Pengertian Risiko Audit (Audit Risk) & Bagaimana penerapannya?

apa sih itu risiko audit

atau audit risk (AR)? Bagaimana caranya menghitung dan bagaimana contoh terapannya?
Pertanyaan yang sangat bagus. Saya katakan bagus sebab, bagaimanapun juga, risiko audit
sifatnya fundamental di wilayah auditing. Dalam artian, auditor yang tidak menghitung risiko
sebelum menajalankan proses audit namanya “bunuh diri.” Reputasi KAP, tempat kerja
auditor, bisa rusak bila belakangan ternyata ada skandal hebat yang sedang berlangsung di
dalam perusahaan klien yang baru saja diberikan opini “wajar tanpa pengecualian” (WTP).
Bahkan, salah-salah, bisa ikut terseret kasus pidana jika kasusnya bergulir ke ranah hukum.
Kerja audit itu berisiko, apalagi audit terhadap klien kakap, thus harus benar-benar
diperhitungkan sebelum merancang prosedur audit, sehingga nantinya benar-benar aman.
Dalam artian, opini yang disampaikan bisa dipertanggungjawabkan secara profesi maupun
legal. Masalah yang paling mendasar dari audit: Adalah tidak mungkin bagi auditor untuk
memeriksa transaksi per transaksi, klas transaksi per klas transaksi, akun per akun, satu per
satu. Tidak cukup waktu. Oleh sebab itu maka auditor wajib mengukur dan memetakan risiko
audit terlebih dahulu sebelum mulai menjalankan proses pemeriksaan. Apa itu Risiko Audit
(Audit Risk)? Risiko Audit atau Audit Risk (AR) adalah kemungkinan risiko salahsaji bersifat
material dan/atau penggelapan (fraud) yang bisa lolos dari proses audit jika auditor tidak
melakukan tugasnya secara cermat. Mengingat risiko itu maka, auditor harus melakuka
pemeriksaan risiko (risk assessment) sebelum menjalankan proses audit, tepatnya pada fase
perencanaan audit (audit planning). Tujuannya: Untuk mengukur dan memetakan risiko audit
yang mungkin timbul thus bisa menentukan dimana proses pemeriksaan dilaksanakan secara
ketat dan dimana agak longgar, dimana audit penuh (full audit) dan dimana secara acak
(random audit). Jenis-Jenis Risiko Audit Ada 3 jenis risiko audit yang wajib diuji dan
dipertimbangkan oleh seorang auditor sebelum menjalankan proses audit, yaitu: (1) risiko
inherent (inherent risk), (2) risiko pengendalian (control risk) dan (3) risiko deteksi (detection
risk). 1. Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin timbul akibat
karakter bawaan dari suatu transaksi, entah karena: (a) kompleksitas transaksi dan klas
transaksi; atau (b) kompleksitas perhitungan; atau (c) aset yg mudah tercuri/digelapkan; atau
(d) ketiadaan informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa
inherent risk adalah diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga
diluar kendali pihak auditee sendiri. Dengan kata lain, auditor hanya bisa menemukan tetapi
tidak bisa melakukan apa-apa. Beberapa ciri IR yg tinggi, antara lain: Terjadi profitabilitas
dan kinerja laporan keuangan yang terus menurun; Terjadi kekurangan modal kerja; dan
Tingginya asset menganggur (tidak menghasilkan) Contoh Pemeriksaan IR: Saat memeriksa
“Pendapatan,” sebagai seorang auditor anda melihat 4 faktor penting berikut ini dalam
mengukur Risiko Inherent (Inherent Risk): Usaha Sejenis – Pertimbangkan persaingan di
lingkungan usaha sejenis yang mungkin mempengaruhi pendapatan dan aliran kas auditee.
