makalah isi
TRANSCRIPT
BAB I
PENDAHULUAN
A. Latar Belakang
Risiko telah menjadi bagian yang tidak terpisahkan dari kehidupan manusia begitu juga
dengan perusahaan, namun keberadaan risiko tersebut perlu ditangani dengan baik sehingga
kerugian yang dapat ditimbulkannya bisa kita minimalisasi atau bahkan kita hindari.
Manusia memang selalu dihadapkan dengan risiko sehingga risiko menjadi bagian dari
keseharian manusia. Akibatnya, kita harus menanggung kerugian jika risiko-risiko tersebut tidak
kita antisipasi dari awal. Risiko, khususnya di dalam bisnis, tidaklah selalu mencerminkan hal
yang buruk. Kenyataannya, risiko bisa mengandung suatu peluang yang sangat besar bagi
mereka yang mampu mengelola dengan baik. Kesadaran akan memahami risiko dengan baik
sebagai suatu bagian yang tidak terpisahkan dari upaya untuk mengoptimalkan keuntungan inilah
yang menjadi dasar terbentuknya konsep manajemen risiko yang akhir-akhir ini semakin
mengemuka didalam dunia bisnis.
Semua organisasi baik profit oriented maupun social oriented didirikan dengan maksud
untuk mencapai tujuan. Tujuan tersebut diarahkan kepada seluruh pemangku kepentingan
(stakeholders) agar dengan tujuan tersebut memberikan suatu nilai tambah (value added). Namun
dalam rangka pencapaian tujuan tak bisa dipungkiri bahwa organisasi menyadari akan adanya
berbagai ketidakpastian. Makin kompleks aktivitas suatu organisasi maka makin tinggi pula
tingkat ketidakpastiannya dalam pencapain tujuan.
Ketidakpastian tersebut mengandung unsur risiko yang berpotensi mengurangi peluang
organisasi dalam mencapai tujuannya bahkan dapat menggerogoti nilai yang telah ada.
Ketidakmampuan perusahaan dalam menangani berbagai risiko yang dihadapi pun dapat
berakibat fatal. Beberapa perusahaan terpaksa gulung tikar karena tidak sanggup menangani
resiko yang tak terduga. Manajemen risiko oleh perusahaan dapat meningkatkan nilai perusahaan
sekaligus mendukung pertumbuhan ekonomi dengan menurunkan biaya modal serta mengurangi
ketidakpastian aktivitas sosial. Manajemen risiko bertujuan mengidentifikasi, mengukur dan
mengatasi risiko perusahaan pada level toleransi tertentu. Menurut Risk Management Standar
(4360:2004), manajemen risiko adalah kultur, proses, dan struktur yang diarahkan untuk
merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan.
Manajemen risiko merupakan tanggung jawab utama manajemen senior dan
Dewan. Untuk mencapai tujuan usahanya, manajemen harus memastikan bahwa proses
manajemen risiko telah ada dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki
peran pengawasan terhadap efektivitas proses manajemen risiko tersebut. Untuk menjalankan
perannya itu, Dewan dapat mengarahkan aktivitas audit internal untuk membantu mereka melalui
pemeriksaan, evaluasi, pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan
efektivitas proses manajemen risiko.
Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan
pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran
konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
metodologi manajemen risiko dan pengendalian yang relevan.
Berdasarkan hal tersebut, maka penulis tertarik untuk membuat suatu makalah dengan
judul Risk Management ( Pengelolaan Resiko ).
B. Rumusan Masalah
Berdasarkan latar belakang di atas maka perumusan masalah yang hendak di bahas adalah
sebagai berikut:
1. Apa penentuan risiko itu?
2. Apa saja risiko audit dan komponen-komponennya pada audit laporan keuangan?
3. Apakah risiko perdagangan elektronik, risiko EDI dan risiko kecurangan manajemen?
4. Bagaimana pengelolaan risiko?
5. Apa saja metode-metode analisis yang digunaakan dalam mengidentifikasi risiko?
C. Tujuan
Berdasarkan rumusan masalah di atas maka tujuan yang hendak di bahas adalah sebagai
berikut:
1. Untuk mengetahui penentuan risiko.
2. Untuk mengetahui risiko audit dan komponen-komponennya pada audit laporan keuangan.
3. Untuk memahami risiko perdagangan elektronik, risiko EDI dan risiko kecurangan
manajemen.
4. Untuk memahami pengelolaan risiko.
5. Untuk memahami metode-metode analisis yang digunaakan dalam mengidentifikasi risiko.
D. Metode Penulisan
Penyusunan makalah ini menggunakan referensi-referensi dari beberapa media atau literatur
yang diedit dan diunduh secara lansung.
E. Sistematika Penulisan
Penyusun menggunakan sistematika berupa pendahuluan yang berisi, latar belakang,
perumusan masalah, tujuan penulisan, metode penulisan, dan sistematika penulisan, yang
diikuti oleh bab pembahasan, dan terakhir penutup berupa kesimpulan.
