RISK ASSEMENT

Pendahuluan
- Menurut KBBI, risiko adalah akibat yang kurang
menyenangkan (merugikan, membahayakan) dari suatu
perbuatan atau tindakan.

- Pentingnya penentuan Risiko ( Risk Assesment ) bagi

manajemen dan auditor internal. Manajemen
menggunakannya sebagai bagian dari proses untuk
memastikan kesuksesan tujuan suatu entitas; dan juga
sebagai alat yang penting dalam merancang sistem-sistem
baru.
- Studi yang dilakukan COSO, Kontrol Internal—Kerangka Kerja
Terintegrasi: Penentuan Risiko merupakan tanggung jawab yang tidak
terpisahkan (Integral) dan terus-menerus dari manajemen. Hal tersebut
karena beberapa hambatan, atau risiko akan selalu datang dari luar dan
dalam entitas, misalnya: hukum atau peraturan baru; perusahaan
pesaing memperkenalkan produk baru; perubahan teknologi; personel
yang tidak kompeten yang mengabaikan tujuan organisasi yang telah
ditetapkan.

- Rencana audit harus dirancang untuk memasukan pertimbangan

tentang risiko dan eksposur organisasi. Practice advisory 2010-2
“menghubungkan rencana audit dengan Risiko dan Eksposur”
menyatakan bahwa rencana strategis organisasi harus
mempertimbangkan elemen-elemen prioritas risiko dan eksposur.
 Risk Based Audit
- Merupakan metodologi pemeriksaan yang dipergunakan untuk
memberikan jaminan bahwa risiko yang ada sudah dikelola dengan baik
serta ada batasan yang telah ditetapkan manajemen yang tidak
berdampak terhadap tujuan perusahaan.

- Suatu teknik audit dimana semua kegiatan audit yang dimulai dari
perencanaan audit, pelaksanaan audit, dan pelaporan hasil audit
berbasis pada prioritas risiko yang telah ditetapkan dengan melakukan
risk assessment.

- Konsep audit berbasis risiko ( Risk-based auditing ) secara tradisional

bermula dari observasi dan analisis kontrol, kemudian berlanjut ke
penentuan risiko yang berkaitan dengan operasi, dan akhirnya ke
penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi.
Konsep manajemen risiko semakin diterima karena risiko tidak dapat
terhindarkan di semua jenis operasi dan adanya kebutuhan untuk
mengakomodasikannya melalui berbagai pilihan aktivitas, yang mencakup:
- Kontrol aktivitas organisasional untuk mengurangi elemen-elemen
risiko baik dari segi besaran maupun jumlah;
- Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang
diperlukan untuk kemajuan dan keuntungan;
- Penghindaran risiko yang melibatkan perancangan ulang proses bisnis
untuk mengubah pola risiko;
- Pendiversifikasian risiko dengan menyebarkan total risiko ke operasi-
operasi yang terpisah.
- Pembagian dan pemindahan risiko dengan melibatkan perjanjian
kontraktual dengan pihak ketiga untuk menerima sebagian atau semua
risiko.
 Risiko audit pada laporan keuangan
Risiko audit laporan keuangan: tingkat laporan keuangan dan saldo akun (kelompok transaksi).

Beberapa faktor yang bisa meningkatkan risiko audit:

1. Karakteristik Manajemen
Kebijakan manajemen didominasi hanya oleh 1 orang; perilaku yang sangat agresif terhadap
pelaporan keuangan; Perputaran manajemen tinggi; Berlebihan dalam menekankan pencapaian proyeksi
laba; Reputasi yang kurang baik.

2. Karakterisitik Operasi dan Industri

Probabilitas entitas dibandingkan dengan industrinya tidak memadai; hasil operasi entitas sensitif
terhadap faktor- faktor ekonomi; industri yang menurun; organisasi bersifat desentralisasi tanpa
pengawasan aktivitas yang memadai; Diragukan kelangsungan hidupnya.

3. Karakterisitik Penugasan
Terdapat banyak perdebatan dan/atau masalah akuntansi yang sulit; Terdapat transaksi atau
saldo signifikan yang sulit diaudit; Transaksi dengan pihak berelasi yang signifikan dan tidak
biasa; sebelumnya terdapat salah saji signifikan yang dideteksi selama audit atau tidak
tersedia data mengenai hal tersebut.
 Audit Risk
Risiko Bawaan (Inherent Risk)
Merupakan kerentanan suatu asersi atas terjadinya salah saji yang material,
dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur kontrol
internal terkait yang ditetapkan.

