(Risk Assessment)
2
Filosofi COSO
Studi yang dilakukan COSO, Kontrol Internal—Kerangka Kerja
Terintegrasi, mengawali pembahasan tentang assessment risiko
dengan ringkasan berikut ini:
Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari
dalam yang harus diassess. Persyaratan awal untuk assessment risiko
adalah adanya penetapan tujuan, yang terkait pada tingkat-tingkat yang
berbeda dan konsisten di dalam organisasi. Assessment risiko adalah
identifikasi dan analisis risiko-risiko yang relevan untuk mencapai
tujuan entitas, yang membentuk basis untuk menentukan cara
pengelolaan risiko. Karena kondisi ekonomi, industri, peraturan dan
operasi akan terus berubah, maka dibutuhkan mekanisme untuk
mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan
dengan perubahan.
3
Filosofi COSO
4
Filosofi COSO
Sebagai contoh:
5
Filosofi COSO
6
Filosofi COSO
Siapa yang memanfaatkan Assessment Risiko? Manajemen
menggunakan assessment risiko sebagai bagian dari proses untuk
memastikan kesuksesan suatu entitas; hal ini telah dibahas dengan
jelas pada studi COSO. Manajemen juga menggunakan assessment
risiko sebagai alat yang penting dalam merancang sistem-sistem baru.
Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk
memenuhi tujuan yang telah ditetapkan. Bagian penting dalam
perancangan dan pengembangan proses adalah identifikasi dari
semua kejadian dan tindakan yang mungkin mencegah sistem dari
mencapai tujuannya.
7
Filosofi COSO
8
Filosofi COSO
Akuntan publik harus membuat assessment risiko untuk mematuhi
standar mereka. Statement on Auditing Standards (SAS) No. 55 dari
American Institute of Certified Public Accountants (AICPA)
menguraikan tanggung jawab akuntan untuk mendapatkan
pemahaman atas sistem kontrol. Akuntan publik juga membuat
assessment risiko dalam merencanakan audit mereka. Apa saja risiko-
risiko kegagalan yang bisa mengancam pencapaian tujuan audit?
Pengujian audit yang mana yang seharusnya digunakan untuk
memastikan bahwa tujuan audit tercapai? Satu risiko yang bisa muncul
adalah memilih metode pengujian yang tidak tepat; yang lainnya adalah
penggunaan rencana dan teknik pengambilan sampel yang tidak tepat;
dan lain-lain.
9
Filosofi COSO
Tidak diragukan lagi bahwa auditor internal telah terlibat dalam
assessment risiko sejak awal profesi ini berdiri. Auditor internal selalu
bertanya, “Kesalahan apa yang bisa terjadi?” Pengidentifikasian
kesalahan atau ketidakwajaran yang potensial merupakan persyaratan
mutlak untuk menentukan prosedur kontrol yang harus diterapkan.
Bagaimanapun juga, akankah ada kontrol jika tidak ada risiko?
Bagaimana auditor menentukan bahwa suatu kontrol merupakan
kontrol yang efektif - kontrol yang tepat - dalam suatu kondisi tanpa
mengidentifikasi dan mengevaluasi risiko? Sehubungan dengan
pertanyaan ini, IIA mengeluarkan Statement on Internal Auditing
Standards No. 9 tentang Assessment Risiko pada tahun 1991. Saat ini
hal tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih
lanjut di Practice Advisory 2210.A1-1.
10
Filosofi COSO
Pada kebanyakan entitas, departemen audit internal akan menjadi
pemain utama dalam assessment risiko yang mengarahkan laporan
tahunan manajemen untuk mengemukakan kondisi sistem kontrol.
Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan
dalam membuat laporan tersebut. Audit khusus mungkin dibutuhkan di
beberapa entitas untuk memastikan bahwa kelemahan yang
ditemukan selama tahun tersebut telah diperbaiki pada tanggal
laporan akhir tahun.
11
Merencanakan Assessment Risiko dan Eksposur
12
Memperluas Audit Berbasis Risiko
Konsep audit berbasis risiko secara tradisional bermula dari observasi
dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang
berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas
ini sesuai dengan tujuan-tujuan organisasi. McNamee dan Selim
menyatakan pendekatan ini tidak tepat karena adanya kebutuhan
untuk memenuhi tujuan terlebih dahulu, tujuan merupakan dasar
operasi dan tidak selalu berbentuk nyata, bisa bersifat fleksibel dan
seharusnya berorientasi ke masa depan.
13
Memperluas Audit Berbasis Risiko
14
Memperluas Audit Berbasis Risiko
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak
dapat dihindarkan di semua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan
tersebut mencakup:
Kontrol aktivitas organisasional untuk mengurangi elemen-
elemen risiko baik dari segi ukuran maupun jumlah;
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian
yang diperlukan untuk kemajuan dan keuntungan;
Penghindaran risiko yang melibatkan perancangan ulang proses
bisnis untuk mengubah pola risiko;
Pendiversifikasian risiko dengan menyebarkan total risiko ke
operasi-operasi yang terpisah. Misalnya: menggunakan berbagai
pemasok untuk bahan baku yang penting; dan
Pembagian dan pemindahan risiko dengan melibatkan
perjanjian kontraktual dengan pihak ketiga untuk menerima
sebagian atau semua risiko. Contohnya adalah asuransi.
15
Memperluas Audit Berbasis Risiko
16
Organisasi tanpa Proses Manajemen Risiko
17
Organisasi tanpa Proses Manajemen Risiko
19
Risiko Audit dan Komponen-komponennya
dalam Audit Laporan Keuangan
20
Risiko Audit dan Komponen-komponennya
dalam Audit Laporan Keuangan
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa
Statement on Auditing Standards terbaru (No. 47, No. 53, dan No. 55).
Risiko audit terdiri atas dua tingkatan - tingkat laporan keuangan dan
saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan
keuangan, risiko audit adalah “risiko bahwa auditor mungkin secara
tidak sengaja gagal memodifikasi dengan layak pendapatnya atas
laporan keuangan yang salah saji secara material.” Seorang auditor
diharapkan untuk merencanakan audit sehingga risiko audit dibatasi
pada apa yang dipertimbangkan auditor sebagai tingkat yang rendah.
Dalam menilai risiko audit pada tingkat laporan keuangan, standar
audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbangkan karakteristik manajemen, karakteristik operasi dan
industri, dan karakteristik penugasan.
21
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
22
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
23
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
• Karakteristik Penugasan
• Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi
yang sulit.
• Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit
diaudit.
