Penentuan Risiko

(Risk Assessment)

Drs. Bambang Pramono MBA.

The Aryaduta Suites Hotel
Jakarta, December 20 – 22, 2010
1
 Filosofi COSO

Assessment risiko merupakan hal penting bagi manajemen dan

auditor internal. Hukum federal mensyaratkan Assessment risiko
tahunan untuk bank-bank tertentu, dan prinsip-prinsip manajemen
yang baik mendorong penerapannya di industri dan sektor-sektor
lain. Auditor internal harus memiliki pemahaman mengenai proses
assessment risiko dan sarana yang digunakan untuk melakukan
assessment. Auditor internal harus memasukkan hasil assessment
risiko ke dalam program audit untuk memastikan bahwa kontrol-
kontrol yang dibutuhkan memang diterapkan untuk mengurangi
risiko.

2
 Filosofi COSO
Studi yang dilakukan COSO, Kontrol Internal—Kerangka Kerja
Terintegrasi, mengawali pembahasan tentang assessment risiko
dengan ringkasan berikut ini:
Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari
dalam yang harus diassess. Persyaratan awal untuk assessment risiko
adalah adanya penetapan tujuan, yang terkait pada tingkat-tingkat yang
berbeda dan konsisten di dalam organisasi. Assessment risiko adalah
identifikasi dan analisis risiko-risiko yang relevan untuk mencapai
tujuan entitas, yang membentuk basis untuk menentukan cara
pengelolaan risiko. Karena kondisi ekonomi, industri, peraturan dan
operasi akan terus berubah, maka dibutuhkan mekanisme untuk
mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan
dengan perubahan.

3
 Filosofi COSO

Assessment risiko merupakan tanggung jawab yang tidak

terpisahkan (integral) dan terus-menerus dari manajemen. Dikatakan
integral karena manajemen tidak dapat menetapkan tujuan dan
dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai.
Banyak hambatan akan muncul yang akan menghalangi perjalanan
mencapai tujuan. Beberapa hambatan, atau risiko, akan datang dari
luar entitas, sedangkan yang lainnya dari dalam.

4
 Filosofi COSO
Sebagai contoh:

 Sebuah hukum atau peraturan baru mengalihkan sumber daya dari

operasi yang dibutuhkan untuk mencapai tujuan.
 Sebuah perusahaan pesaing memperkenalkan produk atau jasa baru
yang membutuhkan tindakan segera dan menciptakan tujuan baru
dengan menurunkan prioritas tujuan sebelumnya.
 Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi
usang.
 Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi
yang telah ditetapkan.

5
 Filosofi COSO

Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan

assessment risiko adalah untuk membuat karyawan sadar akan
beragam risiko yang ada serta prioritas, dan keterbatasan dari daftar
risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko
baru yang muncul setiap waktu. Oleh karena itu, assessment risiko
merupakan fungsi yang berkelanjutan dalam proses manajemen;
yang harus dilakukan secara terorganisasi dan berurutan. Jadi,
proses assessment risiko itu sendiri merupakan hal penting bagi
audit.

6
 Filosofi COSO
Siapa yang memanfaatkan Assessment Risiko? Manajemen
menggunakan assessment risiko sebagai bagian dari proses untuk
memastikan kesuksesan suatu entitas; hal ini telah dibahas dengan
jelas pada studi COSO. Manajemen juga menggunakan assessment
risiko sebagai alat yang penting dalam merancang sistem-sistem baru.
Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk
memenuhi tujuan yang telah ditetapkan. Bagian penting dalam
perancangan dan pengembangan proses adalah identifikasi dari
semua kejadian dan tindakan yang mungkin mencegah sistem dari
mencapai tujuannya.

7
 Filosofi COSO

Berdasarkan undang-undang terbaru, bank-bank yang melebihi

skala usaha tertentu disyaratkan untuk membuat assessment risiko
setiap tahun yang akan digunakan sebagai dasar untuk membuat
pernyataan publik mengenai kondisi dari sistem kontrol internal.
Akuntan independen bank tersebut diminta untuk menilai akurasi
laporan tersebut. Telah terdapat banyak upaya sejak tahun 1979
untuk mengharuskan laporan tersebut diserahkan semua entitas
yang tunduk pada Securities and Exchange Act tahun 1934. Besar
kemungkinan melalui regulasi atau hukum, persyaratan pelaporan ini
akan dikenakan ke lebih banyak industri dan organisasi sektor
publik.

8
 Filosofi COSO
Akuntan publik harus membuat assessment risiko untuk mematuhi
standar mereka. Statement on Auditing Standards (SAS) No. 55 dari
American Institute of Certified Public Accountants (AICPA)
menguraikan tanggung jawab akuntan untuk mendapatkan
pemahaman atas sistem kontrol. Akuntan publik juga membuat
assessment risiko dalam merencanakan audit mereka. Apa saja risiko-
risiko kegagalan yang bisa mengancam pencapaian tujuan audit?
Pengujian audit yang mana yang seharusnya digunakan untuk
memastikan bahwa tujuan audit tercapai? Satu risiko yang bisa muncul
adalah memilih metode pengujian yang tidak tepat; yang lainnya adalah
penggunaan rencana dan teknik pengambilan sampel yang tidak tepat;
dan lain-lain.

9
 Filosofi COSO
Tidak diragukan lagi bahwa auditor internal telah terlibat dalam
assessment risiko sejak awal profesi ini berdiri. Auditor internal selalu
bertanya, “Kesalahan apa yang bisa terjadi?” Pengidentifikasian
kesalahan atau ketidakwajaran yang potensial merupakan persyaratan
mutlak untuk menentukan prosedur kontrol yang harus diterapkan.
Bagaimanapun juga, akankah ada kontrol jika tidak ada risiko?
Bagaimana auditor menentukan bahwa suatu kontrol merupakan
kontrol yang efektif - kontrol yang tepat - dalam suatu kondisi tanpa
mengidentifikasi dan mengevaluasi risiko? Sehubungan dengan
pertanyaan ini, IIA mengeluarkan Statement on Internal Auditing
Standards No. 9 tentang Assessment Risiko pada tahun 1991. Saat ini
hal tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih
lanjut di Practice Advisory 2210.A1-1.

10
 Filosofi COSO
Pada kebanyakan entitas, departemen audit internal akan menjadi
pemain utama dalam assessment risiko yang mengarahkan laporan
tahunan manajemen untuk mengemukakan kondisi sistem kontrol.
Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan
dalam membuat laporan tersebut. Audit khusus mungkin dibutuhkan di
beberapa entitas untuk memastikan bahwa kelemahan yang
ditemukan selama tahun tersebut telah diperbaiki pada tanggal
laporan akhir tahun.

11
Merencanakan Assessment Risiko dan Eksposur

Rencana audit harus dirancang untuk memasukkan pertimbangan

tentang risiko dan eksposur organisasi. Practice Advisory 2010-2,
“Menghubungkan Rencana Audit dengan Risiko dan Eksposur,”
menyatakan bahwa rencana strategis organisasi harus
mempertimbangkan risiko dan eksposur. Rencana audit harus menilai
tingkat kesadaran atas rencana strategis terhadap elemen-elemen
prioritas risiko dan eksposur. Jadi, audit secara keseluruhan dapat
dipengaruhi oleh hasil proses manajemen risiko. Practice Advisory
berisi metode-metode rinci aktivitas audit seperti daftar isi jadwal
pekerjaan audit, pendekatan audit, pelaksanaan audit, pelaporan isi,
dan evaluasi “kontrol internal untuk mengurangi risiko.”

12
 Memperluas Audit Berbasis Risiko
Konsep audit berbasis risiko secara tradisional bermula dari observasi
dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang
berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas
ini sesuai dengan tujuan-tujuan organisasi. McNamee dan Selim
menyatakan pendekatan ini tidak tepat karena adanya kebutuhan
untuk memenuhi tujuan terlebih dahulu, tujuan merupakan dasar
operasi dan tidak selalu berbentuk nyata, bisa bersifat fleksibel dan
seharusnya berorientasi ke masa depan.

13
 Memperluas Audit Berbasis Risiko

Para penulis tersebut merekomendasikan sebuah pendekatan yang

mempertimbangkan terlebih dahulu tujuan organisasi yang ditetapkan
dan kemudian menilai risiko melalui identifikasi, pengukuran, dan
penyusunan prioritas, dan akhirnya melakukan manajemen risiko
dengan cara:
– Mengendalikan dan menerima risiko, atau
– Menghindari atau mendiversifikasi risiko, atau
– Membagi dan mentransfer bagian-bagian risiko ke unit-unit
lainnya.

14
 Memperluas Audit Berbasis Risiko
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak
dapat dihindarkan di semua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan
tersebut mencakup:
 Kontrol aktivitas organisasional untuk mengurangi elemen-
elemen risiko baik dari segi ukuran maupun jumlah;
 Penerimaan risiko dengan memperbolehkan risiko kehati-hatian
yang diperlukan untuk kemajuan dan keuntungan;
 Penghindaran risiko yang melibatkan perancangan ulang proses
bisnis untuk mengubah pola risiko;
 Pendiversifikasian risiko dengan menyebarkan total risiko ke
operasi-operasi yang terpisah. Misalnya: menggunakan berbagai
pemasok untuk bahan baku yang penting; dan
 Pembagian dan pemindahan risiko dengan melibatkan
perjanjian kontraktual dengan pihak ketiga untuk menerima
sebagian atau semua risiko. Contohnya adalah asuransi.
15
 Memperluas Audit Berbasis Risiko

Adanya perhatian ke masa depan merupakan perluasan dari

pengakuan risiko ke manajemen risiko. Hal ini merupakan contoh audit
internal menuju bidang yang memberikan unsur bernilai tambah
terhadap fungsi yang bernilai waktu, yang berkaitan dengan risiko dan
penggunaan audit berbasis risiko.

16
Organisasi tanpa Proses Manajemen Risiko

Sebagian besar bagian ini telah menjelaskan dua aspek risiko:

pertama, auditor internal harus menelaah risiko pada bidang-bidang
yang diaudit untuk membuat program audit. Kedua, jika terdapat
program manajemen risiko, auditor internal harus mengevaluasinya
sebagai bagian dari audit. IIA baru-baru ini telah menerbitkan dua
Practice Advisories yang berhubungan dengan manajemen risiko,
Practice Advisory 2100-4, “Peran Audit Internal dalam Organisasi
yang Tidak Memiliki Proses Manajemen Risiko,” dan Practice
Advisory 2110-1, “Assessment Kecukupan Proses Manajemen
Risiko.”