Risiko Pengendalian (control risk)

- Risiko bahwa salah saji material yang bisa terjadi pada suatu asersi tidak
dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan,
atau prosedur kontrol internal suatu entitas.
- Beberapa risiko control akan tetap ada karena adanya keterbatasan yang
melekat pada struktur kontrol internal.
Risiko Deteksi (Detection risk)
- Risiko bahwa auditor tidak dapat mendeteksi salah saji material
yang terdapat pada suatu asersi.
- Dapat terjadi karena: Auditor memutuskan tidak mempercayai
100 persen saldo atau transaksi; Pemilihan prosedur audit yang
tidak layak; Salah penerapan prosedur audit; Salah interpretasi
hasil-hasil prosedur audit.
- Hal-hal ini harus dikurangi sampai ke tingkat yang bisa diterima
melalui perencanaan dan pengawasan audit yang sesuai.
 Hubungan antar risiko
- Auditor dapat mengevaluasi risiko secara kuantitatif maupun
kualitatif.

- Risiko Audit = Risiko Bawaan x Risiko Pengendalian x Risiko Deteksi

AR = IR X CR X DR

- Auditor bisa menilai risiko yang direncanakan, risiko bawaannya dan

risiko kontrolnya untuk menentukan risiko strategi yang
direncanakan, dengan menentukan risiko deteksi
DR = AR/ (IR X CR)
 Contoh pertanyaan dasar tentang risiko

Beberapa contoh yang menjadi pertanyaan dasar dalam

penentuan risiko:
Temuan signifikan pada audit sebelumnya; Lingkup audit
sebelumnya; Kapan audit terakhir yang dilakukan; Perubahan-
perubahanyang terjadi pada sistem, personalia dan produk; Nilai
aktiva dan transaksi; Hubungan, kepentingan dan transaksi pihak
berelasi; Likuiditas aktiva; Pemisahan tugas dan wewenang;
Sensitivitas informasi bagi entitas; Tekanan untuk memenuhi
tujuan; Dampak hukum dan peraturan; Tindakan tidak etis
karyawan; Kompetensi karyawan; dsb
 Auditor Internal dan Risiko E-Commerce
Kepentingan auditor atas hal ini adalah untuk menentukan dampak
fungsi e-commerce terinadap risiko organisasi.

Menentukan dan menggambarkan ukuran untuk mengurangi risiko,

antara lain: Risiko dan dampaknya terhadap organisasi; Modifikasi
aktivitas yang direkomendasikan; Dampak modifikasi risiko terhadap
operasi; Tingkat pengurangan risiko yang akan dicapai; Biaya
modifikasi yang dilakukan; Elemen waktu; Kemungkinan
keberhasilan; dsb.

Risiko juga terkait dengan: Perubahan teknologi IT; Situasi terbaru;

dan Perubahan dalam operasi organisasi.
 Risiko EDI
Pertukaran data elektronik (electornic data interchange-EDI) adalah
sebuah sistem komunikasi informasi komputer-komputer yang saling
terhubung untuk dokumen bisnis yang terstandarisasi dibatas-batas
organisasi.

Faktor risiko berkaitan dengan area ini adalah sbb:

- Tercurinya akses informasi
- Hilangnya integrasi data
- Kurang lengkapnya transaksi
- Tidak tersedia sistem EDI
- Ketidakmampuan untuk mengirimkan transaksi
- Kurang pedoman hukum
 Faktor-faktor Risiko dan Aktivitas Kontrol
Faktor-faktor risiko
1. Akses informasi yang tidak diotorisasi (hacker
mengakses sistem, intersepsi Selma transmisi,
penyadapan (wiretapping)
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak berjalannya sistem EDI
5. Ketidakmampuan untuk mengirimkan transaksi
6. Kurangnya pedoman hukum
Aktivitas kontrol
Kontrol akses (kata sandi, meningkatkan proteksi
kabel, meteran sinyal)
Pengecekan keontetikan data, protokol
pemberitahuan dll
Pemberitahuan, penomoran berurutan,
pengecekan satu demi satu dibandingkan dengan
arsip
Sistem yang menoleransi gagal, paket antivirus,
pengaman diluar kantor dll
Format data terstruktur/terstandardisasi ketaatan
pada protocol ANSI/EDIFACT
Perjanjian definisi-definisi hukum tanggung jawab
dan kewajiban
 Membuat Rencana Penentuan Risiko

