INTERNAL AUDIT

Manajemen Resiko

Disusun oleh :

Riskha - 17116005
Melinda Novianti - 17116014
Putri Dwilin Agustin - 17116016
Ivandi Maulana - 17116018
Evi Sulastri - 17116021
Muhammad Rafi Bimaziz - 15102073

Universitas Trilogi
Jurusan Akuntansi
Jakarta, 2020
1. PENENTUAN RISIKO AUDIT

Tujuan penentuan risiko adalah untuk membuat karyawan sadar akan beragam risiko yang ada serta
prioritas, keterbatasan dari daftar risiko tersebut. Sejumlah risiko tidaklah statis, selalu ada risiko
yang muncul setiap waktu. Oleh karena itu penentuan risiko merupakan fungsi yang berkelanjutan
dalam proses manajemen yang harus dilakukan secara berorganisasi dan berurutan.

Memperluas Audit Berbasis Risiko

Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari observasi dan
analisis kontrol, kemudian berkelanjutan ke penentuan risiko yang berkaitan dengan operasi, dan
akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. Tujuan
merupakan dasar operasi dan tidak selalu berbentuk nyata, bisa bersidat fleksibel dan seharusnya
berorientasi ke masa depan. Para penulis tersebut merekomendasikan sebuah pendekatan yang
memeprtimbangkan terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan
risiko melalui identifikasi, pengukuran, dan penempatan prioritas, dan akhirnya melakukan
manajemen risiko dengan cara:

- Mengendalikan dan menerima risiko, atau

- Menghindari atau mendiverifikasi risiko, atau

- Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya

Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat dihindarkan disemua
jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui berbagai pilihan aktivitas.
Pilihan-pilihan tersebut mencakup:

- Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi besaran
maupun jumlah.

- Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk kemajuan
dan keuntungan.

-Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk merubah pola risiko.

- Pendiverifikasian risiko dengan menyebarkan total risiko ke operasi-operasi yang terpisah. Misalnya
menggunakan berbagai pemasok untuk bahan yang penting.

- Pembagian dan pemindahan risiko dengan melibatkan kontraktual dengan pihak ketiga untuk
menerima sebagian atau semua risiko. Contohnya adalah asuransi.

Organisasi Tanpa Proses Manajemen Risiko

IIA menerbitkan dua Practice Advisory yang berhubungan dengan manajemen risiko, Practice
Advisory 2100-4 “Peran Audit Internal dalam Organisasi yang Tidak Memiliki Proses Manajemen
Risiko,” dan Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko.” Advisory
terakhir membahas mengenai aspek audit ke dua. Advisory pertama membahas mengenai
pendekatan praktis sebagai sebuah jasa konsultasi bagi klien audit. Advisory ini merekomendasikan
auditor internal untuk:

1) Membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan manajemen risiko

dan perhatian Dewan serta menentukan penyelesaiannya menggunakan operasi dan kontrol
manajemen risiko.
2) Mengidentifikasi kesadaran manajemen dan Dewan Komisaris akan risiko dan menentukan
penyelesaiannya melalui manajemen risiko.

3) Memberitahu manajemen kekurangan yang ada pada proses manajemen risiko dan memberikan
saran untuk melaksanakan proses seperti itu.

4) Mendapatkan pemahaman atas ekspektasi manajemen dan Dewan Komisaris mengenai bantuan
audit internal yang dapat diberikan dalam proses manajemen risiko.

5) Mendapatkan konsep dari manajemen menganai peran yang harus dimainkan audit internal
dalam proses tersebut.

6) Memainkan peran yang proaktif, jika dibutuhkan, dalam pengembangan proses manajemen risiko,
dengan tetap mengingat eksposur akan terjadinya penurunan independensi.

7) Menjauhkan diri dari berperan sebagai pemilik risiko.

Risiko Audit dan Komponen-Komponen pada Audit Laporan Keuangan

Auditor dan menajemen harus mempertanyakan luas dan probabilitas risiko. Luas risiko
adalah jumlah yang berpotensi terkena risiko. Probabilitas adalah kemungkinan terjadinya risiko.
Masih terdapat hal-hal yang ahrus dipertimbangkan pada saat menentukan dampak risiko.

AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on
Auditing Standards (No. 47, No, 53, No. 55). Risiko audit terdiri dari dua tingkatan, tingkat laporan
keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan keuangan, risiko
audit adalah “risiko bahwa auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak
pendapatannya atas laporan keuangan yang salah saji secara material.” Seorang auditor diharapkan
untuk merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor
sebagai tingkat yang rendah. Dalam menentukan risiko audit pada tingkat laporan keuangan, standar
audit (AU 316) menyatakan bahwa seorang auditor harus mempertimbangkan karakteristik
manajemen, karakteristik operasi dan industri, dan karakteristik penugasan. Faktor-faktor yang
disebutkan berikut ini bisa menunjukkan situasi yang dapat meningkatkan risiko audit.

Karakteristik Manajemen

1. Kebijakan manajemen didominasi hanya oleh satu orang.

2. Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan.

3. Perputaran manajemen tinggi.

4. Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba.

5. Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.

Karakteristik Operasi dan Industri

1. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak
konsisiten.
2. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
3. Entitas berada pada industri yang meunurun.
4. Opersi entitas bersifat desentraliasasi tanpa pengawasan aktivitas yang memadai.
5. Entitas diraguakn kelangsungan hidupnya.
Karakteristik Penugasan

1. Terdapat banyak perbedaan dan/atau masalah-masalah akuntansi yang sulit.

2. Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit.

3. Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dengna jumlah yang
signifikan dan tidak biasa.

4. Sebelumnya terdaoat salah saji yang signifikan dan dideteksi selama audit atau tidak tersedia data
mengenai hal tersebut.

Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh, ukuran,
kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor ini.

Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan berdampak pada:

1) Penugasan staf;

2) Pengawasan yang dibutuhkan;

3) Keseluruhan startegi audit;

4) Tingkat skeptisme profesional;

Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi, seorang
auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan. SAS
mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan) yaitu keterjadian
atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan
pengungkapan.

Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas:

a) Risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirinya
sendiri atau dengan yang lainnya yang dapat berdampak material terhadap laporan keuangan
(disebut risiko bawaan atau risiko kontrol).

b) Risiko bahwa auditor tidak akan mendeteksi salah saji tersebut bila memang terjadi salah saji
(disebut risiko deteksi).

Jadi risiko audit pada tingkat saldo atau kelompok memiliki tiga komponen yaitu risiko bawaan, risiko
kontrol, dan risiko deteksi. Seorang auditor diharapkan untuk merencakan audit sehingga risiko audit
pada tingkat saldo atau kelompok transaksi dibatasi sehingga memungkinkan auditor memberikan
opini pada risiko audit yang rendah pada tingkat laporna keuangan.

SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor dalam
mengevaluasi risiko audit pada tingkat saldo atau kelompok transaksi:

1. Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan.

2. Masalah-masalah akuntansi yang rumit dan mengandung perbedaan.

3. Transaksi-transaksi yang sering teradi atau sulit untuk diaudit.

4. Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari audit
sebelumnya.
5. Ketentuan aktiva untuk disalah gunakan.

6. Kompetensi dan pengalaman karyawan yang memproses data.

7. Tingkat pertimbangan dalam menentukan saldo akun atau transaski.

8. Ukuran dan volume hal-hal yang mencakup dalam saldo akun atau kelas transaksi.

9. Komplesitas perhitungan.

Risiko Bawaan

Risiko bawaan (inheren risk) adalah kerentanan suatu asersi atas terjadinya salah saji yang material,
dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur konrol internal terkait
yang diterapkan. Risiko bawaan adalah risiko yang berisifat intrinstik terhadap usaha entitas. Auidtor
dapat mengevaluasi risiko bawaan yang ada pada klien dengan memperhatikan industri secara
keseluruhan. Risiko bawaan juga terdapat pada suatu organisasi akibat budaya perusahaan yang
diterapkan. Sebuah organisasi dapat dikelola secara ketat oleh suatu kelompok kecil yang memiliki
filosofi “kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa menanggapi
suatu kejadian secara langsung dan segera.” Risiko yang berorientasi pada budaya perusahaan
merupakan risiko-risiko yang melekat pada gaya manajemen.

Jika risiko-risiko bawaan pada organisasi telah diperhitungkan, langkah selanjutnya adalah menilai
tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko tersebut.
Pertimbangan-pertimbangna ini melibatkan risiko kontrol.

Risiko Kontrol

Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada suatu asersi
tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau prosedur
kontrol internal suatu entitas. Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan
yang melekat pada struktur kontrol internal.

Risiko Deteksi

Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material
yang tedapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor memutuskan
tidak memeriksa 100 persen saldo atau transaksi atau ketidakpastian lainnya. Termasuk dalam
ketidakpastian lainnya ini adalah pemilihan prosedur audit yang tidak layak, salah penerapan
prosedur audit, atau salah interpretasi hasil-hasil prosedur audit.