17
 Organisasi tanpa Proses Manajemen Risiko

Advisory terakhir membahas aspek audit kedua yang disebutkan

sebelumya. Advisory yang pertama membahas pendekatan praktis
sebagai sebuah jasa konsultasi bagi klien audit. Advisory ini
merekomendasikan auditor internal untuk:
1. Membantu organisasi dalam mengidentifikasi, mengevaluasi,
dan menerapkan manajemen risiko dan perhatian dewan dan
menentukan penyelesaiannya menggunakan operasi dan
kontrol manajemen risiko.
2. Mengidentifikasi kesadaran manajemen dan dewan direksi akan
risiko dan menentukan penyelesaiannya melalui proses
manajemen risiko.
3. Memberitahu manajemen kekurangan yang ada pada proses
manajemen risiko dan memberikan saran untuk melaksanakan
proses seperti itu.
18
 Organisasi tanpa Proses Manajemen Risiko

4. Mendapatkan pemahaman atas ekspektasi manajemen dan

dewan direksi mengenai bantuan audit internal yang dapat
diberikan dalam proses manajemen risiko.
5. Mendapatkan konsep dari manajemen mengenai peran yang
harus dimainkan audit internal dalam proses tersebut.
6. Memainkan peran yang proaktif, jika dibutuhkan, dalam
pengembangan proses manajemen risiko, dengan tetap
mengingat eksposur akan terjadinya penurunan independensi.
7. Menjauhkan diri dari berperan sebagai pemilik risiko.

Kepala bagian audit harus mengingat bahwa bantuan ini jangan

melampaui filosofi persyaratan jasa pemberian keyakinan dan konsultasi
yang normal.

19
Risiko Audit dan Komponen-komponennya
dalam Audit Laporan Keuangan

Auditor dan manajemen terus mempertanyakan luas (the extent) dan

probabilitas risiko. Luas risiko adalah jumlah yang berpotensi terkena
risiko; probabilitas adalah kemungkinan terjadinya risiko. Masih
terdapat hal-hal lain yang harus dipertimbangkan saat menilai dampak
risiko. Sebuah pendapat tentang kuantifikasi risiko yang diutarakan
oleh Robert Courtney disajikan pada bagian selanjutnya.

20
Risiko Audit dan Komponen-komponennya
dalam Audit Laporan Keuangan
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa
Statement on Auditing Standards terbaru (No. 47, No. 53, dan No. 55).
Risiko audit terdiri atas dua tingkatan - tingkat laporan keuangan dan
saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan
keuangan, risiko audit adalah “risiko bahwa auditor mungkin secara
tidak sengaja gagal memodifikasi dengan layak pendapatnya atas
laporan keuangan yang salah saji secara material.” Seorang auditor
diharapkan untuk merencanakan audit sehingga risiko audit dibatasi
pada apa yang dipertimbangkan auditor sebagai tingkat yang rendah.
Dalam menilai risiko audit pada tingkat laporan keuangan, standar
audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbangkan karakteristik manajemen, karakteristik operasi dan
industri, dan karakteristik penugasan.

21
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

Faktor-faktor yang disebutkan berikut ini bisa mengindikasikan situasi

yang meningkatkan risiko audit:
Karakteristik Manajemen
 Kebijakan manajemen didominasi hanya oleh satu orang.
 Manajemen memiliki perilaku yang sangat agresif terhadap
pelaporan keuangan.
 Perputaran manajemen tinggi.
 Manajemen sangat berlebihan dalam menekankan pencapaian
proyeksi laba.
 Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.

22
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

Karakteristik Operasi dan Industri

• Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak
memadai atau tidak konsisten.
• Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
• Entitas berada pada industri yang menurun.
• Organisasi entitas bersifat desentralistis tanpa pengawasan aktivitas
yang memadai.
• Entitas bisa diragukan kelangsungan hidupnya.

23
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

• Karakteristik Penugasan
• Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi
yang sulit.
• Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit
diaudit.
• Terdapat transaksi dengan pihak-pihak yang memiliki hubungan
istimewa dalam jumlah yang signifikan dan tidak biasa.
• Sebelumnya terdapat salah saji signifikan yang dideteksi selama audit
atau tidak tersedia data mengenai hal tersebut.

24
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

Kesimpulan auditor mengenai risiko audit pada tingkat laporan

keuangan akan berdampak pada:
(1) penugasan staf;
(2) pengawasan yang dibutuhkan;
(3) keseluruhan strategi audit; dan
(4) tingkat skeptisme profesional.
Sebagai contoh, pada situasi yang dirasakan auditor memiliki risiko
audit yang meningkat, auditor bisa menugaskan lebih banyak staf
berpengalaman dan menerapkan lebih banyak prosedur substantif
selama audit interim dan akhir tahun.

25
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau
kelompok transaksi, seorang auditor harus mempertimbangkan asersi-
asersi (assertions) laporan keuangan. Asersi adalah representasi
manajemen yang terdapat dalam saldo akun, kelompok transaksi dan
pengungkapan. SAS mengidentifikasi ada lima asersi umum manajemen
(atau asersi laporan keuangan) keterjadian atau keberadaan,
kelengkapan, hak dan kewajiban, assessment atau alokasi, dan penyajian
dan pengungkapan. Misalnya, manajemen menyatakan bahwa utang
usaha untuk sebuah divisi pada tanggal 30 Juni sejumlah $85.000
merupakan pernyataan bahwa:
 Utang usaha memang ada pada tanggal neraca (keberadaan).

 Semua utang usaha telah tercakup (kelengkapan).

 Utang usaha merupakan kewajiban hukum (kewajiban).

 Utang usaha dinilai dengan layak (assessment atau alokasi).

 Semua utang usaha diungkapkan dengan layak (penyajian dan

pengungkapan).
26
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri
dari (a) risiko bahwa saldo atau kelompok dan asersi yang berkaitan
mengandung salah saji baik oleh dirinya sendiri atau dengan yang
lainnya yang bisa berdampak material terhadap laporan keuangan
(disebut risiko bawaan dan risiko kontrol) dan (b) risiko bahwa auditor
tidak akan mendeteksi salah saji tersebut jika memang terjadi (disebut
risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok
memiliki tiga komponen risiko bawaan, risiko kontrol, dan risiko
deteksi. Seorang auditor diharapkan untuk merencanakan audit
sehingga risiko audit pada tingkat saldo atau kelompok transaksi
dibatasi sehingga memungkinkan auditor memberikan opini pada
risiko audit yang rendah pada tingkat laporan keuangan.

27
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
SAS memberikan contoh faktor-faktor berikut ini yang harus
dipertimbangkan auditor dalam mengevaluasi risiko audit pada tingkat
saldo atau kelompok transaksi:
 Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan
keuangan.
 Masalah-masalah akuntansi yang rumit dan mengandung
perdebatan.
 Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.
 Salah saji yang signifikan mungkin terjadi, berdasarkan informasi
yang diperoleh dari audit sebelumnya.
 Rentannya aktiva untuk disalahgunakan.
 Kompetensi dan pengalaman karyawan yang memproses data.
 Tingkat pertimbangan dalam menentukan saldo akun atau
transaksi.
 Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau
kelas transaksi.
 Kompleksitas perhitungan.
28
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Risiko Bawaan (Risiko Inheren)
Risiko bawaan adalah rentannya suatu asersi atas terjadinya salah saji
yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau
prosedur struktur kontrol internal berkaitan yang ditetapkan. Risiko
bawaan adalah risiko yang bersifat intrinsik terhadap usaha entitas. Risiko
dari salah saji seperti ini lebih besar untuk beberapa asersi dan saldo atau
kelompok transaksi dibandingkan yang lain. Sebagai contoh:
 Penilaian dan keberadaan asersi sehubungan dengan piutang
usaha lebih cenderung dilanggar daripada asersi kelengkapan
pada saat auditor mempertimbangkan kelangsungan hidup entitas .
 Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan
perhitungan biaya depresiasi menggunakan metode garis lurus
(perhitungan rumit dibandingkan dengan perhitungan sederhana).
 Kas lebih rawan dicuri dibandingkan persediaan batu kapur (jumlah
yang lebih mudah dicuri dan memiliki nilai tinggi dibandingkan
dengan barang yang susah dicuri dan memiliki nilai yang rendah).
 Faktor-faktor eksternal terhadap entitas seperti perubahan
teknologi yang mungkin membuat persediaan tertentu menjadi
usang dan dinilai terlalu tinggi.
29
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat

berdampak pada risiko bawaan di tingkat saldo atau kelompok transaksi.
Sebagai contoh, keraguan atas kelangsungan hidup yang ditemukan
pada tingkat laporan keuangan dapat menyebabkan risiko bawaan untuk
assessment persediaan menjadi meningkat.
Contoh-contoh berikut ini akan membantu dalam memahami pandangan
AICPA mengenai risiko bawaan:
– Pada perusahaan sekuritas, perhitungan bunga yang sederhana
tidak serumit perhitungan berdasarkan metode bunga efektif.

30
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
☻ Di bank, fraud terhadap kredit lebih cenderung terjadi pada
rekening tabungan atau pembayaran cicilan pinjaman
dibandingkan rekening giro.
☻ Di toko serba ada, saldo piutang usaha lebih cenderung disajikan
secara realistis dibandingkan saldo akun penyisihan piutang tak
tertagih.
☻ Di toko grosir, permintaan yang meningkat untuk kontrol
persediaan membuat daftar kas sederhana dan pencatatan/
perhitungan persediaan secara manual menjadi usang bila
digunakan bar code pada terminal penjualan.
☻ Pada organisasi yang terdiversifikasi, penekanan pada
pemerolehan dana melalui kredit bank, bukan peningkatan modal,
memberikan tekanan pada laba jika tingkat bunga meningkat;
yang mungkin mengarah pada harga jual marginal dan/ atau
kredit yang lebih berisiko terhadap pencapaian laba yang lebih
tinggi.

31
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan
Auditor mampu mengevaluasi risiko bawaan yang ada pada klien
dengan memperhatikan industri secara keseluruhan. Bank
menghadapi seperangkat risiko bawaan karena bergerak di usaha
pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil
menghadapi sekelompok risiko bawaan yang terdapat pada usaha
pabrikan maupun bisnis mobil.
Juga terdapat risiko bawaan pada suatu organisasi akibat budaya
perusahaan yang diterapkan. Sebuah organisasi bisa dikelola secara
ketat oleh suatu kelompok kecil yang memiliki filosofi: ”Kami ingin
bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa
menanggapi suatu kejadian secara langsung dan segera.”

32
Risiko Audit dan Komponen-komponennya dalam
Audit Laporan Keuangan

 Risiko-risiko yang berorientasi pada budaya perusahaan

merupakan risiko-risiko yang melekat pada gaya manejemen.
 Jika risiko-risiko bawaan dalam suatu organisasi telah
diperhitungkan, langkah selanjutnya adalah menilai tindakan untuk
mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko
tersebut. Pertimbangan-pertimbangan ini melibatkan risiko kontrol.