• Terdapat transaksi dengan pihak-pihak yang memiliki hubungan
istimewa dalam jumlah yang signifikan dan tidak biasa.
• Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit
atau tidak tersedia data mengenai hal tersebut.
24
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
25
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau
kelompok transaksi, seorang auditor harus mempertimbangkan asersi-
asersi (assertions) laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan
pengungkapan. SAS mengidentifikasi ada lima asersi umum manajemen
(atau asersi laporan keuangan) keterjadian atau keberadaan,
kelengkapan, hak dan kewajiban, assessment atau alokasi, dan penyajian
dan pengungkapan. Misalnya, manajemen menyatakan bahwa utang
usaha untuk sebuah divisi pada tanggal 30 Juni sejumlah $85.000
merupakan pernyataan bahwa:
Utang usaha memang ada pada tanggal neraca (keberadaan).
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri
dari (a) risiko bahwa saldo atau kelompok dan asersi yang berkaitan
mengandung salah saji baik oleh dirinya sendiri atau dengan yang
lainnya yang bisa berdampak material terhadap laporan keuangan
(disebut risiko bawaan dan risiko kontrol) dan (b) risiko bahwa auditor
tidak akan mendeteksi salah saji tersebut jika memang terjadi (disebut
risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok
memiliki tiga komponen risiko bawaan, risiko kontrol, dan risiko
deteksi. Seorang auditor diharapkan untuk merencanakan audit
sehingga risiko audit pada tingkat saldo atau kelompok transaksi
dibatasi sehingga memungkinkan auditor memberikan opini pada
risiko audit yang rendah pada tingkat laporan keuangan.
27
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
SAS memberikan contoh faktor-faktor berikut ini yang harus
dipertimbangkan auditor dalam mengevaluasi risiko audit pada tingkat
saldo atau kelompok transaksi:
Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan
keuangan.
Masalah-masalah akuntansi yang rumit dan mengandung
perdebatan.
Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.
Salah saji yang signifikan mungkin terjadi, berdasarkan informasi
yang diperoleh dari audit sebelumnya.
Rentannya aktiva untuk disalahgunakan.
Kompetensi dan pengalaman karyawan yang memproses data.
Tingkat pertimbangan dalam menentukan saldo akun atau
transaksi.
Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau
kelas transaksi.
Kompleksitas perhitungan.
28
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Risiko Bawaan (Risiko Inheren)
Risiko bawaan adalah rentannya suatu asersi atas terjadinya salah saji
yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau
prosedur struktur kontrol internal berkaitan yang ditetapkan. Risiko
bawaan adalah risiko yang bersifat intrinsik terhadap usaha entitas. Risiko
dari salah saji seperti ini lebih besar untuk beberapa asersi dan saldo atau
kelompok transaksi dibandingkan yang lain. Sebagai contoh:
Penilaian dan keberadaan asersi sehubungan dengan piutang
usaha lebih cenderung dilanggar daripada asersi kelengkapan
pada saat auditor mempertimbangkan kelangsungan hidup entitas .
Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan
perhitungan biaya depresiasi menggunakan metode garis lurus
(perhitungan rumit dibandingkan dengan perhitungan sederhana).
Kas lebih rawan dicuri dibandingkan persediaan batu kapur (jumlah
yang lebih mudah dicuri dan memiliki nilai tinggi dibandingkan
dengan barang yang susah dicuri dan memiliki nilai yang rendah).
Faktor-faktor eksternal terhadap entitas seperti perubahan
teknologi yang mungkin membuat persediaan tertentu menjadi
usang dan dinilai terlalu tinggi.
29
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
30
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
☻ Di bank, fraud terhadap kredit lebih cenderung terjadi pada
rekening tabungan atau pembayaran cicilan pinjaman
dibandingkan rekening giro.
☻ Di toko serba ada, saldo piutang usaha lebih cenderung disajikan
secara realistis dibandingkan saldo akun penyisihan piutang tak
tertagih.
☻ Di toko grosir, permintaan yang meningkat untuk kontrol
persediaan membuat daftar kas sederhana dan pencatatan/
perhitungan persediaan secara manual menjadi usang bila
digunakan bar code pada terminal penjualan.
☻ Pada organisasi yang terdiversifikasi, penekanan pada
pemerolehan dana melalui kredit bank, bukan peningkatan modal,
memberikan tekanan pada laba jika tingkat bunga meningkat;
yang mungkin mengarah pada harga jual marginal dan/ atau
kredit yang lebih berisiko terhadap pencapaian laba yang lebih
tinggi.
31
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Auditor mampu mengevaluasi risiko bawaan yang ada pada klien
dengan memperhatikan industri secara keseluruhan. Bank
menghadapi seperangkat risiko bawaan karena bergerak di usaha
pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil
menghadapi sekelompok risiko bawaan yang terdapat pada usaha
pabrikan maupun bisnis mobil.
Juga terdapat risiko bawaan pada suatu organisasi akibat budaya
perusahaan yang diterapkan. Sebuah organisasi bisa dikelola secara
ketat oleh suatu kelompok kecil yang memiliki filosofi: ”Kami ingin
bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa
menanggapi suatu kejadian secara langsung dan segera.”
32
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
33
Risiko Kontrol
Risiko kontrol adalah risiko bahwa salah saji material yang bisa terjadi
pada suatu asersi tidak dapat dicegah atau dideteksi tepat waktu oleh
struktur, kebijakan, atau prosedur kontrol internal suatu entitas.
Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan
yang inheren pada struktur kontrol internal.
Seorang auditor bisa menilai risiko kontrol pada tingkat maksimum bila
kebijakan maupun prosedur tidak efektif atau menghabiskan banyak
biaya untuk mengevaluasi efektivitasnya. Jika auditor menetapkan risiko
kontrol di bawah maksimum, auditor tersebut diharapkan memperoleh
bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur
yang layak untuk membenarkan penetapan tersebut.
34
Risiko Deteksi
Risiko deteksi adalah risiko bahwa auditor tidak dapat mendeteksi
salah saji material yang terdapat pada suatu asersi. Risiko deteksi
dapat terjadi karena seorang auditor memutuskan tidak memeriksa
100 persen saldo atau transaksi atau karena ketidakpastian lainnya.
Termasuk dalam ketidakpastian lainnya ini adalah pemilihan prosedur
audit yang tidak layak, salah penerapan prosedur audit, atau salah
interpretasi hasil-hasil prosedur audit. Ketidakpastian lainnya harus
dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan
dan pengawasan audit yang sesuai.
