PENENTUAN RISIKO

Oleh :

1. Ni Luh Sinar Suci Antari (21)

2. Putu Indah Adnyani Putri (33)

Dosen Pembimbing :

I Ketut Sunarwijaya, SE, M.Si

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS MAHASARASWATI DENPASAR
DENPASAR
2021
3.1 Pihak-Pihak Yang Memanfaatkan Penentuan Risiko dan Konsep Audit Berbasis
Risiko
A. Penentuan Risiko
Penentuan risiko (risk assessment) merupakan hal penting bagi
manajemen dan auditor internal. Penentuan risiko adalah identifikasi dan analisis
risiko-risiko yang relevan untuk mencapai tujuan (entitas) yang membentuk suatu
dasar untuk menentukan cara pengelolaan risiko. Penentuan risiko merupakan
tanggungjawab yang tidak terpisahkan dan terus-menerus dari manajemen.
Dikatakan integral karena manajemen tidak dapat menetapkan tujuan dan dengan
mudah mengansumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan
yang muncul akan menghalangi perjalanan mencapai tujuan. Tujuan penentuan
risiko adalah untuk membuat karyawan sadar akan beragam risiko yang ada serta
prioritas, dan keterbatasan dari daftar risiko tersebut. Penentuan risiko merupakan
fungsi yang berkelanjutan dalam proses manajemen, yang harus dilakukan secara
terorganisasi dan berurutan. Jadi proses penentuan risiko itu sendiri merupakan
hal penting bagi audit.
B. Pihak-Pihak Yang Memanfaatkan Penentuan Risiko
Pihak-pihak yang memanfaatkan penentuan risiko adalah sebagai berikut
ini:
(1) Manajemen
Manajemen menggunakan penentuan risiko sebagai bagian dari
proses untuk memastikan kesuksesan suatu entitas. Manajemen
juga menggunakan penentuan risiko sebagai alat yang penting
dalam merancang sistem-sistem baru. Sistem baru tersebut, baik
manual atau terkomputerisasi, dibuat untuk memenuhi tujuan
yang telah ditetapkan. Bagian penting dalam perancangan dan
pengembangan proses adalah identifikasi dari semua kejadian dan
tindakan yang mungkin mencegah sistem dari mencapai
tujuannya.
 (2) Akuntan publik
Akuntan publik harus membuat penentuan risiko untuk mematuhi
standar mereka. Statement on Auditing Standards (SAS) No. 55
dari American Institute of Certified Public Accountants (AICPA)
menguraikan tanggung jawab akuntan untuk mendapatkan
pemahaman atas sistem kontrol. Akuntan publik juga melakukan
penentuan risiko dalam merencanakan audit mereka, seperti apa
saja risiko-risiko kegagalan yang bisa mengancam pencapaian
tujuan audit? Pengujian audit mana yang seharusnya digunakan
untuk memastikan bahwa tujuan audit tercapai? Satu risiko yang
bisa muncul adalah memilih metode pengujian yang tidak tepat,
yang lainnya adalah penggunaan rencana dan teknik pengambilan
sampel yang tidak tepat, dan lain sebagainya.
(3) Auditor internal
Auditor internal terlibat dalam penentuan risiko sejak awal profesi
berdiri. Kesalahan yang bisa terjadi dilakukan dengan
pengidentifikasian kesalahan atau ketidakwajaran yang potensial
merupakan persyaratan mutlak untuk menentukan prosedur
kontrol yang harus diterapkan. Pada kebanyakan entitas,
departemen audit internal akan menjadi pernain utama dalam
penentuan risiko yang mengarahkan laporan tahunan manajemen
unttik mengemukakan kondisi sistem kontrol. Pekerjaan auditor
internal yang berkelanjutan harus dipertimbangkan dalam
membuat laporan tersebut. Audit khusus mungkin dibutuhkan di
bebetapa entitas untuk memastikan bahwa kelemahan yang
ditemukan selama tahun tersebut telah diperbaiki pada tanggal
laporan akhir tahun.
C. Konsep Audit Berbasis Risiko
Konsep audit berbasis risiko (risk-based auditing) secara tradisional
bermula dari observasi dan analisis kontrol, kemudian berkelanjutan ke penentuan
risiko yang berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas
 ini sesuai dengan tujuan-tujuan organisasi. Para penulis merekomendasikan
sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan organisasi
yang ditetapkan dan kemudian menentukan risiko melalui identifikasi,
pengukuran dan penempatan prioritas dan akhirnya melakukan manajemen risiko
dengan cara:
- Mengendalikan dan menerima risiko
- Menghindari atau mendiversifikasi risiko
- Membagi dan mentransfer bagian-bagian risiko ke unit-unitnya
Konsep manajemen risiko telah semakin diterima karena risiko tidak dapat
dihindarkan di semua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan tersebut
mencakup:
 Kontrol aktivitas organisasional untuk mengurangi elemen-
elemenrisiko baik dari segi besaran maupun jumlah.
 Penerimaan risiko dengan memperbolehkan risiko kehati-hatian
yangdiperlukan untuk kemajuan dan keuntungan.
 Penghindaran risiko yang melibatkan perancangan ulang proses bisnis
untuk merubah pola risiko.
 Pendiverifikasian risiko dengan menyebarkan total risiko ke operasi-
operasi yang terpisah. Misalnya menggunakan berbagai pemasok
untuk bahan yang penting.
 Pembagian dan pemindahan risiko dengan melibatkan
kontraktualdengan pihak ketiga untuk menerima sebagian atau semua
risiko. Contohnya adalah asuransi.
3.2 Komponen-Komponen Risiko Audit Pada Audit Laporan Keuangan
Auditor dan menajemen harus mempertanyakan luas dan probabilitas risiko. Luas
risiko adalah jumlah yang berpotensi terkena risiko. Probabilitas adalah kemungkinan
terjadinya risiko. Masih terdapat hal-hal yang harus dipertimbangkan pada saat