BAB II
PEMBAHASAN
A. Penentuan Risiko
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu, dan prinsip-
prinsip manajemen yang baik mendorong penerapannya di industri dan sektor-sektor lain.
Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan saran yang
digunakan untuk melakukannya. Auditor internal harus memasukkan basil penentuan risiko ke
dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan memang
diterapkan untuk mengurangi resiko.
Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi, mengawali
pembahasan tentang penentuan risiko dengan ringkasan berikut ini:
Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus
ditentukan. Persyaratan awal untuk penentuan risiko adalah adanya penetapan tujuan, yang
dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi. Penentuan
risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk mencapai tujuan (entitas),
yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko. Karena kondisi
ekonomi, industri, peraturan dan operasi akan terus berubah, maka dibutuhkan mekanisme untuk
mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan dengan perubahan.
Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus-
menerus dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan tujuan
dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan yang
muncul akan menghalangi perjalanan mencapai tujuan. Beberapa hambatan, atau risiko, akan
datang dari luar entitas; sedangkan yang lainnya dari dalam. Sebagai contoh:
Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang dibutuhkan
untuk mencapai tujuan.
Sebuah perusahaan pesaing memperkenalkan produk atau jasa bare yang membutuhkan
tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan
sebelumnya.
Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang.
Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah
ditetapkan.
Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan penentuan risiko adalah
untuk membuat karyawan sadar akan beragam risiko yang ada serta prioritas, dan keterbatasan
dari daftar risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang
muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan
dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses
penentuan risiko itu sendiri merupakan hal penting bagi audit.
B. Siapa yang Memanfaatkan Penentuan Risiko?
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan
kesuksesan suatu entitas; hal ini telah dibahas dengan jelas pada studi COSO. Manajemen juga
menggunakan penentuan risiko sebagai alat yang penting dalam merancang sistem-sistem baru.
Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk memenuhi tujuan yang
telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah
identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai
tujuannya.
Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka.
Statement on Auditing Standards (SAS) No. 55 dari American Institute of Certified Public
Accountants (AICPA) menguraikan tanggung jawab akuntan untuk mendapatkan pemahaman
atas sistem kontrol. Akuntan publik juga melakukan penentuan risiko dalam merencanakan audit
mereka. Apa saja risiko-risiko kegagalan yang bisa mengancam pencapaian tujuan audit?
Pengujian audit mana yang seharusnya digunakan untuk memastikan bahwa tujuan audit
tercapai? Satu risiko yang bisa muncul adalah memilih metode pengujian yang tidak tepat, yang
lainnya adalah penggunaan rencana dan teknik pengambilan sampel yang tidak tepat, dan lain
sebagainya.
Tidak diragukan lagi bahwa auditor internal telah terlibat dalam penentuan risiko sejak
awal profesi ini berdiri. Auditor internal selalu bertanya, "Kesalahan apa yang bisa terjadi?"
Pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan persyaratan mutlak
untuk menentukan prosedur kontrol yang harus diterapkan. Bagaimanapun juga, akankah ada
kontrol jika tidak ada risiko? Bagaimana auditor menentukan bahwa suatu kontrol merupakan
kontrol yang efektif-kontrol yang tepat-dalam suatu kondisi tanpa mengidentifikasi dan
mengevaluasi risiko? Sehubungan dengan pertanyaan ini, IIA mengeluarkan Statement on
Internal Auditing Standards No. 9 tentang Penentuan Risiko pada tahun 1991. Saat ini hal
tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih lanjut di Practice Advisory
2210.A1-1.
Pada kebanyakan entitas, departemen audit internal akan menjadi pernain utama dalam
penentuan risiko yang mengarahkan laporan tahunan manajemen unttik mengemukakan kondisi
sistem kontrol. Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan dalam
membuat laporan tersebut. Audit khusus mungkin dibutuhkan di bebetapa entitas untuk
memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah diperbaiki pada
tanggal laporan akhir tahun.
C. Memperluas Audit Berbasis Risiko
Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari
observasi dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan
operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi.
McNamee dan Selim menyatakan pendekatan ini tidak tepat karena adanya kebutuhan untuk
memenuhi tujuan terlebih seharusnya-berorientasi ke masa depan. Para penulis tersebut
merekomendasikan sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan
organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran,
dan penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara:
1. Mengendalikan dan menerima risiko, atau
2. Menghindari atau mendiversifkasi risiko, atau
3. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya.
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat
dihindarkan di semua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui
berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup:
Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi
besaran maupun jumlah;
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk
kemajuan dan keuntungan;
Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah
pola risiko;
PendiversifIkasian risiko dengan menyebarkan total risiko ke operasi-operasi yang
terpisah. Misalnya: menggunakan berbagai pemasok untuk bahan baku yang penting; dan
Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan
pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.