35
Hubungan Antar risiko
36
Hubungan Antar risiko
Seorang auditor akan memilih prosedur-prosedur audit yang
menurutnya akan mengurangi risiko deteksi di bawah risiko penemuan
yang direncanakan. Hal ini menekankan konsep bahwa risiko bawaan
dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan
dalam struktur kontrol internal yang direkomendasikan dan
direncanakan setelah periode audit tidak akan mengubah assessment
auditor atas risiko kontrol untuk periode sekarang. Oleh karena itu,
untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan
risiko kontrol berhubungan terbalik dengan risiko deteksi. Makin besar
risiko bawaan dan risiko kontrol terkait dengan suatu asersi, makin
rendah risiko deteksi yang bisa diterima dan makin banyak bukti audit
yang harus dikumpulkan. Seorang auditor harus melaksanakan
beberapa pengujian substantif jika terdapat salah saji material. Dalam
beberapa kasus auditor tidak dapat hanya mengandalkan assessment
risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak
dilaksanakannya pengujian substantif.
37
Hubungan Antar risiko
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur
audit yang direncanakan, penugasan staf, dan supervisi yang
dibutuhkan dalam mempertimbangkan reaksi terhadap perubahan
dalam risiko deteksi.
Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan
auditor internal. Sifat usaha atau aktivitas organisasi dan gaya
manajemen menciptakan suatu atmosfer yang berdampak besar
terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa
memiliki risiko bawaan yang sama karena sama-sama merupakan
organisasi publik. Akan tetapi, keduanya bisa memiliki tingkat risiko
yang berbeda karena yang satu memiliki walikota yang kuat dan
struktur dewan yang lemah sementara yang satu lagi memiliki walikota
yang lemah dan struktur dewan yang kuat. Risiko bisa lebih berbeda
jika salah satu pemerintahan memiliki kepentingan umum yang kuat
dan pemerintahan yang terbuka sementara yang lain memiliki publik
yang apatis dan orang yang sangat berkuasa secara politis.
38
Hubungan Antar risiko
39
Hubungan Antar risiko
40
Suatu Inventory Risiko
41
Suatu Inventory Risiko
42
Suatu Inventory Risiko
43
Suatu Inventory Risiko
44
Suatu Inventory Risiko
Staf audit kemudian mengembangkan inventory risiko khusus untuk
setiap unit-unit organisasi dan untuk jasa-jasa yang dipergunakaan
bersama dan mengidentifikasi risiko yang paling mengancam
perusahaan.
Staf audit kemudian memeringkat risiko-risiko tersebut berdasarkan
signifikansi dan kemungkinan terjadinya pada skala tiga titik; tinggi,
sedang, dan rendah. Risiko-risiko dengan peringkat tertinggi disebut
risiko-risiko ”kunci”. Kombinasi antara risiko ”ancaman” dan ”kunci”
kemudian menerima audit awal dan selanjutnya membutuhkan
perhatian manajemen.
45
Suatu Inventory Risiko
46
Pertanyaan-pertanyaan Dasar tentang Risiko
47
Pertanyaan-pertanyaan Dasar tentang Risiko
48
Pertanyaan-pertanyaan Dasar tentang Risiko
• Berapa nilai dolar aktiva yang dikuasai?
• Berapa nilai dolar transaksi-transaksi melalui entitas?
• Apa kepentingan entitas terhadap induk perusahaan?
• Seberapa likuid aktivanya?
• Bagaimana pemisahan tugasnya?
• Seberapa sensitif informasi tersebut bagi entitas?
• Bagaimana tekanan untuk memenuhi tujuan atau ukuran-ukuran usaha
lainnya?
• Bagaimana dampak hukum dan regulasi terhadap entitas?
• Seberapa sering karyawan menghadapi kemungkinan untuk melakukan
tindakan-tindakan tidak etis?
• Tingkat pengetahuan yang bagaimana yang diperlukan untuk
melaksanakan fungsi entitas?
• Seberapa sering karyawan berhubungan dengan pelanggan entitas?
• Seberapa rumit operasi entitas?
49
Pertanyaan-pertanyaan Dasar tentang Risiko
• Beberapa organisasi telah membuat daftar pertanyaan yang akan
digunakan auditor dalam merencanakan penugasan. Organisasi yang
lain telah mengkuantifikasi jawaban-jawaban untuk setiap pertanyaan
dengan menghubungkan jawaban-jawaban tertentu dengan nilai-nilai
yang akan digunakan auditor. Berdasarkan jawaban-jawaban tersebut
kemudian dibuat skor. Skor ini bisa berupa penjumlahan nilai hingga
sistem pembobotan menggunakan sistem pakar (expert systems).
Setelah skor ditentukan, auditor bisa membuat rencana audit
berdasarkan skor relatif. Apapun pendekatan yang digunakan penting
bagi auditor untuk mengevaluasi hasil-hasil audit dibandingkan dengan
prediksinya.
• Beberapa perusahaan membuat sistem yang rumit yang akan
mengalokasikan waktu audit khusus ke penugasan khusus berdasarkan
skor risikonya. Sistem ini akan menetapkan jam audit dan rotasi audit
menggunakan evaluasi risiko. Misalnya skor X membutuhkan 200 jam
audit dalam dua tahun.
50
Risiko EDI
51
Risiko EDI
Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal
yang saling berkaitan. Enam area tersebut adalah:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirimkan transaksi
6. Kurangnya pedoman hukum
52
Risiko EDI
Adanya beberapa lapis kontrol memiliki dampak berlipat untuk
mengurangi risiko kontrol. Risiko kontrol yang tiga lapis kontrol - kontrol
administratif, kontrol fisik, dan perangkat lunak - akan gagal, dihitung
dengan persamaan ini:
CREDI = CRA * CRp * CRs
Keterangan:
CREDI = Risiko kontrol sistem EDI.
CRA = Risiko kontrol gagalnya prosedur administratif.
CRp = Risiko kontrol gagalnya mekanisme fisik.
CRs = Risiko kontrol gagalnya kontrol perangkat lunak.
53
Risiko EDI
Jadi, jika dibuat asumsi berikut ini:
Prosedur administratif 0,10
Mekanisme fisik 0,20
Kontrol perangkat lunak tidak mencegah akses pihak yang
tidak berkepentingan 0,05
Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi
0,001.
Rujukan tersebut menyajikan contoh yang bagus mengenai situasi
masalah potensial terkait dengan risiko bawaan dapat mengakibatkan
kerugian sebesar $ 555.493. Dan bahwa jika risiko bawaan dikurangi
menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi
$ 27.774) menjadi $ 527.718.
