MODUL EDP AUDIT

PERTEMUAN 10

PENENTUAN TINGKAT RESIKO

A. TUJUAN PEMBELAJARAN
Pada bab ini akan dijelaskan mengenai penentuan tingkat resiko.
Melalui makalah ini, anda harus mampu:
1.1 Mampu menjelaskan memahami jenis resiko dan tingkatnya
1.2 Mampu menjelaskan deteksi dini terhadap resiko
1.3 Mampu menimalkan resiko yang timbul
1.4 Mampu menjelaskan hasil dari rekomendasi deteksi resiko

B. URAIAN MATERI
Penentuan tingkat resiko dan pemahaman menyeluruh mengenai tingkat resiko
dalam operasional perusahaan itu bagi auditor penting. Pemahaman dan
penentuan resiko dilakukan untuk tercapainya tujuan bisnis perusahaan.
Pendeteksian resiko dan penilaian tingkat resiko sebagai awal dari dimulainya
proses audit SI/TI. Semakin cepat resiko dapat dideteksi auditor dapat secara baik
dan tepat dalam memberikan rekomendasi. Berikut gambar dari penilaian kondisi
dan penentuan tingkat resiko dalam perusahaan.

Gambar
Penilaian kondisi dan penentuan tingkat resiko

JULIAN MARADINA, S.E., M.SI., AK., CA 1

MODUL EDP AUDIT

Adapun penentuan tingkat resiko dilakukan melalui dua aktivitas yang

saling berhubungan, yakni: penilaian resiko (risk assessment) dan analisis resiko
(risk analysis). Tahapan penentuan tingkat resiko akan didahului dengan penilaian
resiko yang merupakan penilaian dampak kemungkinan resiko yang terjadi pada
tiap proses bisnis yang ada. Pada saat melakukan penilaian resiko tersebut,
pengaudit SI/TI‟ perlu memperhatikan juga mengenai resiko kesalahan audit dari
proses bisnis terkait sebagai bahan pertimbangan penilaian besarnya dampak yang
ditimbulkan jika kesalahan tersebut terjadi. Dengan demikian diharapkan
penilaian dilakukan dengan ketelitian yang lebih tinggi terhadap proses bisnis
yang kritis.
Setelah dilakukan penilaian resiko, pengaudit SI/TI kemudian menentukan
tingkat resiko dari proses bisnis terkait. Penentuan tersebut didahului dengan
tingkat besarnya dampak dan probabilitas kemungkinan kejadian proses dalam
tingkatan low) medium dan high. Konjungsi dari dampak dan probabilitas tersebut
akan menghasilkan proses bisnis dengan kemungkinan variansi kelompok
tingkatan yang sama, yakni: low) medium dan high.
Langkah selanjutnya adalah melakukan pemilihan terhadap proses bisnis
yang telah didukung oleh TI dari proses bisnis dari hasil penilaian resiko tersebut
yang tingkat resikonya tinggi (high). Sedangkan proses bisnis yang tidak
didukung oleh TI namun dari hasil penilaian resiko ternyata tingkat resikonya
tinggi (high), tetap dikumpulkan dan dijadikan sebagai catatan yang akan
dibutuhkan dalam penyusunan rekomendasi Audit SI/TI nantinya.

Auditor harus memutuskan risiko audit yang dapat diterima yang tepat
bagi suatu audit selama perencanaan audit. Pertama, auditor memutuskan risiko
risiko penugasan. Risiko penugasan (engagement risk) adalah risiko bahwa
auditor atau organisasi yang membawahi auditor akan menderita kerugian setelah
selesainya audit, walaupun laporan audit sudah benar. Untuk menilai risiko audit
yang dapat diterima, auditor harus menilai setiap faktor yang mempengaruhi
risiko audit yang dapat diterima
Faktor faktor utama yang mempengaruhi resiko penugasan dan
mempengaruhi resiko yang audit yang dapat diterima antara lain:
a. Derajat ketergantungan pemakai eksternal pada laporan keuangan
b. Kemungkinan klien mengalami kesulitan keuangan
c. Integritas manajemen