menentukan dampak risiko. Risiko audit terdiri dari dua tingkatan yaitu:
a) Tingkat laporan keuangan
Dalam menentukan risiko audit pada tingkat laoran keuangan, standar audit (AU
316) menyatakan bahwa seorang auditor harus mempertimbangkan karakteristik
manajemen, karakteristik operasi dan industri, dan karakteristik penugasan.
(1) Karakteristik Manajemen
 Kebijakan manajemen didominasi hanya satu orang
 Manajemen memiliki perilaku yang sangat agresif terhadap
pelaporan keuangan
 Perputaran manajemen tinggi
 Manajemen yang sangat berlebihan dalam menekankan pencapaian
proyeksi laba
 Manajemen memiliki reputasi yang buruk dalam komunikasi bisnis
(2) Karakteristik Operasi dan Industri
 Profitabilitas entitas dibandingkan dengan industrinya ternyata
tidak memadai atau tidak konsisiten
 Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi
 Entitas berada pada industri yang menurun
 Organisasi entitas bersifat desentralisasi tanpa pengawasan
aktivitas yang memadai
 Entitas diragukan kelangsungan hidupnya
(3) Karakteristik Penugasan
 Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi
yang sulit
 Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang
sulit diaudit.
 Terdapat tansaksi-transaksi dengan pihak-pihak yang memiliki
hubungan istimewa dalam jumlah yang signifikan dan tidak biasa
 Sebelumnya terdapat salah saji signifikan yang dideteksi selama
audit atau tidak tersedia data mengenai hal tersebut
 Kesimpulan auditor mengenai risiko audit pada tingkat laporan akan berdampak
pada penugasan staf, pengawasan yang dibutuhkan, keseluruhan strategi audit dan
tingkat skeptisme profesional.
b) Saldo akun (atau tingkat kelompok transaksi)
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok
transaksi, seorang auditor harus mempertimbangkan asersi-asersi laporan
keuangan. Asersi adalah representasi manajemen yang terdapat dalam saldo akun,
kelompok transaksi dan pengungkapan.
SAS memberikan contoh faktor-faktor berikut yang harus dipertimbangkan
auditor dalam mengevaluasi risiko audit pada tingkat saldo atau kelompok
transaksi:
- Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan
keuangan
- Masalah-masalah akuntansi yang rumit dan mengandung perdebatan
- Transaksi-transaksi yang sering terjadi atau susah untuk diaudit
- Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang
diperoleh dari audit sebelumnya
- Kerentanan aktiva untuk disalahgunakan
- Kompetensi dan pengalaman karyawan yang memproses data mengenai
ranvangan dan operasi kebijakan dan prosedur yang layak untuk
membenarkan penetapan tersebut
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas:
- Risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah
saji baik oleh dirinya sendiri atau dengan yang lainnya yang dapat
berdampak material terhadap laporan keuangan (disebut risiko bawaan
atau risiko kontrol).
- Risiko bahwa auditor tidak akan mendeteksi salah saji tersebut bila
memang terjadi salah saji (disebut risiko deteksi).
Jadi risiko audit pada tingkat saldo atau kelompok memiliki tiga komponen yaitu:
(1) Risiko Bawaan
 Risiko bawaan (inheren risk) adalah kerentanan suatu asersi atas
terjadinya salah saji yang material, dengan mengasumsikan bahwa tidak
ada kebijakan atau prosedur struktur konrol internal terkait yang
diterapkan. Risiko bawaan adalah risiko yang berisifat intrinstik terhadap
usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa
asersi dan saldo atau kelompok transaksi dibandingkan dengan yang lain.
(2) Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang
bisaterjadi pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat
waktuoleh struktur, kebijakan, atau prosedur kontrol internal suatu entitas.
Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan yang
melekat pada struktur kontrol internal. Seorang auditor dapat menilai
risiko kontrol pada tingkat meksimum apabila kebijakan maupun prosedur
tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi
efektivitasnya. Jika auditor menetapkan risiko konrol dibawah maksimum,
auditor tersebut diharapkan memperoleh bahan bukti mengenai rancangan
dan operasi kebijakan dan prosedur yang layak untuk memberikan
penetapan tersebut.
(3) Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat
mendeteksi salah saji material yang tedapat pada suatu asersi. Risiko
deteksi dapat terjadi karena seorang auditor memutuskan tidak memeriksa
100 persensaldo atau transaksi atau ketidakpastian lainnya. Termasuk
dalam ketidakpastian lainnya ini adalah pemilihan prosedur audit yang
tidak layak, salah penerapan prosedur audit, atau salah interpretasi hasil-
hasil prosedur audit. Ketidakpastian lainnya harus dikurangi sampai ke
tingkat yang bisa diterima melalui perencanaan dan perngawasan audit
yang sesuai.
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif
mauapun kulaitatif. SAS memberiakn rumus berikut ini:
 Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi
  Risiko Deteksi = Risiko Audit / (Risiko Bawaan x Risiko Kontrol)
Ketika menggunakan rumus ini, seorang auditor dapat menilai risiko audit
yangdirencakan untuk sebuah asersi, risiko bawaannya dan risiko
kontrolnya untuk menentukan risiko penemuan yang direncakan dengan
menentukan risiko deteksi.

