Prosedur penilaian risiko

Acuan atau refrensi bab ini ialah ISA 240 dan ISA 315.

ISA 315.5

Auditor wajib melakukan prosedur penilaian risiko untuk mengidentifikasi dan menilai risiko
salah saji yang material pada tingkat laporan keuangan dan pada tingkat asersi. Prosedur
penilaian risiko itu sendiri tidak memberikan bukti audit yang cuku dan tepat sebagai dasar
pemberian opini audit.

ISA 315.6

Prosedur penilaian risiko meliputi berikut ini

a. Bertanya kepada manajemen dan pihak lain dalam entitas yang menurut auditor
mungkin mempunyai informasi yang dapat membantu mengidentifikasi risiko salah saji
material yang disebabkan oleh kecurangan atau kekeliruan.
b. Prosedur analitikal.
c. Pengamatan dan inspeksi.

ISA 315.11

Auditor wajib memperoleh pemahaman mengenai berikut ini.

a. Industri terkait, ketentuan perundangan, dan faktor eksternal lainnya, termasuk

kerangka pelaporan keuangan yang diterapkan.
b. Sifat entitas, termasuk :
 Operasinya;
 Struktur kepemilikan dan governancenya;
Jenis investasi atau penanaman yang dilakukan entitas dan rencana penanaman
lainnya, termasuk investasi dalam entitas bertujuan khusus; dan bagaimana struktur
keuangan entitas untuk memahami jenis transaksi, saldo akun, dan pengungkapan
yang seharusnya ada dalam laporan keuangan.
c. Pemilihan dan penerapan kebijakan akuntansi, termasuk alasan untuk mengubah
kebijakan akuntansi. Auditor wajib mengevaluasi apakah kebijakan akuntansi yang
ditetapkan entitas cocok untuk bisnis itu dan konsisten dengan kerangka pelaporan yang
ditetapkan dan kebijakan akuntansi yang ditetapkan dengan industri itu.
 d. Tujuan dan strategi entitas dan risiko bisnis terkait yang dapat berakibat pada risiko
salah saji.
e. Pengukuran dan reviu kinerja keuangan entitas.

ISA 315.12

Auditor wajib memperoleh pemahaman mengenai pengendalian internal yang relevan bagi
auditnya. Meskipun kebanyakan pengendalian yang relevan dengan audit, sangat berhubungan
dengan pelaporan keuangan, namun, tidak semua pengendalian yang berhubungan dengan
pelaporan keuangan, adalah relevan dengan audit. Dengan kearifan profesionalnya, auditor
menilai apakah suatu pengendalian, secara individu atau dalam kombinasi dengan
pengendalian lain, adalah relevan dengan auditnya.

Butir Pertimbangan

ISAs yang berikut memberikan garis besar dari hal – hal khusus yang perlu diingat
merancang sifat dan luasnya prosedur penilaian risiko.

ISA 240.16 Kecurangan dalam audit atas laporan keuangan

Ketika melaksanakan prosedur penilaian risiko dan kegiatan terkait untuk memperoleh
pemahaman mengenai entitas dan lingkungannya, termasuk pengendalian internalnya, sesuai
ketentuan ISA 315, auditor wajib melaksanakan prosedur dalam alenia 17-24 (dari ISA 240)
untuk memperoleh informasi yang digunakan untuk mengidentifikasi risiko salah saji karena
kecurangan. Lihat table 9-3 dan 9-4.