Misalnya: faktor persaingan (mungkinkah auditee kalah dalam persaingan sehingga revenue
nya menurun?) Kompleksitas Pengakuan Pendapatan – Periksa metode pengakuan
pendapatannya, apakah mengandung kompleksitas yang berpotensi menjadi risiko? Contoh
pengakuan pendapatan dengan perhitungan kompleks dan berpotensi mengandung risiko
bawaan adalah “metode persentase penyelesaian” yang biasa digunakan oleh jenis usaha real
estate atau developer ATAU metode pengakuan pendapatan atas kontrak lainnya yang
lamanya melewati satu tahun buku. Kesulitan dalam Menakar Akurasi Perhitungan Revenue
– Periksa besarnya nilai revenue dipengaruhi oleh perhitungan yang akurasinya sulit diukur?
Misal: menggunakan “Cadangan Bad Debt” dan yang angka persentasenya menggunakan
estimasi (termasuk write off nya). Salah Saji Pada Audit Sebelumnya – Anda juga dapat
menggunakan laporan hasil audit priode sebelumnya sebagai tambahan bahan pertimbangan;
akun-akun yang kerap mengandung salah saji pada periode-periode sebelumnya besar
kemungkinannya mengandung risiko inherent. Catatan Penting: 2 (dua) faktor berikut ikut
menentukan tingginya tingkat IR Penugasan audit pertama kalinya untuk klien yang sama
oleh auditor dihitung sebagai faktor IR yang penting. Misalnya PT ABC baru IPO tanggal 1
Juni 2015, maka audit yang diselenggarakan pertama kali (untuk Laporan Keuang Per 31
Desember 2015) diasumsikan mengandung IR yang tinggi, sebab auditor tidak memiliki
informasi valid mengenai kondisi keuangan PT ABC yang bisa dipercaya. Perusahaan yang
memiliki anak/cabang dalam jumlah banyak dan melibatkan banyak mata uang asing,
diasumsikan mengandung IR yang tinggi. Sebab model perusahaan seperti ini cenderung
menghasilkan laporan keuangan yang kompleks dan besar kemungkinan terjadi banyak
kesalahan dalam proses konsolidasi laporan yang disebabkan oleh kompleksitas data
transaksi yang terlibat di dalamnya. 2. Risiko Pengendalian – Atau ‘Control Risk’ (CR)
adalah risiko yang bisa timbul akibat kelemahan sistim pengendalian intern (SPI) auditee,
entah karena desainnya yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak
mampu mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). CR tidak
bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika mereka mau.
Karakter perusahaan ber CR tinggi, antara lain: Struktur Organisasi (SO), tidak jelas dengan
pembagian tugas yang juga tidak jelas. Jika ini terjadi maka bisa dipastikan CR nya tinggi;
Lemahnya pengawasan manajemen (para manager) terhadap operasional perusahaan (ciri ini
bisa dilihat dari beberapa hal, misal: tidak ada level otorisasi transaksi yang jelas, semua
orang bisa mengakses semua data/informasi, tidak ada aktivitas supervisi, tidak pernah ada
audit fisik, tidak ada performance review, tidak ada budgeted financial statement). Kalau ini
yang terjadi maka angka persentase CR sudah pasti tinggi. Tidak memiliki auditor internal
dan komite audit. Jika ini yang tejadi maka bisa dipastikan angka CR juga tinggi. Sistim
Pengendalian Internal lemah atau tidak efektif (semua aspek SPI perlu diperiksa terlebih
dahulu untuk menentukan faktor ini, perhatikan contoh dibawah. Contoh Pemeriksaan SPI:
Yang paling klasik, anda memeriksa faktor “Pemisahan Tugas” pada departemen-departemen
yang berpotensi terjadi “Asset Fraud.” Dua jenis asset dimana kerap terjadi fraud adalah
wilayah “Persediaan” dan “Kas.” Katakanlah anda sedang memeriksa Persediaan. Di sini
anda memeriksa apakah ada 2 pekerjaan terkait atau lebih dirangkap oleh satu orang petugas?
