BAGIAN II─PENDAHULUAN

2.1. SASARAN PEMBELAJARAN

Setelah mengikuti mata kuliah ini mahasiswa diharapkan mampu:
1. Memahami penentuan risiko audit.
2. Memahami strategi penentuan risiko audit.
3. Memahami hubungan antar risiko.
4. Memahami metode-metode analisis.

2.2. RUANG LINGKUP BAHAN MODUL

Modul pembelajaran ini akan diawali oleh pembahasan terkait pengertian penentuan risiko
yang akan dibagi menjadi beberapa bagian. Bagian (1) filosofi COSO yang memuat
definisi dari pennetuan risiko; (2) merencanakan penentuan risiko dan eksposur; (3) risiko
audit dan komponen-komponennya pada audit laporan keuangan yang mencakup risiko
bawaan, risiko kontrol, risiko kontrol, dan hubungan antar risiko; (4) membuat rencana
penentuan risiko; dan (5) metode-metode analitis mencakup pembuatan bagan alir,
kuesioner kontrol internal, analisis matriks, kontrol preventif dan detektif, metodologi
ilustratif COSO, metode Cortney dan metode lain pemberian nilai.

2.3. MANFAAT MEMPELAJARI MODUL

Setelah mempelajari modul ini, mahasiswa diharapkan dapat:
1. Mampu memahami penentuan risiko audit.
2. Mampu memahami strategi penentuan risiko audit.
3. Mampu memahami hubungan antar risiko.
4. Mampu memahami metode-metode analisis.

2.4. URUTAN PEMBAHASAN

1. Filosofi COSO
2. Merencanakan penentuan risiko dan eksposur
3. Risiko audit dan komponen-komponennya pada audit laporan keuangan
4. Membuat rencana penentuan risiko audit
5. Metode-metode analitis
BAGIAN III─STRATEGI PENENTUAN RISIKO
3.1. Filosofi COSO

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor internal.
Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan sarana yang
digunakan untuk melakukannya. Auditor internal harus memasukkan hasil penentuan risiko ke
dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan memang
diterapkan untuk mengurangi risiko.

Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi, mengawali

pembahasan tentang penentuan risiko dengan ringkasan berikut ini:

Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus
ditentukan. Persyaratan awal untuk penetuan risiko adalah adanya penetapan tujuan, yang
dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi.
Penetuan risiko adalah identifikasi dan analisis risiko-risiko yang relevan utnuk mencapai
tujuan [entitas], yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko.
Karena kondisi ekonomi, industri, peraturan dan operasi akan terus berubah, maka
dibutuhkan mekanisme untuk mengidentifikasi dan menangani risiko-risiko khusus yang
berhubungan dengan perubahan.

Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus-menerus
dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan tujuan dan
dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan yang
muncul akan menghalangi perjalanan mencapai tujuan. Beberapa hambatan, atau risiko, akan
datang dari luar entitas; sedangkan yang lainnya dari dalam.

Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan penentuan risiko adalah untuk
membantu karyawan sadar akan beragam risiko yang ada serta prioritas, dan keterbatasan dari
daftar risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang muncul
setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan dalam
proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses
penentuan risiko itu sendiri merupakan hal penting bagi audit.
3.2. Merencanakan Penentuan Risiko dan Eksposur

Rencana audit harus dirancang untuk memasukkan pertimbangan tentang risiko dan eksposur
organisasi. Practice Advisory 2010-2, “Menghubungkan Rencana Audit dengan Risiko dan
Eksposur,” menyatakan bahwa rencana strategis organisasi harus mempertimbangkan risiko dan
eksposur. Rencana audit harus menilai tingkat kesadaran atas rencana strategis terhadap elemen-
elemen prioritas risiko dan eksposur. Jadi, audit secara keseluruhan dapat dipengaruhi oleh hasil
proses manajemen risiko. Practice Advisory berisi metode-metode rinci aktivitas audit seperti
daftar isi jadwal pekerjaan audit, pendekatan audit, pelaksanaan audit, pelaporan isi, dan evaluasi
“kontrol internal untuk mengurangi risiko.”

3.3. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan

Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko. Luas risiko adalah
jumlah yang berpotensi terkena risiko; probabilitas adalah kemungkinan terjadinya risiko. Masih
terdpat hal-hal lain yang harus dipertimbangkan pada saat menentukan dampak risiko. Pendapat
tentang kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian
selanjutnya.