ISA 540.8 Auditing atas estimasi akuntansi

Ketika melaksanakan prosedur penilaian risiko dan kegiatan terkait untuk memperoleh
pemahaman mengenai entitas dan lingkungannnya, termasuk pengendalian internalnya, sesuai
dengan ketentuan ISA 315, auditor wajib memperoleh pemahaman mengenai hal-hal berikut
untuk memperoleh informasi yang akan digunakan untuk mengidentifikasi risiko salah saji
karena estimasi akuntansi.

a. Ketentuan mengenai estimasi akuntansi, termasuk pengungkapannya, sesuai kerangka

pelaporan keuangan yang diterapkan.
b. Bagaimana manajemen mengidentifikasi transaksi peristiwa, dan keadaan yang
mungkin membutuhkan estimasi akuntansi yang akan dimasukkan atau diungkapkan
dalam laporan keuangan. Auditor wajib menanyakan kepada manajemen tentang
 perubahan keadaan yang mungkin memerlukan estimasi akuntansi baru atau
memerlukan revisi atas estimasi akuntansi yang ada.
c. Bagaimana manajemen membuat estimasi akuntansi dan pemahaman tentang data yang
digunakan sebagai dasar, termasuk :
(i) Metode atau model yang digunakan untuk membuat estimasi akuntansi.
(ii) Pengendalian yang relevan
(iii) Apakah manajemen menggunakan tenaga ahli
(iv) Asumsi yang mendasari estimasi akuntansi
(v) Apakah ada perubahan atau seharusnya ada perubahan dari tahun lalu, dalam
membuat estimasi akuntansi, dan jika demikian, mengapa
(vi) Apakah manajemen menilai dampak ketidakpastian estimasi, dan jika demikian,
bagaimana manajemen menilai dampak tersebut.

ISA 550.11 Pihak-pihak yang berelasi (related parties)

Sebagai bagian prosedur penilaian risiko dan kegiatan terkait sesuai ketentuan ISA 315 dan
ISA 240, auditor wajib melaksanakan prosedur audit dan kegiatan terkait seperti disebutkan
dalam alinea 12-17 (dari ISA 550) untuk memperoleh informasi yang relevan guna
mengidentifikasi risiko salah saji yang material berkaitan dengan pihak-pihak yang berelasi
dan transaksi di antara pihak-pihak tersebut.

ISA 570.10 Going concern

Ketika melaksanakan prosedur penilaian risiko sesuai ketentuan ISA 315, auditor wajib
mempertimbangkan apakah ada peristiwa atau kondisi yang membuat kemampuan entitas
untuk mempertahankan hidupnya (atau melanjutkan bisninya sebagai suatu going concern)
diragukan.

Gambar 9-1 menunjukkan ketika prosedur penilaian risiko yang disebutkan dalam ISA 316.6,
yakni: (a) bertanya kepada manajemen danpihak lain (inquiries of management and others);
(b) pengamatan dan inspeksi (observation and inspection); (c) prosedur analitikal (analytical
procedure).
 Gambar 9-1

