Suatu Persediaan Risiko

Departemen audit internal Allstate mengembangkan suatu persediaan risiko usaha untuk membantu
dalam:

 Memberikan kerangka kerja untuk mengidentifikasi risiko-risiko yang paling mengancam

perusahaan sehingga risiko-risiko ini harus dipertimbangkan dalam perencanaan.
 Memfasilitasi pembahasan tentang risiko usaha.
 Membuat suatu infrastruktur untuk mengawasi perubahan pada risiko usaha sepanjang waktu
dan untuk membantu dalam mengidentifikasi risiko-risiko baru.
 Mempersiapkan manajemen dan audit internal mengambil langkah-langkah proaktif.
 Meningkatkan keahlian para staf audit di bidang risiko.

Pengembangan persediaan risiko mencakup proses yang terdiri atas empat tahap

1. Identifikasi risiko-risiko puncak

2. Mengonsolidasikan dan mengorganisasikan risiko-risko tersebut.

3. Membuat model persediaan risiko dan daftar risiko.

4. Mengelola persediaan risiko tersebut.

Persediaan risiko disusun dalam dua bagian dasar. Risiko-risiko eksternal mencakup:

 Lingkungan
 Bencana.
 Pasar keuangan
 Peringkat

Staf audit kemudian mengembangkan persediaan risiko khusus untuk setiap unit-unit organisasi dan
untuk jasa-jasa yang dipergunakaan bersama dan mengidentifikasi risiko yang paling mengancam
perusahaan

Staf audit kemudian memeringkat risiko-risiko tersebut berdasarkan signifikansi dan kemungkinan
terjadinya risiko pada skala tiga titik; tinggi, sedang, dan rendah. Risiko-risiko dengan peringkat tertinggi
disebut risiko-risiko "kunci". Kombinasi antara risiko "ancaman" dan "kunci" kemudian menerima audit
awal dan selanjutnya membutuhkan perhatian manajemen.

Pertanyaan-pertanyaan Dasar tentang Risiko

Perusahaan-perusahaan senantiasa mencoba menerapkan lebih banyak kontrol untuk risiko-risiko

mereka dan mengaudit area area yang memiliki tingkat risiko yang lebih tinggi dengan menanyakan
sejumlah pertanyaan yang dianggap signifikan. Hal ini menjadi penting begitu manajemen dan auditor
internal menyadari eksposur risiko yang telah berubah drastis seiring perubahan praktik bisnis. Sebagai
contoh, manajemen semakin menyadari risiko pasar, yaitu permintaan atas produk-produk perusahaan
Di pihak lain, risiko informasi meningkat drastis dengan adanya Internet yang memungkinkan usaha dan
perdagangan dilakukan melalui Internet. Perubahan-perubahan signifikan yang tidak disadari dapat
membahayakan perusahaan.

Beberapa organisasi telah membuat daftar pertanyaan yang akan digunakan auditor dalam meren-
canakan penugasan. Organisasi yang lain telah menguantifikasi jawaban-jawaban untuk setiap
pertanyaan dengan menghubungkan jawaban jawaban tertentu dengan nilai-nilai yang akan digunakan
auditor. Berdasarkan jawaban-jawaban tersebut kemudian dibuat skor. Skor ini bisa berupa
penjumlahan nilai hingga sistem pembobotan menggunakan sistem pakar (expert systems). Setelah skor
ditentukan, auditor bisa membuat rencana audit berdasarkan skor relatif. Apa pun pendekatan yang
digunakan penting bagi auditor untuk mengevaluasi hasil-hasil audit dibandingkan dengan prediksinya.

Strategi Penentuan Risiko Bell Canada

Bell Canada telah menggunakan evaluasi risiko sebagai sebuah bagian integral dari proses perencanaan
auditnya. Suatu perangkat dibuat untuk membantu auditor menentukan jenis atau tingkat risiko setiap
operasi yang diaudit. Setiap operasi yang diaudit dibagi ke dalam subproses, fungsi, atau aktivitas kunci.
Bagian-bagian ini membentuk satu sumbu pada matriks risiko. Pada sumbu yang lain auditor membuat
daftar 10 risiko usaha umum perusahaan. Di setiap sel auditor menggunakan sistem skor sederhana:

3. mengindikasikan kemungkinan terjadi yang besar.

2. mengindikasikan kemungkinannya sedang,

1. mengindikasikan kemungkinannya kecil.

Risiko usaha Dampak

1. Catatan Keuangan yang Salah Laporan keuangan dan catatan manajemen keuangan,
Dampak pencatatan, nilai klasifikasi, atau waktu.