54
Risiko EDI
Rujukan tersebut mengutip laporan COSO bahwa auditor internal harus
membuat langkah-langkah ini secara terpisah dari proses assessment:
Menghitung signifikansi risiko dalam ukuran uang.
Menilai kemungkinan terjadinya risiko.
Menentukan cara untuk mengurangi dampak risiko sehingga
eksposur dapat dikurangi hingga ke tingkat yang dapat
diterima.
Organisasi audit internal dapat menyumbangkan proses assessment
risiko EDI dengan mengevaluasi baik risiko bawaan dan risiko kontrol
internal untuk menentukan apakah telah terdapat aktivitas kontrol yang
memadai dan efektif untuk mengelola risiko.
55
Faktor-faktor Risiko dan Aktivitas Kontrol
Faktor-faktor Risiko Kontrol Internal
b. Intersepsi selama transmisi. Meningkatkan proteksi kabel; mengirimkan pesan melalui media
yang aman; serat optik; enkripsi; lapisan lintasan; amplop elektronik
rahasia.
5. Ketidakmampuan untuk mengirimkan transaksi. Format data terstruktur/terstandarisasi; ketaatan pada protokol
ANSI/EDIFACT.
6. Kurangnya pedoman hukum. Perjanjian definisi-definisi hukum, tanggung jawab, dan kewajiban.
56
Risiko-risiko Fraud
57
Risiko-risiko Fraud
Para penulis tersebut kemudian menyarankan sebuah struktur tiga
elemen yang akan digunakan dalam proses evaluasi risiko. Ketiga
elemen tersebut adalah:
– Kondisi yang memungkinkan terjadinya fraud manajemen.
– Motivasi yang dapat melandasi terlaksananya fraud.
– Tingkah laku manajemen yang dapat mengarahkan
manajemen untuk melakukan tindak fraud.
58
Risiko-risiko Fraud
59
Risiko-risiko Fraud
Motivasi:
– Untuk meningkatkan investasi eksternal
– Untuk menunjukkan laba yang meningkat
– Untuk menghilangkan persepsi pasar yang negatif
– Untuk mendapatkan pendanaan
– Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
– Untuk memenuhi tujuan dan sasaran
– Untuk mendapatkan bonus
Tingkah laku:
– Ketidakjujuran
– Kurangnya perhatian terhadap aturan dan regulasi
– Kurangnya komitmen terhadap etika
60
Risiko-risiko Fraud
61
Membuat Rencana Assessment Risiko
Pembahasan assessment risiko oleh COSO menyatakan bahwa tujuan
organisasi, sistem kontrol, dan assessment risiko tidak dapat dipisahkan
satu sama lain. Tidak mungkin untuk menentukan risiko jika seseorang
tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi, langkah logis
selanjutnya hanyalah membuat sarana untuk mengendalikan risiko
tersebut.
Fondasi assessment risiko tercakup dalam definisi kontrol internal. Studi
COSO adalah sumber definisi kontrol internal yang ada saat ini dan diakui
secara luas.
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan
direksi entitas, manajemen, dan karyawan lainnya, yang dirancang untuk
memberikan keyakinan yang wajar mengenai pencapaian tujuan pada
kategori-kategori berikut ini:
– Efektivitas dan efisiensi operasi.
– Keandalan pelaporan keuangan.
– Ketaatan terhadap hukum dan regulasi yang berlaku.
62
Membuat Rencana Assessment Risiko
Dalam pembahasannya mengenai assessment risiko, studi COSO
menyatakan:
Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat
ditetapkan:
– Tujuan Operasional—Hal ini berkaitan dengan efektivitas dan
efisiensi operasi entitas, termasuk kinerja dan tujuan profitabilitas
dan pengamanan sumber daya terhadap kerugian. Tujuan-tujuan
tersebut bervariasi berdasarkan pilihan manajemen mengenai
struktur dan kinerja.
– Tujuan Pelaporan Keuangan—Hal ini berkaitan dengan penyajian
laporan keuangan yang andal, termasuk pencegahan pelaporan
keuangan publik yang mengandung fraud. Tujuan-tujuan tersebut
terutama diarahkan oleh persyaratan-persyaratan eksternal.
– Tujuan-tujuan Ketaatan—Tujuan-tujuan ini berkaitan dengan
ketaatan terhadap hukum dan peraturan yang berlaku bagi entitas.
Tujuan-tujuan tersebut tergantung pada faktor-faktor eksternal,
seperti peraturan lingkungan, dan cenderung serupa untuk semua
entitas dalam beberapa kasus dan dalam beberapa industri.
63
Membuat Rencana Assessment Risiko
Definisi dari tujuan-tujuan ini memberikan titik awal untuk assessment
risiko. Tujuan-tujuan umum tersebut dapat dirinci ke dalam tujuan-tujuan
khusus dengan risiko-risiko yang dapat diidentifikasi. Jika risiko-risiko
telah diidentifikasi, berbagai pilihan kontrol dapat diterapkan untuk
risiko-risiko tersebut dalam rangka menentukan prosedur kontrol optimal
yang akan diterapkan.
Misalnya, anggaplah bahwa si auditor sedang memeriksa operasi
pemrosesan penerimaan kas. Cek-cek bernilai kecil hingga ribuan dolar
diterima sebagai pembayaran piutang usaha. Pembayaran tersebut
diterima di kotak pos kantor umum dan dipisahkan dari surat-surat yang
lain kemudian diberikan ke unit pemrosesan kas. Unit-unit ini membuka
surat tersebut dan memeriksa apakah jumlah yang tertera di cek sesuai
dengan lampiran nota penerimaan. Unit yang lain menyiapkan slip
setoran di penghujung hari dan menyetorkannya ke bank. Setoran
tersebut sengaja dibuat menjadi investasi overnight atau “menyapu”
rekening yang menghasilkan bunga. Penggunaan sistem “kotak
terkunci” memungkinkan bank melaksanakan fungsi ini.
64
Membuat Rencana Assessment Risiko
Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan, dan
ketaatan untuk operasi tersebut:
Untuk menerima semua pembayaran secara tepat waktu (operasional).
Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi
piutang usaha (keuangan).
Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di
cek memang telah disetujui (operasional).
Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional).
Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan
bunga maksimum (operasional).
Untuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan).
Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan
penanganan cek untuk menghindari tidak adanya pihak yang bertanggung jawab
ketika terjadi kehilangan atau fraud (operasional dan ketaatan).
Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai
prosedur (operasional dan keuangan).