1. Selayang Pandang
Tujuan prosedur penilaina risiko adalah mengidentifikasi dan menilia risiko
salah saji yang material dalam laporan keuangan. Tujuan ini dapat dicapai melalui
pemahaman mengenai entitas dan lingkungannya, termasuk pemahaman mengenai
pengendalian intern dari entitas tersebut. Informasi dapat diperoleh dari sumber –
sumber eksternal, seperti dari internet dan publikasi yang diterbitkan asosiasi/industry
yang bersangkutan maupun dari sumber – sumber internal seperti karyawan.
Pemahaman entitas meeupakan upaya yang bersinambungan dan proses yang dinamis
dalam mengumpulkan, memutakhirkan, serta menganalisis informasi selama audit
berlangsung.
Bukti Audit
Prosedur penilaian risiko memberikan bukti audit untuk mendukung penilaian
risiko pada tingkat laporan keuangan dan pada tingkat asersi. Namun bukti itu saja tidak
cukup. Bukti dari prosedur penilaian risiko harus dilengkapi dengan prosedur audit
lanjutan yang merupakan tanggapan atas risiko yang diidentifikasi, seperti pengujian
pengendalian dan/ atau prosedur substantif.
Auditor menggunakan kearifan profesionalnya untuk menentukan prosedur
penilaian risiko yang harus dilaksanakannya, dan seberapa dalam ia perlu memahami
entitas itu. Dalam audit tahun pertama, auditor menggunakan banyak waktu untuk
memperoleh dan mendokumentasikan informasi ini. Jika informasi ini dikumentasikan
dengan baik di tahun pertama, waktu untuk mengumpulkan informasi di tahun
berikutnya seharusnya tidak sebanyak pada tahun pertama.
 Auditor perlu melaksanakan prosedur penilaian risiko yang cukup untuk
mengidentifikasi risiko bisnis dan risiko kecurangan yang bisa berdampak pada salah
saji yang material. Auditor menyelidii dengan seksama keadaan yang menimbulkan
keraguan tentang kemampuan entitas melanjutkan usahanya (going concern).
Lingkup dan luasnya pemahaman terhadap entitas disajikan dalan alinea 11 dan
12 ISA 315. Pemahaman auditor tidak sedalam pemahaman manajemen, kecuali jika
auditor itu pernah bekerja di entitas itu atau perusahaan sejenis.
2. Ketiga Prosedur Penilaian Risiko
Seperti disebutkan diawal bab ini, ketiga prosedur penilaian risiko ini terdiri
atas :
a. Prosedur menanyakan kepada manajemen dan pihak lain (inquiries of
management and others);
b. Pengamatan dan Inspeksi (observation and inspection); dan
c. Prosedur analitikal (analytical procedures).

Ketiga prosedur penilaian risiko ini dilakukan selama berlangsungnya audit.

Dalam banyak situasi, hasil dari satu prosedur akan membawa prosedur lain. Contoh,
dalam wawancara dengan manajer penjualan, terungkap adanya kontrak penjualan yan
tidak biasa. Wawancara ini (prosedur inquiry) diikuti dengan prosedur inspeksi atas
kontrak penjualan dan dilanjutkan dengan analisis (analytical procedure) mengenai
dampak terhadap margin penjualan. Atau, temuan dari pelaksanaan analytical
procedure atas angka – angka dalam draf laporan laba rugi mungkin memicu
pertanyaan bagi manajemen. Jawaban atas pertanyaan – pertanyaan itu dan membawa
auditor ke prosedur inspeksi atas dokumen tertentu atau prosedur pengamatan atas
kegiatan tertentu.

Sifat dan penggunaan masing – masing prosedur dari ketiga prosedur pemilihan
risiko ini akan dibahas berikutnya.

3. Menanyakan kepada Manajemen dan Pihak Lain

Kutipan dari ISA 240 tentangprosedur “menanyakan kepada manajemen dan
pihak lain”, termasuk menanyakan masalah kecurangan, disajikan di bawah.
ISA 240.17
Auditor wajib menyatakan kepada manajemen tentang :
a. Penilaian oleh manajemen mengenai risiko salah saji yang material dalam laporan
keuangan karena kecurangan, temasuk tentang siat, luas dan berapa seringnya
penilaian tersebut dilakukan;
b. Proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko
kecurangan dalam entitas itu, termasuk risiko kecurangan yang diidentifikasi oleh
manajemenatau yang dilaporkan kepada manajemen, atau risiko kecurangan
mungkin terjadi dalam jenis transaksi, saldo akun, atau pengungkapan.
c. Komunikasi manajemen dengan TCWG mengenai proses yang dilakukan
manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan dalam
entitas itu; dan
d. Komunikasi manajemen dengan karyawan, jika ada, tentang pandangan manajemen
mengenai praktik – praktik bisnis dan perilaku etis.

ISA 240.18

Auditor wajib menanyakan kepada manajemen, dan pihak lain di dalam entitas (jika
perlu), untuk menemukan apakah mereka mengetahui kecurangan yang terjadi, yang
disangka terjadi atau yang dituduhkan, yang mempunyai dampak pada entitas.