3.3 Risiko Perdagangan Elektronik dan Electronic Data Interchange

A. Risiko Perdagangan Elektronik
Kepentingan auditor dalam hal ini adalah untuk menentukan dampak
fungsi perdagangan elektrinik (electronic commerce – EC) terhadap risiko
organisasi. Dengan asumsi risiko-risiko ini dapat diidentifikasi, auditor
seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI), menentukan
dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-
risiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang
direkomendasikan ini mencakup:
 Risiko dan dampaknya terhadap organisasi.
 Modifikasi atau aktivitas terkait yang diekomendasikan.
 Dampak modifikasi risiko terhadap operasi.
 Tingkat pengurangan risiko yang akan dicapai.
 Eksposur keuangan yang terkait dengan operasi.
 Biaya modifikasi yang dilakukan.
 Elemen-elemen waktu.
 Kemungkinan sukses.
 Rekomendasi jika terdapat lebih dari satu ukuran.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik,
penelaahan risiko analisis ini harus sering dilakukan. Auditor internal atau ahli TI
terkait, atau keduanya, harus memahami perkembangan di bidang ini terutama
mengenai:
- Perubahan teknologi TI yang terbaru.
- Situasi yang diberitakan baru-baru ini.
 - Perubahan dalam operasi organisasi.