Adanya perhatian ke masa depan merupakan perluasan dari pengakuan risiko ke
manajemen risiko. Hal ini merupakan contoh audit internal menuju bidang yang memberikan
unsur bernilai tambah terhadap fungsi yang bernilai waktu, yang berkaitan dengan risiko dan
penggunaan audit berbasis risiko.
D. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan
Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko. Luas risiko
adalah jumlah yang berpotensi terkena risiko; probabilitas adalah kemungkinan terjadinya risiko.
Masih terdapat hal-hal lain yang harus dipertimbangkan pada saat menentukan dampak risiko.
Pendapat tentang kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian
selanjutnya.
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on
Auditing Standards terbaru (No. 47, No. 53, dan No. 55). Risiko audit terdiri atas dua tingkatan-
tingkat laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan
keuangan, risiko audit adalah -risiko bahwa auditor mungkin secara tidak sengaja gagal
memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material."
Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa
yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada
tingkat laporan keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri, dan karakteristik
penugasan. Faktor-faktor yang disebutkan berikut ini bisa menunjukkan situasi yang
meningkatkan risiko audit:
Karakteristik Manajemen
Kebijakan manajemen didominasi hanya oleh satu orang.
Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan.
Perputaran manajemen tinggi.
Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba.
Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.
Karakteristik Operasi dan Industri
Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak
konsisten.
Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
Entitas berada pada industri yang menurun.
Organisasi entitas bersifat desentralistis tanpa pengawasan aktivitas yang memadai.
Entitas diragukan kelangsungan hidupnya.
Karakteristik Penugasan
Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang sulit.
Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit.
Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dalam jumlah
yang signifikan dan tidak biasa.
Sebelumnya terdapat salah saji signifkan yang dideteksi selama audit atau tidak tersedia
data mengenai hal tersebut.
Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh,
ukuran, kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor
ini.
Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan
berdampak pada: (1) penugasan staf; (2) pengawasan yang dibutuhkan; (3) keseluruhan strategi
audit; dan (4) tingkat skeptisme profesional. Sebagai contoh, pada situasi yang dirasakan auditor
memiliki risiko audit yang meningkat, auditor bisa menugaskan lebih banyak staf berpengalaman
dan menerapkan lebih banyak prosedur substantif selama audit interim dan akhir tahun.
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi,
seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah
representasi manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan.
SAS mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan)-keterjadian
atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan
pengungkapan. Misalnya, manajemen menyatakan bahwa utang usaha untuk sebuah divisi pada
tanggal 30 Juni sejumlah $85.000 merupakan pernyataan bahwa:
Utang usaha memang ada pada tanggal neraca (keberadaan).
Semua utang usaha telah tercakup (kelengkapan).
Utang usaha merupakan kewajiban hukum (kewajiban).
Utang usaha dinilai dengan layak (penilaian atau alokasi).
Semua utang usaha diungkapkan dengan layak (penyajian dan pengungkapan).
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas (a) risiko bahwa
saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirihya sendiri atau
dengan yang lainnya yang bisa berdampak material terhadap laporan keuangan, (disebut risiko
bawaan dan risiko kontrol) dan (b) risiko bahwa auditor tidak akan mendeteksi salak'saji tersebut
jika' memang terjadi (disebut risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok
memiliki. tiga komponen-risiko bawaan, risiko kontrol, dan risiko deteksi. Seorang auditor
diharapkan untuk merencanakan audit sehingga risiko audit pada tingkat saldo atau kelompok
transaksi dibatasi sehingga memuhgkinkan auditor memberikan opini pada risiko audit yang
rendah pada tingkat laporan keuangan.
SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor
dalam mengevaluasi risiko audit pada tingkat saldo, atau kelompok transaksi:
Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan.
Masalah-masalah akuntansi yang rumit dan mengandung perdebatan.
Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.
Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari
audit sebelumnya.
Kerentanan aktiva untuk disalahgunakan.
Kompetensi dan pengalaman karyawan yang memproses data.
Tingkat pertimbangan dalam menentukan saldo akun atau transaksi.
Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau kelas transaksi.
Kompleksitas perhitungan.
Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu kontribusi
yang besar bagi literatur audit. Hal ini dengan jelas mendefinisikan cara menentukan pekerjaan
audit yang dibutuhkan untuk memenuhi tanggung jawab audit.
1. Risiko Bawaan
Risiko bawaan/inheren (inherent risk) adalah kerentanan suatu asersi atas terjadinya salah
saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur
kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat intrinsik
terhadap usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan
saldo atau kelompok transaksi dibandingkan yang lain. Sebagai contoh:
Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih cenderung
dilanggar daripada asersi kelengkapan pada saat auditor mempertimbangkan
kelangsungan hidup entitas.
Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan perhitungan biaya
depresiasi menggunakan metode garis lurus (perhitungan rumit dibandingkan dengan
perhitungan sederhana).
