PENENTUAN RISIKO

(RISK ASSESMENT)
Sawyer Chapter 3
 FILOSOFI COSO
Penentuan risiko merupakan hal yang penting bagi
manajemen dan auditor
Auditor internal harus memasukkan hasil penentuan
risiko ke dalam audit program untuk memastikan
bahwa pengendalian yang dibutuhkan memang
diterapkan untuk mengurangi risiko
Penentuan risiko merupakan tanggung jawab integral
dan terus menerus bagi manajemen
Tujuan penentuan risiko adalah membuat karyawan
sadar akan beragam risiko yang ada serta prioritas dan
keterbatasan dari daftar risiko tersebut
 SIAPA YANG MEMANFATKAN PENENTUAN
RISIKO ?
Manajemen
Sebagai bagian dari proses untuk
memastikan kesuksesan entitas
Sebagai alat yang penting dalam
merancang sistem-sistem baru
baik manual maupun
computerized yang dibuat untuk
memenuhi tujuan yang telah
ditetapkan
Eksternal Auditor
SAS no 55 AICPA :
Tanggung jawab akuntan untuk
mendapatkan pemahaman atas
sistem pengendalian
Akuntan publik juga melakukan
penentuan risiko dalam
meerencanakan audit
Internal Auditor
Statement of Internal Auditing
Standar (SIAS) no 9 th 1991
tentang penentuan risiko :
Standar 2210.A1 : Practice
Advisory 2210.A1-1 dan
2210.A1-2. Menghubungkan
antara audit plan dengan
exposure
Practice advisory berisis
metode-metode rinci aktivitas
audit, misal daftar isi jadwal
pekerjaan audit, pendekatan
audit, pelaksanaan audit,
pelaporan isi dan evaluasi
pengendalian internal untuk
mengurangi risiko
 AUDIT BERBASIS RISIKO
Konsep audit berbasis risiko awalnya diobservasi
dan analisis pengendalian yang berlanjut ke
penentuan risiko yang berkaitan dengan operasi
dan akhirnya ke penentuan apakah aktivitas ini
sesuai dengan tujuan organisasi
Manajemen risiko :
1. Practice advisory 2100-4 : peran audit internal dalam
organisai yang tidak memiliki proses manajemen
risiko
2. Practice advisory 2110-1 : penentuan kecukupan
proses manajemen risiko
 RISIKO AUDIT DAN KOMPONEN-
KOMPONENNYA PADA AUDIT LAPORAN
KEUANGAN
Untuk eksternal auditor telah diatur di :
1. SAS no 47
2. SAS no 53
3. SAS no 55
Risiko audit (audit risk / AR ): risiko bahwa auditor mungkin secara tidak
sengaja gagal memodifikasi dengan layak pendapatnya atas laporan
keuangan yang salah saji secara material
Auditor diharapkan untuk merencanakan audit sehingga risiko audit
dibatasi pada apa yang dipertimbangkan auditor sehingga tingkat yang
rendah
Dalam standar audit menyatakan bahwa audit harus mempertimbangkan
karakteristik manajemen, karakteristik operasi & industri dan karakteristik
penugasan
SAS mengidentifikasi 5 asersi umum manajemen : keberadaan,
kelengkapan, hak & kewajiban, penilaian dan alokasi, penyajian dan
pengungkapan
 RISIKO AUDIT
Risiko Bawaan (Inherent risk / IR)
Kerentanan suatu asersi atas terjadinya salah saji yang material dengan mengasumsikan
bahwa tidak ada kebijakan atau prosedur pengendalian internal yang ditetapkan
Risiko bawaan merupakan risiko yang bersifat intrinsik terhadap suatu entitas
Risiko Pengendalian (Control Risk / CR)
Risiko salah saji material bisa terjadi pada suatu asersi tidak dapat dicegah atau dideteksi
secara tepat oleh struktur, kebijakan, atau prosedur pengendalian intern suatu entitas
Beberapa risiko pengendalian akan tetap ada karena adanya keterbatasan yang melekat pada
struktur pengendalian internal

Risko Deteksi (Detection Risk / DR)

Risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat pada suatu
asersi
Risiko deteksi dapat terjadi karena auditor memutuskan tidak memeriksa 100% saldo atau
transaksi atau ketidakpastian lainnya
 Hubungan antar risiko