JULIAN MARADINA, S.E., M.SI., AK., CA 2

MODUL EDP AUDIT

Metode yang digunakan menilai risiko audit yang dapat diterima

a. Derajat ketergantungan pemakai eksternal pada laporan keuangan
· Menelaah laporan keuangan
• Membaca notulen rapat dewan direksi unruk menentukan rencana masa
depan
· Membahas rencana pembiayaan dengan manajemen.
b. Kemungkinan klien mengalami kesulitan
· Menganalisis keuangan laporan keuangan dan menggunakan prosedur
analitis lainnya
• Menelaah laporan arus kas historis dan proyeksi, untuk mempelajari
arus kas masuk dan keluar
d.Integritas manajemen
• Menganalisa prosedur penerimaan klien dan kelanjutan klien.

Penilaian risiko pemeriksaan yang dapat diterima secara kualitatif bisa dibagi
menjadi 3 kategori yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima rendah,
2. Tingkat risiko pemeriksaan yang dapat diterima menengah,
3. Tingkat risiko pemeriksan yang dapat diterima tinggi.
Sedangkan penilaian risiko pemeriksaan menggunakan pendekatan kuantitatif
menetapkan tingkat risiko pemeriksaan yang dapat diterima yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima sebesar 5 %, artinya tingkat
keyakinan pemeriksa atas opininya sebesar 95% (AAR=1-tingkat
keyakinan). Tingkat ini berlaku untuk sebagian besar entitas yang diperiksa.
2. Tingkat risiko pemeriksaan yang dapat diterima sebesar 3%, artinya tingkat
keyakinan pemeriksa atas opininya sebesar 97%. Tingkat ini dinilai cukup
memadai untuk beberapa entitas yang sangat sensitif atau berisiko tinggi.

3. Tingkat risiko pemeriksaan yang dapat diterima sebesar 1%, artinya tingkat
keyakinan pemeriksa atas opininya sampai 99%. Tingkat ini berlaku bagi
beberapa entitas dengan ciri-ciri sebagai berikut:
a. Entitas tersebut mempunyai pengguna eksternal yang sangat ekstensif
perhatiannya terhadap laporan keuangan entitas tersebut
b. Entitas tersebut cukup rentan akan terjadinya salah saji material dan
secara politik sensitif dan/atau adanya harapan atas kewajaran laporan
keuangan entitas tersebut sehingga pemeriksa membutuhkan tingkat
keyakinan yang sangat tinggi.

JULIAN MARADINA, S.E., M.SI., AK., CA 3

MODUL EDP AUDIT

Pemeriksa harus menentukan risiko pemeriksaan yang dapat diterima

berdasarkan identifikasi kondisi entitas yang diperiksa dan juga informasi penting
lainnya yang berkaitan. Pemeriksa juga perlu mempertimbangkan harapan
penugasan atas entitas diperiksa apalagi jika entitas tersebut mempunyai
stakeholders yang luas.
Auditor melakukan penilaian risiko inheren selama tahap perencanaan
dan memperbaharui penilaian tersebut selama audit berlangsung. Auditor harus
mengevaluasi informasi yang mempengaruhi risiko inheren serta memutuskan
faktor risiko inheren yang tepat bagi setiap tujuan audit. Faktor faktor yang
mempengaruhi risiko inheren :
a. Sifat bisnis klien
Risiko inheren untuk akun tertentu dipengaruhi oleh sifat bisnis klien.
Pemahaman auditor atas bisnis klien akan membantu menilai risiko inheren
ini.
b. Hasil audit sebelumnya
Salah saji yang ditemukan dalam audit tahun sebelumnya dapat ditemukan
lagi dalam audit tahun berjalan. Oleh karena itu auditor tidak boleh
mengabaikan hasil audit tahun sebelumnya selama mengembangkan proses
audit di tahun berjalan.
c. Penugasan awal vs penugasan berulang
Auditor akan memperoleh pengalaman dan pengetahuan tentang
kemungkinan salah saji setelah mengaudit klien selama beberapa tahun.