Misal: Pegawai Purchasing merangkap sebagai petugas yang penerima barang atau pekerjaan
gudang persediaan lainnya (ini buruk); atau Pegawai Shipping merangkap sebagai petugas
gudang yang mengurus persediaan barang jadi (ini juga buruk). Foreman di bagian produksi
(yang biasa request persediaan untuk keperluan produksi) diijinkan bebas keluar-masuk
gudang persediaan bahan baku atau bahan penolong (ini buruk). Pegawai admin yang input
Receipt of Goods (ROG) memiliki kemampuan akses ke dalam data-data accounting terkait
seperti Accounts Payable (Utang) Pegawai admin yang input picking sheet di Shipping
memiliki kemampuan akses ke dalam data-data accounting terkait seperti Accounts
Receivable (Piutang). Selain aspek pemisahan tugas anda juga memeriksa akurasi saldo
Persediaan yang disajikan pada “Laporan Posisi Keuangan” (Neraca.) Ada 2 hal yang bisa
anda lakukan di sini, yaitu: Menelusuri dokumen penerimaan barang ‘masuk-dan-keluar’
gudang untuk tanggal-tanggal yang mendekati tanggal tutup buku (jika tutup buku dilakukan
tanggal 31 Desember misalnya, maka periksa dokumen barang masuk-dan-keluar tanggal 30
hingga 31). Dari hasil pemeriksaan ini mungkin anda menemukan barang persediaan yang
harusnya tidak diperhitungkan sebagai penambah saldo (atau pengurang saldo) akan tetapi
diikutkan oleh aduitee, atau sebaliknya. Melakukan perhitungan fisik secara acak (random
physical counts). Hasil penghitungan ini kemudian dibandingkan dengan hasil perhitungan
yang dilakukan oleh auditee, apakah sama? Jika beda, maka uji dengan physical count terus
dilakukan. Jika auditee menggunakan peralatan teknologi dalam mengelola persediaan
misalnya “Self-alarming antitheft tags” atau “Electronic Cash Register” (ECR), maka anda
perlu memeriksa apakah peralatan tersebut berfungsi dengan baik atau rusak atau tidak
konsisten? 3. Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul
akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau
penggelapan (fraud). DR ada dalam kendali auditor. Karena DR sepenuhnya ada pada kendali
auditor, maka sudah pasti mereka harus berupaya untuk menekan risiko ini hingga ke
tingkatakan yang paling minimal (tidak mungkin menghilangkan risiko ini sepenuhnya). Ada
4 faktor yang berpotensi menghasilkan DR yang tinggi, yaitu: Salah Mengaplikasikan
Prosedur Audit – Contoh kesalahan fatal, misalnya: anda menggunakan rasio untuk mengukur
tingkat akurasi angka saldo, dan ternyata anda menggunakan rasio yang salah. Salah
Menginterpretasikan Hasil Audit – Contoh (lanjutan yang tadi): mungkin sudah
menggunakan rasio yang benar, namun anda salah dalam menginterpretasikan hasil
perhitungan (misal: anda menyatakan inventory sudah disajikan dengan semestinya padahal
sebenarnya mengandung salahsaji bersifat material). Salah Memilih Metod Uji – Setiap saldo
akun yang disajikan pada Laporan Keuangan seharusnya diuji dengan menggunakan metode
yang paling sesuai dengan nature nya masing-masing. Anda ingin memastikan apakah suatu
penjualan memang seharusnya diakui (atau tidak diakui), maka anda mengujinya dengan
melihat tanggal transaksi yang kemudian disandingkan dengan periodisasi pelaporan (bukan
dengan menguji hitungan matematisnya) Pengujian CR Yang Kurang Intensive – DR juga
meningkat bila pengujian terhadap DR kurang intensif (beberapa wilayah pengendalian
lemah namun lolos dari pengujian karena anda tidak tahu wilayah tersebut ternyata lemah),
sehingga ada salahsaji atau fraud yang tidak terdeteksi selama proses pengujian anda
jalankan. Model Perhitungan Risiko Audit Model Risiko Audit (audit risk) yang paling
lumrah digunakan (dan diajarkan) adalah: AR = IR x CR x DR Dimana: AR = Audit Risk IR
= Inherent Risk CR = Control Risk DR = Detection Risk Model Risiko Audit ini bisa
diterapkan dengan 3 langkah berikut ini: Pertama, Kantor Akuntan Publik (KAP) biasanya
sudah mematok besaran angka persentase Audit Risk (AR) yang bisa diterima (biasanya tak
boleh lebih dari 10%). Kedua, menentukan IR dan CR. Inherent risk (IR) diukur dengan
mempertimbangkan faktor eksternal dan internal seperti yang sudah saya jelaskan di atas.