33
 Risiko Kontrol

Risiko kontrol adalah risiko bahwa salah saji material yang bisa terjadi
pada suatu asersi tidak dapat dicegah atau dideteksi tepat waktu oleh
struktur, kebijakan, atau prosedur kontrol internal suatu entitas.
Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan
yang inheren pada struktur kontrol internal.
Seorang auditor bisa menilai risiko kontrol pada tingkat maksimum bila
kebijakan maupun prosedur tidak efektif atau menghabiskan banyak
biaya untuk mengevaluasi efektivitasnya. Jika auditor menetapkan risiko
kontrol di bawah maksimum, auditor tersebut diharapkan memperoleh
bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur
yang layak untuk membenarkan penetapan tersebut.

34
 Risiko Deteksi
Risiko deteksi adalah risiko bahwa auditor tidak dapat mendeteksi
salah saji material yang terdapat pada suatu asersi. Risiko deteksi
dapat terjadi karena seorang auditor memutuskan tidak memeriksa
100 persen saldo atau transaksi atau karena ketidakpastian lainnya.
Termasuk dalam ketidakpastian lainnya ini adalah pemilihan prosedur
audit yang tidak layak, salah penerapan prosedur audit, atau salah
interpretasi hasil-hasil prosedur audit. Ketidakpastian lainnya harus
dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan
dan pengawasan audit yang sesuai.

35
 Hubungan Antar risiko

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara

kuantitatif maupun kualitatif. SASs memberikan rumus berikut ini:
Risiko Audit = Risiko bawaan x Risiko Kontrol x Risiko Deteksi
Ketika menggunakan rumus ini, seorang auditor bisa menilai risiko
audit yang direncanakan untuk sebuah asersi, risiko bawaannya dan
risiko kontrolnya untuk menentukan risiko penemuan yang
direncanakan dengan menentukan risiko deteksi.
Risiko Deteksi = Risiko Audit/(Risiko bawaan x Risiko Kontrol)

36
 Hubungan Antar risiko
Seorang auditor akan memilih prosedur-prosedur audit yang
menurutnya akan mengurangi risiko deteksi di bawah risiko penemuan
yang direncanakan. Hal ini menekankan konsep bahwa risiko bawaan
dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan
dalam struktur kontrol internal yang direkomendasikan dan
direncanakan setelah periode audit tidak akan mengubah assessment
auditor atas risiko kontrol untuk periode sekarang. Oleh karena itu,
untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan
risiko kontrol berhubungan terbalik dengan risiko deteksi. Makin besar
risiko bawaan dan risiko kontrol terkait dengan suatu asersi, makin
rendah risiko deteksi yang bisa diterima dan makin banyak bukti audit
yang harus dikumpulkan. Seorang auditor harus melaksanakan
beberapa pengujian substantif jika terdapat salah saji material. Dalam
beberapa kasus auditor tidak dapat hanya mengandalkan assessment
risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak
dilaksanakannya pengujian substantif.
37
 Hubungan Antar risiko
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur
audit yang direncanakan, penugasan staf, dan supervisi yang
dibutuhkan dalam mempertimbangkan reaksi terhadap perubahan
dalam risiko deteksi.
Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan
auditor internal. Sifat usaha atau aktivitas organisasi dan gaya
manajemen menciptakan suatu atmosfer yang berdampak besar
terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa
memiliki risiko bawaan yang sama karena sama-sama merupakan
organisasi publik. Akan tetapi, keduanya bisa memiliki tingkat risiko
yang berbeda karena yang satu memiliki walikota yang kuat dan
struktur dewan yang lemah sementara yang satu lagi memiliki walikota
yang lemah dan struktur dewan yang kuat. Risiko bisa lebih berbeda
jika salah satu pemerintahan memiliki kepentingan umum yang kuat
dan pemerintahan yang terbuka sementara yang lain memiliki publik
yang apatis dan orang yang sangat berkuasa secara politis.

38
 Hubungan Antar risiko

Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal

harus mengidentifikasikannya untuk menetapkan risiko. Posisi auditor
internal sebagai bagian dari organisasi membuka peluang untuk
mengamati risiko bawaan untuk periode waktu yang panjang. Auditor
internal harus memperhatikan risiko bawaan yang berbeda pada
bagian organisasi yang berbeda. Risiko bawaan di perusahaan
pabrikasi berbeda dari perusahaan jasa keuangan. Risiko pada
operasi produksi pakaian akan berbeda dari risiko yang terdapat pada
perusahaan yang memproduksi bahan-bahan kimia.

39
 Hubungan Antar risiko

Identifikasi risiko pada suatu organisasi bermula dari risiko bawaan

yang terkait dengan usaha dan gaya manajemennya. Risiko-risiko
tersebut dihadapi dengan membuat sistem kontrol. Karena tidak ada
cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko
meskipun kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan
risiko kontrol. Konsep keyakinan yang wajar mulai diterapkan pada
tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang dicapai
pada saat terjadi keseimbangan antara biaya kontrol dan eksposur
dengan manfaat yang diterima. Hal ini dapat dipandang sebagai titik
ketika risiko kontrol dan biaya kontrol berada pada ekuilibrium.

40
 Suatu Inventory Risiko

Departemen audit internal Allstate mengembangkan suatu ”inventory

risiko usaha” untuk membantu dalam: Memberikan kerangka kerja untuk
mengidentifikasi risiko-risiko yang paling mengancam perusahaan
sehingga risiko-risiko ini harus dipertimbangkan dalam perencanaan.
 Memfasilitasi pembahasan tentang risiko usaha.
 Membuat suatu infrastruktur untuk mengawasi perubahan pada
risiko usaha sepanjang waktu dan untuk membantu dalam
mengidentifikasi risiko-risiko baru.
 Mempersiapkan manajemen dan audit internal mengambil
langkah-langkah proaktif.
 Meningkatkan keahlian para staf audit di bidang risiko.

41
 Suatu Inventory Risiko

Pengembangan risiko mencakup proses yang terdiri dari empat tahap:

☻ Identifikasi risiko-risiko puncak.
☻ Mengkonsolidasikan dan mengorganisasikan risiko-risko
tersebut.
☻ Membuat model inventory risiko dan daftar risiko.
☻ Mengelola inventory risiko tersebut.

42
 Suatu Inventory Risiko

Inventory risiko disusun dalam dua bagian dasar. Risiko-risiko eksternal

mencakup:
– Lingkungan.
– Bencana.
– Pasar keuangan.
– Peringkat.

43
 Suatu Inventory Risiko

Risiko-risiko internal mencakup:

 Sumber daya manusia.
 Integritas.
 Informasi dan teknologi.
 Akuntansi dan pelaporan.
 Keuangan.

44
 Suatu Inventory Risiko
Staf audit kemudian mengembangkan inventory risiko khusus untuk
setiap unit-unit organisasi dan untuk jasa-jasa yang dipergunakaan
bersama dan mengidentifikasi risiko yang paling mengancam
perusahaan.
Staf audit kemudian memeringkat risiko-risiko tersebut berdasarkan
signifikansi dan kemungkinan terjadinya pada skala tiga titik; tinggi,
sedang, dan rendah. Risiko-risiko dengan peringkat tertinggi disebut
risiko-risiko ”kunci”. Kombinasi antara risiko ”ancaman” dan ”kunci”
kemudian menerima audit awal dan selanjutnya membutuhkan
perhatian manajemen.

45
 Suatu Inventory Risiko

Kemudian staf audit mengembangkan serangkaian ”Pemicu Risiko”

untuk risiko-risiko eksternal dan risiko-risiko internal. Dengan
menggunakan pendekatan matriks berisi pemicu dan risiko-risiko
”kunci”, auditor akan dipersenjatai dengan alat untuk mengembangkan
hal-hal penting untuk diinvestigasi.

46
Pertanyaan-pertanyaan Dasar tentang Risiko

Perusahaan-perusahaan senantiasa mencoba menerapkan lebih

banyak kontrol untuk risiko-risiko mereka dan mengaudit area-area
yang memiliki tingkat risiko yang lebih tinggi dengan menanyakan
sejumlah pertanyaan yang dianggap signifikan. Hal ini telah menjadi
penting begitu manajemen dan auditor internal menyadari eksposur
risiko yang telah berubah drastis seiring perubahan praktik bisnis.
Contoh, manajemen telah semakin menyadari risiko pasar, yakni
permintaan atas produk-produk perusahaan. Di pihak lain, risiko
informasi meningkat drastis dengan adanya Internet yang
memungkinkan usaha dan perdagangan dilakukan melalui Internet.
Perubahan-perubahan signifikan yang tidak disadari dapat
membahayakan perusahaan.

47
 Pertanyaan-pertanyaan Dasar tentang Risiko

Organisasi telah mengevaluasi berbagai cara berbeda untuk menilai

risiko. Pertanyaan-pertanyaan (faktor-faktor risiko) berikut ini telah
digunakan dalam assessment risiko:
 Apakah terdapat temuan-temuan signifikan pada audit-audit
sebelumnya?
 Bagaimana lingkup audit sebelumnya?
 Kapan audit terakhir dilakukan?
 Perubahan-perubahan apa yang telah terjadi pada sistem?
 Perubahan-perubahan apa yang telah terjadi pada personalia?
 Perubahan-perubahan apa yang telah terjadi pada produk
dan/atau jasa yang ditawarkan?

48
Pertanyaan-pertanyaan Dasar tentang Risiko
• Berapa nilai dolar aktiva yang dikuasai?
• Berapa nilai dolar transaksi-transaksi melalui entitas?
• Apa kepentingan entitas terhadap induk perusahaan?
• Seberapa likuid aktivanya?
• Bagaimana pemisahan tugasnya?
• Seberapa sensitif informasi tersebut bagi entitas?
• Bagaimana tekanan untuk memenuhi tujuan atau ukuran-ukuran usaha
lainnya?
• Bagaimana dampak hukum dan regulasi terhadap entitas?
• Seberapa sering karyawan menghadapi kemungkinan untuk melakukan
tindakan-tindakan tidak etis?
• Tingkat pengetahuan yang bagaimana yang diperlukan untuk
melaksanakan fungsi entitas?
• Seberapa sering karyawan berhubungan dengan pelanggan entitas?
• Seberapa rumit operasi entitas?