AICPA telah memberikan pedoman mengenail hal ini melalui beberapa Statement on Auditing
Standards terbaru ( No. 47, No. 53, dan NO. 55). Risiko audit terdiri atas dua tingkatan─tingkat
laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan
keuangan, risiko audit adalah “risiko bahwa auditor mungkin secara tidak sengaja gagal
memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material.”
Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa
yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada
tingkat laporan keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri, dan karakteristik
penugasan

Risiko Bawaan

Risiko bawaan/inheren (inherent risk) adalah kerentanan suatu asersi atas terjadinya salah saji
yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur kontrol
internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat intrinsik terhadap
usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan saldo atau
kelompok transaksi dibandingkan dengan yang lain. Sebagai contoh:

 Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih cenderung
dilanggar daripada asersi kelengkapan pada saat auditor mempertimbangkan
kelangsungan hidup entitas.
 Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan perhitungan biaya
depresiasi menggunakan metode garis lurus (perhitungan rumit dibandingkan dengan
perhitungan sederhana).
 Kas lebih rawan dicuri dibandingkan persediaan batu kapur (jumlah yang lebih mudah
dicuri dan memiliki nilai tinggi dibandingkan dengan barang yang sulit dicuri dan
memiliki nilai yang rendah).
 Faktor-faktor eksternal terhadap entitas seperti perubahan teknologi yang mungkin
membuat persediaan tertentu menjadi usang dan dinilai terlalu tinggi.

Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat berdampak pada risiko
bawaan di tingkat saldo atau kelompok transaksi. Sebagai contoh, keraguan atas kelangsungan
hidup yang ditemukan pada tingat laporan keuangan dapat menyebabkan risiko bawaan untuk
penilaian persediaan menjadi meningkat.

Contoh-contoh berikut ini akan membantu dalam memahami pandangan AICPA mengenai risiko
bawaan:

 Pada perusahaan sekuritas, perhitungan bunga yang sederahana tidak serumit perhitungan
berdasarkan metode bunga efektif.
 Di bank, kecurangan terhadap kredit lebih cenderung terjadi pada rekening tabungan atau
pembayaran cicilan pinjaman dibandingkan rekening giro.
 Di toko serba ada, saldo piutang usaha lebih cenderung disajikan secara realistis
dibandingkan saldo akun penyisihan piutang tak tertagih.
 Di toko grosir, peningkatan permintaan atas kontrol persediaan menyebabkan daftar kas
sederhana dan pecatatan/perhitungan persediaan secara manual menjadi usang bila
digunakan kode batang (bar code) pada terminal penjualan.
  Pada organisasi yang terdiversifikasi, penekanan pada pemerolehan dana melalui kredit
bank, bukan peningkatan modal, memberikan tekanan pada laba jika tingkat bunga
meningkat; yang mungkin mengarah pada harga jual marginal dan/atau kreidt yang lebih
berisiko terhadap pencapaian laba yang lebih tinggi.

Auditor mampu mengevaluasi risiko bawaan yang ada pada klien dengan memerhatikan industri
secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak di usaha
pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi sekelompok
risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan.

Juga terdapat risiko bawaan pada suatu organisasi akibat budaya perusahaan yang diterapkan.
Sebuah organisasi bila dikelola secara ketat oleh suatu kelompok kecil yang memiliki filosofi:
“Kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa menanggapi
suatu kejadian secara langsung dan segera.”

Jika risiko-risiko bawaan dalam suatu organisasi telah diperhitungkan, langkah selanjutnta
adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko
tersebut. Pertimbangan-pertimbangan ini melibatkan risiko kontrol.

Risiko Kontrol

Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada suatu
asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau
prosedur kontrol internal suatu entitas. Beberapa risiko kontrol akan tetap ada karena adanya
keterbatasan yang melekat pada struktur kontrol internal.

Seorang auditor bisa menilai risiko kontrol pada tingkat maksimum apabila kebijakan maupun
prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi efektivitasnya. Jika
auditor menetapkan risiko kontrol di bawah maksimum, auditortersebut diharapkan memperoleh
bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur yang layak untuk
membenarkan penetapan tersebut.
Risiko Deteksi

Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah saji
material yang terdapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor
memutuskan tidak memeriksa 100 persen saldo atau transaksi atau karena ketidakpastian lainnya.
Termasuk dalam ketidakpastian lainnya ini adalah pemilihan prosedur audit yang tidak layak,
salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit. Ketidakpastian
lainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan dan
pengawasan audit yang sesuai.