Untuk memberikan pengukuran kinerja bagi unit dan karyawan didalamnya untuk
memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk
memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima
(operasional dan ketaatan).
65
Membuat Rencana Assessment Risiko
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan
sebagai contoh, auditor menyiapkan daftar risiko sbb:
Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.
Risiko-risiko
– Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor
pos ke ruang penerimaan surat.
– Amplop-amplop berisi pembayaran sangat rawan ketika diidentifikasi dan
disortir di ruangan penyortiran sebelum diberikan ke unit pemrosesan.
– Cek-cek memiliki risiko pada saat berada di area pemrosesan sampai
setoran bank disiapkan.
– Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama
pemrosesan.
– Uang yang akan disetor bisa jadi hilang atau dicuri selama perjalanan dari
area pemrosesan ke bank.
– Seorang karyawan bisa dirampok selama perjalanan ke bank pada saat
menyetorkan.
66
Membuat Rencana Assessment Risiko
Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar
mendapatkan bunga maksimum.
Risko-risiko
Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.
Pembayaran mungkin tidak dipisahkan di ruang penyortiran dan
diberikan ke unit pemrosesan secara tepat waktu.
Pembayaran harus diproses sebelum setoran disiapkan, atau
setoran tidak disetorkan ke bank sebelum batas waktu jam 2
siang.
Hal-hal pengecualian bisa jadi membuat penyetoran ditunda
hingga ke hari (-hari) berikutnya.
Kegagalan peralatan dapat memperlambat pemrosesan.
67
Membuat Rencana Assessment Risiko
Si auditor membuat daftar risiko dengan mengamati aktivitas dan
menggunakan pendekatan analitis, keahlian, dan imajinasi. Auditor
menentukan apa yang bisa menjadi hambatan dalam pencapaian
tujuan. Begitu risiko telah diidentifikasi, auditor dapat menilai kontrol
yang diterapkan dan menentukan apakah kontrol-kontrol tersebut layak
dan memadai sehubungan dengan risiko yang ada. Jika terdapat risiko-
risiko yang tidak tercakup secara layak, auditor akan membuat
rekomendasi atas kelemahan yang ditemukan. Auditor akan mencari
struktur kontrol yang optimal.
Optimal artinya adalah struktur kontrol terbaik dalam suatu kondisi dan
memiliki pertimbangan manfaat dan biaya. Sisa bagian ini membahas
sarana-sarana yang tersedia bagi auditor untuk mengidentifikasi dan
mengevaluasi aktivitas tujuan, risiko, dan kontrol.
68
Manajemen Risiko
69
Manajemen Risiko
70
Manajemen Risiko
Akan tetapi, sebagai tambahan untuk assessment risiko dan bantuan
kepada manajemen dalam mengubah risiko menjadi elemen dari
pendapatan institusional, auditor harus memperluas bidang audit agar
bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko.
Jadi:
Kontrol Risiko:
– Mendukung suatu program kontrol risiko dan kerugian secara
proaktif.
– Memberikan insentif maksimum untuk peran serta dalam program
kontrol risiko.
– Memonitor efektivitas aktivitas kontrol risiko.
71
Manajemen Risiko
Pendanaan Risiko:
Pertimbangkan semua sumber keuangan yang tersedia.
Miliki proteksi terhadap kerusakan yang mungkin timbul.
Alokasikan biaya pendanaan risiko diantara unit-unit operasi
secara wajar.
Administrasi:
Buat dan pertahankan komitmen manajemen terhadap manajemen
risiko.
Terapkan struktur manajemen risiko yang terdefinisi dengan baik.
Kembangkan tujuan tahunan yang ditargetkan dengan jelas.
Jaga komunikasi yang baik dengan semua tingkat manajemen
yang terpengaruh.
72
Manajemen Risiko
73
Tujuan-tujuan Proses Manajemen Risiko
74
Tujuan-tujuan Proses Manajemen Risiko
75
Metode-metode Analitis
76
Pembuatan Bagan Alir
77
Pembuatan Bagan Alir
79
Kuesioner Kontrol Internal
80
Kuesioner Kontrol Internal
Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini:
81
Kuesioner Kontrol Internal
Pertanyaan dijawab “Ya” atau “Tidak” (digarisbawahi) dan setiap
perubahan “Komentar” dicatat oleh auditor. Metode menentukan
jawaban dicatat. Suatu tanya jawab, yakni bertanya kepada klien,
bukanlah suatu sumber yang bisa diandalkan seperti observasi.
Memeriksa bahan bukti dokumen yang diperoleh selama pengujian lebih
diharapkan daripada sekadar observasi. Pengujian catatan dan
transaksi memberi peluang untuk memeriksa kejadian dan
mengevaluasi risiko selama jangka waktu tertentu dibandingkan dengan
periode pengamatan yang pendek. Hal ini diperlukan untuk
mengevaluasi fungsi kontrol kunci.
Kolom “Dikerjakan Oleh” harus berisi nama atau inisial orang yang
melakukan aktivitas tersebut. Dengan melihat sekilas kolom ini, auditor
senior dapat menentukan apakah terdapat penugasan yang tidak sesuai
dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian ini
terhadap risiko.
82
Kuesioner Kontrol Internal
Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat
menekankan bahwa kuesioner tersebut digunakan sebagai sebuah
daftar pemeriksaan untuk membantu evaluasi selanjutnya setelah
sebuah Assessment risiko awal dibuat. Kondisi berubah, teknologi
baru muncul, hukum dan regulasi baru diterbitkan, dan banyaknya
peristiwa membutuhkan assessment risiko yang berkelanjutan. Apa
yang dulu dilakukan dan masih dilakukan bisa jadi bukanlah prosedur
terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk
menentukan bahwa pertanyaan dan konteks jawabannya tetap
relevan. Auditor harus memastikan bahwa ICQ mengikuti dan
merespon perubahan dalam organisasi, metode operasi, dan tujuan
organisasi. Perubahan dalam setiap hal ini membutuhkan perubahan
dalam ICQ.
83
Analisis Matriks
86
Analisis Matriks
Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini. Dalam
sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yang berkaitan dengan
akses ke fail data. Perhatikan risiko-risiko berikut ini dan kontrol primernya.
87
Analisis Matriks
Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol?
ID pengguna dan kata rahasia (A) adalah kontrol primer untuk
menghadapi orang dalam yang tidak diotorisasi yang mencoba
mengakses catatan komputer organisasi.