49
 Pertanyaan-pertanyaan Dasar tentang Risiko
• Beberapa organisasi telah membuat daftar pertanyaan yang akan
digunakan auditor dalam merencanakan penugasan. Organisasi yang
lain telah mengkuantifikasi jawaban-jawaban untuk setiap pertanyaan
dengan menghubungkan jawaban-jawaban tertentu dengan nilai-nilai
yang akan digunakan auditor. Berdasarkan jawaban-jawaban tersebut
kemudian dibuat skor. Skor ini bisa berupa penjumlahan nilai hingga
sistem pembobotan menggunakan sistem pakar (expert systems).
Setelah skor ditentukan, auditor bisa membuat rencana audit
berdasarkan skor relatif. Apapun pendekatan yang digunakan penting
bagi auditor untuk mengevaluasi hasil-hasil audit dibandingkan dengan
prediksinya.
• Beberapa perusahaan membuat sistem yang rumit yang akan
mengalokasikan waktu audit khusus ke penugasan khusus berdasarkan
skor risikonya. Sistem ini akan menetapkan jam audit dan rotasi audit
menggunakan evaluasi risiko. Misalnya skor X membutuhkan 200 jam
audit dalam dua tahun.
50
 Risiko EDI

• Pertukaran data elektronik (Electronic Data Interchange = EDI) adalah

sebuah sistem komunikasi informasi komputer-ke-komputer yang
saling terhubung untuk dokumen-dokumen bisnis yang terstandarisasi
di batas-batas organisasi. Komputer, databases, dan pusat informasi
terhubung oleh jaringan komunikasi publik atau lainnya.
• Meskipun aspek komputer dari audit internal lebih banyak dibahas dan
diperkenalkan di sini beberapa informasi mengenai assessment risiko
dari area operasi tersebut. Kerawanan sistem EDI adalah tinggi
karena kegagalan sistem pada setiap tiga tahapan inisiasi, transmisi,
dan tujuan akan mengganggu transaksi.

51
 Risiko EDI

Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal
yang saling berkaitan. Enam area tersebut adalah:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirimkan transaksi
6. Kurangnya pedoman hukum

52
 Risiko EDI
Adanya beberapa lapis kontrol memiliki dampak berlipat untuk
mengurangi risiko kontrol. Risiko kontrol yang tiga lapis kontrol - kontrol
administratif, kontrol fisik, dan perangkat lunak - akan gagal, dihitung
dengan persamaan ini:
CREDI = CRA * CRp * CRs
Keterangan:
CREDI = Risiko kontrol sistem EDI.
CRA = Risiko kontrol gagalnya prosedur administratif.
CRp = Risiko kontrol gagalnya mekanisme fisik.
CRs = Risiko kontrol gagalnya kontrol perangkat lunak.

53
 Risiko EDI
Jadi, jika dibuat asumsi berikut ini:
Prosedur administratif 0,10
Mekanisme fisik 0,20
Kontrol perangkat lunak tidak mencegah akses pihak yang
tidak berkepentingan 0,05
Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi
0,001.
Rujukan tersebut menyajikan contoh yang bagus mengenai situasi
masalah potensial terkait dengan risiko bawaan dapat mengakibatkan
kerugian sebesar $ 555.493. Dan bahwa jika risiko bawaan dikurangi
menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi
$ 27.774) menjadi $ 527.718.

54
 Risiko EDI
Rujukan tersebut mengutip laporan COSO bahwa auditor internal harus
membuat langkah-langkah ini secara terpisah dari proses assessment:
 Menghitung signifikansi risiko dalam ukuran uang.
 Menilai kemungkinan terjadinya risiko.
 Menentukan cara untuk mengurangi dampak risiko sehingga
eksposur dapat dikurangi hingga ke tingkat yang dapat
diterima.
Organisasi audit internal dapat menyumbangkan proses assessment
risiko EDI dengan mengevaluasi baik risiko bawaan dan risiko kontrol
internal untuk menentukan apakah telah terdapat aktivitas kontrol yang
memadai dan efektif untuk mengelola risiko.

55
 Faktor-faktor Risiko dan Aktivitas Kontrol
Faktor-faktor Risiko
1. Akses informasi yang tidak diotorisasi.
a. Hacker mengakses sistem.
b. Intersepsi selama transmisi.
c. Penyadapan (wiretapping).
2. Hilangnya integritas data.
a. Perubahan/pemalsuan data.
b. Tidak adanya jejak audit dalam bentuk kertas.
c. Hilangnya tanda tangan fisik.
d. Adanya kesalahan pada sistem.
e. Gangguan oleh karyawan yang memiliki otorisasi.
3. Kurang lengkapnya transaksi.
a. Transaksi selama transmisi.
b. Duplikasi transaksi akibat transmisi ulang.
4. Tidak berjalannya sistem EDI.
a. Penyebab logis, seperti virus, kuda Troja, kesalahan
program, kesalahan perangkat keras dan lunak.
b. Penyebab alami, seperti kebakaran, banjir, gempa,
kerusakan listrik, dan lain-lain.
c. Sabotase oleh orang yang memiliki otorisasi.
5. Ketidakmampuan untuk mengirimkan transaksi.
6. Kurangnya pedoman hukum.
Kontrol Internal
Kontrol akses.
Password; mekanisme dial-back; ID pengguna; kunci penyimpan;
tingkat akses yang berbeda.
Meningkatkan proteksi kabel; mengirimkan pesan melalui media
yang aman; serat optik; enkripsi; lapisan lintasan; amplop elektronik
rahasia.
Meteran sinyal; pelindung kebocoran; perisai elektromagnetik;
saluran penahan akses.
Pengecekan keotentikan data.
Protokol pemberitahuan.
Log terkomputerisasi.
Tanda tangan digital; mekanisme pengesahan.
Pengecekan edit.
Pemisahan tugas; tingkat akses yang berbeda.
Pemberitahuan.
Total kelompok; Penomoran berurutan.
Pengecekan satu demi satu dibandingkan dengan fail pengendali.
Sistem yang menoleransi kegagalan.
Paket anti virus; perangkat keras dan perangkat lunak yang bebas
kesalahan.
Pengamanan di luar kantor; RAID; disk mirroring.
Pelatihan; pengumuman prosedur dan kebijakan kontrol.
Format data terstruktur/terstandarisasi; ketaatan pada protokol
ANSI/EDIFACT.
Perjanjian definisi-definisi hukum, tanggung jawab, dan kewajiban.
56
 Risiko-risiko Fraud

Risiko-risiko Fraud (kecurangan, penyelewengan) Manajemen

Artikel terbaru mengenai risiko yang terkait dengan fraud manajemen
membahas model risiko fraud yang dapat digunakan oleh auditor internal.
Para penulisnya menganjurkan penggunaan prosedur analitis:
– Membuat ekspektasi kuantitatif untuk saldo akun.
– Membuat risiko investigatif dan saldo materialitas kuantitatif.
– Membandingkan saldo akun aktual dengan ekspektasi auditor.

57
 Risiko-risiko Fraud
Para penulis tersebut kemudian menyarankan sebuah struktur tiga
elemen yang akan digunakan dalam proses evaluasi risiko. Ketiga
elemen tersebut adalah:
– Kondisi yang memungkinkan terjadinya fraud manajemen.
– Motivasi yang dapat melandasi terlaksananya fraud.
– Tingkah laku manajemen yang dapat mengarahkan
manajemen untuk melakukan tindak fraud.

58
 Risiko-risiko Fraud

Untuk setiap area di atas terdapat risiko-risiko internal dan eksternal.

Misalnya:
Kondisi:
– Kontrol internal yang tidak ada atau lemah
– Komite audit yang tidak ada atau lemah
– Pertumbuhan yang cepat
– Produk-produk utama yang hanya sedikit
– Pengambilan keputusan yang tersentralisasi
– Manajemen yang tidak berpengalaman

59
 Risiko-risiko Fraud
Motivasi:
– Untuk meningkatkan investasi eksternal
– Untuk menunjukkan laba yang meningkat
– Untuk menghilangkan persepsi pasar yang negatif
– Untuk mendapatkan pendanaan
– Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
– Untuk memenuhi tujuan dan sasaran
– Untuk mendapatkan bonus

Tingkah laku:
– Ketidakjujuran
– Kurangnya perhatian terhadap aturan dan regulasi
– Kurangnya komitmen terhadap etika

60
 Risiko-risiko Fraud

Auditor seharusnya membuat suatu model yang terdiri dari semua

indikasi potensial di atas yakni situasi fraud pada satu sumbu (artikel
rujukan tersebut memperluas daftar ini secara material), salah satu
daftar hal-hal yang sering disebut ”pertanda” pada sumbu yang lain,
dan dalam setiap sel hasil untuk mencapai indikasi area-area potensial
yang sedang diperiksa.

61
 Membuat Rencana Assessment Risiko
Pembahasan assessment risiko oleh COSO menyatakan bahwa tujuan
organisasi, sistem kontrol, dan assessment risiko tidak dapat dipisahkan
satu sama lain. Tidak mungkin untuk menentukan risiko jika seseorang
tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi, langkah logis
selanjutnya hanyalah membuat sarana untuk mengendalikan risiko
tersebut.
Fondasi assessment risiko tercakup dalam definisi kontrol internal. Studi
COSO adalah sumber definisi kontrol internal yang ada saat ini dan diakui
secara luas.
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan
direksi entitas, manajemen, dan karyawan lainnya, yang dirancang untuk
memberikan keyakinan yang wajar mengenai pencapaian tujuan pada
kategori-kategori berikut ini:
– Efektivitas dan efisiensi operasi.
– Keandalan pelaporan keuangan.
– Ketaatan terhadap hukum dan regulasi yang berlaku.

62
 Membuat Rencana Assessment Risiko
Dalam pembahasannya mengenai assessment risiko, studi COSO
menyatakan:
Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat
ditetapkan:
– Tujuan Operasional—Hal ini berkaitan dengan efektivitas dan
efisiensi operasi entitas, termasuk kinerja dan tujuan profitabilitas
dan pengamanan sumber daya terhadap kerugian. Tujuan-tujuan
tersebut bervariasi berdasarkan pilihan manajemen mengenai
struktur dan kinerja.
– Tujuan Pelaporan Keuangan—Hal ini berkaitan dengan penyajian
laporan keuangan yang andal, termasuk pencegahan pelaporan
keuangan publik yang mengandung fraud. Tujuan-tujuan tersebut
terutama diarahkan oleh persyaratan-persyaratan eksternal.
– Tujuan-tujuan Ketaatan—Tujuan-tujuan ini berkaitan dengan
ketaatan terhadap hukum dan peraturan yang berlaku bagi entitas.
Tujuan-tujuan tersebut tergantung pada faktor-faktor eksternal,
seperti peraturan lingkungan, dan cenderung serupa untuk semua
entitas dalam beberapa kasus dan dalam beberapa industri.
63
Membuat Rencana Assessment Risiko
Definisi dari tujuan-tujuan ini memberikan titik awal untuk assessment
risiko. Tujuan-tujuan umum tersebut dapat dirinci ke dalam tujuan-tujuan
khusus dengan risiko-risiko yang dapat diidentifikasi. Jika risiko-risiko
telah diidentifikasi, berbagai pilihan kontrol dapat diterapkan untuk
risiko-risiko tersebut dalam rangka menentukan prosedur kontrol optimal
yang akan diterapkan.
Misalnya, anggaplah bahwa si auditor sedang memeriksa operasi
pemrosesan penerimaan kas. Cek-cek bernilai kecil hingga ribuan dolar
diterima sebagai pembayaran piutang usaha. Pembayaran tersebut
diterima di kotak pos kantor umum dan dipisahkan dari surat-surat yang
lain kemudian diberikan ke unit pemrosesan kas. Unit-unit ini membuka
surat tersebut dan memeriksa apakah jumlah yang tertera di cek sesuai
dengan lampiran nota penerimaan. Unit yang lain menyiapkan slip
setoran di penghujung hari dan menyetorkannya ke bank. Setoran
tersebut sengaja dibuat menjadi investasi overnight atau “menyapu”
rekening yang menghasilkan bunga. Penggunaan sistem “kotak
terkunci” memungkinkan bank melaksanakan fungsi ini.