Kas lebih rawan dicuri dibandingkan persediaan bate kapur (jumlah yang lebih mudah
dicuri dan memiliki nilai tinggi dibandingkan dengan barang yang sulit dicuri dan
memiliki nilai yang rendah).
Faktor-faktor eksternal terhadap entitas seperti perubahan teknologi yang mungkin
membuat persediaan tertentu menjadi usang dan dinilai terlalu tinggi.
Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat berdampak pada
risiko bawaan di tingkat saldo atau kelompok transaksi. Sebagai contoh, keraguan atas
kelangsungan hidup yang ditemukan pada tingkat laporan keuangan dapat menyebabkan risiko
bawaan untuk penilaian persediaan menjadi meningkat.
Contoh-contoh berikut ini akan membantu dalam memahami pandangan AICPA
mengenal risiko bawaan:
Pada perusahaan sekuritas, perhitungan bunga yang sederhana tidak serumit perhitungan
berdasarkan metode bungs efektif.
Di bank, kecurangan terhadap kredit lebih cenderung terjadi pada rekening tabungan atau
pembayaran cicilan pinjaman dibandingkan rekening giro.
Di toko serba ada, saldo piutang usaha lebih cenderung disajikan secars realistic
dibandingkan saldo akun penyisihan piutang tak tertagih.
Di toko grosir, peningkatan permintaan alas kontrol persediaan menyebabkan daftar kas
sederhans dan pencatatan/perhitungan persediaan secara manual menjadi usang bila
digunakan kode batang (bar code) pada terminal penjualan.
Pada organisasi yang terdiversifikasi, penekanan pada pemerolehan dana melalui kredit
bank, bukan peningkatan modal, memberikan tekanan pada laba jika tingkat bunga
meningkat yang mungkin mengarah pada harga jual marginal dan/atau kredit yang Iebih
berisiko terhadap pencapaian laba yang lebih tinggi.
Auditor mampu mengevaluasi risiko bawaan yang ada pada klien dengan memerhatikan
industri secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak di
usaha pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi
sekelompok risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan.
Juga terdapat risiko bawaan pada suatu organisasi akibat budaya perusahaan yang
diterapkan. Sebuah organisasi bisa dikelola secara ketat oleh suatu kelompoW kecil yang
memiliki filosofi: 'Kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa
menanggapi suatu kejadian secara langsung dan segera.
Risiko-risiko yang berorientasi pada budaya perusahaan merupakan risiko-risiko yang
melekat pada gaya manejemen.
Jika risiko-risiko bawaan dalam suatu organisasi telah diperhitungkan, langkah
selanjutnya adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat
risiko-risiko tersebut Pertimbangan-pertimbangan ini melibatkin risiko kontrol.
Faktor-Faktor yang harus ditelaah dalam menetapkan risiko bawaan, yaitu:
Sifat bidang klien
Akan lebih besar kemungkinan keusangan persediaan pada pabrik komputer daripada
pabrik besi. Atau piutang pinjamna yang diberikan oleh lembaga keuangan kecil akan
lebih rendah kolektibilitasnya daripada pinjaman oleh bank.
Motivasi klien
Motivasi manjemen dalam menyajikan laporan keuangan dapat termotivasi oleh
beberapa hal salah satunya yaitu dari perolehan bonus dair presentase laba bagi manajer.
Mungkin manajemen cenderung akan melakukan mark up laba bersih. Selain itu ada pula
motivasi bagi manajemen dalam mengurangi pajak yang harus dibayar. Maka jika
manajemen tidak memiliki integrasi tinggi motivasi seperti itu tentunya dapat mendorong
untuk mensalah sajikan laporan keuangan.
2. Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada
suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau
prosedur kontrol internal suatu entitas.
Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan yang melekat pada
struktur kontrol internal.
Seorang auditor bisa menilai risiko kontrol path tingkat maksimurn apabila kebijakan
maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi
efektivitasnya. Jika auditor menetapkan risiko kontrol di bawah maksimum, auditor tersebut
diharapkan memperoleh bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur
yang layak untuk membenarkan penetapan tersebut.
3. Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah
saji material yang terdapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor
memutuskan tidak memeriksa 100 persen saldo atau transaksi atau karena ketidakpastian lainnya.
Termasuk dalam ketidakpastian Iainnya ini adalah pemilihan prosedur audit yang tidak layak,
salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit. Ketidakpastian
Iainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan dan
pengawasan audit yang sesuai.
4. Hubungan Antar-risiko
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun
kualitatif. SAS memberikan rumus berikut ini:
Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi
Ketika menggunakan rumus ini, seorang auditor bisa menilai risko audit yang
direncanakan untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan
risiko penemuan yang direncanakan dengan meneniukan risiko deteksi.
