Cara paling efektif untuk mencegah terlewatinya faktor risikoyang relevan adalah dengan
membuat identifikasi risiko sebagai bagian yang tidak terpisahkan dari pemahaman entitas. Makin
auditor mengetahui dan menghayati ke enam area pemahaman entitas, makin besar pula
kemampuan auditor mengidentifikasi faktor risiko. Memahami entitas juga bermanfaat Ketika
auditor mengidentifikasi dan kemudian menanggapi skenario kemungkinan terjadinya kecurangan.
Management Override selalu berpeluang terjadi. Dan jika terjadi, kecurangan ini disembunyikan,
khususnya dari auditor.
Dampak dari beberapa faktor risiko (yang diidentifikasi) berhubungan dengan area tertentu
dalam laporan keuangan. Namun, faktor risiko lainnya Bersifat pervasive dan berhubungan dengan
banyak area laporan keuangan. Contoh, jika kepala pembukuan (senior accountant) tidak kompeten,
kesalahan mungkin terjadi bukan pada satu area dalam laporan keuangan, tetapi pada
beberapa/banyak area. Juga, jika ada yang memanfaatkan situasi ini untuk melakukan kecurangan,
salah saji bisa terjadi pada beberapa saldo asset atau kewajiban/utang, dan bisa ditutupi dengan
salah saji tambahan dalam transaksi pendapatan dan beban.
Risiko pervasif sering timbul dari kelemahan lingkungan pengendalian dan berpotensi
memengaruhi banyak area dalam laporan keuangan, disclosures, dan asersi. Risiko pervasif sering
berdampak terhadap penilaian risikoditingkat laporan keuangan. Risiko pada tingkat laporan
keuangan ditangani melalui tanggapan menyeluruh (overall response) oleh auditor, seperti:
melaksanakan lebih banyak pekerjaan audit work performed, menugaskan staf yang lebih
berpengalaman dan seterusnya.
Dengan berjalannya audit progresses, faktor risiko tambahan mungkin diidentifikasi. Faktor
risiko ini ditambhakan ke daftar semula dan dinilai sebagaimana harusnya sebelum membuat
keputusan mengenai dampaknya terhadap strategi audit dan rencana audit, misalnya keputusan
mengenai dampaknya terhadap strategi audit dan rencana audit, misalnya keputusan mengenai sifat
dan luasnya prosedur audit selanjutnya. Praktik ini memastikan bahwa, Ketika auditor melakukan
perencanaan untuk periode yang akan dating, identifikasi dan penilaian risiko sudah tuntas.
Langkah permulaan ialah memperoleh pemahaman dasar atau mempunyai kerangka acuan untuk
merancang prosedur penilaian risiko. Tanpa ini, akan sangat sulit, bahkan tidak mungkin,
mengidentikasi kesalahan dan kecurangan apa yang bisa terjadi dalam laporan keuangan. Langkah 1,
karena itu, adalah: peroleh atau mutakhiran informasi dasar yang relevan tentang entitas,
tujuannya, budaya (perusahaan) operasi, pegawai/eksekutif kunci, struktur organisasi dan
pengendalian intern.
Langkah 3 – hubungkan risiko yang diidentifikasi dengan area dalam laporan keuangan
Untuk setiap faktor risiko (penyebab risiko) yang diidentikasi , tentukan dampak (salah saji
yang spesifik seperti kesalahan atau kecurangan) yang bisa terjadi pasa laporan keuangan.
Ingat, satu faktor risiko bisa mengakibatkan sejumlah salah saji yang berbeda, yang mungkin
berdampak terhadap lebih dari satu area laporan keuangan. (lihat butir pertimbangan
dibawah, untuk beberapa contoh).
Identifikasi saldo akun, jenis transaksi, dan disclosures yang material dalam laporan
keuangan.
Hubungkan atau petakan risiko yang diidentifikasi ke area tertentu dalam laoran keuangan,
disclosures, dan asersi yang dipengaruhi. Jika risiko yang diidentifikasi bersifat pervasif,
hubungkan dengan laporan keuangan secara keseluruhan. Identifikasi dampak risiko
menurutarea dalam laporan keuangan, ini akan membantu penilaian risiko ditingkat asersi.
Identifikasi dampak risiko pervasif akan membantu penilaian risiko ditingkat laporan
keuangan.
Mengikuti ketiga Langkah itu, dokumentasinya terdiri atas informasi mengenai entitas,
prosedur penilaian resiko, dan menghubungkan risiko yang diidentifikasi dengan kemungkinan
kesalahan dan kecurangan dalam laporan keuangan.
Ada beberapa cara mendokumetasikan risiko yang terindentifikasi. Salah satu caranya
dengan cara dibawah ini
a.