64
 Membuat Rencana Assessment Risiko
Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan, dan
ketaatan untuk operasi tersebut:
 Untuk menerima semua pembayaran secara tepat waktu (operasional).
 Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi
piutang usaha (keuangan).
 Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di
cek memang telah disetujui (operasional).
 Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional).
 Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan
bunga maksimum (operasional).
 Untuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan).
 Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan
penanganan cek untuk menghindari tidak adanya pihak yang bertanggung jawab
ketika terjadi kehilangan atau fraud (operasional dan ketaatan).
 Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai
prosedur (operasional dan keuangan).
 Untuk memberikan pengukuran kinerja bagi unit dan karyawan didalamnya untuk
memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk
memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima
(operasional dan ketaatan).
65
 Membuat Rencana Assessment Risiko
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan
sebagai contoh, auditor menyiapkan daftar risiko sbb:
Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.
Risiko-risiko
– Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor
pos ke ruang penerimaan surat.
– Amplop-amplop berisi pembayaran sangat rawan ketika diidentifikasi dan
disortir di ruangan penyortiran sebelum diberikan ke unit pemrosesan.
– Cek-cek memiliki risiko pada saat berada di area pemrosesan sampai
setoran bank disiapkan.
– Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama
pemrosesan.
– Uang yang akan disetor bisa jadi hilang atau dicuri selama perjalanan dari
area pemrosesan ke bank.
– Seorang karyawan bisa dirampok selama perjalanan ke bank pada saat
menyetorkan.

66
 Membuat Rencana Assessment Risiko
Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar
mendapatkan bunga maksimum.
Risko-risiko
 Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.
 Pembayaran mungkin tidak dipisahkan di ruang penyortiran dan
diberikan ke unit pemrosesan secara tepat waktu.
 Pembayaran harus diproses sebelum setoran disiapkan, atau
setoran tidak disetorkan ke bank sebelum batas waktu jam 2
siang.
 Hal-hal pengecualian bisa jadi membuat penyetoran ditunda
hingga ke hari (-hari) berikutnya.
 Kegagalan peralatan dapat memperlambat pemrosesan.

67
Membuat Rencana Assessment Risiko
Si auditor membuat daftar risiko dengan mengamati aktivitas dan
menggunakan pendekatan analitis, keahlian, dan imajinasi. Auditor
menentukan apa yang bisa menjadi hambatan dalam pencapaian
tujuan. Begitu risiko telah diidentifikasi, auditor dapat menilai kontrol
yang diterapkan dan menentukan apakah kontrol-kontrol tersebut layak
dan memadai sehubungan dengan risiko yang ada. Jika terdapat risiko-
risiko yang tidak tercakup secara layak, auditor akan membuat
rekomendasi atas kelemahan yang ditemukan. Auditor akan mencari
struktur kontrol yang optimal.
Optimal artinya adalah struktur kontrol terbaik dalam suatu kondisi dan
memiliki pertimbangan manfaat dan biaya. Sisa bagian ini membahas
sarana-sarana yang tersedia bagi auditor untuk mengidentifikasi dan
mengevaluasi aktivitas tujuan, risiko, dan kontrol.

68
 Manajemen Risiko

Artikel terbaru tentang risiko telah menyarankan auditor internal untuk

membantu manajemen dengan tidak hanya mengidentifikasi area-area
risiko tetapi juga membantu manajemen dalam mengendalikan risiko
tersebut secara positif. Si penulis menyatakan bahwa risiko biasanya
dipandang negatif, padahal risiko merupakan esensi usaha dan fungsi
jenis usaha. Fungsi-fungsi ini biasanya menggunakan kontrol untuk
menetralkan risko yag berlebihan dan mencoba seperangkat
parameter empat risiko ditempatkan pada tingkat yang aspek positif
melebihi aspek negatifnya. Contoh sederhana adalah penetapan batas
kredit atas penjualan: untuk menetapkan batasan yang ketat dan
menghilangkan risiko akan menghilangkan penjualan marginal yang
potensial didapat dalam kondisi usaha yang normal.

69
 Manajemen Risiko

Auditor membantu manajemen untuk mengambil risiko-risiko yang

menguntungkan dan berhati-hati dengan cara-cara yang layak dan
efisien. Auditor mengevaluasi langkah-langkah yang ditempuh
manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi,
audit menjadi suatu alat evaluasi kontrol yang positif yang membantu
untuk mengidentifikasi risiko-risiko yang harus diambil dan kontrol
terkait untuk meningkatkan operasi dari posisi pendapatan dan laba.

70
 Manajemen Risiko
Akan tetapi, sebagai tambahan untuk assessment risiko dan bantuan
kepada manajemen dalam mengubah risiko menjadi elemen dari
pendapatan institusional, auditor harus memperluas bidang audit agar
bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko.
Jadi:
Kontrol Risiko:
– Mendukung suatu program kontrol risiko dan kerugian secara
proaktif.
– Memberikan insentif maksimum untuk peran serta dalam program
kontrol risiko.
– Memonitor efektivitas aktivitas kontrol risiko.

71
 Manajemen Risiko
Pendanaan Risiko:
 Pertimbangkan semua sumber keuangan yang tersedia.
 Miliki proteksi terhadap kerusakan yang mungkin timbul.
 Alokasikan biaya pendanaan risiko diantara unit-unit operasi
secara wajar.
Administrasi:
 Buat dan pertahankan komitmen manajemen terhadap manajemen
risiko.
 Terapkan struktur manajemen risiko yang terdefinisi dengan baik.
 Kembangkan tujuan tahunan yang ditargetkan dengan jelas.
 Jaga komunikasi yang baik dengan semua tingkat manajemen
yang terpengaruh.

72
 Manajemen Risiko

Jadi, auditor internal dalam proses evaluasi risiko juga

memperhatikan aspek positif dari manajemen risiko dan
menyebabkan fungsi audit internal mengambil langkah positif
untuk menyumbang bagi kebaikan manajemen.

73
 Tujuan-tujuan Proses Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko, auditor internal harus

memformulasikan suatu opini mengenai tingkat kesesuaian antara proses
dengan pencapaian lima tujuan kunci yang tercantum pada Practice
Advisory 2110-1, “Assessment Kecukupan Proses Manajemen Risiko.”
Tujuan-tujuan ini adalah:
 Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi
dan diprioritaskan.
 Manajemen dan dewan direksi telah menentukan tingkat risiko
yang dapat diterima oleh organisasi, termasuk penerimaan risiko
yang dirancang untuk mencapai rencana strategis organisasi.

74
 Tujuan-tujuan Proses Manajemen Risiko

• Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk

mengurangi, atau justru mengelola risiko pada tingkat yang ditentukan
dapat diterima oleh manajemen dan dewan direksi.
• Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk
secara periodik menilai ulang risiko dan efektivitas kontrol untuk
mengelola risiko.
• Dewan direksi dan manajemen menerima laporan periodik mengenai
hasil proses manajemen risko. Proses tata kelola organisasi harus
memberikan komunikasi periodik tentang risiko, strategi risiko, dan
kontrol untuk pihak-pihak yang berkepentingan.

75
 Metode-metode Analitis

Identifikasi dan penggunaan risiko untuk mengembangkan sebuah

struktur kontrol yang optimal menerapkan suatu metode analitis atau
kombinasi dari beberapa metode. Metode-metode ini adalah:
– Pembuatan bagan alir
– Kuesioner kontrol internal
– Analisis matriks
– Metodologi ilustratif COSO
– Metode Courtney

76
 Pembuatan Bagan Alir

Pembuatan bagan alir adalah sebuah metode analisis efisiensi dan

kontrol operasi. Bagan alir adalah penyajian grafik dua dimensi dari
sebuah operasi dalam hal aliran aktivitas melalui proses. Bagan
tersebut memungkinkan untuk “melihat” operasi, mengidentifikasi
ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-
kelemahan kontrol. Bagan alir merupakan sarana komunikasi yang
bagus antara auditor dan karyawan operasional; bagaikan sebuah
peta jalan yang merupakan alat komunikasi yang lebih baik
dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di
jalan. Bagan alir juga menawarkan peluang untuk menyajikan secara
komparatif suatu gambar mengenai pendekatan alternatif untuk suatu
proses.

77
 Pembuatan Bagan Alir

• Pembuatan bagan alir merupakan sebuah metode yang tidak benar-

benar digunakan di masa lalu karena sangat menghabiskan waktu. Di
masa lalu, bagan alir ditulis tangan di atas kertas menggunakan pola
plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis
tangan yang final sering kali merupakan produk akhir dari proses
sebelumnya yang banyak mengandung kesalahan dan banyak dihapus.
Bagan alir yang ditulis tangan tidak memudahkan modifikasi. Meskipun
merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya
digunakan karena tidak efisien.
• Penemuan komputer menimbulkan efisiensi dan efektivitas dalam
pembuatan bagan alir. Bagan alir dapat dengan mudah digambar,
diubah, dan diperbarui tanpa memakan banyak tenaga. Sebuah bagan
alir yang dibuat menggunakan komputer untuk operasi pemrosesan
pembayaran tampak seperti ini: 78
 Kuesioner Kontrol Internal
Pada bagian yang membahas Survei Pendahuluan, Kuesioner dibahas
sebagai sebuah sarana untuk mendapatkan informasi tentang fungsi
yang akan disurvei dan segera diaudit. Terdapat kuesioner jenis lain
yang biasa digunakan oleh auditor. Kuesioner tersebut dikenal sebagai
kuesioner kontrol internal (internal control questionnaire—ICQ).
Kuesioner ini berbeda dari kuesioner dengan pertanyaan terbuka yang
digunakan dalam survei pendahuluan.
Kuesioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan
yang membutuhkan tanggapan naratif dari responden. Kuesioner seperti
ini mencari informasi untuk memperluas pemahaman auditor. ICQ
dimulai dari jawaban yang diketahui atau diinginkan dan membutuhkan
jawaban “ya” atau “tidak” disertai komentar. ICQ membutuhkan jawaban
yang langsung dan tepat mengenai ketaatan dengan prosedur-prosedur
yang diharapkan.

79
 Kuesioner Kontrol Internal

ICQ digunakan untuk evaluasi berkelanjutan kontrol yang ada dan

dapat digunakan dalam analisis risiko. ICQ juga biasanya
dikembangkan setelah sebuah aktivitas atau proses telah dianalisis
dan kontrol yang sesuai telah diterapkan. ICQ merupakan uji ketaatan
yang dimaksudkan untuk memastikan bahwa kontrol masih diterapkan
dan bahwa risiko dapat dievaluasi. Sebuah ICQ juga dapat digunakan
sebagai sebuah pengingat bagi auditor mengenai kontrol yang
seharusnya diterapkan dan diuji selama audit.