Memutuskan sambungan modem ketika tidak digunakan (B) merupakan
perlindungan primer menghadapi penyusup luar. Mereka tidak bisa
mengakses selama sirkuit terhubung ke pengguna resmi. Jika modem
tidak disambungkan ketika sesi resmi diselesaikan, tidak ada jalan bagi
hacker untuk mengakses. Jika modem masih terkoneksi dan sirkuit
masih terbuka, tingkat kontrol selanjutnya ID pengguna dan kata sandi
akan tersedia sebagai penghalang terhadap hacker (sekunder). Kontrol
tersebut dapat diandalkan untuk menghadapi hacker meskipun dibuat
untuk menghadapi orang dalam yang tidak memiliki otorisasi. (Primer)
Jika modem terkoneksi dan hacker mencoba selama beberapa hari,
laporan pengamanan harian (C) akan memberi tanda kepada pegawai
pengamanan data. (Berguna)
88
Analisis Matriks
Penelaahan atas laporan pengamanan harian berguna untuk
menghadapi orang dalam yang tidak memiliki otorisasi karena akan
melaporkan seseorang yang mencoba mengakses dengan ID pengguna
dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini,
pegawai pengamanan data dapat memulai langkah-langkah untuk
menemukan orang yang mencoba masuk. Kenapa ini hanya merupakan
kontrol yang berguna? Laporan itu tidak bernilai dalam mencegah akses
ke komputer. Apalagi, laporan tersebut menampilkan upaya yang gagal
ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang
bukan merupakam kesalahan yang berbahaya. Oleh karena itu, laporan
tersebut tidak bisa diandalkan dalam mendeteksi segera atau hanya
upaya akses dengan niat jahat.
Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol
primer yang berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya
untuk menerapkan beberapa kontrol atas risiko yang sama karena takut
salah satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat digunakan
untuk lebih dari satu tujuan dan memberikan kontrol yang dibutuhkan,
sistem tersebut sudah lebih kuat tanpa perlu tambahan biaya.
89
Kontrol Preventif dan Detektif
• Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol
preventif atau detektif. Kontrol preventif mencegah terjadinya
kejadian yang tidak diinginkan. Kontrol detektif mendeteksinya
sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di
atas, dua kontrol memutuskan kata sandi dan modem adalah kontrol
preventif. “Orang-orang jahat” tidak bisa mendapat akses karena
kontrol ini diterapkan.
• Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut
mengungkapkan upaya orang-orang tidak bertanggung jawab untuk
masuk ke sistem. Jika pengguna yang tidak memiliki otorisasi bisa
mengakses pada hari pertama, laporan di pagi hari akan memberikan
informasi yang bisa digunakan untuk mengejar si hacker, tapi hanya
setelah kejadian.
90
Kontrol Preventif dan Detektif
Kontrol detektif memiliki sifat “aktivitas setelah fakta” dan membutuhkan empat
unit tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi, atau
menemukan masalah atau risiko yang ada. Tindakan kedua adalah identifikasi
dan analisis kejadian atau kondisi yang tidak diinginkan untuk menentukan
bagaimana terjadinya dan apa yang harus dilakukan. Tindakan ketiga adalah
koreksi. Tindakan terakhir adalah pengecekan terhadap tindakan korektif untuk
melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau
dinetralkan.
91
Kontrol Preventif dan Detektif
Ada dua aspek lain dari kontrol detektif yang membuatnya kurang efektif
dibandingkan kontrol preventif. Kontrol detektif, karena sifatnya, lebih mudah
diabaikan. Penelaahan dan analisis dapat ditangguhkan jika tekanan lain
meningkat, dan dapat diabaikan jika orang yang ditugaskan merasa pekerjaan
tersebut tidak menyenangkan. Kedua, kontrol detektif kelihatannya hanya
menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan. Akan
tetapi, kita tidak bisa mengetahui tidak adanya hal-hal yang tidak diinginkan
atau tidak adanya risiko sampai pemeriksaan diselesaikan. Untuk itulah
terdapat keadaan-keadaan yang kontrol detektif merupakan satu-satunya
pilihan. Bukan kontrol preventif yang bisa mengamankan setiap risiko yang
mungkin muncul. Sebagai contoh, buku cek dapat ditempatkan dalam tempat
terkunci sebuah kontrol preventif. Hal ini tidak menghilangkan kebutuhan untuk
memeriksa cek untuk mendeteksi adanya perubahan yang dilakukan dan
pemalsuan sebuah kontrol detektif.
92
Kontrol Preventif dan Detektif
Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol preventif lebih efisien
dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan. Sehingga matriks ditingkatkan jika sifat
kontrol ditambahkan ke dalam analisis. Contoh sebelumnya digunakan dengan sifat kontrol ditampilkan
dalam tanda kurung.
Dalam beberapa penggunaan dari pendekatan ini, tanda (p) atau (d) ditempatkan pada awal kolom
dengan identifikasi kontrol. Hal ini cenderung menghilangkannya dari daerah pertimbangan jika analisis
dilakukan. Memposisikan sifat dengan tingkat keyakinan meningkatkan efisiensi dan efektivitas analisis,
khususnya jika matriksnya besar dengan banyak kolom dan baris.
93
Metodologi Ilustratif COSO
Studi COSO mencakup satu volume berjudul Perangkat Evaluasi. Dalam
Pendahuluan volume ini terdapat pernyataan ini:
Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi.
Perangkat tersebut bukan merupakan bagain yang integral dari
Kerangka Kerja, dan penyajiannya di sini tidaklah untuk
menyarankan semua hal yang perlu dipertimbangkan dalam
mengevaluasi suatu sistem kontrol internal, atau bahwa semua
masalah harus disajikan dalam rangka untuk menyimpulkan bahwa
suatu sistem adalah efektif. Demikian pula, tidak terdapat saran
bahwa perangkat-perangkat tersebut merupakan metode yang lebih
disukai untuk dilakukan dan mendokumentasikan sebuah evaluasi.
(Semua penekanan berasal dari studi COSO.)
94
Metodologi Ilustratif COSO
95
Metodologi Ilustratif COSO
96
Metodologi Ilustratif COSO
Selanjutnya studi tersebut menyatakan:
Kontrol internal terdiri dari lima komponen yang saling berkaitan.
Komponen-komponen ini diderivasi dari cara manajemen menjalankan
bisnis, dan diintegrasikan dengan proses manajemen. Komponen-
komponen tersebut adalah:
Lingkungan Kontrol Inti suatu bisnis adalah orang-orangnya
karakteristiknya masing-masing, termasuk integritas, nilai-nilai
etika, dan kompetensi dan lingkungan tempat mereka bekerja. Hal-
hal tersebut merupakan mesin penggerak perusahaan dan
merupakan fondasi segala sesuatunya ditempatkan.
