Mengidentifikasi Faktor Risiko Bawaan

Cara paling efektif untuk mencegah terlewatinya faktor risikoyang relevan adalah dengan
membuat identifikasi risiko sebagai bagian yang tidak terpisahkan dari pemahaman entitas. Makin
auditor mengetahui dan menghayati ke enam area pemahaman entitas, makin besar pula
kemampuan auditor mengidentifikasi faktor risiko. Memahami entitas juga bermanfaat Ketika
auditor mengidentifikasi dan kemudian menanggapi skenario kemungkinan terjadinya kecurangan.
Management Override selalu berpeluang terjadi. Dan jika terjadi, kecurangan ini disembunyikan,
khususnya dari auditor.

Ketika informasi dikumpulkan (atau dimutakhirkan) untuk ke enam area pemahaman

entitas, adanya faktor risiko (bisnis dan kecurangan) akan dipertimbangkan. Risiko bisnis yang
diidentifikasi, mungkin juga mengandung risiko kecurangan didaftarkan secara terpisah dari risiko
bisnis, dan juga dinilai secara terpisah. Sebagai contoh, jika prakiran penjualan produk tertentu
menunjukkan kecenderungan menurun (ini adalah sumber risiko eksternal), pertimbangkan
implikasinya (what could go wrong) terhadap laporan keuangan. Merosotnya Penjualan produk
tertentu, dapat berakibat persediaan berlebih yang perlu diturunkan nilainya (written Down), tetapi
juga dapat memicu risiko kecurangan jika bagian penjualan menggelembungkan angka penjualan
diatas ambang batas perolehan bonus (bonus threshold).

Dampak dari beberapa faktor risiko (yang diidentifikasi) berhubungan dengan area tertentu
dalam laporan keuangan. Namun, faktor risiko lainnya Bersifat pervasive dan berhubungan dengan
banyak area laporan keuangan. Contoh, jika kepala pembukuan (senior accountant) tidak kompeten,
kesalahan mungkin terjadi bukan pada satu area dalam laporan keuangan, tetapi pada
beberapa/banyak area. Juga, jika ada yang memanfaatkan situasi ini untuk melakukan kecurangan,
salah saji bisa terjadi pada beberapa saldo asset atau kewajiban/utang, dan bisa ditutupi dengan
salah saji tambahan dalam transaksi pendapatan dan beban.

Risiko pervasif sering timbul dari kelemahan lingkungan pengendalian dan berpotensi
memengaruhi banyak area dalam laporan keuangan, disclosures, dan asersi. Risiko pervasif sering
berdampak terhadap penilaian risikoditingkat laporan keuangan. Risiko pada tingkat laporan
keuangan ditangani melalui tanggapan menyeluruh (overall response) oleh auditor, seperti:
melaksanakan lebih banyak pekerjaan audit work performed, menugaskan staf yang lebih
berpengalaman dan seterusnya.

Dengan berjalannya audit progresses, faktor risiko tambahan mungkin diidentifikasi. Faktor
risiko ini ditambhakan ke daftar semula dan dinilai sebagaimana harusnya sebelum membuat
keputusan mengenai dampaknya terhadap strategi audit dan rencana audit, misalnya keputusan
mengenai dampaknya terhadap strategi audit dan rencana audit, misalnya keputusan mengenai sifat
dan luasnya prosedur audit selanjutnya. Praktik ini memastikan bahwa, Ketika auditor melakukan
perencanaan untuk periode yang akan dating, identifikasi dan penilaian risiko sudah tuntas.

Di bawah ini, menyajikan proses identifikasi risiko dalam tiga Langkah.

Langkah 1 – kumpulkan informasi dasar tentang entitas

Langkah permulaan ialah memperoleh pemahaman dasar atau mempunyai kerangka acuan untuk
merancang prosedur penilaian risiko. Tanpa ini, akan sangat sulit, bahkan tidak mungkin,
mengidentikasi kesalahan dan kecurangan apa yang bisa terjadi dalam laporan keuangan. Langkah 1,
karena itu, adalah: peroleh atau mutakhiran informasi dasar yang relevan tentang entitas,
tujuannya, budaya (perusahaan) operasi, pegawai/eksekutif kunci, struktur organisasi dan
pengendalian intern.