80
 Kuesioner Kontrol Internal
Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini:

Pertanyaan Jawaban Komentar Metode Dikerjakan Oleh

Apakah cek-cek Ya Ini merupakan Tanya jawab JEL
dibandingkan bagian untuk Observasi
dengan nota meyakinkan Pengujian
pembayaran Tidak jumlah yang
diterima akan
dikreditkan ke
akun pelanggan
Apakah setoran Ya Jika keduanya Tanya jawab MRE
bank sesuai tidak sesuai, Observasi
dengan data setoran Pengujian
pembayaran diverifikasi dan
sebelum dikirim ke bank
diserahkan ke Tidak untuk dikredit
bank? secepat mungkin

81
 Kuesioner Kontrol Internal
Pertanyaan dijawab “Ya” atau “Tidak” (digarisbawahi) dan setiap
perubahan “Komentar” dicatat oleh auditor. Metode menentukan
jawaban dicatat. Suatu tanya jawab, yakni bertanya kepada klien,
bukanlah suatu sumber yang bisa diandalkan seperti observasi.
Memeriksa bahan bukti dokumen yang diperoleh selama pengujian lebih
diharapkan daripada sekadar observasi. Pengujian catatan dan
transaksi memberi peluang untuk memeriksa kejadian dan
mengevaluasi risiko selama jangka waktu tertentu dibandingkan dengan
periode pengamatan yang pendek. Hal ini diperlukan untuk
mengevaluasi fungsi kontrol kunci.
Kolom “Dikerjakan Oleh” harus berisi nama atau inisial orang yang
melakukan aktivitas tersebut. Dengan melihat sekilas kolom ini, auditor
senior dapat menentukan apakah terdapat penugasan yang tidak sesuai
dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian ini
terhadap risiko.
82
 Kuesioner Kontrol Internal
Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat
menekankan bahwa kuesioner tersebut digunakan sebagai sebuah
daftar pemeriksaan untuk membantu evaluasi selanjutnya setelah
sebuah Assessment risiko awal dibuat. Kondisi berubah, teknologi
baru muncul, hukum dan regulasi baru diterbitkan, dan banyaknya
peristiwa membutuhkan assessment risiko yang berkelanjutan. Apa
yang dulu dilakukan dan masih dilakukan bisa jadi bukanlah prosedur
terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk
menentukan bahwa pertanyaan dan konteks jawabannya tetap
relevan. Auditor harus memastikan bahwa ICQ mengikuti dan
merespon perubahan dalam organisasi, metode operasi, dan tujuan
organisasi. Perubahan dalam setiap hal ini membutuhkan perubahan
dalam ICQ.

83
 Analisis Matriks

Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit.

Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP,
hal tersebut bisa digunakan untuk analisis kontrol di aktivitas manapun.
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol
dengan risiko guna memastikan bahwa setiap risiko memiliki kontrol
yang layak. Matriks kontrol juga mengakui bahwa kontrol tertentu bisa
memberikan perlindungan untuk lebih dari satu risiko. Sebagai contoh,
kunci melindungi aset dari kemungkinan hilang dengan membatasi
akses. Hal ini juga memberikan akuntabilitas untuk menangani aset
karena orang yang memegang kunci akan bertanggung jawab jika aset
yang sudah diamankan tersebut hilang. Sebuah anggaran menetapkan
tujuan dan sasaran yang akan dicapai dan menjadi alat ukur kinerja.
Anggaran juga menetapkan otoritas manajer untuk bertindak dalam
kendala keuangan berupa anggaran.
84
 Analisis Matriks

Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko

tertentu (Risiko 1); tingkat keyakinan diacu sebagai primer (P) karena
merupakan kontrol utama menghadapi risiko.
Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan
dalam pengamanan menghadapi risiko lain (Risiko 2), tetapi tingkat
keyakinannya lebih kecil dari kontrol yang semula dirancang untuk itu.
Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko 2 memiliki
kontrol primernya sendiri (Kontrol B) tetapi Kontrol A merupakan
pengaman cadangan menghadapi Risiko 2 ketika menghadapi Risiko 1.
Sebuah kontrol dapat memberikan tingkat keyakinan ketiga atas kontrol
yang lain (Risiko 3). Tingkat keyakinan ini disebut sebagai berguna (B).
Tingkat keyakinan tersebut tidak memadai untuk mengandalkan kontrol
menghadapi Risiko 3 tetapi kontrol ini bisa memunculkan pertanda atas
adanya Risiko 3 yang harus diinvestigasi.
85
 Analisis Matriks

Matriks risiko dan kontrol tampak seperti ini:

Kontrol A Kontrol B Kontrol C
Risiko 1 P B
Risiko 2 S P B
Risiko 3 P

86
 Analisis Matriks
Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini. Dalam
sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yang berkaitan dengan
akses ke fail data. Perhatikan risiko-risiko berikut ini dan kontrol primernya.

Risiko Kontrol Primer

1. Individu yang tidak memiliki otorisasi di
dalam organisasi bisa mengakses catatan
komputer.
2. Individu yang tidak memiliki otorisasi di luar
organisasi bisa mengakses catatan
komputer.
3. Individu yang tidak memiliki otorisasi bisa
mencoba mendapatkan akses ke catatan
komputer, dan bisa berhasil di masa depan
meskipun belum masuk.
A. ID pengguna dan kata sandi dibutuhkan
untuk mengakses sistem komputer.
B. Alat modem dihubungkan hanya jika
pengguna eksternal yang dikenal meminta
akses dan tidak disambungkan di akhir
sesi.
C. Laporan usaha yang gagal dihasilkan dari
sistem pengaman, dan laporan tersebut
diperiksa setiap hari oleh pegawai
pengamanan data.

87
 Analisis Matriks
Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol?
ID pengguna dan kata rahasia (A) adalah kontrol primer untuk
menghadapi orang dalam yang tidak diotorisasi yang mencoba
mengakses catatan komputer organisasi.
Memutuskan sambungan modem ketika tidak digunakan (B) merupakan
perlindungan primer menghadapi penyusup luar. Mereka tidak bisa
mengakses selama sirkuit terhubung ke pengguna resmi. Jika modem
tidak disambungkan ketika sesi resmi diselesaikan, tidak ada jalan bagi
hacker untuk mengakses. Jika modem masih terkoneksi dan sirkuit
masih terbuka, tingkat kontrol selanjutnya ID pengguna dan kata sandi
akan tersedia sebagai penghalang terhadap hacker (sekunder). Kontrol
tersebut dapat diandalkan untuk menghadapi hacker meskipun dibuat
untuk menghadapi orang dalam yang tidak memiliki otorisasi. (Primer)
Jika modem terkoneksi dan hacker mencoba selama beberapa hari,
laporan pengamanan harian (C) akan memberi tanda kepada pegawai
pengamanan data. (Berguna)
88
 Analisis Matriks
Penelaahan atas laporan pengamanan harian berguna untuk
menghadapi orang dalam yang tidak memiliki otorisasi karena akan
melaporkan seseorang yang mencoba mengakses dengan ID pengguna
dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini,
pegawai pengamanan data dapat memulai langkah-langkah untuk
menemukan orang yang mencoba masuk. Kenapa ini hanya merupakan
kontrol yang berguna? Laporan itu tidak bernilai dalam mencegah akses
ke komputer. Apalagi, laporan tersebut menampilkan upaya yang gagal
ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang
bukan merupakam kesalahan yang berbahaya. Oleh karena itu, laporan
tersebut tidak bisa diandalkan dalam mendeteksi segera atau hanya
upaya akses dengan niat jahat.
Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol
primer yang berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya
untuk menerapkan beberapa kontrol atas risiko yang sama karena takut
salah satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat digunakan
untuk lebih dari satu tujuan dan memberikan kontrol yang dibutuhkan,
sistem tersebut sudah lebih kuat tanpa perlu tambahan biaya.
89
 Kontrol Preventif dan Detektif
• Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol
preventif atau detektif. Kontrol preventif mencegah terjadinya
kejadian yang tidak diinginkan. Kontrol detektif mendeteksinya
sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di
atas, dua kontrol memutuskan kata sandi dan modem adalah kontrol
preventif. “Orang-orang jahat” tidak bisa mendapat akses karena
kontrol ini diterapkan.
• Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut
mengungkapkan upaya orang-orang tidak bertanggung jawab untuk
masuk ke sistem. Jika pengguna yang tidak memiliki otorisasi bisa
mengakses pada hari pertama, laporan di pagi hari akan memberikan
informasi yang bisa digunakan untuk mengejar si hacker, tapi hanya
setelah kejadian.

90
 Kontrol Preventif dan Detektif

Kontrol detektif memiliki sifat “aktivitas setelah fakta” dan membutuhkan empat
unit tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi, atau
menemukan masalah atau risiko yang ada. Tindakan kedua adalah identifikasi
dan analisis kejadian atau kondisi yang tidak diinginkan untuk menentukan
bagaimana terjadinya dan apa yang harus dilakukan. Tindakan ketiga adalah
koreksi. Tindakan terakhir adalah pengecekan terhadap tindakan korektif untuk
melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau
dinetralkan.

91
 Kontrol Preventif dan Detektif

Ada dua aspek lain dari kontrol detektif yang membuatnya kurang efektif
dibandingkan kontrol preventif. Kontrol detektif, karena sifatnya, lebih mudah
diabaikan. Penelaahan dan analisis dapat ditangguhkan jika tekanan lain
meningkat, dan dapat diabaikan jika orang yang ditugaskan merasa pekerjaan
tersebut tidak menyenangkan. Kedua, kontrol detektif kelihatannya hanya
menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan. Akan
tetapi, kita tidak bisa mengetahui tidak adanya hal-hal yang tidak diinginkan
atau tidak adanya risiko sampai pemeriksaan diselesaikan. Untuk itulah
terdapat keadaan-keadaan yang kontrol detektif merupakan satu-satunya
pilihan. Bukan kontrol preventif yang bisa mengamankan setiap risiko yang
mungkin muncul. Sebagai contoh, buku cek dapat ditempatkan dalam tempat
terkunci sebuah kontrol preventif. Hal ini tidak menghilangkan kebutuhan untuk
memeriksa cek untuk mendeteksi adanya perubahan yang dilakukan dan
pemalsuan sebuah kontrol detektif.

92
 Kontrol Preventif dan Detektif
Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol preventif lebih efisien
dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan. Sehingga matriks ditingkatkan jika sifat
kontrol ditambahkan ke dalam analisis. Contoh sebelumnya digunakan dengan sifat kontrol ditampilkan
dalam tanda kurung.