2. STRATEGI PENENTUAN RISIKO AUDIT

Strategi Penentuan Risiko Bell Canada

Bell Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari proses
pencatatan auditnya. Suatu perangkat dibuat untuk membantu auditor menentukan jenis atau
tingkat risiko setiap operasi yang diaudit. Setiap operasi yang diaudit dibagi ke dalam dua proses,
fungsi, atau ektivitas kunci. Bagian-bagian ini membentuk suatu sumbu pada matriks risiko. Pada
sumbu yang lain auditor membuat daftar sepuluh risiko usaha umum perusahaan. Disetiap sel
auditor menggunakan sistem skor sederhana.

1 Mengidentifkasi kemungkinan terjadi yang besar,

2 Mengidentifkasi kemungkinannya sedang,

3 Mengidentifikasi kemungkinannya kecil.
Risiko usaha:
1. Catatan Keuangan yang Salah
2. Prinsip-prinsip Akuntansi yang
Tidak Dapat Diterima
3. Interupsi Bisnis
4. Kritik Pemerintah atau Tindakan
Hukum
5. Biaya yang Berlebihan
6. Pendapatan yang Kurang
7. Kerusakan atau Kehilangan Aktiva
8. Kerugian Kompetitif Dan
Ketidakpuasan Publik/Pelanggan
9. Kecurangan dan Konflik
Kepentingan
10. Kebijakan atau Keputusan
Manajamen yang Salah
Dampak
Laporan keuangan dan catatan manajemen
keungan, pencatatan, nilai klasifikasi, atau
waktu.
Prosedur-prosedur yang tidak konsisten
dengan GAAP atau tidak sesuai dengan
kondisi.
Penurunan nilai yang signifikan terhadap
kemampuan menyediakan jasa atau terhadap
fungsi.
Sanksi berkenaan dengan hukum, peraturan,
atau otoriatas pemerintah.
Setiap pengeluaran, baik pengeluaran modal
maupun beban, yang seharusnya bisa
dihindari atau dikurangi.
Kehilangan pendapatan atau kompenasasi ke
pihak yang berhak.
Penguangan nilai atau kehilangan fasilitas,
peralatan, bahan baku, kas, atau klaim
terhadap uang atau data.
Ketidakmampuan memenuhi permintaan
pasar atau merespon secara efektif terhadap
tantangan persaingan.
Penyalahgunaan kebijakan, aturan atau etika,
atau penurunan kepercayaan. Aspek moneter
atau informasi yang menyesatkan.
Integritas informasi untuk pengambilan
keputusan manajemen yang mengakibatkan
ketidaktepatan perencanaan,
pengorganisasian, pengarahan dan lain-lain
Auditor Internal dan Risiko Perdagangan Elektronik

Kepentingan auditor dalam hal ini adalah untuk menentukan dampak fungsi perdagangan elektrinik
(electronic commerce – EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini dapat
diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI),
menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-risiko
tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini mencakup:

1. Risiko dan dampaknya terhadap organisasi.

2. Modifikasi atau aktivitas terkait yang diekomendasikan.

3. Dampak modifikasi risiko terhadap operasi.

4. Tingkat pengurangan risiko yang akan dicapai.

5. Eksposur keuangan yang terkait dengan operasi.

6. Biaya modifikasi yang dilakukan.

7. Elemen-elemen waktu.

8. Kemungkinan sukses.

9. Rekomendasi jika terdapat lebih dari satu ukuran.

Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan risiko analisis ini
harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus memahami
perkembangan dibidang ini terutama mengenai:

1. Perubahan teknologi TI yang terbaru.

2. Situasi yang diberitakan baru-baru ini.

3. Perubahan dalam operasi organisasi.

Risiko EDI

Pertukaran data elektronik (electronic data interchange – EDI) adalah sebuah sistem komunikasi
komputer-ke-komputer yang saling berhubungan untuk dokumen-dokumen bisnis yang
terstandarisasi di batas-batas organisasi. Kerawanan sistem EDI tinggi karena kegagalan sistem pada
setiap tiga tahapan, yaitu inisiasi, transaksi, dan tujuan akan mengganggu transaksi.

Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal yang berkaiatan dirinci pada
tampilan 2-1. Elemen area tersebut adalah:

1) Tercurinya akses informasi

2) Hilangnya integritas data

3) Kurang lengkapnya transaksi

4) Tidak tersedianya sistem EDI

5) Ketidakmampuan untuk mengirmkan transaksi

6) Kurangnya pedoman hukum.
Tampilan 2-1. Faktor-faktor Risiko dan Aktivitas Kontrol
Faktor-faktor Risiko
1. Akses informasi yang tidak terotorisasi.
a. Hacker mengakses sistem.
b. Interpretasi selama transisi.
c. Penyadapan (wiretapping).
2. Hilangnya Intergritas Data.
a. Perubahan/pemalsuan data.
b. Tidak adanya jejak audit dalam
bentuk kertas.
c. Hilangnya tanda tangan fisik.
d. Adanya kesalahan pada sistem.
e. Gangguan oleh karyawan yang
memiliki otoritas.
3. Kurang lengkapnya transaksi
a. Transaksi selama transmisi
b. Duplikasi transaksi akibat transmisi
ulang
4. Tidak berjalannya sistem EDI
a. Penyebab logis, seperti virus, kuda
Trojan, kesalahan program,
kesalahan perangkat keras dan
lunak.
Kontrol Internal
Kontrol akses
Kata sandi (password); mekanisme dial-
back; ID pengguna; kunci penyimpanan;
tingkat akses yang berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media yang
aman; serat optik; enkripsi; lapisan
lintasan; emplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran penahan
akses.
Pengecekan keotentikan data.
Protokol pemberitahuan.
Log terkomputerisasi.
Tanda tangan digital; mekanisme
pengesahan.
Pengecekan edit.
Pemisahan tugas; tingkat akses yang
berbeda.
Pemberitahuan.
Total kelompok; penomoran berurutan.
Pengecekan satu per satu dibandingkan
dengan arsip pengendali.
Sistem yang menoleransi kegagalan.
Paket entivirus; perangkat keras dan
perangkat lunak yang bebas kesalahan.
 b. Penyebab alami, seperti kebijakan,
banjir, gempa, kerusakan listrik,
dll.
c. Sabotase oleh orang yang memiliki
otorisasi.
5. Ketidakmampuan untuk mengirimkan
transaksi.
6. Kurangnya pedoman hukum.
Pengamanan di luar kantor, RAID, disk
mirroring.
Pelatihan; pengumuman prosedur dan
kebijakan kontrol.
Format data terstruktur/terstandarisasi;
ketaatan pada protokol ANSI/EDIFACT.
Perjanjian definisi-definisi hukum,
tanggungjawab dan keajiban.

Risiko kontrol yang tiga lapis kontrol, yaitu kontrol administratif, kontrol fisik dan perangkat lunak,
akan gagal, dihitung dengan persamaan ini:

CREDI=CRA*CRP*CPS

Keterangan:

CREDI = Risiko Kontrol Sistem EDI.

CRA = risiko Kontrol gagalnya prosedur administratif.

CRP = Risiko Kontrol gagalnya mekanisme fisik.

CRS = Risiko Kontrol gagalnya kontrol perangkat lunak.

Membuat Rencana Penentuan Risiko

Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol dan
penentuan risiko tidak dapat dipisahkan satu sama lain. Begitu risiko telah diidentifikasi, langkah
logis selanjutnya adalah membuat sarana untuk mengandalkan risiko tersebut. Studi COSO adalah
memberi definisi kontrol internal yang ada saat ini dan diakui secara luas.

Kontrol internal adalah sebuah proses, ayang dipengaruhi oleh dewan direksi entitas, manajemne,
dan karyawan lainnya, yang dirancang untuk memenuhi keyakinan yang wajar mengenai pencapaian
tujuan pada kategori-kategori berikut:

1. Efektivitas dan efisiensi operasi.

2. Keandalan pelaporan keuangan.

3. Ketaatan terhadap hukum dan regulasi yang berlaku.

Dalam pembahasan mengenai penentuan risiko, studi COSO menyatakan:

Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan:

1. Tujuan operasional – Hal ini berkaitan dengan efektivitas dan efisiensioperasi entitas, termasuk
tujuan dan kinerja profitabilitas dan pengamanan sumber daya terhadap kerugian. Tujuan-tujuan
tersebut bervariasi berdasarkan pilihan manajemen berdasarkan struktur dan kinerja.
2. Tujuan Pelaporan Keuangan – Hal ini berkaitan denga penyajian laporan keuangan yanga andal,
termasuk pencegahan pelaporan keuangan publik yang mendukung kecurangan. Tujuan-tujuan
tersebut terutama diarahkan oleh pernyataan-pernyataan eksternal.