ISA 240.20

Kecuali jika TCWG terlibat dalam mengelola entitas, auditor wajib memperoleh
pemahaman tentang bagaimana TCWG melaksanakan pengawasan terhadap proses
yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan
dalam entitas itu dan pengendalian intern yang dibangun manajemen untuk
menanggulangi risiko tersebut.

ISA 240.21

Kecuali jika TCWG terlibat dalam mengelola entitas, auditor wajib menanyakan
kepada TCWG untuk menentukan apakah TCWG mengetahui tentang kecurangan yang
terjadi, yang dicurigai, atau yang dituduhkan, yang berdampak pada entitas. Pertanyaan
ini diajukan untuk memperkuat tanggapan atas pertanyaan serupa kepada manajemen.

Prosedur bertanya digunakan auditor dalam hubungannnya dengan prosedur

penilaian risiko lainnya, untuk mengidentifikasi risiko salah saji yang material.
Perhatian utama dalam pertanyaan yang diajukan adalah pemahaman mengenai setiap
aspek yang wajib diketahui (lihat alinea 11 dan 12 dari ISA 315).
Kebanyakan informasi dalam prosedur inquiry diperoleh dari manajemen dan mereka
yang bertanggung jawab atas pelaporan keuangan. Namun, bertanya kepada orang lain
dalam entitas itu dan pegawai sengan jenjang otoritas yang berlainan dapat memberikan
perspektif yang berbeda dan juga informasi tambahan yang dapat berguna untuk
mengidentifikasi risiko salah saji yang material yang mungkin terabaikan. Sebagai
contoh, pembicaraan dengan manajer penjualan mengungkapkan adanya transaksi
penjualan yang dilakukan pada saat – saat terakhir penutupan tahun buku dan dicatat
tidak sesuai dengan kebijakan pengakuan pendapatan entitas tersebut. Tabel 9-1
menyajikan contoh prosedur inquiry, dalam hal ini wawancara dengan siapa dan
tentang apa.

Tabel 9-1

Wawancara Dengan Untuk Menanyakan Hal – Hal Sebagai Berikut

TCWG  Lingkungan di mana laporan keuangan dibuat.
 Pengawasan (oversight) terhadap proses manajemen
untuk mengidentifikasi dan menanggapi risiko
kecurangan atau kesalahan dalam entitas, dan
pengendalian intern yang dibangun manajemen untuk
menangkal risiko ini.
Manajemen dan  Penilaian risiko oleh manajemen bahwa laporan
TCWG keuangan mungkin mengandung salah saji yang material
karena kecurangan, termasuk bertanya tentang sifat, luas,
dan seringnya penilaian tersebut dilakukan.
 Komunikasi manajemen dengan karyawan, jika ada,
tentang pandangan manajemen mengenai praktik –
praktik bisnis dan perilaku etis.
 Budaya entitas (nilai-nilai dan etika).
 Gaya kepemimpinan manajemen, khususnya dalam
operasi entitas.
 Skema insentif untuk manajemen
 Potensi manajemen “potong kendali” (management
override).
  Informasi tentang kecurangan (yang terjadi atau yang
dicurigai).
 Bagaimana estimasi akuntansi dibuat.
 Proses pembuatan dan reviu laporan keuangan
 Jika ada, komunikasi manajemen dengan TCWG.
Pegawai Kunci  Tren dalam bisnis dan peristiwa luar biasa (unusual
events).
 Bagaimana transaksi yang rumit atau luar biasa: dimulai,
diolah, atau dicatat.
 Praktik manajemen “potong kendali” (apakah pegawai
pernah diminta oleh manajemen untuk mengabaikan atau
melanggar pengendalian intern?)
 Apakah kebijakan akuntansi sudah tepat? Dilaksanakan?
Bagian Penjualan  Tren dalam strategi penjualan dan pemasaran.
 Insentif kinerja penjualan.
 Perjanjian/kontrak dengan pelanggan.
 Praktik manajemen “potong kendali” (apakah pegawai
pernah diminta oleh manajemen untuk mengabaikan atau
melanggar pengendalian intern atau melanggar kebijakan
akuntansi mengenai pengakuan pendapatan?)