Tujuan Entitas
Sumber Risiko:
Dampak terhadap laporan keuangan (kesalahan atau kecurangan)
Penilaian persediaan.
b.
Sumber Risiko:
Dampak terhadap laporan keuangan (kesalahan atau kecurangan)
Sistem dan metodologi perhitungan biayapokok dan harga jual produk baru berpeluang
terjadinya kecurangan.
c.
Sumber Risiko:
Kebutuhan dana segar akan menyulitkan kepatuhan terhadap perjanjian bank. Jika entitas
melanggar perjanjian, utang harus langsung dibayar (payable on demand).
d.
Sumber Risiko:
Dampak terhadap laporan keuangan (kesalahan atau kecurangan)
Risiko Pervasif
e.
Sifat Entitas
Sumber Risiko:
Kepala Pembukuan.
Risiko Pervasif.
f.
Sumber Risiko:
Risiko Pervasif.
Bab 20.
Menilai Risiko Bawaan
Bab 19 membahas segala sesuatu yang berhubungan dengan mengidentifikasi risiko bawaan
(inherent risk). Sesudah auditor mengidentifikasi risiko ini, Langkah selanjutnya ialah menilai
risiko yang diidentifikasi (identified risk). Bab ini membahas bagimana auditor menilai risiko
(assess risk), atau bagimana proses penilaian risiko (risk assessment process) dilakukan.
Tinjauan Umum
Melaksanakan prosedur penilaian risiko untuk mengidentikasi sumber atau penyebab risiko
melalui pemahaman entitas.
Menentukan dampak yang mungkin ada, dari sumber risiko yang diidentifikasi (salah saji
potensial dalam LK), termasuk kemungkinan kecurangan, dan
Menghubungkan dampak risiko dengan area LK dan asersi yang dipengarui, atau
menentukan apakah risiko bersifat pervasif terhadap laporan keuangan secara menyeluruh
dan secara potensial memengaruhi banyak asersi.
Langkah berikutnya ialah menilai risiko yang diidentifikasi dan menentukan berapa
pentingnya risiko tersebut untuk mengaudit LK. Lebih baik menilai lebih dulu risiko bawaan
(inherent risk) sebelum mempertimbangkan penggunaan pengendalian intern yang mungkin
dapat memitigasi risiko tersebut.
Penilaian atas risiko yang diidentifikasi mempertimbangkan dua atribut mengenai risiko,
yakni:
Berapa besarnya peluang terjadinya salah saji (dalam LK) Akibat risiko tersebut?
Berapa besar dampak moneternya (monetary impact) jika resiko itu menjadi kenyataan?
Jika risiko itu memang terjadi, berapa besar dampak moneternya? Pendapat mengenai hal
ini harus dinilai terhadap suatujumlah tertentu sebagai acuan. Jika tidak, orang yang berbeda
(dengan angka materialitas yang berbeda dalam benaknya) bisa berkesimpulan yang berbeda. Untuk
tujuan audit, angka yang ditetapkan berhubungan dengan apa yang merupakan salah saji material
dalam LK secara menyeluruh. Penilaian ini dievaluasi secara sederhana, sebagai tinggi, sedang, atau
rendah. Atau, dengan memberi skor dalam bentuk angka, misalnya antara 1 sampai dengan 5, di
mana skor yang lebih tinggi berarti besaran risiko yang lebih tinggi pula.
Penilaian risiko merupakan salah satu dari lima komponen dalam pengendalian internal yang
harus ditangani manajemen.
Dalam entitas yang lebih kecil, proses penilaian risiko bersifat informa dan tidak terstuktur.
Risiko dalam entitas yang lebih kecil sering kali diakui secara implisit dan bukan eksplisit. Manajemen
mungkin saja menyadari risiko yang berhubungan dengan pelaporan keuangan melalui keterlibatan
langsung pegawai dan pihak-pihak luar. Oleh karena itu, auditor harus menanyakan (make inquiries)
kepada manajemen mengenai bagaimana manajemen mengidentifikasi dan mengelola risiko.
Pertanyaan selanjutnya, risiko apa saja yang benar-benar diidentifikasidan dikelola oleh manajemen.
Auditor kemudian mendokumentasikan proses ini beserta hasilnya
Ketika manajemen memahami proses penilaian risiko yang lebih formal manajemen
mungkin memutuskan untuk mengembangkan, mengimplementasikan, mendokumentasikan
prosesnya sendiri. Jika ini terjadi, auditor akan mengevaluasi
Menilai faktor risiko memerlukan kearifan professional. Penilaian risiko salah saji material
dilakukan pada dua tingkat, yakni ditingkat laporan keuangan dan di tingkat asersi untuk jenis
transaksi, saldo akun, dan diclosures.