3. Tujuan-tujuan Keteaatan – Tujuan-tuuan ini berkaiatan dengan ketaatan terhadap hukum dan
peraturan yang berlaku bagi entitas. Tujuan-tujaun tersebut tergantung pada faktor-faktor ekternal,
seperti peraturan lingkungan, dan cenderung serupa untuk semua entitas dalam beberapa kasus dan
beberapa entitas.

Definisi dari tujuan-tujuan ini membrikan titik awal untuk penentuan risiko. Tujuan-tujuan umum
tersebut dapat dirinci ke dalam tujuan-tuuan khusus dengan risiko-risiko yang dapat diidentifikasi.
Jika risiko-risiko telah diidentifikasi, berbagai pilihan kontrol dapat ditetapkan untuk risiko-risiko
tersebut dalam rangka menentukan prosedur kontrol optimal yang akan diterapkan.

Auditor harus memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan, dan
ketaatan untuk operasi tersebut:

1. Untuk menerima semua pembayaran secara tepat waktu (operasional).

2. Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi piutang usaha
(keuangan).

3. Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di cek memang
telah di setujui (operasional).

4. Untuk mencegak cek dari kehilangan atau disalahgunakan (operasional).

5. Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan bunga
maksimum (operasional).

6. Untuk memastikan informasi yang dicatat pada rekening pelanggan akan menghasilkan catatan
kredit yang akurat untuk umur piutang dan sejarah kredit pelanggan (operasional dan ketaatan).

7. Untuk menetapkan akuntabilitas bagi tindakan-tindakan yang sehubungan dengan penanganan

cek untuk menghindari tidak adanya pihak yang bertanggungjawab ketika terjadi kehilangan atau
kecurangan (operasional dan ketaatan).

8. Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai prosedur
(operasioan dan keuangan).

9. Untuk memberikan pengukuran kinerja bagi unit karyawan di dalamnya untuk memberikan
penghargaan bagi kinerja dengan kualitas yang tinggi dan memperbaiki kinerja yang memiliki
kualitas yang rendah dan tidak dapat diterima.

Manajemen Risiko

Selain penentuan risiko dan bantuan kepada manajemen dalam mengubah risiko menjadi elemen
pendapatan institusional, auidtor harus memperluas bidang audit agar bisa mencakup kontrol risiko,
pendanaan risiko, dan administrasi risiko. Jadi:

Kontrol Risiko:

1. Mendukung suatu program kontrol risiko dan kerugian secara proaktif.

2. Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko.
3. Memonitor efektivitas kontrol risiko.

Pendanaan Risiko:

1. Mempertimbangkan semua sumber kuangan yang tersedia.

2. Mempertahankan proteksi terhadap kerusakan yang mungkin muncul.

3. Mengalokasikan biaya pendanaan risiko diantara unit-unit operasi secara wajar.

Administrasi Risiko:

1. Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko.

2. Menerapkan struktur manajemen risiko yang teridentifikasi dengan baik.

3. Mengembangkan tujuan tahunan yang ditargetkan dengan jelas.

4. Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.

Tujuan-tujuan Proses Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan suatu opini
mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang tercantum
pada Practice Advisory 2110-1, “Penilaian Kecukupan Proses Manajemen Risiko.” Tujuan-tujuan ini
adalah:

1. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.

2. Manajemen dan dewan komisaris telah memutuskan tingkat risiko yang dapat diterima oleh
organisasi, termasuk penerimaan risiko yang dirancnag untuk mencapai rencana strategis organisasi.

3. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau justru
mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan dewan
komisaris.

4. Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik menilai

ulang risiko dan efektivitas kontrol untuk mengelola risiko.

5. Dewan komisaris dan manajemen menerima laporan periodik mengenai proses manajemen risiko.
Proses tata kelola organisasi harus memberikan komunikasi periodik tentang risiko, strategi risiko,
dan kontrol untuk pihak-pihak yang berkepentingan.

3. HUBUNGAN ANTAR-RISIKO

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun kualitatif. SAS
memberikan rumus berikut ini:

Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi

Ketika menggunakan rumus ini, seorang auditor dapat menilai risiko audit yang direncakan untuk
sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan risiko penemuan yang
direncakan dengan menentukan risiko deteksi.