Auditor menetapkan risiko inheren yang tinggi pada tahun pertama audit
dan mengurangi tinggkat risikonya pada tahun berikutnya karena telah
semakin memahami klien.
d. Pihak pihak yang terkait
Pihak yang terkait yaitu perusahaan induk dengan perusahaan anak, serta
manajemen dan entitas perusahaan. Risiko inheren atas transaksi pihak yang
terkait ini sangat tinggi karena kemungkinan salah saji yang lebih besar.
e. Transaksi non rutin
Transaksi yang tidak biasa bagi klien lebih besar resikonya dibandingkan
transaksi rutin karen pengalaman untuk transaksi non rutin masih sedikit.
f. Pertimbangan yang diperlukan untuk mencatat saldo akun dan transaksi
dengan tepat

JULIAN MARADINA, S.E., M.SI., AK., CA 4

MODUL EDP AUDIT

Auditor harus memperbesar risiko inheren karena banyak akun memerlukan

estimasi dan banyak pertimbangan manajemen.
g. Unsur unsur populasi
Seluruh item yang membentuk populasi mempengaruhi ekspektasi auditor
mengenai salah saji yang material
h. Faktor faktor yang berkaitan dengan pelaporan keuangan yang curang dan
misapropriasi aktiva
Menurut konsep maupun praktik sangat sulit memisahkan faktor faktor risiko
kecurangan ke dalam risiko yang dapat diterima ataupun risiko inheren. Secara
kualitatif, risiko inheren terbagi menjadi lebih rendah dan lebih tinggi. Pemeriksa
dapat mendokumentasikan penilaian risiko inherennya pada setiap level melalui
formulir Audit Risk Matrix (ARM). Berdasarkan analisis pada matriks ARM
maka dihasilkan akun-akun apa saja yang signifikan dan beresiko tinggi terhadap
kewajaran laporan keuangan.
a. Lebih tinggi atau 100%. Pada saat pemeriksa mengidentifikasi risiko tertentu
atau faktor lain yang menimbulkan keyakinan bahwa terdapat kemungkinan
yang lebih besar akan terjadinya kesalahan atas hal yang menurut pemeriksaan
penting, pemeriksa akan menilai risiko inheren bagi asersi laporan keuangan
yang relevan dengan kriteria lebih tinggi. Pemeriksa juga menganggap risiko
inheren sebagai 100% sebagai hasil pertimbangan profesionalnya dan
bersifat konservatif.
b. Lebih rendah atau <100%. Jika pemeriksa yakin bahwa kecil kemungkinan
terjadinya kesalahan atas hal yang menurut pemeriksaan penting (dengan
asumsi tidak ada pengendalian), pemeriksa akan memberi penilaian dengan
kriteria lebih rendah.

Para auditor menetapkan tingkat risiko deteksi yang dapat diterima (risiko deteksi
yang direncanakan) yang mempengaruhi tes-tes substantif yang mereka lakukan.
a. Jika tingkat risiko deteksi yang direncanakan rendah, maka auditor akan
mengumpulkan bukti sebanyak mungkin untuk menurunkan risiko
kesalahan saji .
b. Tingkat risiko deteksi yang direncanakan tinggi maka auditor mengurangi
pengumpulan bukti .

Ada dua jenis risiko deteksi berkaitan dengan audit sampling, yaitu risiko
prosedur analitis dan risiko pengujian substantive.

JULIAN MARADINA, S.E., M.SI., AK., CA 5

MODUL EDP AUDIT

a. Risiko prosedur analitis berasal dari keputusan pemeriksa untuk

menggunakan pertimbangannya dan menentukan apakah prosedur analitis
merupakan prosedur yang efektif dan efisien dalam mendapatkan bukti
pemeriksaan yang memadai.
b. Penilaian risiko prosedur analitis sangat subyektif dan sulit untuk
dikuantifikasikan. Oleh sebab itu biasanya pemeriksa secara konservatif
memberikan nilai risiko ini cukup tinggi, yaitu antara 40% hingga 100%.