Hubungan Antar-risiko

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun kualitatif.
SAS memberikan rumus berikut ini:

Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi

Ketika menggunakan rumus ini, seorang auditor bisa menilai risiko audit yang direncanakan
untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan risiko penemuan
yang direncanakan dengan menentukan risiko deteksi.

Risiko Deteksi = Risiko Audit/(Risiko Bawaan x Risiko Kontrol)

Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan mengurangi risiko
deteksi di bawah risiko penemuan yang direncanakan, hal ini menekankan konsep bahwa risiko
bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan dalam struktur
kontrol internal yang direkomendasikan dan direncanakan setelah periode audit tidak akan
mengubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh karena itu, untuk
suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko kontrol berhubungan
terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko kontrol terkait dengan suatu
asersi, makin rendah risiko deteksi yang dapat diterima dan makin banyak bukti audit yang harus
dikumpulkan. Seorang auditor harus melaksanakan beberapa pengujian substantif jika terdapat
salah saji material. Dalam beberapa kasus auditor tidak dapat hanya mengandalkan penentuan
risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak dilaksanakannya
pengujian substantif.
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang direncanakan,
penugasan staf, dan supervisi yang dibutuhkan dalam mempertimbangkan reaksi terhadap
perubahan dalam risiko deteksi. Konsep risiko bawaan adalah salah satu risiko yang harus
diperhatikan auditor internal. Sifat usaha atau aktivitas organisasi dan gaya manajemen
menciptakan suatu atmosfer yang berdampak besar terhadap risiko bawaan entitas. Dua
organisasi pemerintahan bisa memiliki risiko bawaan yang sama karena sama-sama merupakan
organisasi publik. Akan tetapi, keduanya bisa memiliki tingkat risiko yang berbeda karena yang
satu memiliki walikota yang kuat dan struktur dewan yang lemah sementara yang satu lagi
memiliki walikota yang lemah dan struktur dewan yang kuat. Risiko bisa lebih berbeda jika salah
satu pemerintahan memiliki kepentingan umum yang kuat dan pemerintahan yang terbuka
sementara yang lain memiliki publik yang apatis dan orang yang sangat berkuasa secara politis.

Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian
organisasi yang berbeda. Risiko bawaan di perusahaan pabrikasi berbeda dari perusahaan jasa
keuangan. Risiko pada operasi produksi pakaian akan berbeda dari risiko yang terdapat pada
perusahaan yang memproduksi bahan-bahan kimia.

Identifikasi risiko pada suatu organisasi bermula dari risiko bawaan yang terkait dengan usaha
dan gaya manajemennya. Risiko-risiko tersebut dihadapi dengan membuat sistem kontrol.
Karena tidak ada cara mengurangi risiko sampai nol, maka masih terdapat risiko meskipun
kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep keyakinan
yang wajar mulai diterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang
dicapai pada saat tejadi keseimbangan antara biaya kontrol dan eksposur dengan manfaat yang
diterima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan biaya kontrol berada
pada ekuilibrium.

3.4. Membuat Rencana Penentuan Risiko

Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol,
dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk menentukan
risiko jika seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi, langkah
logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut. Fondasi
penentuan risiko tercakup dalam definisi kontrol internal. Studi COSO adalah sumber definisi
kontrol internal yang ada saat ini dan diakui secara luas.

Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen, an karyawan lainnya, yang dirancang untunk memberikan keyakinan yang
wajar mengenai pencapaian tujuan pada kategori-kategori berikut ini:

 Efektivitas dan efisiensi operasi.

 Keandalan pelaporan keuangan.
 Ketaatan terhadap hukum dan regulasi yang berlaku.

Dalam pembahasannya mengenai penentuan risiko, studi COSO menyatakan:

Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan:

 Tujuan Operasional─ Hal ini berkaitan dengan efektivitas dan efisiensi operasi entitas,
termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya terhadap
kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen mengenai
struktur dan kinerja.
 Tujuan Pelaporan Keuangan─ Hal ini berkaitan dengan penyajian laporan keuangan
yang andal, termasuk pencegahan pelaporan keuangan publik yang mengandung
kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan
eksternal.
 Tujuan-tujuan Ketaatan─ Tujuan-tujuan ini berkaitan dengan ketaatan terhadap
hukum dan peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantung
pada faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk
semua entitas dalam beberapa kasus dan dalam beberapa industri.