Risiko Deteksi = Risiko Audit / (Risiko Bawaan x Risiko Kontrol)

Seorang auditor harus melaksanakan bebeapa pengujian substanstif jika terdapat salah saji material.
Dalam beberapa kasus auditor tidak dapat hanya mengandalkan penentuan risiko kontrol dan risiko
bawaan untuk menjadi pembenaran atas tidak dilaksanakannya pengujian substantif. Seorang
auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang direncanakan, penugasan staf,
dan supervisi yang dibutuhkan dalam dalam mempertimbangkan reaksi terhadap perubahan dalam
risiko deteksi.

COSO ERM

Manajemen Risiko Perusahaan (Enterprise Risk Management)

1. Pengertian Risiko

Menurut Moeller (2016), “risiko didefinisikan sebagai kemungkinan suatu peristiwa terjadi yang
akan memiliki efek buruk terhadap pencapaian tujuan organisasi”. . Risiko dapat menimbulkan
dampak yang buruk bagi organisasi apabila tidak dilakukan antisipasi dan tidak dikelola dengan baik.

2. Jenis-jenis Risiko

a. Risiko Murni (Pure Risk)

Suatu risiko disebut sebagai pure risk atau risiko murni jika suatu ketidakpastian terjadi, maka
kejadian tersebut pasti menimbulkan kerugian (Siahaan, 2009). Menurut Fahmi (2010), Risiko murni
dikelompokkan menjadi tiga tipe yaitu:

1) Risiko Aset Fisik. Risiko aset fisik merupakan risiko yang berakibat timbulnya kerugian pada aset
fisik suatu perusahaan atau organisasi. Contohnya kebakaran, bencana alam, dan sebagainya.

2) Risiko Karyawan. Risiko karyawan merupakan risiko karena apa yang dialami oleh karyawan yang
bekerja di perusahaan atau organisasi tersebut. Contohnya kecelakaan kerja sehingga aktivitas
perusahaan terganggu.

3) Risiko Legal. Risiko legal merupakan risiko dalam bidang kontrak yang mengecewakan atau
kontrak tidak berjalan sesuai dengan rencana. Contohnya perselisihan dengan perusahaan lain
sehingga adanya persoalan seperti ganti kerugian.

b. Risiko Spekulatif (Speculative Risk)

Risiko spekulatif adalah ketidakpastian apakah akan terjadi untung atau kerugian (Siahaan, 2009).
Menurut Fahmi (2010), risiko spekulatif dibagi menjadi empat tipe yaitu:

1) Risiko pasar. Risiko pasar merupakan risiko yang terjadi dari pergerakan harga pasar. Contohnya
harga saham mengalami penurunan sehingga menimbulkan kerugian.

2) Risiko Kredit. Risiko kredit merupakan risiko yang terjadi karena counterparty (mitra pengimbang)
yang gagal memenuhi kewajibannya kepada perusahaan. Contohnya timbulnya kredit macet,
persentase piutang meningkat.

3) Risiko Likuiditas. Risiko likuiditas merupakan risiko karena ketidakmampuan memenuhi kebutuhan
kas. Contohnya kepemilikan kas menurun, sehingga tidak mampu membayar hutang secara tepat
menyebabkan perusahaan harus menjual aset yang dimilikinya.

4) Risiko Operasional. Risiko operasional merupakan risiko yang disebabkan pada kegiatan
operasional yang tidak berjalan dengan lancar. Contohnya terjadi kerusakan pada komputer karena
berbagai hal termasuk terkena virus.
3. COSO Integrated ERM Framework

a. Pengertian COSO Integrated ERM Framework

Menurut Moeller (2016), COSO Enterprise Risk Management is a framework to help enterprises have
a consistent definition of their risks (Manajemen risiko perusahaan adalah sebuah kerangka kerja
untuk membantu perusahaan memiliki pemahaman yang konsisten mengenai risiko mereka).
Menurut COSO Integrated ERM Framework (2004) (dalam Moeller, 2016) Manajemen risiko
perusahaan (Enterprise Risk Management) didefinisikan sebagai berikut: “Proses yang digunakan
oleh dewan direksi, manajemen dan personil lainnya, digunakan untuk mengatur strategi di seluruh
lingkup perusahaan, mengidentifikasi kejadian yang mungkin mempengaruhi entitas, menilai dan
mengelola risiko, serta menyediakan jaminan memadai bahwa perusahaan mencapai tujuan dan
sasarannya”.Menurut COSO Integrated ERM Framework (2004) (dalam Moeller, 2016), konsep dan
poin utama didalam COSO Integrated ERM Framework yaitu :

1) ERM adalah sebuah proses.