Risiko Deteksi = Risiko Audit/(Risiko Bawaan x Risiko Kontrol)
Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan
mengurangi risiko deteksi di bawah risiko penemuan yang direncanakan. Hal ini menekankan
konsep bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan
dalam struktur kontrol internal yang direkomendasikan dan direncanakan setelah periode audit
tidak akan mengubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh karena
itu, untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko kontrol
berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko kontrol terkait
dengan suatu asersi, makin rendah risiko deteksi yang dapat diterima dan makin banyak bukti
audit yang harus dikumpulkan. Seorang auditor harus melaksanakan beberapa pengujian
substantif jika terdapat salah saji material. Dalam beberapa kasus auditor tidak dapat hanya
mengandalkan penentuan risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak
dilaksanakannya pengujian substantif.
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang
direncanakan, penugasan staf, dan supervisi yang dibutuhkan dalam mempertimbangkan reaksi
terhadap perubahan dalam risiko deteksi.
Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan auditor internal
Sifat usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu atmosfer yang
berdampak besar terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa memiliki
risiko bawaan yang sama karena sama-sama merupakan organisasi publik. Akan tetapi, keduanya
bisa memiliki tingkat risiko yang berbeda karena yang satu memiliki walikota yang kuat dan
struktur dewan yang lemah sementara yang satu lagi memiliki walikota yang lemah dan struktur
dewan yang kuat. Risiko bisa lebih berbeda jika salah satu pernerintahan memiliki kepentingan
umum yang kuat dan pemerintahan yang terbuka sementara yang lain memiliki publik yang
apatis dan orang yang sangat berkuasa secara politis.
Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian
organisasi yang berbeda. Risiko bawaan di perusahaan pabrikasi .berbeda dari perusahaan jasa
keuangan. Risiko pada operasi produksi pakaian akan berbeda dari risiko yang terdapat pada
perusahaan yang memproduksi bahan-bahan kimia.
Identifikasi risiko pada suatu organisasi bermula dari Yisiko bawaan yang terkait dengan
usaha dan gaya manajemennya. Risiko-risiko tersebut dihadapi dengan membuat sistem kontrol.
Karena tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko meskipun
kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep keyakirian
yang wajar mulai dlterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang
dicapal pada scat terjadi keseimliangan antara biaya kontrol dan eksposur dengan'manfaat yang
dijerima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan biaya kontrol berada
pada ekuilibrium.
E. Auditor Internal dan Risiko Perdagangan Elektronik
Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan
elektronik (electronic commerce-EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini
dapat diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI),
menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-
risiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini
mencakup:
Risiko dan dampaknya terhadap organisasi.
Modifikasi atau aktivitas terkait yang direkomendaikan.
Dampak modifikasi risiko terhadap operasi.
Tingkat pengurangan risiko yang akan dicapai.
Eksposur keuangan yang terkait dengan operasi.
Biaya modifikasi yang dilakukan.
Elemen-elemen waktu.
Kemungkinan sukses.
Rekomendasi jika terdapat lebih dari satu ukuran.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan analisis
risiko ini harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus
memahami perkembangan baru di bidang ini terutama mengenai:
Perubahan teknologi TI yang baru.
Situasi yang diberitakan baru-baru ini.
Perubahan dalam operasi organisasi.
Dalam sebuah monograf yang dipublikasikan oleh The Institute of Internal Auditors,
Xenia Lee Parker menekankan pekerjaan auditor internal dalam mengevaluasi perdagangan
elektronik relatif terhadap risiko yang dihadapi proses bisnis. Parker menyatakan bahwa aktivitas
audit internal berbasis TI perlu melakukan hal-hal berikut ini agar dapat membuat asersi
mengenai risiko pemrosesan perdagangan elektronik:
"Pemahaman atas sistem dan infrastruktur:
o Front-end Web severs;
o Metode transmisi dan protokol;
o Firewalls;
o Gateways;
o Back end;
o Middleware; dan
o Kemungkinan koneksi dengan sistem perkantoran.
"Menentukan informasi apa yang penting, elemen data dan program yang memengaruhi
data, bagaimana program yang didistribusikan, lokasi, server, pihak-pihak eksternal, dan
proses yang terlibat.
"Pencatatan dan evaluasi kontrol serta prosedur yang menangani informasi penting dan
sensitif;
"Penilaian prosedur pengawasan;
"Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak ketiga."
Parker menyatakan bahwa, "sertifikasi dari pihak yang dapat dipercaya merupakan cara
lain menyediakan faktor-faktor yang dapat diverifikasi ke pihak-pihak yang berkepentingan." Ia
menyatakan bahwa, "Merupakan hal penting untuk mengetahui siapa yang melaksanakan
pekerjaan, keahlian dan kualifikasi mereka, dan kriteria yang digunakan dalam penelaahan:'
F. Risiko EDI
Pertukaran data elektronik (electronic data interchange-EDI) adalah sebuah sistem
komunikasi informasi komputer-ke-komputer yang saling terhubung untuk dokumen-dokumen
bisnis yang terstandardisasi di batas-batas organisasi. Komputer, database, dan pusat informasi
terhubung oleh jaringan komunikasi publik atau lainnya.