Langkah 2 – Rancang, laksanakan, dan dokumentasikan prosedur penilaian risiko

 Kegiatan/prosedur penilaian risiko harus dilakukan agar:

a. Sumber risiko salah saji yang material dapat diidentifikasi.
b. Pemahaman yang tepat mengenai entitas, bisa diperoleh.
c. Bukti-bukti audit yang menjadi pendukung, bisa diperoleh.
 Dengan pemahaman dasar tentang entitas yang diperoleh dalam Langkah 1 diatas, rancang
dan laksanakan prosedur penilaian risiko dan kegiatan terkait.
 Lakukan pertemuan dengan anggota tim audit mengenai kerentanan laporan keuangan
terhadap salah saji yang material.
 Tanyakan kepada manajemen bagaimana mereka mengidentifikasi dan mengelola faktor
risiko, khususnya kecurangan, dan faktor risiko apa yang sudah mereka identifikasi dan
Kelola. Juga tanya manajemen apakah kesalahan atau kecurangan betul-betul terjadi (dalam
tahun berjalan).
 Dokumentasikan semua faktor risiko yang diidentifikasi.

Langkah 3 – hubungkan risiko yang diidentifikasi dengan area dalam laporan keuangan

 Untuk setiap faktor risiko (penyebab risiko) yang diidentikasi , tentukan dampak (salah saji
yang spesifik seperti kesalahan atau kecurangan) yang bisa terjadi pasa laporan keuangan.
Ingat, satu faktor risiko bisa mengakibatkan sejumlah salah saji yang berbeda, yang mungkin
berdampak terhadap lebih dari satu area laporan keuangan. (lihat butir pertimbangan
dibawah, untuk beberapa contoh).
 Identifikasi saldo akun, jenis transaksi, dan disclosures yang material dalam laporan
keuangan.
 Hubungkan atau petakan risiko yang diidentifikasi ke area tertentu dalam laoran keuangan,
disclosures, dan asersi yang dipengaruhi. Jika risiko yang diidentifikasi bersifat pervasif,
hubungkan dengan laporan keuangan secara keseluruhan. Identifikasi dampak risiko
menurutarea dalam laporan keuangan, ini akan membantu penilaian risiko ditingkat asersi.
 Identifikasi dampak risiko pervasif akan membantu penilaian risiko ditingkat laporan
keuangan.

Mendokumentasikan proses identifikasi risiko

Auditor harus menggunakan kearifan profesionalnya mengenai bagaimana ia

mendokumentasikan proses identifikasi risiko. Salah satu pendekatannya ialah dengan mengikuti
ketiga langkah yang dijelaskan diatas.

Mengikuti ketiga Langkah itu, dokumentasinya terdiri atas informasi mengenai entitas,
prosedur penilaian resiko, dan menghubungkan risiko yang diidentifikasi dengan kemungkinan
kesalahan dan kecurangan dalam laporan keuangan.

Ada beberapa cara mendokumetasikan risiko yang terindentifikasi. Salah satu caranya
dengan cara dibawah ini

a.
Tujuan Entitas
 Sumber Risiko:
 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Salah dalam alokasi biaya dan penilaian presediaan.

 Area LK yang dipengaruhi atau risiko pervasif

Penilaian persediaan.

b.
 Sumber Risiko:
 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Sistem dan metodologi perhitungan biayapokok dan harga jual produk baru berpeluang
terjadinya kecurangan.

 Area LK yang dipengaruhi atau risiko pervasif

Akurasi angka persediaan

c.
 Sumber Risiko:

Memperkenalkan produk baru dalam tahun berjalan

 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Kebutuhan dana segar akan menyulitkan kepatuhan terhadap perjanjian bank. Jika entitas
melanggar perjanjian, utang harus langsung dibayar (payable on demand).

 Area LK yang dipengaruhi atau risiko pervasif

Disclosures dalam LK mengenai perjanjian kredit dan ketentuannya.

d.
 Sumber Risiko:
 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Manajemen mungkin tergoda memanipulasi LK agar “terlihat” patuh terhadap perjanjian

kredit dengan bank.