Auditor harus memahami perancangan dan pengimplementasian

pengendalian internal untuk melakukan penilaian pendahuluan atas risiko
pengendalian. Setelah memahami pengendalian internal, auditor dapat membuat
penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian
risiko secara keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor
bahwa pengendalian internal akan mencegah salah saji material atau mendeteksi
dan mengoreksinya jika terjadi. Banyak auditor menggunakan matriks risiko
pengendalian (control risk matrix) untuk membantu proses penilaian risiko
pengendalian. Tujuannya adalah menyediakan cara yang mudah untuk mengatur
penilaian risiko pengendalian bagi setiap tujuan audit.
Langkah langkah dalam penilaian risiko pengendalian:
· Mengidentifikasi tujuan audit
· Mengidentifikasi pengendalian yang ada
· Menghubungkan pengendalian dengan tujuan audit
· Mengidentifikasi dan mengevaluasi defisiensi pengendalian,
defisiensi yang signifikan dan kelemahan yang material
· Menghubungkan defisiensi yang signifikan dan kelemahan yang
material dengan tujuan audit terkait.
· Menilai risiko pengendalian untuk setiap tujuan audit.

Setelah pemeriksa menilai risiko inheren, risiko pengendalian juga harus

dinilai sebagai bagian proses penilaian risiko dalam pemeriksaan
keuangan.Penilaian risiko pengendalian merupakan estimasi terhadap risiko
pengendalian intern yang sangat bergantung pada bagaimana hasil evaluasi
pemeriksa yang bersangkutan terhadap pengendalian intern entitas yang diperiksa,
meskipun pertimbangan profesional pemeriksa masih juga menentukan.

Apabila sistem pengendalian intern entitas yang diperiksa telah dirancang

secara memadai, dan pengujian ketaatan yang dilaksanakan pemeriksa

JULIAN MARADINA, S.E., M.SI., AK., CA 6

MODUL EDP AUDIT

menunjukkan bahwa pengendalian tersebut telah dijalankan secara memadai pula,

maka pemeriksa akan merasa bahwa pengendalian intern tersebut dapat
diandalkan, yang berarti bahwa dia akan memberikan estimasi yang cukup rendah
terhadap risiko ini. Demikian pula sebaliknya.

Berdasarkan matriks CRM, Pemeriksa dapat menilai risiko pengendalian

menjadi "minimum”, "moderat” atau "maksimum”untuk dimasukkan kedalam
matriks ARM.
a. Minimum atau keyakinan pemeriksa sangat terjamin atas efektivitas pengendalian
intern dengan rentang risiko pengendalian sebesar 10-30%. Pemeriksa menilai
pengendalian sebagai efektif dan melaksanakan test of controls untuk
mengkonfirmasikan bahwa pengendalian telah beroperasi secara efektif sepanjang
periode. Pemeriksa mengevaluasi kecukupan dari bukti yang sudah diperolehserta
apakah bukti ini mendukung penilaian "minimum". Jika pemeriksa menyimpulkan
bahwa bukti-bukti pemeriksaan tidak mendukung penilaian ini, pemeriksa
mempertimbangkan kembali evaluasinya atas efektivitas pengendalian. Jika
pengendalian ditemukan ternyata tidak efektif, pemeriksa menilai risiko
pengendalian sebagai "maksimum".
b. Moderat atau keyakinan pemeriksa cukup terjamin atas efektivitas pengendalian
intern dengan rentang risiko pengendalian sebesar 31-70%. Pemeriksa
menyimpulkan bahwa desain dari pengendalian adalah efektif, tetapi pemeriksa
tidak melakukan test of controls untuk mengkonfirmasikan efektifitas
pelaksanaannya sepanjang periode. Pemeriksa juga mempertimbangkan apakah
pelaksanaan walkthrough yang dilakukan oleh pemeriksa terhadap pengendalian
memberikan bukti yang cukup untuk menilai risiko sebagai "moderat". Jika
pemeriksa menyimpulkan bahwa bukti tidak mendukung penilaian ini, pemeriksa
mempertimbangkan untuk mendapatkan bukti-bukti tambahan untuk mendukung
penilaian“moderat”,ataumenilairisikopengendaliansebagai
"maksimum". Penilaian risiko pengendalian ini tidak berlaku untuk akun-akun
atau asersi-asersi yang dipengaruhi oleh transaksi-transaksi yang bersifat estimasi,
seperti penyusutan, penyisihan piutang ragu-ragu.
c. Maksimum atau keyakinan pemeriksa tidak terjamin atas efektivitas pengendalian
intern dengan rentang risiko pengendalian sebesar 71-100%. Pemeriksa menilai
risiko pengendalian sebagai maksimum ketika;
(1) Bukti pemeriksaan mengindikasikan bahwa pengendalian tidak efektif
(2) Setelah memperoleh pemahaman yang memadai mengenai proses entitas yang
diperiksa:

JULIAN MARADINA, S.E., M.SI., AK., CA 7

MODUL EDP AUDIT

• Pemeriksa percaya bahwa pengendalian nampaknya akan tidak efektif

• Pemeriksa sudah mengidentifikasi prosedur-prosedur uji substantif yang
efisien dan efektif yang diyakini penting untuk mendukung saldo akun
terkait.
Dalam menilai risiko kecurangan, SAS 99 memberikan pedoman bagi auditor.
Auditor harus mempertahankan sikap skeptisisme profesional ketika
memepertimbangkan serangkaian informasi termasuk faktor faktor risiko
kecurangan, untuk dapat mengidentifikasi dan menanggapi risiko kecurangan
a. Skeptisisme professional
Selama penugasan, bahwa tim auditor harus mempertahankan sikap dan
pikiran yang selalu mempertanyakan.
b. Evaluasi kritis atas bukti
Auditor harus menyelidiki secara mendalam permasalahan dan
kemungkinan kesalahan salah saji yang material karen kecurangan.
c. Komunikasi di antara tim audit
Diantara auditor dapat saling bertukar pendapat terutama dengan yang
telah berpengalaman mengenai penilaian risiko kecurangan, dan
bagaimana kecurangan kecurangan itu biasanya terjadi dalam organisasi
atau entitas yang diaudit.
d. Mengajukan pertanyaan kepada manajemen
Untuk menilai risiko kecurangan, auditor dapat menanyakan beberapa
pertanyaan secara langsung kepada manajemen ataupun pihak lain dalam
organisasi, sehingga terbuka kesempatan datangnya informasi yang dalam
kondisi lain tidak diungkapkan oleh manajemen ataupun pihak lain dalam
organisasi.
e. Prosedur analitis
Auditor harus melakukan prosedur analitis selama tahapan perencanaan
audit dan penyelesaian audit untuk membantu mengidentifikasi
kecurangan kecurangan.
f. Faktor faktor risiko
Untuk menilai resiko kecurangan, kondisi yang harus diperhatikan adalah
adanya faktor faktor risiko kecurangan (segitiga kecurangan atau fraud
triangle) yaitu:
• Insentif atau tekanan
Manajemen atau pegawai merasakan insentif atau tekanan untuk
melakukan kecurangan. Insentif yang umum bagi entitas untuk

JULIAN MARADINA, S.E., M.SI., AK., CA 8

MODUL EDP AUDIT

memanipulasi laporan keuangan adalah menurunnya prospek keuangan

entitas.
• Kesempatan

Situasi yang membuka kesempatan bagi manajemen atau pegawai lain

untuk melakukan kecurangan. Risiko kecurangan yang lebih besar akan
dihadapi oleh entitas yang menggunakan banyak pertimbangan dan
estimasi dalam operasinya.
• Perilaku atau rasionalisasi
Karakter, sikap dan nilai nilai etis yang membolehkan manajemen dan
pegawai lain bersikap curang atau lingkungan yang menekan dan membuat
adanya rasionalisasi tindakan curang.

C. SOAL LATIHAN/TUGAS
1. Jelaskan yang dimaksud dengan risk assessment?
2. Jelaskan kegunaan dengan dilakukannya analisis resiko?
3. Bagaimana langkah-langkah mengaudit SI?TI dengan tingkat resiko yang
tinggi?

JULIAN MARADINA, S.E., M.SI., AK., CA 9

MODUL EDP AUDIT

JULIAN MARADINA, S.E., M.SI., AK., CA 10