2) Proses ERM diimplementasikan oleh orang didalam organisasi.

3) ERM diterapkan melalui strategi di seluruh lingkup perusahaan

4) Penerimaan risiko suatu organisasi harus dipertimbangkan.

5) ERM hanya menyediakan jaminan yang masuk akal terhadap pencapaian tujuan bukan jaminan
yang pasti terhadap pencapaian tujuan.

6) Sebuah ERM dirancang untuk membantu mencapai tujuan dari pengertian tersebut, dapat
disimpulkan bahwa COSO Integrated ERM Framework merupakan sebuah proses yang
diimplementasikan oleh orang-orang di perusahaan, diterapkan pada strategi di keseluruhan
perusahaan guna mencapai sasaran perusahaan.

b. Sasaran COSO integrated ERM Framework

Sasaran manajemen risiko menurut COSO Integrated ERM (2004)

(dalam Moeller, 2016) adalah :

1) Strategik (Strategic).

2) Operasi (Operations).

3) Pelaporan (Reporting).

4) Kepatuhan (Compliance).

c. Komponen COSO integrated ERM Framework

Terdapat delapan komponen manajemen risiko menurut COSO Integrated ERM (2004) (dalam
Moeller, 2016) yaitu :

1) Lingkungan Internal

Lingkungan internal merupakan landasan dasar untuk seluruh komponen didalam model ERM
perusahaan, mempengaruhi bagaimana strategi dan sasaran harus dibuat, bagaimana hubungan
risiko terkait dengan bisnis disusun, dan bagaimana risiko diidentifikasi dan direspon. Lingkungan
internal COSO Integrated ERM mencakup elemen-elemen berikut ini:

a) Filosofi Manajemen Risiko

Filosofi manajemen risiko adalah seperangkat keyakinan dan perilaku yang dirasakan bersama, yang
mencirikan bagaimana organisasi mempertimbangkan risiko dalam segala aspek di organisasi.

b) Penerimaan Risiko (risk appetite)

Penerimaan risiko dapat diartikan secara kualitatif ataupun kuantitatif tetapi seluruh level
manajemen harus memiliki pemahaman yang sama mengenai penerimaan risiko keseluruhan.

c) Sikap Dewan Direksi

Badan independen, diluar direktur harus melihat secara seksama tindakan manajemen, menanyakan
pertanyaan yang tepat, dan menyajikannya sebagai kontrol keseimbangan untuk organisasi.

d) Nilai Integritas dan Etika

Sebuah lingkungan internal organisasi juga membutuhkan standar kode etik dan integritas yang baik.
Semakin kuat nilai etika akan membantu organisasi untuk mendiskusikan suatu hal yang berpotensi
menjadi risiko terlebih dahulu untuk menghindari risiko yang merugikan organisasi.

e) Komitmen Untuk Kompetensi

Kompetensi dapat diartikan sebagai pengetahuan dan keterampilan yang diperlukan untuk
melakukan suatu tugas. Manajemen akan memutuskan bagaimana tugas-tugas tersebut dapat
diselesaikan bersamaan dengan mengembangkan strategi dan memperkerjakan orang yang tepat
untuk melakukan tugas tersebut.

f) Struktur Organisasi

Suatu organisasi harus mengembangkan struktur organisasi dengan garis wewenang yang jelas,
tanggung jawab, dan pelaporan yang tepat.

g) Penugasan Wewenang dan Tanggung JawabTingkatan dimana setiap individu dan tim diberikan

wewenang dan didorong untuk menggunakan inisiatif untuk mengarahkan berbagai isu dan
memecahkan berbagai masalah, sebatas apa yang menjadi tanggung jawab dan wewenangnya.

h) Standar Sumber Daya Manusia

Praktik-praktik berkaitan dengan rekruitmen, pelatihan, kompensasi, promosi, pendisiplinan dan

tindakan-tindakan lain yang mengandung informasi mengenai apa yang diperbolehkan, ditoleransi
maupun dilarang. Standar yang kuat diperlukan untuk memastikan bahwa aturan sumberdaya
manusia dikomunikasikan dengan seluruh stakeholder dan dijalankan.