 Area LK yang dipengaruhi atau risiko pervasif

Risiko Pervasif

e.
Sifat Entitas
 Sumber Risiko:

Kepala Pembukuan.

 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Kesalahan dalam LK.

 Area LK yang dipengaruhi atau risiko pervasif

Risiko Pervasif.
 f.
 Sumber Risiko:

Belum ikut pelatihan.

 Dampak terhadap laporan keuangan (kesalahan atau kecurangan)

Peluang terjadinya kecurangan.

 Area LK yang dipengaruhi atau risiko pervasif

Risiko Pervasif.

Bab 20.
Menilai Risiko Bawaan
Bab 19 membahas segala sesuatu yang berhubungan dengan mengidentifikasi risiko bawaan
(inherent risk). Sesudah auditor mengidentifikasi risiko ini, Langkah selanjutnya ialah menilai
risiko yang diidentifikasi (identified risk). Bab ini membahas bagimana auditor menilai risiko
(assess risk), atau bagimana proses penilaian risiko (risk assessment process) dilakukan.

Tinjauan Umum

Dalam mengidentifikasi risiko auditor:

 Melaksanakan prosedur penilaian risiko untuk mengidentikasi sumber atau penyebab risiko
melalui pemahaman entitas.
 Menentukan dampak yang mungkin ada, dari sumber risiko yang diidentifikasi (salah saji
potensial dalam LK), termasuk kemungkinan kecurangan, dan
 Menghubungkan dampak risiko dengan area LK dan asersi yang dipengarui, atau
menentukan apakah risiko bersifat pervasif terhadap laporan keuangan secara menyeluruh
dan secara potensial memengaruhi banyak asersi.

Langkah berikutnya ialah menilai risiko yang diidentifikasi dan menentukan berapa
pentingnya risiko tersebut untuk mengaudit LK. Lebih baik menilai lebih dulu risiko bawaan
(inherent risk) sebelum mempertimbangkan penggunaan pengendalian intern yang mungkin
dapat memitigasi risiko tersebut.

Penilaian atas risiko yang diidentifikasi mempertimbangkan dua atribut mengenai risiko,
yakni:

 Berapa besarnya peluang terjadinya salah saji (dalam LK) Akibat risiko tersebut?
 Berapa besar dampak moneternya (monetary impact) jika resiko itu menjadi kenyataan?

Peluang Terjadinya Salah Saji

 Beberapa probabilitias risiko itu terjadi? Auditor dapat mengevaluasi probabilitas itu dengan
sederhana, yakni apakah probabilitasnya tinggi, sedang atau rendah. Atau, ia dapat memberi skor
dalam bentuk angka, misalnya antara 1 sampai dengan 5, di mana skor yang lebih tinggi berarti
peluang terjadinya lebih tinggi.

Besaran (Dampak Moneter) Jika Risiko Terjadi

Jika risiko itu memang terjadi, berapa besar dampak moneternya? Pendapat mengenai hal
ini harus dinilai terhadap suatujumlah tertentu sebagai acuan. Jika tidak, orang yang berbeda
(dengan angka materialitas yang berbeda dalam benaknya) bisa berkesimpulan yang berbeda. Untuk
tujuan audit, angka yang ditetapkan berhubungan dengan apa yang merupakan salah saji material
dalam LK secara menyeluruh. Penilaian ini dievaluasi secara sederhana, sebagai tinggi, sedang, atau
rendah. Atau, dengan memberi skor dalam bentuk angka, misalnya antara 1 sampai dengan 5, di
mana skor yang lebih tinggi berarti besaran risiko yang lebih tinggi pula.

Penilaian Risiko oleh Entitas

Penilaian risiko merupakan salah satu dari lima komponen dalam pengendalian internal yang
harus ditangani manajemen.