2. Prinsip-prinsip Akuntansi yang Tidak Dapat Diterima Prosedur-prosedur yang tidak konsisten dengan GAAP
atau tidak sesuai dengan kondisi.

3. Interupsi Bisnis Penurunan nilai yang signifikan terhadap kemampuan

menyediakan jasa atau terhadap fungsi.

4. Kritik Pemerintah atau Tindakan Hukum Sankai berkenaan dengan hukum, peraturan, atau
otoritas pemerintah.

5. Biaya yang Berlebihan Setiap pengeluaran, baik pengeluaran modal maupun

 beban, yang seharusnya bisa dihindari atau dikurangi.

6. Pendapatan yang Kurang Kehilangan pendapatan atau kompensasi ke pihak yang

berhak. Pangsa pasar.

7. Keruskan atau Kehilangan Aktiva Pengurangan nilai atau kehilangan fasilitas, peralatan,
bahan baku, kas, atau klaim terhadap uang atau data

8.Kerugian Kompetitif dan Ketidakpuasan Ketidakmampuan memenuhi permintaan pasar atai

Publik/pelanggan merespon secara efektif terhadap tantangan
persaingan.

9. Kecurangan dan Konflik Kepentingan Penyalahgunaan kebijakan, aturan atau etika, atau
penurunan kepercayaan. Aspek moneter atau informasi
yang menyesatkan.

10. Kebijakan atari Kepitusan Manajemen yang Salah Integritas informasi untuk pengambilan keputusan
manajemen yang mengakibatkan ketidaktepatan
perencanaan, pengorganisasian, pengarahan, dan lain-
lain.

Auditor Internal dan Risiko Perdagangan Elektronik

Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan elektronik
(electronic commerce-EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini dapat diidentifikasi,
auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI), menentukan dan
menggambarkan ukuran ukuran yang bisa diambil untuk mengurangi risiko-risiko tersebut ke tingkat
yang dapat diterima. Ukuran ukuran yang direkomendasikan ini mencakup:

 Risiko dan dampaknya terhadap organisasi.

 Modifikasi atau aktivitas terkait yang direkomendasikan.
 Dampak modifikasi risiko terhadap operasi.
 Tingkat pengurangan risiko yang akan dicapai.
 Eksposur keuangan yang terkait dengan operasi.
 Biaya modifikasi yang dilakukan.
 Elemen-elemen waktu.
 Kemungkinan sukses
 Rekomendasi jika terdapat lebih dari satu ukuran.

Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan analisis risiko ini haru
sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus memahami perkembangan
baru di bidang ini terutama mengenai:

 Perubahan teknologi TI yang baru.

  Situasi yang diberitakan baru-baru ini.
 Perubahan dalam operasi organisasi

Parker menyatakan bahwa aktivitas audit internal berbasis TI perlu melakukan hal-hal berikut ini agar
dapat membuat asersi mengenai risiko pemrosesan perdagangan elektronik:

 "Pemahainan atas sistem dan infrastruktur:

 Front-end Web severs;
 Metode transmisi dan protokol
 Firewalls,
 Gateways;
 Back end;
 Middleware
 Kemungkinan koneksi dengan sistem perkantoran.
 "Menentukan informasi apa yang penting, elemen data dan program yang memengaruhi data,
bagaimana program yang didistribusikan, lokasi, server, pihak-pihak eksternal, dan proses yang
terlibat.
 "Pencatatan dan evaluasi kontrol serta prosedur yang menangani informasi penting dan sensitif.
 "Penilaian prosedur pengawasan;
 "Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak ketiga."

Risiko EDI

Pertukaran data elektronik (electronic data interchange-EDI) adalah sebuah sistem komunikasi informasi
komputer-ke-komputer yang saling terhubung untuk dokumen-dokumen bisnis yang terstandardisasi di
batas-batas organisasi. Koraputer, database, dan pusat informasi terhubung oleh Jaringan komunikasi
publik atau lainnya.

Terdapat enam area faktor risiko:

1. Tercarinya akses informasi

2. Hilangnya integritas data

3. Kurang lengkapnya transaksi

4. Tidak tersedianya sistem EDI

5. Ketidakmampuan untuk mengirimkan transaksi

6. Kurangnya pedoman hukum

Adanya beberapa lapis kontrol memiliki dampak berlipat untuk mengurangi risiko kontrol. Risiko kontrol
yang tiga lapis kontrol-kontrol administratif, kontrol fisik, dan perangkat lunak-akan gagal, dihitung
dengan persamaan ini:

CREDI = CRA*CRP*CRS

keterangan:

CREDI = Risiko Kontrol sistem EDI

CRA = Risiko Kontrol gagalnya prosedur administratif.