Kontrol A Kontrol B Kontrol C

Risiko 1 P(p) B(d)
Risiko 2 S(p) P(p) B(d)
Risiko 3 P(d)

Dalam beberapa penggunaan dari pendekatan ini, tanda (p) atau (d) ditempatkan pada awal kolom
dengan identifikasi kontrol. Hal ini cenderung menghilangkannya dari daerah pertimbangan jika analisis
dilakukan. Memposisikan sifat dengan tingkat keyakinan meningkatkan efisiensi dan efektivitas analisis,
khususnya jika matriksnya besar dengan banyak kolom dan baris.

93
 Metodologi Ilustratif COSO
Studi COSO mencakup satu volume berjudul Perangkat Evaluasi. Dalam
Pendahuluan volume ini terdapat pernyataan ini:
Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi.
Perangkat tersebut bukan merupakan bagain yang integral dari
Kerangka Kerja, dan penyajiannya di sini tidaklah untuk
menyarankan semua hal yang perlu dipertimbangkan dalam
mengevaluasi suatu sistem kontrol internal, atau bahwa semua
masalah harus disajikan dalam rangka untuk menyimpulkan bahwa
suatu sistem adalah efektif. Demikian pula, tidak terdapat saran
bahwa perangkat-perangkat tersebut merupakan metode yang lebih
disukai untuk dilakukan dan mendokumentasikan sebuah evaluasi.
(Semua penekanan berasal dari studi COSO.)

94
 Metodologi Ilustratif COSO

Pengutipan pernyataan ini tidak dimaksudkan untuk menghilangkan

nilai dari Perangkat Evaluasi. Justru, ketika nilai dan kegunaannya
dibahas di sini, terdapat kecenderungan untuk memandang sebuah
ilustrasi yang termasuk dalam karya seminal seperti sudi COSO
sebagai satu-satunya kata yang ”benar” dalam setiap aspek. Tetapi,
teknik-teknik ini bagus dalam mengatakan bahwa auditor internal dan
yang lain mengenai bagaimana sistem kontrol dapat dianalisis dan
risiko dinilai.
Perangkat Evaluasi berisi dua jenis umum perangkat. Perangkat
pertama adalah Perangkat Komponen; yang kedua adalah Lembar
Kerja Assessment Risiko dan Aktivitas Kontrol

95
 Metodologi Ilustratif COSO

Perangkat Komponen merujuk pada analisis komponen-komponen

sistem kontrol. Untuk mengingatkan, dari studi COSO, definisi kontrol
adalah:
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan
direksi perusahaan, manajemen, dan karyawan lainnya, untuk
memberikan keyakinan yang wajar mengenai pencapaian tujuan dalam
kategori-kategori berikut ini:
– Efektivitas dan efisiensi operasi.
– Keandalan pelaporan keuangan.
– Ketaatan dengan hukum dan aturan yang berlaku.

96
 Metodologi Ilustratif COSO
Selanjutnya studi tersebut menyatakan:
Kontrol internal terdiri dari lima komponen yang saling berkaitan.
Komponen-komponen ini diderivasi dari cara manajemen menjalankan
bisnis, dan diintegrasikan dengan proses manajemen. Komponen-
komponen tersebut adalah:
 Lingkungan Kontrol Inti suatu bisnis adalah orang-orangnya
karakteristiknya masing-masing, termasuk integritas, nilai-nilai
etika, dan kompetensi dan lingkungan tempat mereka bekerja. Hal-
hal tersebut merupakan mesin penggerak perusahaan dan
merupakan fondasi segala sesuatunya ditempatkan.

97
 Metodologi Ilustratif COSO
 Assessment risiko Perusahaan harus mewaspadai dan mengelola
risiko yang dihadapinya. Perusahaan harus menetapkan tujuan,
terintegrasi dengan penjualan, produksi, pemasaran, keuangan, dan
aktivitas-aktivitas lainnya sehingga organisasi beroperasi secara
harmonis. Perusahaan juga harus menetapkan mekanisme untuk
mengidentifikasi, menganalisis, dan mengelola risiko-risiko terkait.
 Aktivitas-aktivitas kontrol Kebijakan dan prosedur kontrol harus
ditetapkan dan dilaksanakan untuk membantu memastikan bahwa
tindakan-tindakan yang diidentifkasi oleh manajemen diperlukan untuk
menghadapi risiko terhadap pencapaian tujuan entitas secara efektif
dilakukan.
 Informasi dan Komunikasi Di sekitar aktivitas-aktivitas ini terdapat
sistem informasi dan komunikasi. Hal ini memungkinkan karyawan
perusahaan mendapatkan dan menukar informasi yang diperlukan
untuk melaksanakan, mengelola, dan mengendalikan operasinya.
 Pengawasan Keseluruhan proses harus dimonitor, dan dibuat
perubahan bila diperlukan. Dengan cara ini, sistem dapat bereaksi
secara dinamis, berubah seiring dengan perubahan kondisi.
98
 Metodologi Ilustratif COSO
Perangkat Komponen dirancang untuk mengevaluasi setiap
komponen di atas dalam struktur entitas. Setiap komponen dapat
dibagi lagi ke dalam hal-hal substantif yang disebut “masalah-masalah
yang menjadi fokus.” Masalah-masalah ini kemudian dirinci ke dalam
contoh-contoh aplikasi khusus yang dapat diperiksa dan ditanggapi.
Sebuah contoh dari pendekatan ini tercakup dalam sebuah bagian
dari lembar kerja yakni pada lingkungan kontrol di bawah judul
Komitmen pada Kompetensi.
Tahap pertama dari lembar kerja Perangkat Komponen lingkungan
kontrol berisi masalah-masalah substantif (komitmen terhadap
kompetensi dan fokus perhatian adalah sarana-sarana yang
digunakan untuk mengukur pencapaian masalah-masalah substantif).
Lembar kerja tersebut tampak sebagai beikut:

99
 Metodologi Ilustratif COSO
Tampilan
Komitmen pada Kompetensi
Manajemen harus menspesifikasikan tingkat kompetensi yang diperlukan untuk
pekerjaan tertentu dan menerjemahkan tingkat kompetensi yang diinginkan tersebut ke
dalam pengetahuan dan keahlian yang dibutuhkan.
 Deskripsi pekerjaan formal atau informal atau sarana lain untuk mendefinisikan
tugas yang melibatkan beberapa pekerjaan. Sebagai contoh, pertimbangkan
apakah:
o Manajemen telah menganalisis, secara formal maupun informal, tugas-tugas yang
terdiri dari pekerjaan-pekerjaan tertentu, dengan mempertimbangkan faktor-faktor
tersebut yang masing-masing individu harus memiliki pertimbangan dan cakupan
pengawasan yang dibutuhkan.
 Analisis pengetahuan dan keahlian yang diperlukan untuk melaksanakna
pekerjaan dengan layak. Sebagai contoh, pertimbangkan apakah:
o Manajemen telah menentukan pengetahuan dan keahlian yang dibutuhkan untuk
melaksanakan pekerjaan-pekerjaan tertentu.
o Terdapat bukti yang mengindikasikan bahwa karyawan memiliki pengetahuan dan
keahlian yang dibutuhkan.

100
Setelah auditor menyelesaikan evaluasi dari setiap fokus perhatian, kemudian dimasukkan
temuan-temuan. Temuan-temuan dimasukkan pada setiap fokus perhatian dan sebuah ringkasan
kesimpulan dan rekomendasi pada keseluruhan masalah substansi. Contoh lengkap tentang
Komitmen pada Kompetensi adalah sebagai berikut:

Tampilan
Komitmen pada Kompetensi Temuan-temuan
Manajemen harus menspesifikasikan
tingkat kompetensi yang dibutuhkan untuk
pekerjaan-pekerjaan tertentu, dan
menerjemahkan tingakt kompetensi yang
dibutuhkan ke dalam pengetahuan dan
keahlian yang diperlukan.
 Deskripsi pekerjaan formal atau Perusahaan memiliki deskripsi pekerjaan
informal atau sarana lain untuk formal yang tertulis untuk semua karyawan
mendefinisikan tugas yang supervisor,dan, untuk pekerjaan yang
melibatkan beberapa pekerjaan. hanya melibatkan sedikit tugas, tanggung
Sebagai contoh, pertimbangkan jawab pekerjaan dikomunikasikan dengan
apakah: jelas.
 Manajemen telah menganalisis,
secara formal maupun informal,
tugas-tugas yang terdiri dari
pekerjaan-pekerjaan tertentu,
dengan mempertimbangkan faktor-
faktor tersebut yang masing-
masing individu harus memiliki
pertimbangan dan cakupan
pengawasan yang dibutuhkan.
 Analisis pengetahuan dan keahlian Deskripsi pekerjan menspesifikasikan
yang diperlukan untuk pengetahuan dan keahlian yang
melaksanakan pekerjaan dengan diperlukan, baik secara umum atau dalam
layak. Sebagai contoh, pertimbangkan hal sifat dan luas pendidikan, pelatihan,
apakah: dan kebijakan promosi.
 Manajemen telah menentukan
pengetahuan dan keahlian yang
dibutuhkan untuk melaksanakan
pekerjaan-pekerjaan tertentu.
 Terdapat bukti yang mengindikasikan
bahwa karyawan memiliki
pengetahuan dan keahlian yang
dibutuhkan.
Kesimpulan/Tindakan yang Diperlukan
Adanya deskripsi pekerjaan tertulis dan tugas serta parameter yang terdefinisikan
dengan baik (seperti pendidikan, pelatihan) jelas menunjukkan komitmen manajemen
pada kompetensi. Manajemen harus mempertimbangkan lebih banyak deskripsi
pekerjaan formal untuk karyawan non-supervisor.
101
 Metodologi Ilustratif COSO
Lembar Kerja Assessment risiko dan aktivitas Kontrol digunakan untuk menilai tujuan-tujuan
khusus, risiko, dan kontrol. Tata letak lembar kerja tersebut menuntun pembuatnya melalui
proses analitis. Hal ini mencakup langkah-langkah berikut ini:

Tampilan
Tujuan Sebuah pernyataan tujuan yang jelas yang cukup spesifik untuk
dianalisis.
O, F, K Kategori-kategori dari tujuan-tujuan umum:
Operasional, Finansial, atau Ketaatan yang berlaku untuk tujuan-
tujuan rinci ini.
Analisis risiko
Faktor-faktor risiko Risiko-risiko khusus yang dapat menghambat pencapaian tujuan-
tujuan rinci.
Kemungkinan Kemungkinan terjadinya risiko dalam skala Rendah, Sedang, dan
Tinggi.
Tindakan/Aktivitas Aktivitas kontrol yang spesifik yang dapat mencegah pendeteksian
Kontrol/Tanggapan risiko jika benar terjadi.
Tujuan-tujuan lain yang Sebuah rujukan silang ke setiap tujuan-tujuan lain yang akan
dipengaruhi dipengaruhi oleh risiko atau aktivitas kontrol ini.
Evaluasi dan Sebuah pertimbangan efektivitas kontrol dalam berhubungan
Kesimpulan dengan risiko yang mengancam pencapaian tujuan.
102
 Metodologi Ilustratif COSO
Penerapan sistem analisis ini paling dapat dipahami dengan sebuah contoh. Berikut ini contoh
yang diambil dari volume Perangkat Evaluasi COSO.