Sumber Risiko Contoh Risiko Signifikan
Kegiatan beresiko Peristiwa/operasi di mana salah saji material muda terjadi: 1). Toko
tinggi perhiasan dengan banyak persediaan emas dan logam mulia. 2). Sistem
akutansi baru, rumit, dengan pengolahan data elektronik, mulai
dikenalkan perusahaan.
Transaksi nonrutin Transaksi hubungan istimewa diluar jalur bisnis yang normal. Transaksinya
(ukuran & sifat) tidak sering terjadi, tapi nilai transaksi besar. Sebagai contoh adalah
berikut.
Transaksi rutin dalam volume yang sangat besar dengan pihak
terkait (related party).
Penjualan besar (kontrak besar) dibandingkan dengan seluruh
penjualan entitas.
Jual/beli asset utama (misalnya pabrik penghasil produk
terpenting) atau segmen bisnis penting.
Penjualan bisnis kepada pihak ketiga.
Transaksi rutin yang tidak kompleks dengan pemrosesan
sistematis tidak merupakan transaksi beresiko signifikan.
Perlu judgment, ada Contoh-contoh adalah sebagai berikut:
intervensi Asumsi dan kalkulasi yang digunakan manajemen dalam membuat
manajemen dan estimasi penting.
rutinitas/kebosanan Kalkulasi atau prinsip akutansi yang kompleks.
Pengakuan pendapatan yang multi tafsir.
Pengumpulan dan pengolahan data secara manual.
Intervensi manajemen diperlukan untuk menentukan perlakuan
akutansi yang digunakan.
Potensi kecurangan Risiko tidak mendeteksi salah saji material karena kecurangan (dilakukan
dengan sengaja dan ditutup-tutupi) lebih tinggi dari risiko tidak
mendeteksi salah saji material karena kesalahan.
Dalam mengevaluasi apakah risiko signifikan bisa terjadi dari faktor risiko
kecurangan yang diidentifikasi serta scenario kecurangan yang
diidentifikasi dalam diskusi tim audit, pertimbangkan hal-hal berikut:
Keterampilan melakukan kecurangan dari calon pelaku.
Jumlah rata-rata yang manupulasi
Jika risiko salah saji material sudah diidentifikasidan dinilai, yang diperlukan ialah menelaah
temuan dan kemudian memilih (berdasarkan kearifan professional) risiko-risiko yang memang
signifikan.
Ketika risiko digolongkan sebagai signifikan, auditor harus memberikan tanggapan. Dibawah
ini mengikhtisarkan tanggapan auditor, berupa langkah audit, terhadap risiko signifikan.
Informasi diatas diperlukan untuk mengembangkan tanggapan audit yang efektif terhadap risiko
yang diidentifikasi. Ketika hal-hal nonrutin signifikan atau hal-hal yang bersifat judgmental tidak
diamankan dengan pengendalian intern rutin (misalnya dalam hal-hal yang bersifat judgmental
tidak diamankan dengan pengendalian intern rutin (misalnya dalam hal peristiwa yang terjadi
sekali setahun, auditor akan mengevaluasi kesadaran manajemen mengenai risiko signifikan dan
apakah tanggapan terhadap risiko signifikan itu tepat.
Contoh, jika entitas membeli asset bisnis lai, tanggapam entitas bisa meliputi.
“Sewa” penilai independent (independent valuator) untuk asset yang dibeli.
Penerapan prinsip akutansi yang tepat.
Pengungkapan transaksi dengan benar dalam laporan keuangan.
Ketika auditor menentukan bahwa manajemen belum menggapai risiko dengan tepat (dengan
mengimplementasi pengendalian intern atas risiko yang signifikan), ada kelemahan signifikan
dalam pengendalian intern entitas, yang akan dikomunikasikan (secepatnya) kepada TCWG (Those
Charged With Governance)
Umumnya prosedur audit ini sekedar merupakan kelanjutan dari prosedur yang biasanya
dilakukan. Contoh, jika risiko signifikan berkaitan dengan bias manajemen, seperti dalam
membuat estimasi akutansi, kelanjutan dari prosedur substantif adalah:
Menilai validitas asumsi yang digunakan.
Mengidentifikasi sumber dan keandalan informasi yang digunakan (baik eksternal maupun
internal).
Perhatikan bias dalam estimasi ditahun yang lalu, dibandingkan dengan realisasi.
Reviu metode yang digunakan (termasuk rumus dalam kertas kerja elektronis, seperti
Excel) dalam kalkulasi estimasi.