BAB 11 RISIKO AUDIT

Risiko audit sifatnya fundamental di wilayah auditing. Dalam artian, auditor yang
tidak menghitung risiko sebelum menjalankan proses audit namanya “bunuh diri.”
Reputasi KAP, tempat kerja auditor, bisa rusak bila belakangan ternyata ada
skandal hebat yang sedang berlangsung di dalam perusahaan klien yang baru saja
diberikan opini “wajar tanpa pengecualian” (WTP). Bahkan, salah-salah, bisa ikut
terseret kasus pidana jika kasusnya bergulir ke ranah hukum.
Kerja audit itu berisiko, apalagi audit terhadap klien kakap, thus harus benar-benar
diperhitungkan sebelum merancang prosedur audit, sehingga nantinya benar-benar
aman. Dalam artian, opini yang disampaikan bisa dipertanggungjawabkan secara
profesi maupun legal.
Masalah yang paling mendasar dari audit:
Adalah tidak mungkin bagi auditor untuk memeriksa transaksi per transaksi, klas
transaksi per klas transaksi, akun per akun, satu per satu. Tidak cukup waktu.
Oleh sebab itu maka auditor wajib mengukur dan memetakan risiko audit terlebih
dahulu sebelum mulai menjalankan proses pemeriksaan.
apa itu risiko audit atau audit risk?
Apa itu Risiko Audit (Audit Risk)?
Risiko Audit atau Audit Risk (AR) adalah kemungkinan risiko salahsaji bersifat
material dan/atau penggelapan (fraud) yang bisa lolos dari proses audit jika auditor
tidak melakukan tugasnya secara cermat.
Mengingat risiko itu maka, auditor harus melakuka pemeriksaan risiko (risk
assessment) sebelum menjalankan proses audit, tepatnya pada fase perencanaan
audit (audit planning).
Tujuannya: Untuk mengukur dan memetakan risiko audit yang mungkin timbul
thus bisa menentukan dimana proses pemeriksaan dilaksanakan secara ketat dan
dimana agak longgar, dimana audit penuh (full audit) dan dimana secara acak
(random audit).

