku atau bahan
penolong (ini buruk). Pegawai admin yang input Receipt of Goods (ROG) memiliki
kemampuan akses ke dalam data-data accounting terkait seperti Accounts Payable
(Utang) Pegawai admin yang input picking sheet di Shipping memiliki kemampuan
akses ke dalam data-data accounting terkait seperti Accounts Receivable (Piutang).
Selain aspek pemisahan tugas anda juga memeriksa akurasi saldo Persediaan yang
disajikan pada “Laporan Posisi Keuangan” (Neraca.) Ada 2 hal yang bisa anda lakukan
di sini, yaitu: Menelusuri dokumen penerimaan barang ‘masuk-dan-keluar’ gudang
untuk tanggal-tanggal yang mendekati tanggal tutup buku (jika tutup buku dilakukan
tanggal 31 Desember misalnya, maka periksa dokumen barang masuk-dan-keluar
tanggal 30 hingga 31). Dari hasil pemeriksaan ini mungkin anda menemukan barang
persediaan yang harusnya tidak diperhitungkan sebagai penambah saldo (atau
pengurang saldo) akan tetapi diikutkan oleh aduitee, atau sebaliknya. Melakukan
perhitungan fisik secara acak (random physical counts). Hasil penghitungan ini
kemudian dibandingkan dengan hasil perhitungan yang dilakukan oleh auditee,
apakah sama? Jika beda, maka uji dengan physical count terus dilakukan. Jika auditee
menggunakan peralatan teknologi dalam mengelola persediaan misalnya “Self-
alarming antitheft tags” atau “Electronic Cash Register” (ECR), maka anda perlu
memeriksa apakah peralatan tersebut berfungsi dengan baik atau rusak atau tidak
konsisten? 3. Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa
timbul akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material
dan/atau penggelapan (fraud). DR ada dalam kendali auditor. Karena DR sepenuhnya
ada pada kendali auditor, maka sudah pasti mereka harus berupaya untuk menekan
risiko ini hingga ke tingkatakan yang paling minimal (tidak mungkin menghilangkan
risiko ini sepenuhnya). Ada 4 faktor yang berpotensi menghasilkan DR yang tinggi,
yaitu: Salah Mengaplikasikan Prosedur Audit – Contoh kesalahan fatal, misalnya:
anda menggunakan rasio untuk mengukur tingkat akurasi angka saldo, dan ternyata
anda menggunakan rasio yang salah. Salah Menginterpretasikan Hasil Audit – Contoh
(lanjutan yang tadi): mungkin sudah menggunakan rasio yang benar, namun anda
salah dalam menginterpretasikan hasil perhitungan (misal: anda menyatakan
inventory sudah disajikan dengan semestinya padahal sebenarnya mengandung
salahsaji bersifat material). Salah Memilih Metod Uji – Setiap saldo akun yang
disajikan pada Laporan Keuangan seharusnya diuji dengan menggunakan metode
yang paling sesuai dengan nature nya masing-masing. Anda ingin memastikan apakah
suatu penjualan memang seharusnya diakui (atau tidak diakui), maka anda
mengujinya dengan melihat tanggal transaksi yang kemudian disandingkan dengan
periodisasi pelaporan (bukan dengan menguji hitungan matematisnya) Pengujian CR
Yang Kurang Intensive – DR juga meningkat bila pengujian terhadap DR kurang
intensif (beberapa wilayah pengendalian lemah namun lolos dari pengujian karena
anda tidak tahu wilayah tersebut ternyata lemah), sehingga ada salahsaji atau fraud
yang tidak terdeteksi selama proses pengujian anda jalankan. Model Perhitungan
Risiko Audit Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan
diajarkan) adalah: AR = IR x CR x DR Dimana: AR = Audit Risk IR = Inherent Risk
CR = Control Risk DR = Detection Risk Model Risiko Audit ini bisa diterapkan dengan
3 langkah berikut ini: Pertama, Kantor Akuntan Publik (KAP) biasanya sudah
mematok besaran angka persentase Audit Risk (AR) yang bisa diterima (biasanya tak
boleh lebih dari 10%). Kedua, menentukan IR dan CR. Inherent risk (IR) diukur
dengan mempertimbangkan faktor eksternal dan internal seperti yang sudah saya
jelaskan di atas. Sedangkan CR diukur dengan menilai desain dan implementasi sistim
pengendalian internal yang dimiliki oleh auditee seperti yang sudah saya jelaskan di
atas. Ketiga, menentukan DR dengan menggunakan persamaan di atas, sehingga
menjadi: DR = AR/(IR x CR) Nah, besaran DR inilah yang nantinya akan dijadikan
sebagai bahan pertimbangan dalam merancang prosedur audit, substantive test dan
rencana audit secara keseluruhan. Contoh kasus terapan (sederhana): Kantor
Akuntan Publik “JAK dan Rekan” menerima penugasan untuk mengaudit PT. ABC
Tbk, untuk pertama kalinya sejak IPO. Engagement Manager, pada fase persiapan
audit, menyampaikan informasi berikut terkait PT ABC Tbk: Ini adalah sesi audit
eksternal pertama kalinya untuk PT ABC Tbk PT. ABC adalah perusahaan kontraktor
yang memiliki banyak cabang di Singapura, Malaysia, India, Dubai, Jepang dan
Australia. Tim internal Audit PT ABC baru dibentuk 2 bulan lalu; Komite Audit PT
ABC terdiri dari Board of Director member yang tidak satupun memiliki latar belakang
bidang akuntansi dan keuangan. Sementara itu KAP JAK dan Rekan mematok angka
10% sebagai “accepted audit risk level.” Dari informasi tersebut, tim audit KAP “JAK
& Rekan” menghitung besaran angka DR yang harus diantisipasi dengan prosedur dan
metode audit yang paling efektif: Inherent Risk (IR) diperkirakan mencapai 60%,
mengingat: (a) klien adalah usaha kontraktor yang besar kemungkinannya
menerapkan metode pengakuan pendapatan bertahap melalui beberapa periode
akuntansi (kompleksitas pengakuan transaksi); (b) ini adalah audit eksternal
pertamakalinya (minim informasi obyektif); dan (c) klien memiliki tingkat
kompleksitas pelporan yang tergolong tinggi dengan adanya banyak perusahaan
cabang di luar negeri dengan mata uang asing yang berbeda-beda pula. Control Risk
(CR) juga diperkirakan mencapai 60%, mengingat: (a) tim internal auditnya PT ABC
Tbk tergolong baru; (b) anggota audit komite nya terdiri dari orang-orang yang tidak
berlatarbelakang akuntansi dan keuangan—thus besar kemungkinanya tidak
melakukan tugas pengawasan yang prudent terhadap proses pencatatan dan
pelaporan transkasi keuangan PT ABC Tbk. Dari simpulan itu, maka sudah bisa
ditentukan berapa besarnya angka DR yang harus diantisipasi oleh auditor, dengan
menggunakan persamaan di atas: AR = IR x CR x DR 10% = 60% x 60% x DR 0.10 =
0.60 x 0.60 x DR 0.10 = 0.36 x DR DR = 0.10/0.36 DR = 0.278 (dibulatkan) DR =
0.28 (pembulatan ke atas) DR = 28% DR = 28% inilah yang harus diantisipasi dengan
prosedur pemeriksaan yang dirancang sedemikian rupa oleh auditor, sehingga bisa
ditekan ke tingkatan yang paling minimal.