Meskipun aspek komputer dari audit internal lebih banyak dibahas pada Bab 13 sampai
Bab 16, patut diperkenalkan di sini beberapa informasi mengenai penentuan risiko dari area
operasi tersebut. Kerawanan sistem EDI adalah tinggi karena kegagalan sistem pada setiap tiga
tahapan-inisiasi, transmisi, dan tujuan akan mengganggu transaksi.
Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal yang berkaitan
dirinci pada Tampilan di bawah ini. Enam area tersebut adalah:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirimkan transaksi
6. Kurangnya pedoman hukum
Adanya beberapa lapis kontrol memiliki dampak berlipat•untuk mengurangi risiko
kontrol. Risiko kontrol yang tiga lapis kontrol-kontrol aciministratif, kontiol fisik, dan perangkat
lunak-akan gagal, dihitung dengan persamaan ini:
CREDI = CRA * CRP' CRs
keterangan:
CREDI = Risiko Kontrol sistem EDI.
CRA = Risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.
CR6 = Risiko Kontrol gagalnya kontrol perangkat lunak.
Jadi, jika dibuat asumsi berikut ini:
Prosedur administratif 0,10
Mekanisme fisik 0,20
Kontrol perangkat lunak tidak mencegah akses pihak yang
tidak berkepentingan 0,05
Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi 0,001.
Acuan tersebut menyajikan contoh yang bagus mengenai situasi masalah potensial terkait
dengan risiko bawaan dapat mengakibatkan kerugian sebesar $555.493. Dan bahwa jika risiko
bawaan dikurangi menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi
$27.774) menjadi $527.718.
Acuan tersebut mengutip laporan COSO bahwa auditor internal harus membuat langkah-
langkah ini secara terpisah dari proses penilaian:
1. Menghitung signifikansi risiko dalam satuan uang.
2. Menentukan kemungkinan terjadinya risiko.
3. Menentukan cara untuk mengurangi dampak risiko sehingga eksposur dapat dikurangi
hingga ke tingkat yang dapat diterima.
Organisasi audit internal dapat menyumbangkan proses penentuan risiko EDI dengan
mengevaluasi baik risiko bawaan maupun risiko kontrol internal untuk menentukan apakah telah
terdapat aktivitas kontrol yang memadai dan efektif untuk mengelola risiko.
Faktor-faktor Risiko dan Aktivitas Kontrol
Faktor-faktor Risiko Kontrol Internal
1. Akses informasi yang tidak diotorisasi.
a. Hacker mengakses sistem.
b. Intersepsi selama transmisi.
c. Penyadapan (wiretapping).
Kontrol akses.
Kata sandi (password); mekanisme dial-back;
ID pengguna; kunci penyimpan; tingkat akses
yang berbeda.
Meningkatkan proteksi kabel; mengrimkan
pesan melalui media yang aman; serat optik;
enkripsi; lapisan lintasan; amplop elektronik
rahasia.
Meteran sinyal; pelindung kebocoran; perisai
elektromagnetik; saluran penahan akses.
2. Hilangnya integritas data.
a. Perubahan/pemalsuan data
b. Tidak adanya jejak audit dalam
Pengecekan keotentikan data.
Protokol pemberitahuan.
Log terkomputerisasi.
bentuk kertas
c. Hilangnya tanda tangn fisik
d. Adanya kesalahan pada sistem.
e. Gangguan oleh karyawan yang
memiliki otorisasi.
Tanda tangan digital; mekanisme pengesahan.
Pengecekan edit.
Pemisahan tugas; tingkat akses yang berbeda.
3. Kurang lengkapnya transaksi.
a. Transaksi selama transmisi.
b. Duplikasi transaksi akibat transmisi
ulang.
Pemberitahuan.
Total kelompok; Penomoran berurutan.
Pengecekan satu demi satu dibandingkan
dengan arsip pengendali.
4. Tidak berjalannya sistem EDI.
a. Penyebab logis, seperti virus, kuda
Trojan, kesalahan program,
kesalahan perangkat keras dan
lunak.
b. Penyebab alami, seperti kebakaran,
banjir, gempa, kerusakan listrik,
dan lain-lain.
c. Sabotase oleh orang yang memiliki
otorisasi.
Sistem yang menoleransi kegagalan.
Paket antivirus; perangkat keras dan perangkat
yang bebas kesalahan.
Pengamanan di luar kantor; RAID; disk
mirroring.
Pelatihan; pengumuman prosedur dan
kebijakan
5. Ketidakmampuan untuk mengirimkan
transaksi.
Format data terstruktur/terstandardisasi;
ketaatan pada protokol ANSI/EDIFACT.