Jenis-Jenis Risiko Audit

Ada 3 jenis risiko audit yang wajib diuji dan dipertimbangkan oleh seorang auditor
sebelum menjalankan proses audit, yaitu: (1) risiko inherent (inherent risk), (2)
risiko pengendalian (control risk) dan (c) risiko deteksi (detection risk).
Audit Risk (AR) terdiri dari Inherent Risk (IR), Control Risk (CR) dan
Detection Risk (DR)
Untuk lebih jelasnya kita lihat satu per satu:
1. Risiko Inherent – Atau ‘Inherent Risk’ (IR) adalah risiko yang mungkin
timbul akibat karakter bawaan dari suatu transaksi, entah karena: (a) kompleksitas
transaksi dan klas transaksi; atau (b) kompleksitas perhitungan; atau (c) aset yg
mudah tercuri/digelapkan; atau (d) ketiadaan informasi yang sifatnya obyektif.
Sudah menjadi pemahaman publik bahwa inherent risk adalah diluar jangkauan
auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak auditee
sendiri. Dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa
melakukan apa-apa. Beberapa ciri IR yg tinggi, antara lain:
 Terjadi profitabilitas (dan indikator kinerja kunci lainnya) yang terus
menurun;
 Terjadi kekurangan modal kerja; dan
 Tingginya asset menganggur (tidak menghasilkan)
Contoh Pemeriksaan IR: Saat memeriksa “Pendapatan,” sebagai seorang auditor
anda melihat 4 faktor penting berikut ini dalam mengukur Risiko Inherent
(Inherent Risk):
 Usaha Sejenis – Pertimbangkan persaingan di lingkungan usaha sejenis
yang mungkin mempengaruhi pendapatan dan aliran kas auditee. Misalnya:
faktor persaingan (mungkinkah auditee kalah dalam persaingan sehingga
revenue nya menurun?)
 Kompleksitas Pengakuan Pendapatan – Periksa metode pengakuan
pendapatannya, apakah mengandung kompleksitas yang berpotensi menjadi
risiko? Contoh pengakuan pendapatan dengan perhitungan kompleks dan
berpotensi mengandung risiko bawaan adalah “metode persentase
penyelesaian” yang biasa digunakan oleh jenis usaha real estate atau developer
ATAU metode pengakuan pendapatan atas kontrak lainnya yang lamanya
melewati satu tahun buku.
 Kesulitan dalam Menakar Akurasi Perhitungan Revenue – Periksa
besarnya nilai revenue dipengaruhi oleh perhitungan yang akurasinya sulit
diukur? Misal: menggunakan “Cadangan Bad Debt” dan yang angka
persentasenya menggunakan estimasi (termasuk write off nya).
  Salah Saji Pada Audit Sebelumnya – Anda juga dapat menggunakan
laporan hasil audit priode sebelumnya sebagai tambahan bahan pertimbangan;
akun-akun yang kerap mengandung salah saji pada periode-periode
sebelumnya besar kemungkinannya mengandung risiko inherent.
Catatan Penting: 2 (dua) faktor berikut ikut menentukan tingginya tingkat IR
 Penugasan audit pertama kalinya untuk klien yang sama oleh auditor
dihitung sebagai faktor IR yang penting. Misalnya PT JAK baru IPO tanggal 1
Juni 2015, maka audit yang diselenggarakan pertama kali (untuk Laporan
Keuang Per 31 Desember 2015) diasumsikan mengandung IR yang tinggi,
sebab auditor tidak memiliki informasi valid mengenai kondisi keuangan PT
JAK yang bisa dipercaya.
 Perusahaan yang memiliki anak/cabang dalam jumlah banyak dan
melibatkan banyak mata uang asing, diasumsikan mengandung IR yang tinggi.
Sebab model perusahaan seperti ini cenderung menghasilkan laporan keuangan
yang kompleks dan besar kemungkinan terjadi banyak kesalahan dalam proses
konsolidasi laporan yang disebabkan oleh kompleksitas data transaksi yang
terlibat di dalamnya.
2. Risiko Pengendalian – Atau ‘Control Risk’ (CR) adalah risiko yang bisa timbul
akibat kelemahan sistim pengendalian intern (SPI) auditee, entah karena desainnya
yang lemah atau pelaksanaanya yang tidak sesuai desain—thus tidak mampu
mencegah potensi salahsaji bersifat material dan/atau penggelapan (fraud). CR
tidak bisa dikendalikan oleh auditor akan tetapi bisa dikendalikan oleh auditee jika
mereka mau. Karakter perusahaan ber CR tinggi, antara lain:
 Struktur Organisasi (SO), tidak jelas dengan pembagian tugas yang juga
tidak jelas. Jika ini terjadi maka bisa dipastikan CR nya tinggi;
 Lemahnya pengawasan manajemen (para manager) terhadap operasional
perusahaan (ciri ini bisa dilihat dari beberapa hal, misal: tidak ada level
otorisasi transaksi yang jelas, semua orang bisa mengakses semua
data/informasi, tidak ada aktivitas supervisi, tidak pernah ada audit fisik, tidak
ada performance review, tidak ada budgeted financial statement). Kalau ini
yang terjadi maka angka persentase CR sudah pasti tinggi.
 Tidak memiliki auditor internal dan komite audit. Jika ini yang tejadi maka
bisa dipastikan angka CR juga tinggi.