- Penentu risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol dan
penentuan risiko tidak dapat dipisahkan satu sama lain. Begitu risiko telah
diidentifikasi, langkah selanjutnya yaitu membuat sarana untuk mengendalikan
risiko tersebut.

- Pondasi penentu risiko tercakup dalam definisi kontrol internal sbb: Sebuah proses
yang mempengaruhi dewan direksi entitas, manajemen dan karyawan lainnya, yang
dirancang untuk memberikan keyakinan wajar mengenai pencapaian tujuan pada
kategori: (1). Efektivitas dan efesiensi operasi; (2). Keandalan pelaporan keuangan;
(3).Kataatan terhadap hukum dan regulasi yang berlaku.

- Studi COSO menyatakan ada beragam tujuan, tapi kategori secara umum adalah :
1. Tujuan operasional (berkaitan dengan efektifitas dan efisiensi operasi entitas)
2. Tujuan pelaporan keuangan (berkaitan dengan penyajian LK yang andal)
3. Tujuan-tujuan ketaatan (berkaitan dengan ketaatan terhadap hukum dan
peraturan)
 Manajemen Risiko
Auditor membantu manajemen untuk mengambil risiko dan berhati-
hati dengan cara yang layak dan efisien, serta mengevaluasi langkah-
langkah yang ditempuh manajemen untuk mencapai manfaat besar
dari suatu organisasi, dengan memperluas bidang audit agar
mencakup:
(1) kontrol risiko (program kontrol, peran, efektivitas aktivitas kontrol)
(2) Pendanaan risiko (sumber pendanaan keuangan, proteksi dan
alokasi)
(3) Administrasi (komitmen manajemen, definisi, tujuan, komunikasi)
Auditor harus mengevaluasi proses manajemen risiko dengan kesesuaiannya untuk tujuan
kunci sbb:
• Risiko yang muncul dari strategi dan aktivitas usaha didentifikasi dan diprioritaskan.
• Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi.
• Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau
justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan
dewan komisaris.
• Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik
menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.
• Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik
tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.
 Metode-metode Analitis
Beberapa metode analitis dalam identifikasi dan
penggunaan risiko untuk mengembangkan struktur
kontrol yang optimal:
• Pembuatan bagan alir
• Kuesioner kontrol internal
• Analisis matriks
• Metodologi ilustratif COSO
• Metode Courtney
Pembuatan Bagan Alir (flowcharting)
- Merupakan sebuah metode analisis efisiensi dan kontrol operasi.
- Dengan bagan tersebut, memungkinkan untuk melihat operasi, mengidentifikasi
ketidakefisienan, langkah- langkah yang terabaikan, dan kelemahan-kelemahan
kontrol.
- Identifikasi risiko, kontrol dan kelemahan di setiap tahap dalam bagan tersebut.

Kuesioner Kontrol Internal

- Merupakan sarana untuk mendapatkan informasi tentang fungsi yang akan
disurvei dan segera diaudit.
- Terdapat kuesioner yang digunakan oleh auditor, yakni kuesioner kontrol internal
(internal control questionnaire- ICQ).
- ICQ dimulai dari jawaban “ ya” atau “tidak” disertai komentar.
- ICQ membutuhkan jawaban yang langsung dan tepat mengenai ketaatan yang
diharapkan.
Analisis Matriks
- Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memilili kontrol yang layak.
- Matriks kontrol juga mengakui bahwa kontrol tertentu bisa memberikan perlindungan
untuk lebih dari satu risiko. Contoh: sebuah kunci melindungi aset dari kemungkinan hilang
dengan membatasi akses, dan juga akuntabilitas petanggungjawaban personel yang
memegang kunci.
- Juga mempertimbangkan anggaran, menetapkan tujuan dan sasaran yang akan dicapai dan
menjadi alat ukur kinerja.
- Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol: preventif atau detektif.
- Aspek lain dari kontrol detektif yang membuatnya kurang efektif dibandingkan kontrol
preventif, karena sifatnya, lebih mudah diabaikan; Penelaahan dan analisis dapat
ditangguhkan jika tekanan lain meningkat; dan dapat diabaikan jika orang yang ditugaskan
merasa pekerjan tersebut tidak menyenangkan; dan dianggap membuang waktu jika tidak
terdapat hal yang ditemukan.
Metodologi Ilustrasi COSO
Perangkat evaluasi berisi dua jenis: (1) Perangkat Komponen; (2) Lembar Kerja Penentuan
Risiko dan Aktivitas Kontrol.