2) Penetapan Tujuan

Selain membuat lingkungan internal yang efektif, perusahaan juga harus membuat serangkaian
tujuan strategis, yang sesuai dengan misi perusahaan dan mencakup kegiatan operasi, pelaporan,
dan kepatuhan. Perusahaan harus mendefinisikan risiko terkait dengan sasaran dan strategis
perusahaan sehingga perusahaan dapat memutuskan tingkat penerimaan dan toleransi untuk risiko
tersebut.
3) Identifikasi Kejadian

Kejadian adalah insiden atau peristiwa yang terjadi didalam organisasi yang memiliki
dampak pada implementasi strategi ERM dan pencapaian tujuan organisasi. Banyak organisasi
sekarang ini melakukan pemantauan baik pemantauan dari sisi biaya, kualitas, asuransi, kepatuhan,
dan sebagainya. Proses pemantauan tersebut harus mencakup:

a) Faktor eksternal ekonomi;

b) Faktor alami lingkungan;

c) Faktor politik;

d) Faktor sosial;

e) Faktor infrastruktur internal;

f) Faktor terkait dengan proses internal;

g) Faktor internal dan eksternal teknologi.

4) Penilaian RisikoSelama proses penetapan tujuan, manajemen harus merinci tujuan-tujuan

mereka dengan cukup jelas agar risiko dapat diidentifikasi dan dinilai. Risiko dinilai berdasarkan sifat
risiko, apakah risiko tersebut merupakan risiko bawaan atau risiko residual. Risiko bawaan (Inherent
Risk) adalah kemungkinan potensial adanya kerugian, kelemahan, penggunaan yang sia-sia pada
kegiatan itu sendiri. Sedangkan risiko residual (Residual Risk) adalah risiko yang tersisa setelah
manajemen mengimplementasikan pengendalian internal atau beberapa respon lainnya terhadap
risiko.

5) Respon Risiko

Setelah dinilai dan diidentifikasi, COSO Integrated ERM memberikan respon dengan melakukan
tinjauan secara hati-hati untuk mengestimasi kemungkinan dan dampak potensial dengan
mempertimbangkan biaya dan keuntungan yang akan diberikan ke perusahaan, mengembangkan
stategi respon risiko yang tepat terdapat empat strategi yang dapat dilakukan :

a) Menghindari Risiko

Menghindari risiko dengan tidak melakukan kegiatan-kegiatan yang menciptakan risiko.

b) Mengurangi Risiko

Mengurangi kemungkinan dampak risiko dengan menerapkan pengendalian internal yang efektif.

c) Membagikan Risiko

Perusahaan membagikan risiko dengan membeli asuransi, atau melakukan teknik pembagian risiko
lain.

d) Menerima Risiko

Perusahaan menerima risiko tanpa adanya tindakan.

6) Aktivitas Pengendalian
Aktivitas pengendalian adalah kebijakan dan prosedur yang dibutuhkan untuk memastikan respon
risiko yang diidentifikasi.

Aktivitas pengendalian meliputi:

a) Pemisahan tugas

Pemisahan tugas antara orang yang membuat transaksi dengan orang yang mengotorisasi transaksi
tersebut.

b) Jejak audit

Setiap proses harus dikelola sehingga hasil akhir dapat dengan mudah ditelusuri kembali ke transaksi
yang menghasilkan hasil akhir tersebut.

c) Keamanan dan integritas

Proses pengendalian harus memiliki prosedur pengendalian yang tepat yang hanya diotorisasi oleh
satu orang yang dapat mereview atau memodifikasi prosedur tersebut.

d) Dokumentasi

Setiap proses harus didokumentasikan dengan tepat.

7) Informasi dan Komunikasi

Komponen informasi dan komunikasi didalam COSO Integrated ERM merupakan komponen terpisah
dari proses ERM lainnya. Komponen Informasi dan komunikasi memudahkan perusahaan

untuk mendekripsikan atau mengetahui kinerja komponen lainnya.

8) Pemantauan

Pemantauan ERM sangat diperlukan untuk memastikan bahwa komponen ERM yang diterapkan
bekerja secara efektif.
 DAFTAR PUSTAKA

 https://www.academia.edu/31316029/MODUL_PENGAUDITAN_INTERNAL_STRATEGI
_PENENTUAN_RISIKO_DISUSUN_OLEH_RIZKI_NAHRIYATI_A311_13_028
 COSO (2004). Enterprise Risk Management - Integrated Framework.
 COSO (2016). Enterprise Risk Management - Aligning Risk with Strategy and Performance.
Exposure Draft per Juni 2016.
 Moeller, R. Robbert. 2016. Brink’s Modern Internal Auditing : a common body of
knowledge. Eighth edition. John Wiley & Sons, Inc, New Jersey.