97
Metodologi Ilustratif COSO
Assessment risiko Perusahaan harus mewaspadai dan mengelola
risiko yang dihadapinya. Perusahaan harus menetapkan tujuan,
terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan
aktivitas-aktivitas lainnya sehingga organisasi beroperasi secara
harmonis. Perusahaan juga harus menetapkan mekanisme untuk
mengidentifikasi, menganalisis, dan mengelola risiko-risiko terkait.
Aktivitas-aktivitas kontrol Kebijakan dan prosedur kontrol harus
ditetapkan dan dilaksanakan untuk membantu memastikan bahwa
tindakan-tindakan yang diidentifkasi oleh manajemen diperlukan untuk
menghadapi risiko terhadap pencapaian tujuan entitas secara efektif
dilakukan.
Informasi dan Komunikasi Di sekitar aktivitas-aktivitas ini terdapat
sistem informasi dan komunikasi. Hal ini memungkinkan karyawan
perusahaan mendapatkan dan menukar informasi yang diperlukan
untuk melaksanakan, mengelola, dan mengendalikan operasinya.
Pengawasan Keseluruhan proses harus dimonitor, dan dibuat
perubahan bila diperlukan. Dengan cara ini, sistem dapat bereaksi
secara dinamis, berubah seiring dengan perubahan kondisi.
98
Metodologi Ilustratif COSO
Perangkat Komponen dirancang untuk mengevaluasi setiap
komponen di atas dalam struktur entitas. Setiap komponen dapat
dibagi lagi ke dalam hal-hal substantif yang disebut “masalah-masalah
yang menjadi fokus.” Masalah-masalah ini kemudian dirinci ke dalam
contoh-contoh aplikasi khusus yang dapat diperiksa dan ditanggapi.
Sebuah contoh dari pendekatan ini tercakup dalam sebuah bagian
dari lembar kerja yakni pada lingkungan kontrol di bawah judul
Komitmen pada Kompetensi.
Tahap pertama dari lembar kerja Perangkat Komponen lingkungan
kontrol berisi masalah-masalah substantif (komitmen terhadap
kompetensi dan fokus perhatian adalah sarana-sarana yang
digunakan untuk mengukur pencapaian masalah-masalah substantif).
Lembar kerja tersebut tampak sebagai beikut:
99
Metodologi Ilustratif COSO
Tampilan
Komitmen pada Kompetensi
Manajemen harus menspesifikasikan tingkat kompetensi yang diperlukan untuk
pekerjaan tertentu dan menerjemahkan tingkat kompetensi yang diinginkan tersebut ke
dalam pengetahuan dan keahlian yang dibutuhkan.
Deskripsi pekerjaan formal atau informal atau sarana lain untuk mendefinisikan
tugas yang melibatkan beberapa pekerjaan. Sebagai contoh, pertimbangkan
apakah:
o Manajemen telah menganalisis, secara formal maupun informal, tugas-tugas yang
terdiri dari pekerjaan-pekerjaan tertentu, dengan mempertimbangkan faktor-faktor
tersebut yang masing-masing individu harus memiliki pertimbangan dan cakupan
pengawasan yang dibutuhkan.
Analisis pengetahuan dan keahlian yang diperlukan untuk melaksanakna
pekerjaan dengan layak. Sebagai contoh, pertimbangkan apakah:
o Manajemen telah menentukan pengetahuan dan keahlian yang dibutuhkan untuk
melaksanakan pekerjaan-pekerjaan tertentu.
o Terdapat bukti yang mengindikasikan bahwa karyawan memiliki pengetahuan dan
keahlian yang dibutuhkan.
100
Setelah auditor menyelesaikan evaluasi dari setiap fokus perhatian, kemudian dimasukkan
temuan-temuan. Temuan-temuan dimasukkan pada setiap fokus perhatian dan sebuah ringkasan
kesimpulan dan rekomendasi pada keseluruhan masalah substansi. Contoh lengkap tentang
Komitmen pada Kompetensi adalah sebagai berikut:
Tampilan
Komitmen pada Kompetensi Temuan-temuan
Manajemen harus menspesifikasikan
tingkat kompetensi yang dibutuhkan untuk
pekerjaan-pekerjaan tertentu, dan
menerjemahkan tingakt kompetensi yang
dibutuhkan ke dalam pengetahuan dan
keahlian yang diperlukan.
Deskripsi pekerjaan formal atau Perusahaan memiliki deskripsi pekerjaan
informal atau sarana lain untuk formal yang tertulis untuk semua karyawan
mendefinisikan tugas yang supervisor,dan, untuk pekerjaan yang
melibatkan beberapa pekerjaan. hanya melibatkan sedikit tugas, tanggung
Sebagai contoh, pertimbangkan jawab pekerjaan dikomunikasikan dengan
apakah: jelas.
Manajemen telah menganalisis,
secara formal maupun informal,
tugas-tugas yang terdiri dari
pekerjaan-pekerjaan tertentu,
dengan mempertimbangkan faktor-
faktor tersebut yang masing-
masing individu harus memiliki
pertimbangan dan cakupan
pengawasan yang dibutuhkan.
Analisis pengetahuan dan keahlian Deskripsi pekerjan menspesifikasikan
yang diperlukan untuk pengetahuan dan keahlian yang
melaksanakan pekerjaan dengan diperlukan, baik secara umum atau dalam
layak. Sebagai contoh, pertimbangkan hal sifat dan luas pendidikan, pelatihan,
apakah: dan kebijakan promosi.
Manajemen telah menentukan
pengetahuan dan keahlian yang
dibutuhkan untuk melaksanakan
pekerjaan-pekerjaan tertentu.
Terdapat bukti yang mengindikasikan
bahwa karyawan memiliki
pengetahuan dan keahlian yang
dibutuhkan.
Kesimpulan/Tindakan yang Diperlukan
Adanya deskripsi pekerjaan tertulis dan tugas serta parameter yang terdefinisikan
dengan baik (seperti pendidikan, pelatihan) jelas menunjukkan komitmen manajemen
pada kompetensi. Manajemen harus mempertimbangkan lebih banyak deskripsi
pekerjaan formal untuk karyawan non-supervisor.