Tampilan
Tujuan Semua bahan baku yang diterima dicatat dengan akurat.
Operasional, Finansial, Ketaatan
Analisis Risiko
Faktor-faktor Risiko Kuantitas aktual yang diterima bisa jadi tidak sama dengan
kuantitas yang tertera pada pesanan pembelian atau dokumen
pengiriman dari pemasok.
Kemungkinan Sedang Tinggi
Tindakan/Aktivitas Barang yang diterima dihitung, ditimbang, atau diperiksa
Kontrol/Tanggapan kuantitasnya.
Penerimaan dihitung dua kali secara acak oleh supervisor
departemen penerimaan.
Kuantitas yang diterima menurut laporan penerimaan
dibandingkan dengan dokumen pengiriman pemasok dan dengan
pesanan pembelian.
Kekurangan bahan baku dicatat pada dokumen penerimaan dan
setiap kelebihan bahan baku ditolak.
Jika terjadi kelebihan bahan baku, dokumen ditandatangani oleh
perusahaan transportasi untuk dikembalikan ke pemasok.
Dokumen diberikan ke bagian utang dagang untuk pemrosesan
dan aktivitas kontrol selanjutnya.
Tujuan-tujuan lain yang Tujuan produksi #10 (dijelaskan pada langkah sebelumnya dalam
Dipengaruhi Studi COSO).
Evaluasi dan Kontrol cukup memadai untuk mencapai tujuan.
Kesimpulan
103
Penerapan pendekatan ini cukup mudah. Setiap langkah mengalir secara logis dari
langkah sebelumnya.
 Tujuan ditentukan; pengidentifikasian risiko menjadi lebih mudah.
 Jika risiko telah diidentifikasi, kemungkinan historis untuk terjadi dapat
ditentukan.
 Jka risiko diketahui, langkah untuk menghadapinya aktivitas-aktivitas kontrol
dapat ditentukan.
 Hubungan antara risiko dan aktivitas kontrol dengan tujuan-tujuan lainnya
ditentukan dengan melihat risiko yang sama atau aktivitas kontrol dalam
tujuan-tujuan yang lain serupa dengan metode matriks.
 Akhirnya, sebuah kesimpulan diformulasi mengenai efektivitas kontrol.
Auditor akan mengakui pentingnya hal ini karena mereka akan
mendapatkan kesimpulan untuk setiap pengujian atas kontrol yang
dilakukan dalam audit.
Bila analisis tujuan, risiko, dan aktivitas kontrol telah dilakukan, program audit
diterapkan bersama-sama untuk menguji aktivitas kontrol. Efektivitas aktivitas
kontrol ditentukan dalam analisis risiko. Audit merupakan pengujian kinerja; yakni,
apakah aktivitas kontrol memang diterapkan seperti yang dirancang. Kesimpulan
audit akan menjadi sebuah ukuran kualitas kinerja.
104
 Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa

organisasi telah mengembangkan sistem evaluasi risiko berdasarkan
jawaban-jawaban atas pertanyaan-pertanyaan yang dapat mereka
simpulkan merupakan risiko penentu yang signifikan. Pertanyaan-
pertanyaan seperti yang disajikan di awal bab ini divalidasi melalui
pengalaman lampau dan melalui pembahasan dengan manajemen dan
pegawai audit internal. Aspek pentingnya adalah penentuan jawaban
spesifik dan bobotnya. Sebagai contoh, organisasi harus
mempertimbangkan berapa volume transaksi yang merupakan indikator
potensial. Hal ini dapat bervariasi menurut ukuran organisasi. Bobot
diberikan ke jawaban-jawaban ini dan sebuah metodologi untuk
menjumlahkan jawaban ditentukan. Tergantung dari pengalaman dan
situasi saat ini, beberapa pertanyaan bisa memiliki bobot lebih tinggi
dibandingkan yang lain. Sebagai contoh, sensitivitas informasi bisa
memiliki bobot lebih tinggi dibandingkan bila digit terakhir dilaksanakan.

105
 Sistem Evaluasi Risiko

Skor risiko untuk situasi tertentu dievaluasi terhadap semua risiko

lainnya dan digunakan untuk membuat rencana audit. Beberapa
organisasi menggunakan model ini untuk menetapkan jam
penugasan. Organisasi yang sedang mengembangkan program
seperti ini yakin bahwa manfaat yang didapat jelas melebihi biayanya
dan memungkinkan pendekatan yang lebih objektif untuk assessment
risiko. Namun, ada organisasi-organisasi yang justru meyakini
sebaliknya dan, bila mereka menggunakan kuesioner, maka
tergantung auditor untuk memutuskan berdasarkan evaluasinya
terhadap jawaban pertanyaan.

106
 Pertimbangan Pengungkapan Risiko
Penulis menganalisis FASB 5 dan AcSEC SOP 94-6 dalam memberikan
deskripsi yang menarik bagi auditor internal.
Risiko organisasional harus dibagi menjadi:
• Risiko operasi,
• Risiko estimasi, dan
• Risiko konsentrasi.
Risiko operasi terkait dengan risko-risiko yang terjadi pada
produksi, penjualan, dan pengadministrasian organisasi. Risiko
tersebut mencakup risiko internal dan eksternal.

Risiko estimasi terkait dengan estimasi yang digunakan dalam

penyiapan laporan dan pernyataan keuangan (dan operasi).

Risiko konsentrasi terkait dengan konsentrasi pelanggan,

pemasok, lini produk, dan pasar.
107
 Pertimbangan Pengungkapan Risiko
Probabilitas suatu kejadian terjadi juga diperhitungkan. Penulis mengutip dari
sumber lain dalam menyarankan penggunaan tiga istilah
Jangkauan
– Kemungkinan kecil 0 – 15%
– Kemungkinan wajar 20 – 50%
– Kemungkinan besar 50 – 90%
Rujukan tersebut, menggunakan SOP 94-6, juga memperkenalkan bebeapa istilah
baru yang berguna untuk khasanah akuntansi dan auditing:
– Kemungkinan terjadi dalam waktu dekat tidak melebihi satu tahun dari
tanggal laporan.
– Berdampak serius. Digunakan untuk merujuk pada kerawanan entitas
terhadap konsentrasi tertentu. Meskipun hal tersebut bisa mengganggu
fungsi normal organisasi, namun masih kurang berbahaya.
Penulis menyarankan bila taksonomi pengungkapan di atas sesuai untuk
manajemen organisasional, akan lebih baik dan berguna untuk menerapkannya
dalam audit internal untuk memastikan pengakuan tingkat dan subjektivitas yang
sebanding.
108
 Kebutuhan akan Beberapa Perangkat
Tidak ada satu perangkat yang sempurna untuk melaksanakan
assessment risiko atau mengukur efektivitas kontrol. Seperti halnya
seorang tukang memiliki banyak perkakas, masing-masing dengan
kegunaannya sendiri-sendiri, maka perangkat auditor juga harus berisi alat
yang berbeda untuk tujuan yang berbeda.
– SAS memberi auditor alat untuk mengevalasi sifat risiko dan kontrol
dalam suatu entitas.
– Pembuatan bagan alir paling bernilai selama survei pendahuluan jika
auditor ingin mendapatkan pemahaman akan proses yang ada.
Memiliki gambaran tentang kontrol dan penerapannya merupakan
hal penting untuk pembuatan assessment risiko.
– Alat evaluasi COSO dapat bernilai untuk menilai risiko dalam
struktur kontrol dan menilai risiko dalam operasi.
– Analisis matriks merupakan alat berharga untuk langkah selanjutnya
dalam assessment. Analisis tersebut membandingkan risiko khusus
dengan kontrol dan mengukur kedalaman cakupan kontrol.
109
Kebutuhan akan Beberapa Perangkat
Keempat perangkat ini memberikan informasi dasar untuk
mengembangkan program audit dalam bentuk kuesioner kontrol
internal dan prosedur pengujian.
Pendekatan seperti Metode Courtney memberi auditor teknik kuantitatif
yang mungkin berguna dalam mengevaluasi risiko. Seorang auditor
yang memiliki persiapan yang baik akan mempunyai bekal peralatan
dan keahlian untuk menggunakan beberapa perangkat tersebut.
Meskipun standar yang baru dikembangkan menyatakan bahwa harus
terdapat evalausi risiko (Standar 2210.A1), hanya terdapat sedikit
pedoman dalam standar tersebut atau dalam Practice Advisory
(2210.A1-1) mengenai metodologi atau prosedur yang harus diikuti.
Pedoman masih tersedia dalam SIAS 9 mengenai Assessment Risiko
dan dalam literatur terkini mengenai assessment risiko.

110
 Penutup

Gregg R. Maynard meringkas pendekatan positif terhadap pertimbangan

risiko dengan menyatakan:
”Strategi manajemen risiko yang holistik telah menggeser fokus auditor
tradisional dalam mengendalikan risiko. Suatu operasi audit terintegrasi
sekarang dipahami dan memandang risiko sebagai suatu sumber
keuntungan.”

111
 Penutup
Sebagai hasil penelitian empiris di bidang keuangan, ia menekankan 12 ”praktik terbaik” yang
diyakininya dapat diterapkan oleh organisasi manapun dalam mengembangkan pendekatan
manajemen terintegrasi yang positif. Ke-12 praktik terbaik tersebut adalah:
1. Mengkombinasikan analisis objektif dan subjektif dari audit keseluruhan untuk menentukan
prioritas audit.
2. Menganalisis kemampuan manajemen untuk mencapai tujuan dan sasaran dalam narasi pra-
audit.
3. Menggunakan kuesioner untuk memeriksa kontrol internal dari atas ke bawah.
4. Menganalisis proses penetapan dan pengelolaan batas risiko.
5. Menelaah fungsi manajemen risiko yang lain, seperti perbendaharaan, ketaatan, dan kontrol
akuntansi.
6. Mengamati proses perencanaan strategis dan hasil-hasilnya.
7. Mengevaluasi inisiatif-inisiatif strategis.
8. Mengintegrasikan aktivitas-aktivitas audit.
9. Mendasarkan proses audit pada hasil bersih eksposur risiko dan kontrol pengganti.
10.Bermitra dengan manajemen dengan memberikan jasa konsultasi dan informasi bernilai
tambah.
11.Menelaah etika sebagai elemen dasar dari kontrol internal.
12.Melaksanakan audit komprehensif untuk keseluruhan program manajemen risiko.
Pola ini menyarankan bahwa keseluruhan manajemen risiko dapat menjadi kontribusi
produktif yang bernilai tambah terhadap kemakmuran dan kemajuan organisasi. Auditor
internal memainkan bagian utama dari fungsi tersebut.
112
113