Sedangkan CR diukur dengan menilai desain dan implementasi sistim pengendalian internal
yang dimiliki oleh auditee seperti yang sudah saya jelaskan di atas. Ketiga, menentukan DR
dengan menggunakan persamaan di atas, sehingga menjadi: DR = AR/(IR x CR) Nah,
besaran DR inilah yang nantinya akan dijadikan sebagai bahan pertimbangan dalam
merancang prosedur audit, substantive test dan rencana audit secara keseluruhan. Contoh
kasus terapan (sederhana): Kantor Akuntan Publik “JAK dan Rekan” menerima penugasan
untuk mengaudit PT. ABC Tbk, untuk pertama kalinya sejak IPO. Engagement Manager,
pada fase persiapan audit, menyampaikan informasi berikut terkait PT ABC Tbk: Ini adalah
sesi audit eksternal pertama kalinya untuk PT ABC Tbk PT. ABC adalah perusahaan
kontraktor yang memiliki banyak cabang di Singapura, Malaysia, India, Dubai, Jepang dan
Australia. Tim internal Audit PT ABC baru dibentuk 2 bulan lalu; Komite Audit PT ABC
terdiri dari Board of Director member yang tidak satupun memiliki latar belakang bidang
akuntansi dan keuangan. Sementara itu KAP JAK dan Rekan mematok angka 10% sebagai
“accepted audit risk level.” Dari informasi tersebut, tim audit KAP “JAK & Rekan”
menghitung besaran angka DR yang harus diantisipasi dengan prosedur dan metode audit
yang paling efektif: Inherent Risk (IR) diperkirakan mencapai 60%, mengingat: (a) klien
adalah usaha kontraktor yang besar kemungkinannya menerapkan metode pengakuan
pendapatan bertahap melalui beberapa periode akuntansi (kompleksitas pengakuan transaksi);
(b) ini adalah audit eksternal pertamakalinya (minim informasi obyektif); dan (c) klien
memiliki tingkat kompleksitas pelporan yang tergolong tinggi dengan adanya banyak
perusahaan cabang di luar negeri dengan mata uang asing yang berbeda-beda pula. Control
Risk (CR) juga diperkirakan mencapai 60%, mengingat: (a) tim internal auditnya PT ABC
Tbk tergolong baru; (b) anggota audit komite nya terdiri dari orang-orang yang tidak
berlatarbelakang akuntansi dan keuangan—thus besar kemungkinanya tidak melakukan tugas
pengawasan yang prudent terhadap proses pencatatan dan pelaporan transkasi keuangan PT
ABC Tbk. Dari simpulan itu, maka sudah bisa ditentukan berapa besarnya angka DR yang
harus diantisipasi oleh auditor, dengan menggunakan persamaan di atas: AR = IR x CR x DR
10% = 60% x 60% x DR 0.10 = 0.60 x 0.60 x DR 0.10 = 0.36 x DR DR = 0.10/0.36 DR =
0.278 (dibulatkan) DR = 0.28 (pembulatan ke atas) DR = 28% DR = 28% inilah yang harus
diantisipasi dengan prosedur pemeriksaan yang dirancang sedemikian rupa oleh auditor,
sehingga bisa ditekan ke tingkatan yang paling minimal