Butir Pertimbangan
Dalam entitas kecil, jangan batasi pertanyaan kepada owner –manager dan
akuntan/pemegang buku. Tanya kepada pegawai lain (misalnya yang menangani
penjualan, produksi dan lain – lain) mengenai tren, peristiwa luar biasa, risiko bisnis
yang besar, berfungsi/ tidaknya pengendalian intern, dan contoh manajemen “potong
kendali”.
Jika ditemukan kemungkinan kecurangan yang melibatkan senior management ata
TCWG, konsultasikan temuan ini dengan engagement partner (partner yang mempin
audit) dan pertimbangkan untu meminta konsultasi ahli hukum dari luar entitas.
Informasi tentang kecurangan harus diperlakukan secara rahasia. Periksa kode etik
untuk mengetahui apakah ada kewajiban lain yang harus dipenuhi.
4. Prosedur Analitikal
 Prosedur analitikal sebagai prosedur penilaian risiko membantu
mengidentifikasi hal – hal yang mempunyai implikasi terhadap laporan keuangan dan
audit. Sebagai contoh, segala sesuatu yang bersifat luar biasa, seperti transaksi atau
peristiwa luar biasa, angka – angka yang terlalu tinggi, rasio – rasio yang “melenceng”
dan tren yang ganjil.
Disamping sebagai prosedur penilaian risko, prosedur analitikal juga dapat
digunakan sebagai prosedur audit selanjutnya dalam :
 Memperoleh bukti mengenai asersi laporan keuangan. Ini adalah prosedur
analitikal substantive yang dibahas di bab 31(Prosedur Audit Selanjutnya)
 Melakukan reviu menyeluruh atas laporan keuangan pada atau menjelang
akhir audit

Kebanyakan prosedur analitikal tidak terlalu detail atau rumit. Prosedur

analitikal pada umumnya menggunakan data agregatif. Ini berarti, hasil dari prosedur
analitikal hanya memberi indikasi awal yang sangat luas atau umum mengenai
terjadinya salah saji yang material. Prosedur analitikal dibahas dalam tabel 9-5.

Tabel 9-5

Apa yang Harus Bagaimana Melakukannya

Dilakukan
Tentukan hubungan Kembangkan ekspektasi mengenai hubungan yang sangat
antardata mungkin (plausible relationships) di antara berbagai informasi.
Sedapat mungkin, gunakan informasi independen/eksternal.
Informasi keuangan dan nonkeuangan antaralain terdiri atas:
 Laporan keuangan dengan pembandingan tahun – tahun
yang lalu;
 Budget, prakiraan (forecast), dan ekstrapolasi (termasuk
ekstrapolasi dengan data intern dan data tahunan); dan
 Informasi tentang industry di mana entitas beroprasi dan
kondisi ekonomi pada saat ini
Bandingkan Bandingkan ekspektasi dengan jumlah yang dicatat atau rasio
berdasarkan jumlah yang dicatat
Evaluasi Evaluasi hasilnya.
 Jika ditemukan hubungan luar biasa atau terduga (unusual or
unexpected relationships), pertimbangan potensi salah saji yang
material.

Hasil prosedur analitikal dibandingkan dengan informasi yang dikumpulkan

untuk :

 Mengidentifikasi risiko salah saji yang material mengenai asersi yang

terkandung dalam unsur – unsur laporan keuangan yang signifikan; dan
 Membantu merancang sifat, waktu, dan luasnya prosedur audit selanjutnya.

Entitas kecil mungkin tidak dapat menyediakan informasi keuangan yang

mutakhir. Mereka mungkin tidak dapat menyediakan laporan keuangan bulanan. Dalam
hal ini, beberapa informasi mungkin diperoleh melalui prosedur inquiry, namun
inquiries yang lebih detail harus menunggu sampai draf awal laporan keuangan sudah
tersedia.