Risiko Audit = Risiko Bawaan x Risiko Pengendalian x Risiko Deteksi

Risiko bawaan dan risiko pengendalian berhubungan terbalik dengan risiko

deteksi. Makin besar risiko bawaan dan risiko pengendalian yang terkait
dengan suatu asersi maka makin rendah risiko deteksi yang dapat diterima
 PERSEDIAAN RISIKO AUDIT

Persediaan risiko disusun dalam dua bagian

dasar :
Risiko Eksternal Risiko Internal

Lingkungan Sumber Daya Manusia (SDM)

Bencana Integritas

Pasar Keuangan Informasi dan Teknologi

Peringkat Akuntansi 7 pelaporan

Keuangan
 PERTANYAAN RISIKO
Organisasi telah mengevaluasi berbagai cara berbeda untuk menilai
risiko
Beberapa organisasi telah membuat daftar pertanyaan yang akan
digunakan auditor dalam merencakan penugasan.
Organisasi yang lain telah menguantifikasi jawaban-jawaban untuk
setiap pertanyaan dengan menghubungkan jawaban-jawaban
tertentu dengan nilai-nilai yang akan digunakan auditor. Kemudian
jawaban-jawaban diberikan skor, skor tersebut dapat berupa
penjumlahan nilai hingga sistem pembobotan dengan sistem pakar.
Bell Canada telah menggunakan evaluasi risiko melalui matriks
risiko. Auditor membuat daftar 10 risiko umum perusahaan
kemudian memberikan skor.
Auditor Internal dan Risiko Perdagangan
Elektronik
Electronis Commerce
Dampak e-commerce terhadap risiko organisasi,harus
dapat diidentifikasi oleh auditor untuk mengurangi
risiko-risiko tersebut ke tingkat yang dapat diterima
Karena dinamika yang terdapat pada fungsi perdagangan
elektronik, penelaahan analisis risiko harus sering dilakukan dan
auditor harus memahami perkembangan-perkembangan baru
terutama :
1. Perubahan teknologi IT yang baru
2. Situasi yang diberitakan
3. Perubahan dalam operasi organisasi
 ELECTRONIC DATA INTERCHANGE (EDI) RISK

EDI = suatu sistem komunikasi informasi komputer ke komputer yang saling

terhubung untuk dokumen-dokumen bisnis yang terstandarisasi dari batas-
batas organisasi
Terdapat 6 area faktor risiko :
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedinya sistem EDI
5. Ketidakmampuan untuk mengamankan transaksi
6. Kurangnya pedoman hukum
Rumus : CR EDI = CR A * CR P * CR S
CR EDI = control risk EDI
CR A = control risk administrative
CR P = control risk physic
CR S = control risk software
RISKO KECURANGAN MANAJEMEN

Terdapat 3 elemen fraud :

Kondisi yang dapat memungkinkan

terjadinya kecurangan manajemen

Motivasi yang mendasari terjadinya

kecurangan

Tingkah laku manajemen yang mendorong

melakukan kecurangan
 Membuat Rencana Penentuan Risiko
Pengendalian internal mempunyai 3 tujuan
utama
1. Efektivitas dan efisiensi operasi tujuan
operasional
2. Keandalan pelaporan keuangan tujuan
pelaporan keuangan
3. Ketaatan terhadap hukum dan regulasi yang
berlaku tujuan ketaatan
 MANAJEMEN RISIKO
Practice Advisory 2210-1 : penilaian kecukupan proses manajemen
risiko
Tujuan :
1. Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan
diprioritaskan
2. Manajemen dan Dewan Komisaris telah menentukan tingkat risiko
yang dapat diterima oleh organisasi termasuk penentuan risiko yang
dapat dirancang untuk mencapai rencana strategis organisasi
3. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk
mengurangi / menghilangkan risiko pada tingkat yang ditentukan
dapat diterima oleh manajemen dan dewan komisaris
4. Aktivitas-aktivitas pengawasan berkelanjutan dilaksanakan secara
periodik, menilai ulang risiko, efektivitas pengendalian untuk
mengelola risiko
5. Dewan komisaris dan manajemen menerima laporan periodik
mengenai proses manajemen risiko
 METODE ANALITIS
1. Pembuatan bagan alir (flowchart)
2. Kuesioner pengendalian intern
3. Analisis matriks
4. Metodologi ilustratif COSO
5. Metode Courtney