 Sistim Pengendalian Internal lemah atau tidak efektif (semua aspek SPI
perlu diperiksa terlebih dahulu untuk menentukan faktor ini, perhatikan contoh
dibawah.
Contoh Pemeriksaan SPI: Yang paling klasik, anda memeriksa faktor
“Pemisahan Tugas” pada departemen-departemen yang berpotensi terjadi “Asset
Fraud.” Dua jenis asset dimana kerap terjadi fraud adalah wilayah “Persediaan”
dan “Kas.” Katakanlah anda sedang memeriksa Persediaan. Di sini anda
memeriksa apakah ada 2 pekerjaan terkait atau lebih dirangkap oleh satu orang
petugas? Misal:
 Pegawai Purchasing merangkap sebagai petugas yang penerima barang atau
pekerjaan gudang persediaan lainnya (ini buruk); atau Pegawai Shipping
merangkap sebagai petugas gudang yang mengurus persediaan barang jadi (ini
juga buruk).
 Foreman di bagian produksi (yang biasa request persediaan untuk keperluan
produksi) diijinkan bebas keluar-masuk gudang persediaan bahan baku atau
bahan penolong (ini buruk).
 Pegawai admin yang input Receipt of Goods (ROG) memiliki kemampuan
akses ke dalam data-data accounting terkait seperti Accounts Payable (Utang)
 Pegawai admin yang input picking sheet di Shipping memiliki kemampuan
akses ke dalam data-data accounting terkait seperti Accounts Receivable
(Piutang).
Selain aspek pemisahan tugas anda juga memeriksa akurasi saldo Persediaan yang
disajikan pada “Laporan Posisi Keuangan” (Neraca.) Ada 2 hal yang bisa anda
lakukan di sini, yaitu:
 Menelusuri dokumen penerimaan barang ‘masuk-dan-keluar’ gudang untuk
tanggal-tanggal yang mendekati tanggal tutup buku (jika tutup buku dilakukan
tanggal 31 Desember misalnya, maka periksa dokumen barang masuk-dan-
keluar tanggal 30 hingga 31). Dari hasil pemeriksaan ini mungkin anda
menemukan barang persediaan yang harusnya tidak diperhitungkan sebagai
penambah saldo (atau pengurang saldo) akan tetapi diikutkan oleh aduitee, atau
sebaliknya.
 Melakukan perhitungan fisik secara acak (random physical counts). Hasil
penghitungan ini kemudian dibandingkan dengan hasil perhitungan yang
dilakukan oleh auditee, apakah sama? Jika beda, maka uji dengan physical
count terus dilakukan.
 Jika auditee menggunakan peralatan teknologi dalam mengelola persediaan
misalnya “Self-alarming antitheft tags” atau “Electronic Cash Register” (ECR),
maka anda perlu memeriksa apakah peralatan tersebut berfungsi dengan baik
atau rusak atau tidak konsisten?
Catatan:
Kombinasi IR dengan CR disebut “Risiko Salahsaji Bersifat Material”
(material misstatement risk)
Baik IR dan CR bisa diuji secara bersamaan atau terpisah.
3. Risiko Deteksi – Atau ‘Detection Risk’ (DR), adalah risiko yang bisa timbul
akibat kegagalan auditor dalam menedeteksi adanya salahsaji bersifat material
dan/atau penggelapan (fraud). DR ada dalam kendali auditor. Karena DR
sepenuhnya ada pada kendali auditor, maka sudah pasti mereka harus berupaya
untuk menekan risiko ini hingga ke tingkatakan yang paling minimal (tidak
mungkin menghilangkan risiko ini sepenuhnya). Ada 4 faktor yang berpotensi
menghasilkan DR yang tinggi, yaitu:
 Salah Mengaplikasikan Prosedur Audit – Contoh kesalahan fatal, misalnya:
anda menggunakan rasio untuk mengukur tingkat akurasi angka saldo, dan
ternyata anda menggunakan rasio yang salah.
 Salah Menginterpretasikan Hasil Audit – Contoh (lanjutan yang tadi):
mungkin sudah menggunakan rasio yang benar, namun anda salah dalam
menginterpretasikan hasil perhitungan (misal: anda menyatakan inventory
sudah disajikan dengan semestinya padahal sebenarnya mengandung salahsaji
bersifat material).
 Salah Memilih Metod Uji – Setiap saldo akun yang disajikan pada Laporan
Keuangan seharusnya diuji dengan menggunakan metode yang paling sesuai
dengan nature nya masing-masing. Anda ingin memastikan apakah suatu
penjualan memang seharusnya diakui (atau tidak diakui), maka anda
mengujinya dengan melihat tanggal transaksi yang kemudian disandingkan
dengan periodisasi pelaporan (bukan dengan menguji hitungan matematisnya)
 Pengujian CR Yang Kurang Intensive – DR juga meningkat bila pengujian
terhadap DR kurang intensif (beberapa wilayah pengendalian lemah namun
lolos dari pengujian karena anda tidak tahu wilayah tersebut ternyata lemah),
sehingga ada salahsaji atau fraud yang tidak terdeteksi selama proses pengujian
anda jalankan.
Agar hal itu tidak terjadi, maka auditor—pada fase perencanaan audit (audit
planning)—memperkirakan besaran angka DR yang akan dihadapi untuk
kemudian diantisipasi dengan prosedur, teknik dan mote audit yang akan
diterapkan. Untuk lebih jelasnya, lanjut ke paragraf berikut ini.