Definisi dari tujuan-tujuan ini memberikan titik awal untuk penentuan risiko. Tujuan-tujuan
umum tersebut dapat dirinci ke dalam tujuan-tujuan khusus dengan risiko-risiko telah
diidentifikasi, berbagai pilihan kontrol dapat diterapkan untuk risiko-risiko tersebut dalam
rangka menentukan prosedur kontrol optimal yang akan diterapkan.
3.5. Metode-metode Analitis

Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang optimal
menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-metode ini
adalah:

 Pembuatan bagan alir

 Kuesioner kontrol internal
 Analisis matriks
 Metodologi ilustratif COSO
 Metode Courtney

Pembuatan Bagan Alir

Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol
operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran
aktivitas melalui proses. Bagan tersebut memungkinkan untuk “melihat” operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-kelemahan
kontrol. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan karyawan
operasional. Bagan alir juga menawarkan peluang untuk menyajikan secara komparatif suatu
gambar mengenai pendekatan alternatif suatu proses.

Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di masa lalu
karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas kertas
menggunakan pola plastik berisis rancangan simbol-simbol operasional. Bagan alir tulis tangan
yang final sering kali merupakan produk akhir dari proses sebelumnya yang banyak mengandung
kesalahan dan banyak dihapus. Bagan alir yang ditulis tangan tidak memudahkan modifikasi.
Meskipun merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya digunakan
karena tidak efisien. Penemuan komputer menimbulkan efisiensi dan efektivitas dalam
pembuatan bagan alir. Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa
memakan banyak tenaga.

Auditor melakukan analisis awal tentang risiko dan menggunakan alternatif-alternatif yang
direkomendasikan oleh rekomendasi audit yang tertera pada bagan. Auditor dapat melakukan
observasi tentang metode, risiko, dan kontrol pada bagan alir. Auditor dapat membuat skenario
alternatif dan mencobanya pada bagan sebelum menjadi rekomendasi audit. Alternatif-alternatif
tersebut dapat lebih mudah dibahas dengan manajemen jika bagan lama dan baru dapat
dibandingkan secara berdampingan. Juga, kontrol dapat diidentifikasi dan dibahas untuk
menentukan efisiensi dan efektivitasnya. Jika bagan sudah dibuat, maka bagan tersebut siap
ditelaah, dianalisis, dan diperbarui pada audit selanjutnya. Bagan tersebut juga membantu
pengembangan dan pemeliharaan program audit. Bagan alir yang diperbarui menjadi bagian dari
arsip permanen.

Kuesioner Kontrol Internal

Kuesioner dibahas sebagai sebuah sarana untuk mendapatkan informasi tentang fungsi yang akan
disurvei dan segera diaudit. Terdapat kuesioner jenis lain yang biasa digunakan oleh auditor.
Kuesioner tersebut dikenal sebagai kuesioner kontrol internal (internal control questionnaire-
ICQ). Kuesioner ini berbeda dari kuesioner dengan pertanyaan terbuka yang digunakan dalam
survei pendahuluan.

Kuesioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan yang membutuhkan

tanggapan naratif dari responden. Kuesioner seperti ini mencari informasi untuk memperluas
pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan
membutuhkan jawaban “ya” atau “tidak” disertai komentar. ICQ membutuhkan jawaban yang
langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan.

ICQ digunakan untuk evaluasi berkelanjutan atas kontorl yang ada dan dapat digunakan dalam
analisis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktivitas atau poses telah
dianalisis dan kontrol yang sesuai telah diterapkan. ICQ merupakan uji ketaatan yang
dimaksukan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat
dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor mengenai kontrol
yang seharusnya diterapkan dan diuji selama audit.
Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini:

Pertanyaan Jawaban Komentar Metode Dikerjakan Oleh

Apakah cek-cek Ya Ini merupakan Tanya jawab JEL
dibandingkan bagian untuk Observasi
dengan nota meyakinkan Pengujian
pembayaran? Tidak jumlah yang
diterima akan
dikreditkan ke
akun pelanggan.
Apakah setoran Ya Jika keduanya Tanya jawab MRE
bank sesuai tidak sesuai, Observasi
dengan data setoran Pengujian
pembayaran diverifikasi dan
sebelum dikirim ke bank
diserahkan ke untuk dikredit
bank? Tidak secepat mungkin.