101
Metodologi Ilustratif COSO
Lembar Kerja Assessment risiko dan aktivitas Kontrol digunakan untuk menilai tujuan-tujuan
khusus, risiko, dan kontrol. Tata letak lembar kerja tersebut menuntun pembuatnya melalui
proses analitis. Hal ini mencakup langkah-langkah berikut ini:
Tampilan
Tujuan Sebuah pernyataan tujuan yang jelas yang cukup spesifik untuk
dianalisis.
O, F, K Kategori-kategori dari tujuan-tujuan umum:
Operasional, Finansial, atau Ketaatan yang berlaku untuk tujuan-
tujuan rinci ini.
Analisis risiko
Faktor-faktor risiko Risiko-risiko khusus yang dapat menghambat pencapaian tujuan-
tujuan rinci.
Kemungkinan Kemungkinan terjadinya risiko dalam skala Rendah, Sedang, dan
Tinggi.
Tindakan/Aktivitas Aktivitas kontrol yang spesifik yang dapat mencegah pendeteksian
Kontrol/Tanggapan risiko jika benar terjadi.
Tujuan-tujuan lain yang Sebuah rujukan silang ke setiap tujuan-tujuan lain yang akan
dipengaruhi dipengaruhi oleh risiko atau aktivitas kontrol ini.
Evaluasi dan Sebuah pertimbangan efektivitas kontrol dalam berhubungan
Kesimpulan dengan risiko yang mengancam pencapaian tujuan.
102
Metodologi Ilustratif COSO
Penerapan sistem analisis ini paling dapat dipahami dengan sebuah contoh. Berikut ini contoh
yang diambil dari volume Perangkat Evaluasi COSO.
Tampilan
Tujuan Semua bahan baku yang diterima dicatat dengan akurat.
Operasional, Finansial, Ketaatan
Analisis Risiko
Faktor-faktor Risiko Kuantitas aktual yang diterima bisa jadi tidak sama dengan
kuantitas yang tertera pada pesanan pembelian atau dokumen
pengiriman dari pemasok.
Kemungkinan Sedang Tinggi
Tindakan/Aktivitas Barang yang diterima dihitung, ditimbang, atau diperiksa
Kontrol/Tanggapan kuantitasnya.
Penerimaan dihitung dua kali secara acak oleh supervisor
departemen penerimaan.
Kuantitas yang diterima menurut laporan penerimaan
dibandingkan dengan dokumen pengiriman pemasok dan dengan
pesanan pembelian.
Kekurangan bahan baku dicatat pada dokumen penerimaan dan
setiap kelebihan bahan baku ditolak.
Jika terjadi kelebihan bahan baku, dokumen ditandatangani oleh
perusahaan transportasi untuk dikembalikan ke pemasok.
Dokumen diberikan ke bagian utang dagang untuk pemrosesan
dan aktivitas kontrol selanjutnya.
Tujuan-tujuan lain yang Tujuan produksi #10 (dijelaskan pada langkah sebelumnya dalam
Dipengaruhi Studi COSO).
Evaluasi dan Kontrol cukup memadai untuk mencapai tujuan.
Kesimpulan
103
Penerapan pendekatan ini cukup mudah. Setiap langkah mengalir secara logis dari
langkah sebelumnya.
Tujuan ditentukan; pengidentifikasian risiko menjadi lebih mudah.
Jika risiko telah diidentifikasi, kemungkinan historis untuk terjadi dapat
ditentukan.
Jka risiko diketahui, langkah untuk menghadapinya aktivitas-aktivitas kontrol
dapat ditentukan.
Hubungan antara risiko dan aktivitas kontrol dengan tujuan-tujuan lainnya
ditentukan dengan melihat risiko yang sama atau aktivitas kontrol dalam
tujuan-tujuan yang lain serupa dengan metode matriks.
Akhirnya, sebuah kesimpulan diformulasi mengenai efektivitas kontrol.
Auditor akan mengakui pentingnya hal ini karena mereka akan
mendapatkan kesimpulan untuk setiap pengujian atas kontrol yang
dilakukan dalam audit.
Bila analisis tujuan, risiko, dan aktivitas kontrol telah dilakukan, program audit
diterapkan bersama-sama untuk menguji aktivitas kontrol. Efektivitas aktivitas
kontrol ditentukan dalam analisis risiko. Audit merupakan pengujian kinerja; yakni,
apakah aktivitas kontrol memang diterapkan seperti yang dirancang. Kesimpulan
audit akan menjadi sebuah ukuran kualitas kinerja.
104
Sistem Evaluasi Risiko
105
Sistem Evaluasi Risiko
106
Pertimbangan Pengungkapan Risiko
Penulis menganalisis FASB 5 dan AcSEC SOP 94-6 dalam memberikan
deskripsi yang menarik bagi auditor internal.
Risiko organisasional harus dibagi menjadi:
• Risiko operasi,
• Risiko estimasi, dan
• Risiko konsentrasi.
Risiko operasi terkait dengan risko-risiko yang terjadi pada
produksi, penjualan, dan pengadministrasian organisasi. Risiko
tersebut mencakup risiko internal dan eksternal.
110
Penutup
111
Penutup
Sebagai hasil penelitian empiris di bidang keuangan, ia menekankan 12 ”praktik terbaik” yang
diyakininya dapat diterapkan oleh organisasi manapun dalam mengembangkan pendekatan
manajemen terintegrasi yang positif. Ke-12 praktik terbaik tersebut adalah:
1. Mengkombinasikan analisis objektif dan subjektif dari audit keseluruhan untuk menentukan
prioritas audit.
2. Menganalisis kemampuan manajemen untuk mencapai tujuan dan sasaran dalam narasi pra-
audit.
3. Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah.
4. Menganalisis proses penetapan dan pengelolaan batas risiko.
5. Menelaah fungsi manajemen risiko yang lain, seperti perbendaharaan, ketaatan, dan kontrol
akuntansi.
6. Mengamati proses perencanaan strategis dan hasil-hasilnya.
7. Mengevaluasi inisiatif-inisiatif strategis.
8. Mengintegrasikan aktivitas-aktivitas audit.
9. Mendasarkan proses audit pada hasil bersih eksposur risiko dan kontrol pengganti.
10.Bermitra dengan manajemen dengan memberikan jasa konsultasi dan informasi bernilai
tambah.
11.Menelaah etika sebagai elemen dasar dari kontrol internal.
12.Melaksanakan audit komprehensif untuk keseluruhan program manajemen risiko.
Pola ini menyarankan bahwa keseluruhan manajemen risiko dapat menjadi kontribusi
produktif yang bernilai tambah terhadap kemakmuran dan kemajuan organisasi. Auditor
internal memainkan bagian utama dari fungsi tersebut.
112
113