5. Observasi (Pengamatan) dan Inspeksi

Observasi atau pengamatan dan inspeksi (observation and inspection)
mempunyai dua fungsi yaitu :
1. Mendukung prosedur inquiries (bertanya) kepada manajemen dan pihak –
pihak lain
2. Menyediakan informasi tambahan mengenai entitas dan lingkungannya.

Prosedur pengamatan dan inspeksi biasanya meliputi prosedur dan penerapan dari apa
yang disajikan dalam tabel 9-3.

Tabel 9-3

Prosedur Potensi penerapannya

Observasi Pertimbangkan untuk mengamati :
 Bagaimana entitas beroprasi dan dikelola;
 Bangunan, pabrik, dan fasilitas lainnya yang digunakan atau dimiliki
entitas;
 Gaya kepemimpinan manajemen dalam bidang operasional dan
sikapnya terhadap pengendalian intern;
  Pelaksanaan berbagai prosedur pengendalian intern; dan
 Kepatuhan terhadap kebijakan utama.
Inspeksi Pertimbangkan untuk menginspeksi dokumen seperti ;
 Rencana bisnis, strategi, dan proposal bisnis;
 Kajian industri dan laporan media mengenai entitas;
 Kontrak dan komitmen besar;
 Ketentuan perundang dan korespondensi dengan regulator;
 Korespondensi dengan pengacara, banker, dan pemangku kepentingan
lainnya;
 Kebijakan dan cacatan akuntansi;
 Buku pedoman (manuals) pengendalian intern;
 Laporan yang dibuat manajemen (seperti data kinerja dan laporan
keuangan interim); dan
 Laporan lain, seperti risalah rapat TCWG dan laporan konsultan dan,
lain-lain.

6. Rancangan dan Implementasi Pengendalian Internal

Prosedur penilaian risiko meliputi prosedur evaluasi atas rancangan atau desain
dan implementasi pengendalian internal. Prosedur ini secara rinci dibahas di Bab 25
(Memahami Pengendalian Internal).
7. Sumber Lain Mengenai Risiko
Prosedur – prosedur lain yang dilakukan auditor dapat digunakan untuk tujuan
penilaian risiko. Beberapa contoh disajikan dalam tabel 9-4.
Tabel 9-4
Sumber Penjelasan
Prosedur menerima/ Ini adalah prosedur yang dilakukan sebelum audit dimulai, yakni
melanjutkan klien untuk memutuskan apakah KAP akan menerima atau meneruskan
audit untuk entitas yang sudah menjadi kliennya tahun lalu. Ada
informasi penting dari prosedur ini, yang relevan dalam menilai
risiko.
Penugasan masa lalu Pengalaman dari penugasan audit atau penugasan lain di entitas
tersebut pada masa yang lalu, bisa dimanfaatkan untuk menilai
risiko tahun ini. Contoh :
  Hal – hal yang menjadi perhatian dalam audit yang lalu;
 Kelemahan dalam pengendalian intern;
 Perubahan struktur organisasi, proses bisnis, dan pengendalian
intern; dan
 Salah saji di masa yang lalu dan apakah salah saji ini dikoreksi
tepat waktu
Informasi eksternal  Inquiries pada pengacara atau ahli penilaian yang digunakan
entitas,
 Reviu atas laporan yang dibuat bank atau lembaga pemeringkat
(roating agencies).
 Informasi mengenai industri yang bersangkutan dan keadaan
ekonomi (dari internet, terbitan asosiasi perusahaan sejenis,
jurnal-jurnal ekonomi dan keuangan, dll)
Diskusi tim audit Diskusi tim audit (termasuk engagement partnernya) menegani
kerawanan laporan keuangan entitas tersebut tehadap risiko – risiko
tertentu.