Pertanyaan dijawab “Ya” atau “Tidak” (digarisbawahi) dan setiap perubahan “Komentar” dicatat
oleh auditor. “Metode” menentukan jawaban dicatat. Suatu tanya jawab, yaitu bertanya kepada
klien, bukan merupakan sumber yang dapat diandalkan seperti halnya observasi. Pengujian
catatan dan transaksi memberi peluang untuk memeriksa kejadian dan mengevaluasi risiko
selama jangka waktu tertentu dibandingkan dengan periode pengamatan yang pendek. Hal ini
diperlukan untuk mengevaluasi fungsi kontrol kunci.

Kolom “Dikerjakan Oleh” harus berisi nama atau inisial orang yang melakukan aktivitas
tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat
penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian
ini terhadap risiko.

Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa kuesioner
tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi selnajutnya
setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi baru,
pemberlakuan hukum dan peraturan baru, dan munculnya banyak peristiwa lain membutuhkan
penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih dilakukan bisa jadi
bukanlah prosedur terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk menentukan
bahwa pertanyaan dan konteks jawabannya tetap relevan. Auditor harus memastikan bahwa ICQ
mengikuti dan merespons perubahan dalam organisasi, metode operasi, dan tujuan organisasi.
Perubahan dalam setiap hal ini membutuhkan perubahan dalam ICQ.

Analisis Matriks

Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control and
Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis matriks
tersebut dapat digunakan untuk analisis kontrol di aktivitas manapun.

Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memiliki kontrol yang layak. Matriks kontrol juga mengakui
bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai
contoh, sebuah kunci melindungi aset dari kemungkinan hilang dengan membatasi akses. Hal ini
juga memberikan akuntabilitas untuk menangani aset karena orang yang memegang kunci akan
bertanggung jawab jika aset yang sudah diamankan tersebut hilang. Suatu anggaran menetapkan
tujuan dan sasaran yang akan dicapai dan menjadi alat ukur kinerja. Anggaran juga menetapkan
otoritas manajer untuk bertindak dalam kendala keuangan berupa anggaran.

Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1); tingkat
keyakinan ini disebut sebagai primer (P) karena merupakan kontrol utama menghadapi risiko.

Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan
menghadapi risiko lain (Risiko 2), tetapi tingkat keyakinannya lebih kecil dari kontrol yang
semula dirancang untuk itu. Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko 2
memiliki kontrol primernya sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan
menghadapi Risiko 2 ketika menghadapi Risiko 1.

Suatu kontrol dapat memberikan tingkat keyakinan ketiga atas kontrol yang lain (Risiko 3).
Tingkat keyakinan ini disebut sebagai berguna (B). Tingkat keyakinan tersebut tidak cukup
hanya mengandalkan kontrol menghadapi Risiko 3 tetapi kontrol ini bisa memunculkan pertanda
atas adanya Risiko 3 yang harus diinvestigasi.

Matriks risiko dan kontrol tampak seperti ini:

Kontrol A Kontrol B Kontrol C

Risiko 1 P B
Risiko 2 S P B
Risiko 3 P

Kontrol Preventif dan Detektif

Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol-preventif atau detektif.
Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol detektif
mendeteksinya sehingga tindakan korektif bisa dilakukan.

Kontrol detektif memiliki sifat “aktivitas setelah fakta” dan membutuhkan empat unit tindakan.
Tindakan pertama adalah penelaahan, rekonsiliasi, atau menemukan masalah atau risiko yang
ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang tidak diinginkan
untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan. Tindakan ketiga adalah
koreksi. Tindakan terakhir adalah pengecekan terhadap tindakan korektif untuk melihat apakah
kejadian atau risiko yang tidak diinginkan telah diperbaiki atau dinetralkan.

Ada dua aspek lain dari kontrol detektif yang membuatnya kurang efektif dibandingkan kontrol
preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Kedua, kontrol detektif
kelihatannya hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan.

Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol preventif
lebih efisien dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan. Sehingga
matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis.