Model Perhtungan Risiko Audit

Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan diajarkan)
adalah:
AR = IR x CR x DR
Dimana:
AR = Audit Risk
IR = Inherent Risk
CR = Control Risk
DR = Detection Risk

Model Risiko Audit ini bisa diterapkan dengan 3 langkah berikut ini:
Pertama, Kantor Akuntan Publik (KAP) biasanya sudah mematok besaran angka
persentase Audit Risk (AR) yang bisa diterima (biasanya tak boleh lebih dari
10%).
Kedua, menentukan IR dan CR. Inherent risk (IR) diukur dengan
mempertimbangkan faktor eksternal dan internal seperti yang sudah saya jelaskan
di atas. Sedangkan CR diukur dengan menilai desain dan implementasi sistim
pengendalian internal yang dimiliki oleh auditee seperti yang sudah saya jelaskan
di atas.
Ketiga, menentukan DR dengan menggunakan persamaan di atas, sehingga
menjadi:
DR = AR/(IR x CR)
Nah, besaran DR inilah yang nantinya akan dijadikan sebagai bahan pertimbangan
dalam merancang prosedur audit, substantive test dan rencana audit secara
keseluruhan.

Contoh kasus terapan (sederhana):

Kantor Akuntan Publik “JAK dan Rekan” menerima penugasan untuk mengaudit
PT. ABC Tbk, untuk pertama kalinya sejak IPO. Engagement Manager, pada fase
persiapan audit, menyampaikan informasi berikut terkait PT ABC Tbk:
 Ini adalah sesi audit eksternal pertama kalinya untuk PT ABC Tbk
 PT. ABC adalah perusahaan kontraktor yang memiliki banyak cabang di
Singapura, Malaysia, India, Dubai, Jepang dan Australia.
 Tim internal Audit PT ABC baru dibentuk 2 bulan lalu;
 Komite Audit PT ABC terdiri dari Board of Director member yang tidak
satupun memiliki latar belakang bidang akuntansi dan keuangan.
Sementara itu KAP JAK dan Rekan mematok angka 10% sebagai “accepted audit
risk level.”
Dari informasi tersebut, tim audit KAP “JAK & Rekan” menghitung besaran angka
DR yang harus diantisipasi dengan prosedur dan metode audit yang paling efektif:

Inherent Risk (IR) diperkirakan mencapai 60%, mengingat: (a) klien adalah

usaha kontraktor yang besar kemungkinannya menerapkan metode pengakuan
pendapatan bertahap melalui beberapa periode akuntansi (kompleksitas pengakuan
transaksi); (b) ini adalah audit eksternal pertamakalinya (minim informasi
obyektif); dan (c) klien memiliki tingkat kompleksitas pelporan yang tergolong
tinggi dengan adanya banyak perusahaan cabang di luar negeri dengan mata uang
asing yang berbeda-beda pula.
Control Risk (CR) juga diperkirakan mencapai 60%, mengingat: (a) tim
internal auditnya PT ABC Tbk tergolong baru; (b) anggota audit komite nya terdiri
dari orang-orang yang tidak berlatarbelakang akuntansi dan keuangan—thus besar
kemungkinanya tidak melakukan tugas pengawasan yang prudent terhadap proses
pencatatan dan pelaporan transkasi keuangan PT ABC Tbk.
Dari simpulan itu, maka sudah bisa ditentukan berapa besarnya angka DR
yang harus diantisipasi oleh auditor, dengan menggunakan persamaan di
atas:
AR = IR x CR x DR
10% = 60% x 60% x DR
0.10 = 0.60 x 0.60 x DR
0.10 = 0.36 x DR
DR = 0.10/0.36
DR = 0.278 (dibulatkan)
DR = 0.28 (pembulatan ke atas)
DR = 28%
DR = 28% inilah yang harus diantisipasi dengan prosedur pemeriksaan yang
dirancang sedemikian rupa oleh auditor, sehingga bisa ditekan ke tingkatan yang
paling minimal.