CRP = Risiko Kontrol gagalnya mekanisme fisik.

CRS = Risiko Kontrol gagalnya kontrol perangkat lunak.

Mengutip laporan COSO bahwa auditor internal harus membuat langkah-langkah ini secara terpisah dar.
proses penilaian:

1. Menghitung signifikansi risiko dalam satuan uang.

2. Menentukan kemungkinan terjadinya risiko.

3. Menentukan cara untuk mengurangi darapak risiko sehingga eksposur dapat dikurangi hingga ke
tingkat yang dapat diterima.

Faktor-faktor Risiko dan Aktivitas Kontrol

Faktor-faktor Risiko Kontrol Internal

1. Akses informasi yang tidak diotorisasi Kontrol akses.

a. Hacker mengakses sistem Kata sandi (password); mekanisme dial-back; ID

pengguna; kunci penyimpan, tingkat akses yang
b. Intersepsi selama transmisi berbeda.

Meningkatkan proteksi kabel; mengirimkan pesan

melalui media yang aman, serat optik, enkripsi: lapisan
lintasan, amplop elektronik rahasia.

c. Penyadapan (wiretapping) Meteran sinyal, pelindung kebocoran, perisai

elektromagnetik, saluran penahan akses.
2. Hilangnya integritas data
Pengecekan keotentikan data.
a. Perubahan/pemalsuan data
 b. Tidak adanya jejak audit dalam bentuk kertas. Protokol pemberitahuan

c. Hilangnya tanda tangan fisik Log terkomputerisasi.

d. Adanya kesalahan pada sistem

e. Gangguan oleh karyawan yang memiliki otorisasi. Tanda tangan digital: mekanisme pengesahan.

Pengecekan edit.

Pemisahan tugas, tingkat akses yang berbeda.

3. Kurang lengkapnya transaksi:

a. Transaksi selama transmisi. Pemberitahuan:

b. Duplikasi transaksi akibat transmisi ulang Total kelompok, Penomoran berurutan. Pengecekan
satu demi satu dibandingkan dengan arsip pengendali.

4. Tidak berjalannya sistem EDI

a. Penyebab logis, seperti virus, kesalahan program,

kesalahan perangkat keras dan lunak.
b. Penyebab alami, seperti kebakaran, banjir, gempa,
kerusakan listrik, dan lain-lain.
c. Sabotase oleh orang yang memiliki otorisasi.
Sistem yang menoleransi kegagalan. Paket antivirus;
perangkat keras dan perangkat lunak yang bebas
kesalahan.
Pengamanan di luar kantor; RAID; disk mirroring.

Pelatihan; pengumuman prosedur dan kebijakan

5. Ketidakmampuan untuk mengirimkan transaksi kontrol.

6. Kurangnya pedoman hukum Format data terstruktur/terstandardisasi, ketaatan pada

protokol ANSI/EDIFACT

Perjanjian definisi-definisi hukum, tanggung jawab, dan

kewajiban.

Risiko Kecurangan Manajemen

Artikel terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang dilakukan oleh
manajemen (management fraud) membahas model risiko kecurangan yang dapat digunakan oleh
auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis:

1. Membuat ekspektasi kuantitatif untuk saldo akun.

2. Membuat risiko investigatif dan saldo materialitas kuantitatif.

3. Membandingkan saldo akun aktual dengan ekspektasi auditor

Para penulis tersebut kemudian menyarankan sebuah struktur tiga elemen yang akan digunakan dalam
proses evaluasi risiko. Ketiga elemen tersebut adalah:

1. Kondisi yang memungkinkan terjadinya kecurangan manajemen.

2. Motivasi yang dapat melandasi terjadinya kecurangan.

3. Tingkah laku manajemen yang dapat nendorong manajemen untuk melakukan tindak kecurangan.

Untuk setiap area di atas terdapat risiko-risiko internal dan eksternal. Misalnya:

Kondisi:

 Tidak adanya atau lemahnya kontrol internal

 Tidak adanya atau lemahnya komite audit
 Pesatnya pertumbuhan
 Sedikitnya produk-produk utama
 Pengambilan keputusan yang tersentralisasi
 Manajemen yang tidak berpengalaman

Motivasi:

 Untuk meningkatkan investasi eksternal

 Untuk menunjukkan laba yang meningkat
 Untuk menghilangkan persepsi pasar yang negatif
 Untuk mendapatkan pendanaan
 Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
 Untuk memenuhi tujuan dan sasaran
 Untuk mendapatkan bonus

Tingkah laku:

 Ketidakjujuran
 Kurangnya perhatian terhadap aturan dan regulasi
 Kurangnya komitmen terhadap etika