Metodologi Ilustratif COSO

Studi COSO mencakup satu volume berjudul ‘Evaluation Tools’ (Perangkat Evaluasi). Dalam
pendahuluan volume ini terdapat penyataan ini:
 Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi. Perangkat tersebut
bukan merupakan bagian yang integral dari Kerangka Kerja, dan penyajiannya di sini
tidaklah untuk menyarankan semua hal yang perlu dipertimbangkan dalam mengevaluasi
suatu sistem kontrol internal, atau bahwa semua masalah harus disajikan dalam rangka
untuk menyimpulkan bahwa suatu sistem adalah efektif. Demikian pula, tidak terdapat
saran bahwa perangkat-perangkat tersebut merupakan metode yang lebih disukai untuk
dilakukan dan mendokumentasikan sebuah evaluasi. (Semua penekanan berasal dari studi
COSO).

Perangkat Evaluasi berisi dua jenis umum perangkat. Perangkat pertama dalah Perangkat
Komponen; yang kedua adalah Lembar Kerja Penemtuan Risiko dan Aktivitas Kontrol.

Perangkat Komponen merujuk pada analisis komponen-komponen sistem kontrol. Untuk

mengingatkan, dari studi COSO, definisi kontrol adalah:

Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi perusahaan,
manajemen, dan karyawan lainnya, untuk memberikan keyakinan yang wajar mengenai
pencapaian tujuan dalam kategori-kategori berikut ini:

 Efektivitas dan efisiensi operasi.

 Keandalan pelaporan keuangan.
 Ketaatan dengan hukum dan aturan yang berlaku.

Selanjutnya studi tersebut menyatakan:

Kontrol internal terdiri atas lima komponen yang saling berkaitan. Komponen-komponen ini
berasal dari cara manajemen menjalankan bisnis, dan diintegrasikan dengan proses manajemen.

Komponen-komponen tersebut adalah:

 Lingkungan Kontrol─Inti suatu bisnis dalah orang-orangnya−karakteristiknya masing-

masing, termasuk integritas, nilai-nilai etika, dan kompetensi−dan lingkungan tempat
mereka bekerja. Hal-hal tersebut merupakan mesin penggerak perusahaan dan merupakan
fondasi segala sesuatunya ditempatkan.
 Penentuan Risiko─Perusahaan harus mewaspadai dan mengelola risiko yang
dihadapinya. Perusahaan harus menetapkan tujuan, terintegrasi dengan penjualan,
 produksi, pemasaran, keuangan, dan aktivitas-aktivitas lainnya sehingga organisasi
beroperasi secara harmonis. Perusahaan juga harus menetapkan mekanisme untuk
mengidentifikasi, menganalisis, dan mengelola risiko-risiko.
 Aktivitas-aktivitas Kontrol─Kebijakan dan prosedur kontrol harus ditetapkan dan
dilaksanakan untuk membantu memastikan bahwa tindakan-tindakan yang diidentifikasi
oleh manajemen diperlukan untuk menghadapi risiko terhadap pencapaian tujuan entitas
secara efektif dilakukan.
 Informasi dan Komunikasi─ Di sekitar aktivitas-aktivitas ini terdapat sistem informasi
dan komunikasi. Hal ini memungkinkan karyawan perusahaan mendapatkan dan menukar
informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan
operasinya.
 Pengawasan─Keseluruhan proses harus dimonitor, dan dibuat perubahan bila diperlukan.
Dengan cara ini, sistem dapat bereaksi secara dinamis, berubah seiring dengan perubahan
kondisi.

Perangkat Komponen dirancang untuk mengevaluasi setiap komponen di atas dalam struktur
entitas. Setiap komponen dapat dibagi lagi ke dalam hal-hal substantif yang disebut “masalah-
masalah yang menjadi fokus”. Masalah-masalah ini kemudian dirinci ke dalam contoh-contoh
aplikasi khusus yang dapat diperiksa dan ditanggapi. Lembar Kerja Penilaian Risiko dan
Aktivitas Kontrol digunakan untuk menilai tujuan-tujuan khusus, risiko, dan kontrol. Tata letak
lembar kerja tersebut menuntun pembuatnya melalui proses analitis.

Penerapan pendekatan ini cukup mudah. Setiap langkah mengalir secara logis dari langkah
sebelumnya.

 Tujuan ditentukan; pengidentifikasian risiko menjadi lebih mudah.