Perangkat komponen dipengaruhi oleh definisi Kontrol internal yang merupakan sebuah
proses, yang dipengaruhi oleh dewan direksi perusahaan, manajemen, dan karyawan lainnya,
untuk memberikan keyakinan yang wajar mengenai pencapaian tujuan dalam kategori:
Efektivitas dan efisiensi operasi; Keandalan pelaporan keuangan; dan Ketaatan dengan hukum
dan aturan yang berlaku.

Kontrol internal terdiri atas lima komponen yang saling berkaitan, yang berasal dari cara
manajemen menjalankan bisnis, dan dintegrasikan dengan proses manajemen. Komponen-
komponen tersebut adalah: (1) Lingkungan Kontrol; (2) Penentuan Resiko; (3) Aktivitas
aktivitas Kontrol; (4) Informasi dan Komunikasi; dan (5) Pengawasan

Lembar Kerja Penentuan Risiko dan Aktivitas Kontrol berisi masalah-masalah yang substantive
pada setiap komponen.
 Contoh Lembar kerja penilaian risiko dan aktivitas kontrol (coso)

Tujuan dan evaluasi Deskripsi/Contoh

Tujuan Operasional, Finansial, Ketaatan

- Semua bahan baku yang diterima dicatat dengan akutat

Analisa Risiko

- Faktor-faktor risiko - Kuantitas aktual yang diterima bisa jadi tidak sama dengan kuantitas yang tertera pada pesanan
pembelian atau dokumen pengiriman dari pemasok
- Kemungkinan - Sedang/Tinggi
- Tindakan/aktivitas - 1). Barang yang diterima dihitung, ditimbang, atau diperiksa kuantitasnya, 2). penerimaan
kontrol/tanggapan dihitung 2 kali secara acak oleh supervisor departemen penerimaan, 3). Kuantitas yang diterima
menurut laporan penerimaan dibandingkan dengan dokumen pengiriman pemasok dan dengan
pesanan pembelian, 4). Kekurangan bahan baku dicatat pada dokumen penerimaan dan setiap
kelebihan bahan baku ditolak, 5). Jika terjadi kelebihan bahan baku, dokumen ditandatangani
oleh perusahaan transportasi untuk dikembalikan ke pemasok, 6). Dokumen diberikan ke bagian
utang dagang untuk pemrosesan dan aktivitas control selanjutnya
- Tujuan produksi

Evaluasi dan kesimpulan - Kontrol cukup memadai untuk mencapai tujuan

Metode Courtney
- Teknik penilaian yang menarik dan menghubungkan dengan
biaya kontrol; risiko kontrol yang dikuantifikasi dengan
moneter.
- Penggunaan estimasi atas biaya kontrol penilaian risiko yang
dikuantifikasi dengan mata uang, sehingga akan diketahui
jumlah nominal dari risiko kerugian selama satu periode
yang mungkin akan terjadi dan biaya kontrolnya.
Sistem Evaluasi Risiko
- Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah
mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas
pertanyaan-pertanyaan yang dapat mereka validasi dan berdasarkan pengalaman,
dapat disimpulkan merupakan risiko penentu yang signifikan.

Pertimbangan Pengungkapan Risiko

- Risiko Operasi (terkait dengan risiko-risiko yang terjadi pada produksi, penjualan
dan pengadministrasian organisasi)
- Risiko Estimasi (terkait dengan estimasi yang digunakan dalam penyiapan laporan
keuangan dan operasi)
- Risiko konsentrasi (terkait dengan konsentrasi pelanggan, pemasok, lini produk,
dan pasar)
Terima kasih