B. Risiko Electronic Data Interchange

Pertukaran data elektronik (electronic data interchange – EDI) adalah
sebuah sistem komunikasi komputer-ke-komputer yang saling berhubungan untuk
dokumen-dokumen bisnis yang terstandarisasi di batas-batas organisasi.
Komputer, database, dan pusat informasi terhubung oleh jaringan komunikasi
publik atau lainnya.
Terdapat enam area faktor risiko, faktor-faktor ini dan kontrol internal
yang berkaiatan dirinci sebagai berikut:
 Tercurinya akses informasi
 Hilangnay integritas data
 Kurang lengkapnya transaksi
 Tidak tersedianya sistem EDI
 Ketidakmampuan untuk mengirmkan transaksi
 Kurangnya pedoman hukum.
Adanya beberapa lapis kontrol memiliki dampak yang berlipat untuk
mengurangi risiko kontrol. Risiko kontrol yang tiga lapis kontrol, yaitu kontrol
administratif, kontrol fisik dan perangkat lunak, akan gagal, dihitung dengan
persamaan ini:
CREDI=CRA*CRP*CPS
Keterangan:
CREDI = Risiko Kontrol Sistem EDI.
CRA = risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.
CRS = Risiko Kontrol gagalnya kontrol perangkat lunak.

Faktor-faktor Risiko dan Aktivitas Kontrol

Faktor-faktor Risiko Kontrol Internal

1. Akses informasi yang tidak
terotorisasi.
a. Hacker mengakses sistem.
b. Interpretasi selama transisi.
c. Penyadapan (wiretapping).
2. Hilangnya Intergritas Data.
a. Perubahan/pemalsuan data.
b. Tidak adanya jejak audit dalam
bentuk kertas.
c. Hilangnya tanda tangan fisik.
d. Adanya kesalahan pada sistem.
e. Gangguan oleh karyawan yang
memiliki otoritas.
3. Kurang lengkapnya transaksi
a. Transaksi selama transmisi
b. Duplikasi transaksi akibat
transmisi ulang
4. Tidak berjalannya sistem EDI
a. Penyebab logis, seperti virus,
kuda Trojan, kesalahan
program, kesalahan perangkat
keras dan lunak.
b. Penyebab alami, seperti
Kontrol akses
Kata sandi (password); mekanisme
dial-back; ID pengguna; kunci
penyimpanan; tingkat akses yang
berbeda.
Meningkatkan proteksi kabel;
mengirimkan pesan melalui media yang
aman; serat optik; enkripsi; lapisan
lintasan; emplop elektronik rahasia.
Meteran sinyal; pelindung kebocoran;
perisai elektromagnetik; saluran
penahan akses.
Pengecekan keotentikan data.
Protokol pemberitahuan.
Log terkomputerisasi.
Tanda tangan digital; mekanisme
pengesahan.
Pengecekan edit.
Pemisahan tugas; tingkat akses yang
berbeda.
Pemberitahuan.
Total kelompok; penomoran berurutan.
Pengecekan satu per satu dibandingkan
dengan arsip pengendali.
Sistem yang menoleransi kegagalan.
Paket entivirus; perangkat keras dan
perangkat lunak yang bebas kesalahan.
Pengamanan di luar kantor, RAID, disk
 kebijakan, banjir, gempa,
kerusakan listrik, dll.
c. Sabotase oleh orang yang
memiliki otorisasi.
5. Ketidakmampuan untuk
mengirimkan transaksi.
6. Kurangnya pedoman hukum.
DAFTAR PUSTAKA
mirroring.
Pelatihan; pengumuman prosedur dan
kebijakan kontrol.
Format data terstruktur/terstandarisasi;
ketaatan pada protokol
ANSI/EDIFACT.
Perjanjian definisi-definisi hukum,
tanggungjawab dan keajiban.
http://aniesakuntan.blogspot.com/2017/06/penentuan-risiko.html
http://fe.unisma.ac.id/MATERI%20AJAR%20DOSEN/AUDITINT/HRR/13_Audit
%20Internal.pdf
https://www.academia.edu/31316029/MODUL_PENGAUDITAN_INTERNAL_STRAT
EGI_PENENTUAN_RISIKO_DISUSUN_OLEH_RIZKI_NAHRIYATI_A311_13_028
Lawrence B. Sawyer, Mortimer A. Dittenhofer, James H. Scheiner. 2005. Sawyer's
Internal Auditing: Audit Internal Sawyer. Jakarta: Salemba Empat.