 Jika risiko telah diidentifikasi, kemungkinan historis untuk terjadi dapat ditentukan.
 Jika risiko diketahui, langkah utnuk menghadapinya─aktivitas-aktivitas kontrol─dapat
ditentukan.
 Hubungan antara risiko dan aktivitas kontrol dengan tujuan-tujuan lainnya ditentukan
dengan melihat risiko yang sama atau aktivitas kontrol dalam tujuan-tujuan yang lain─
serupa dengan metode matriks.
  Akhirnya, sebuah kesimpulan diformulasi mengenai efektivitas kontrol. Auditor akan
mengakui pentingya hal ini karena mereka akan mendapatkan kesimpulan untuk setiap
pengujian atas kontrol yang dilakukan dalam audit.

Bila analisis tujuan, risiko, dan aktivitas kontrol telah dilakukan, program audit diterapkan
bersama-sama untuk menguji aktivitas kontrol. Efektivitas aktivitas kontrol ditentukan dalam
analisis risiko. Audit merupakan pengujian kinerja; yaitu, apakah aktivitas kontrol memang
diterapkan seperti yang dirancang. Kesimpulan audit akan menjadi sebuah ukuran kualitas
kinerja.

Metode Courtney

Satu teknik penilaian yang menarik dan sederhana sehubungan dengan biaya kontrol
dikembangkan oleh Robert Courtney saat ia bergabung dalam Divisi Sistem Komunikasi IBM.
Teknik tersebut melibatkan perhitungan yang menempatkan nilai uang (dolar, rupiah) ke risiko-
risiko potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa
menciptakan kesulitan. Jika pendekatan ini digunakan, auditor internal harus berupaya mencari
kesepakatan dengan manjemen tentang nilai-nilai yang diberikan dan frekuensi-frekuensi yang
diestimasi. Hal ini bisa jadi subjektif. Tetapi sebuah konsensus dapat mengahsilkan tingkat
keandalan yang dapat diterima. Penggunaan sebuah metode yang secara eksplisit membutuhkan
sesorang untuk membuat estimasi adalah lebih baik daripada tidak ada estimasi sama sekali.
Dampak potensial dari sebuah kejadian diberikan nilai (value-v) dari 1 hingga 7:

Jumlah Nilai
$ 10 = 1
100 = 2
1.000 = 3
10.000 = 4
100.000 = 5
1.000.000 = 6
10.000.000 = 7

Estimasi frekuensi keterjadian diberi peringkat (p) dari 1 hingga 8:

Frekuensi P
Sekali dalam 300 tahun = 1
 Sekali dalam 30 tahun = 2
Sekali dalam 3 tahun = 3
Sekali dalam 100 hari = 4
Sekali dalam 10 hari = 5
Sekali sehari = 6
10 kali sehari = 7
100 kali sehari = 8

Rumus berikut ini menghasilkan estimasi kerugian dalam dolar per tahun (E) untuk nilai dan
frekuensi yang diberikan jika suatu kejadian yang tidak diinginkan terjadi:

10 ( p+ x−3 )
E= 3

Metode Lain Pemberian Nilai

Metode pemberian nilai yang lain dan lebih sederhana hanya memasukkan estimasi kerugian,
bukan risiko keterjadian. Hal ini disebut dengan “nilai yang diharapkan.”

Anggaplah bahwa nilai suatu aktiva adalah $100.000. terdapat kontrol yang memadai untuk
aktiva dengan cara memberikantanda jika ada aktiva yang hilang dalam persentase besar. Tetapi
terdapat kemungkinan bahwa persentase yang lebih kecil tidak dapat dideteksi oleh kontrol yang
ada. Auditor, mungkin dengan bantuan manajemen operasi, mengestimasikan probabilitas 5
persen untuk kerugian sebesar $15.000, probabilitas 10 persen untuk kerugian $10.000,
probabilitas 25 persen untuk kerugian $5.000, dan probabilitas 50 persen untuk kerugian $1.000.
berdasarkan estimasi ini, “nilai yang diharapkan” dari kerugian adalah sebesar $3.500 yang
dihitung sebagai berikut:

Estimasi Jumlah Probabilitas Nilai yang

Kerugian Kerugian Diharapkan
$ 15.000 5% $ 750
10.000 10% 1.000
5.000 25% 1.250
1.000 50% 500
Total Nilai yang Diharapkan $ 3.500
Jika kontrol yang baik dapat diterapkan dengan biaya kurang dari $3.500, maka secara finansila
cukup layak. Jika biayanya lebih besar, kontrol yang berbiaya lebih murah atau dicari atau risiko
tersebut harus diterima.