Dalam entitas yang lebih kecil, proses penilaian risiko bersifat informa dan tidak terstuktur.
Risiko dalam entitas yang lebih kecil sering kali diakui secara implisit dan bukan eksplisit. Manajemen
mungkin saja menyadari risiko yang berhubungan dengan pelaporan keuangan melalui keterlibatan
langsung pegawai dan pihak-pihak luar. Oleh karena itu, auditor harus menanyakan (make inquiries)
kepada manajemen mengenai bagaimana manajemen mengidentifikasi dan mengelola risiko.
Pertanyaan selanjutnya, risiko apa saja yang benar-benar diidentifikasidan dikelola oleh manajemen.
Auditor kemudian mendokumentasikan proses ini beserta hasilnya

Ketika manajemen memahami proses penilaian risiko yang lebih formal manajemen
mungkin memutuskan untuk mengembangkan, mengimplementasikan, mendokumentasikan
prosesnya sendiri. Jika ini terjadi, auditor akan mengevaluasi

 Pengendalian yang ada terhadap proses manajemen ini.

 Lengkapnya identifikasi risiko bisnis dan risiko kecurangan.
 Penilaian manajemen terhadap besaran risiko atas dampak moneter dan peluang
terjadinya.
 Tanggapan manajemen terhadap risiko.

Jika manajemen gagal mengidentifikasi risiko-risiko utama, auditor sebaiknya

mempertimbangkan apakah ada kelemahan yang signifikan dalam proses penilaian risiko.

Mendokumentasikan Risiko yang Dinilai

Menilai faktor risiko memerlukan kearifan professional. Penilaian risiko salah saji material
dilakukan pada dua tingkat, yakni ditingkat laporan keuangan dan di tingkat asersi untuk jenis
transaksi, saldo akun, dan diclosures.
 Sumber Risiko Contoh Risiko Signifikan
Kegiatan beresiko Peristiwa/operasi di mana salah saji material muda terjadi: 1). Toko
tinggi perhiasan dengan banyak persediaan emas dan logam mulia. 2). Sistem
akutansi baru, rumit, dengan pengolahan data elektronik, mulai
dikenalkan perusahaan.
Transaksi nonrutin Transaksi hubungan istimewa diluar jalur bisnis yang normal. Transaksinya
(ukuran & sifat) tidak sering terjadi, tapi nilai transaksi besar. Sebagai contoh adalah
berikut.
 Transaksi rutin dalam volume yang sangat besar dengan pihak
terkait (related party).
 Penjualan besar (kontrak besar) dibandingkan dengan seluruh
penjualan entitas.
 Jual/beli asset utama (misalnya pabrik penghasil produk
terpenting) atau segmen bisnis penting.
 Penjualan bisnis kepada pihak ketiga.
 Transaksi rutin yang tidak kompleks dengan pemrosesan
sistematis tidak merupakan transaksi beresiko signifikan.
Perlu judgment, ada Contoh-contoh adalah sebagai berikut:
intervensi  Asumsi dan kalkulasi yang digunakan manajemen dalam membuat
manajemen dan estimasi penting.
rutinitas/kebosanan  Kalkulasi atau prinsip akutansi yang kompleks.
 Pengakuan pendapatan yang multi tafsir.
 Pengumpulan dan pengolahan data secara manual.
 Intervensi manajemen diperlukan untuk menentukan perlakuan
akutansi yang digunakan.
Potensi kecurangan Risiko tidak mendeteksi salah saji material karena kecurangan (dilakukan
dengan sengaja dan ditutup-tutupi) lebih tinggi dari risiko tidak
mendeteksi salah saji material karena kesalahan.
Dalam mengevaluasi apakah risiko signifikan bisa terjadi dari faktor risiko
kecurangan yang diidentifikasi serta scenario kecurangan yang
diidentifikasi dalam diskusi tim audit, pertimbangkan hal-hal berikut:
 Keterampilan melakukan kecurangan dari calon pelaku.
 Jumlah rata-rata yang manupulasi

Kedudukan manajemen atau pegawai untuk:

 Secara langsung/tidak langsung memanipulasi pembukuan.
 Meniadakan (override) prosedur pengendalian.
 Sering dan luasnya memanipulasi.
 Peluang melakukan persengkokolan (collusion).
 Sengaja berbohong kepada auditor.
 Pengalaman dan kekhawatiran yang dikemukakan orang lain, di
masa lalu

Risiko kecurangan signifikan mungkin diidentifikasi pada setiap tahap audit

dengan diterimanya informasi baru.
Mengidentifikasi Risiko Signifikan

Jika risiko salah saji material sudah diidentifikasidan dinilai, yang diperlukan ialah menelaah
temuan dan kemudian memilih (berdasarkan kearifan professional) risiko-risiko yang memang
signifikan.

Menanggapi Risiko Signifikan

Ketika risiko digolongkan sebagai signifikan, auditor harus memberikan tanggapan. Dibawah
ini mengikhtisarkan tanggapan auditor, berupa langkah audit, terhadap risiko signifikan.

Evaluasi Pengendalian Internal

Apakah manajemen merancang dan mengimplementasikan pengendalian intern yang menangkal
risiko signifikan? Lihat eksistensi pengendalian langsung seperti kegiatan pengendalian (control
activities) dan pengendalian tidak langsung seperti pengendalian pervasif (pervasive control) Yang
dapat dimasukkan dalam pengendalian lingkungan (control environment), Penilaian risiko (risk
assessment), system infomasi, dan unsur pemantauan (monitoring elements).

Informasi diatas diperlukan untuk mengembangkan tanggapan audit yang efektif terhadap risiko
yang diidentifikasi. Ketika hal-hal nonrutin signifikan atau hal-hal yang bersifat judgmental tidak
diamankan dengan pengendalian intern rutin (misalnya dalam hal-hal yang bersifat judgmental
tidak diamankan dengan pengendalian intern rutin (misalnya dalam hal peristiwa yang terjadi
sekali setahun, auditor akan mengevaluasi kesadaran manajemen mengenai risiko signifikan dan
apakah tanggapan terhadap risiko signifikan itu tepat.
Contoh, jika entitas membeli asset bisnis lai, tanggapam entitas bisa meliputi.
 “Sewa” penilai independent (independent valuator) untuk asset yang dibeli.
 Penerapan prinsip akutansi yang tepat.
 Pengungkapan transaksi dengan benar dalam laporan keuangan.

Ketika auditor menentukan bahwa manajemen belum menggapai risiko dengan tepat (dengan
mengimplementasi pengendalian intern atas risiko yang signifikan), ada kelemahan signifikan
dalam pengendalian intern entitas, yang akan dikomunikasikan (secepatnya) kepada TCWG (Those
Charged With Governance)

Tanggapan audit terhadap risiko signifikan

Apakah prosedur audit selanjutanya (yang direncanakan) secara spesifik menanggapi risiko
signifikan? Prosedur ini dirancang untuk memperoleh bukti audit dengan keandalan tinggi tinggi,
dan dapat terdiri atas uji pengendalian (test of controls) dan prosedur substantif.

Umumnya prosedur audit ini sekedar merupakan kelanjutan dari prosedur yang biasanya
dilakukan. Contoh, jika risiko signifikan berkaitan dengan bias manajemen, seperti dalam
membuat estimasi akutansi, kelanjutan dari prosedur substantif adalah:
 Menilai validitas asumsi yang digunakan.
 Mengidentifikasi sumber dan keandalan informasi yang digunakan (baik eksternal maupun
internal).
 Perhatikan bias dalam estimasi ditahun yang lalu, dibandingkan dengan realisasi.
 Reviu metode yang digunakan (termasuk rumus dalam kertas kerja elektronis, seperti
Excel) dalam kalkulasi estimasi.

Bukti yang diperoleh tahun lalu

 Dalam hal auditor merencanakan menguji efektifnya operasi (untuk pengendalian yang
menangkal risiko signifikan, auditor tidak dapat mengandalkan bukti audit yang diperoleh tahun
lalu mengenai efektifnya pengendalian intern pengendalian.

Prosedur analitikal substantif saja, tidak cukup

Penggunaan prosedur analitikal substantif saja, tidaklah cukup untuk menanggapi risiko signifikan.
Jika pendekatan terhadap risiko signifikan terdiri atas prosedur substantif saja, prosedur audit
dapat berupa:
 Uji rincian (test of details) saja.
 Kombinasi uji rincian dan prosedur analitikal substantif.

Mendokumentasikan Risiko Signifikan

Auditor mendokumentasikan risiko signifikan yang diidentifikasikannya dan tanggapan audit

yang akan dilakukannya. Jika semua risiko didokumentasikan di satu tempat, pendokumentasian
risiko signifikan sekedar perluasan dari informasi yang sudah didokumentasikan.