6. Kurangnya pedoman hukum. Perjanjian defrnisi-definisi hukum, tanggung
jawab, dan kewajiban.
G. Risiko Kecurangan Manajemen
Artikel terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang
dilakukan oleh manajemen (management fraud) membahas model risiko kecurangan yang dapat
digunakan oleh auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis:
1. Membuat ekspektasi kuantitatif untuk saldo akun.
2. Membuat risiko investigatif dan saldo materialitas kuantitatif.
3. Membandingkan saldo akun aktual dengan ekspektasi auditor.
Para penulis tersebut kemudian menyarankan sebuah struktur tiga elemen yang akan
digunakan dalam proses evaluasi risiko. Ketiga elemen tersebut adalah:
1. Kondisi yang memungkinkan terjadinya kecurangan manajemen.
2. Motivasi yang dapat melandasi terjadinya kecurangan.
3. Tingkah laku manajemen yang dapat mendorong manajemen untuk melakukan tindak
kecurangan.
Untuk setiap area di atas terdapat risiko-risiko internal dan eksternal. Misalnya:
Kondisi:
Tidak adanya atau lemahnya kontrol internal
Tidak adanya atau lemahnya komite audit
Pesatnya pertumbuhan
Sedikitnya produk-produk utama
Pengambilan keputusan yang tersentralisasi
Manajemen yang tidak berpengalaman
Motivasi:
Untuk meningkatkan investasi eksternal
Untuk menunjukkan laba yang meningkat
Untuk menghilangkan persepsi pasar yang negatif
Untuk mendapatkan pendanaan
Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan
Untuk memenuhi tujuan dan sasaran
Untuk mendapatkan bonus
Tingkah laku:
Ketidakjujuran
Kurangnya perhatian terhadap aturan dan regulasi
Kurangnya komitmen terhadap etika
Auditor seharusnya membuat suatu model yang terdiri atas semua indikasi potensial di
atas yaitu situasi kecurangan pada satu sumbu (artikel rujukan tersebut memperluas daftar ini
secara material), salah satu daftar hal-hal yang sering disebut "pertanda" (red flag) pada sumbu
yang lain, dan dalam setiap sel hasil untuk mencapai indikasi area-area potensial yang sedang
diperiksa.
Membuat Rencana Penentuan Risiko
Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem
kontrol, dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk
menentukan risiko jika seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi,
langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut.
Fondasi penentuan risiko tercakup dalam definisi kontrol internal. Studi COSO adalah
sumber definisi kontrol internal yang ada saat ini dan diakui secara luas.
Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,
manajemen, dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar
mengenai pencapaian tujuan pada kategori-kategori berikut ini:
Efekktivitas dan efisiensi operasi.
Keandalan pelaporan keuangan.
Ketaatan terhadap hukum dan regulasi yang berlaku.
Dalam pernbahasannya mengenai penentuan risiko, studi COSO menyatakan:
Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan:
Tujuan Operasional-Hal ini berkaitan dengan efektivitas dan efisiensi operasi entitas,
termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya terhadap
kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen mengenai
struktur dan kinerja.
Tujuan Pelaporan Keuangan-Hal ini berkaitan dengan penyyjian laporan keuangan yang
andal, termasuk pencegahan pelaporan keuangah publik yang mengandung kecurangan.
Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan eksternal.
Tujuan-tujuan Ketaatan-Tujuan-tujuan ini berkaitan dengan ketaatan terhadap hti um dan
peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantiing pada faktorfaktor
eksternal, seperti peraturan lingkungan, dan cenderung serupa tintuk semua entitas dalam
beberapa kasus dan dalam beberapa industri.
Definisi dari tujuan-tujuan ini memberikan titik awal untuk penentuan risiko. Tujuan-
tujuan umum tersebut dapat dirinci ke dalam tujuan-tujuan khusus dengan risiko-risiko yang
dapat diidentifikasL Jika risiko-risiko telah diidentiftkasi, berbagai pilihan kontrol dapat
diterapkah untuk risiko-risiko tersebut dalam rangka menentukanprosedur kontrol optimal yang
akan diterapkan.
Misalnya, anggaplah bahwa si auditor'sedang memeriksa operasi pemrosesan penerimaan
kas. Cek-cek bernilai kecil hingga ribuan dolar diterima sebagai pembayaran piutang usaha.
Pembayaran tersebut diterima di kotak pos kantor umum dan dipisahkan dari surat-surat yang
lain kemudian diberpkan ke unit pemrosesan kas. Unit-unit ini membuka surat tersebut
dan.memeriksa apakah jumlah yang tertera di cek sesuai dengan lampiran nota penerimaan. Unit
yang lain menyiapkan slip setoran di penghujung hari dan menyetorkannya ke bank. Setoran
tersebut sengaja dibuat menjadi investasi overnight atau "menyapu" rekening yang menghasilkan
bunga. Penggunaan sistem "kotak terkunci" memungkinkan bank melaksanakan fungsi ini.
Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan,
dan ketaatan untuk operasi tersebut:
Untuk menerima semua pembayaran secara tepat waktu (operasional).
Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi piutang
usaha (keuangan).
Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di cek
memang telah disetujui (operasional).
Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional).
Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan bunga
maksimum (operasional).
Untuk memastikan informasi yang dicatat pada rekening pelanggan akan menghasilkan
catatan kredit yang akurat untuk umur piutang dan sejarah kredit pelanggan (operasional
dan ketaatan).
Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan penanganan
cek untuk menghindari tidak adanya pihak yang bertanggung jawab ketika terjadi
kehilangan atau kecurangan (operasional dan ketaatan).
Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesual
prosedur (operasional dan keuangan).
Untuk memberikan pengukuran kinerja bagi unit dan karyawan di dalamnya untuk
memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk
memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima
(operasional dan ketaatan).
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan sebagai contoh,
auditor menyiapkan daftar risiko sebagai berikut:
Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.
Risiko-risiko
Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke ruang
penerimaan surat.
Amplop-amplop berlsi pembayaran ungat rawan ketika dlidcntiflkasl dan disortir di
ruangan penyurtiran sebelum diberikan ke unit pemrosesan.
Cek cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank
disiapkan.
Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan.
Uang yang akan disetor bisa jadi hilang atau dicuri selams perjalanan dari area
pemrosesan ke bank.
Seorang karyawan bisa dirarnpok selama perjalanan ke bank pada saat menyetorkan.
Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga maksimum
Risiko-risiko
Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.
Pembayaran mungkin tidak dipisahkan di ruing penyortiran dan diberikan ke unit
pemrosesan secara tepat waktu.
Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan ke
bank sebelum batas waktu jam 2 siang.
Hal-hal pengecualian bisa jadi membuat penyotoran ditunda sampai hari (-hari)
berikutnya.
Kegagalan peralatan dapat memperlambat pemrosesan.
Si auditor membuat daftar 'risiko dengan mengamati aktivitas dan menggunakan
pendekatan analitis, keahlian, dan imajinasi. Auditor menentukan spa yang bisa menjadi
hambatan dalam pencapaian tujuan. Begitu risiko telah diidentifikasi, auditor dapat menentukan
kontrol yang diterapkan perusahaan dan menentukan apakah kontrol-kontrol tersebut Iayak dan
memadai sehubungan dengan risiko yang ads. Jika terdapat risiko-risiko yang tidak tercakup
secara Iayak, auditor akan membuat rekomendasi atas kelemahan yang ditemukan. Auditor akan
mencari struktur kontrol yang optimal.
Optimal (optimum) artinva adalah struktur kontrol terbaik dalam suatu kondisi dan
memiliki pertimbangan mantaat dan biaya. Sisa bab Lm membanas .,araru-sauna yang tersedia
bagi auditor untuk mengidentifikasi dan mengevaluasi aktivitas tujuan, risiko, dan kontrol.
H. Pengelolaan Risiko (Risk Management)
COSO framework telah mengubah peta pengendalian internal tidak haya pada fakta yang
ada, tetapi juga lebih berbasis risiko. “Risiko” terkait erat dengan situasi ketidakpastian
(uncertaiunt) hasil atau dampak dari proses yang sedang berjalan atau sesuatu yang belum terjadi
atau situasi/kesempatan diwaktu mendatang, dimana ada probabilitas (probability) tidak sesuai
dengan yang diharapkan, merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan
kurangnya informasi (atau analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil
analisis informasi) tentang apa yang akan terjadi.
Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis
secara sederhana dapat didefinisikan sebagai:
“Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa
depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan
dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan
penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.
Pengelolaan/manajemen risiko dalam bisnis awalnya hanya sering dijumpai pada industri
jasa keuangan saja (banking, multifinance, insurance, foreign,/stock,commodity exchange, fund
investmen, dan sebagainya), mengingat ukuran kerugian yang paling mudah adalah uang.
Singkatnya manajemen risiko juga dikenal pada bisnis tertentu dikaitkan dengan keselamatan
kerja (seperti mining exploration, construction project, building managenment) atau pencegahan
risiko pencemaran hasil produksi dan penaganan limbah beracun pada manufaktur. Belakangan,
para pebisnis diberbagai industri secara global semakin menyadari arti penting manajemen
risiko.
Tadinya para pebisnis lebih berfokus pada Business opportunity (melalui pembuatan
Business Plan/Strategy yang kemudian dituangkan kedalam Business Action/Execution). Sejalan
dengan berlalunya waktu, dinamika persaingan dan perubahan yang kian akrab menyertai dunia
bisnis telah mendorong dikedepankanya peranan pengelolahan/analisis informasi untuk
memastikan keseimbangan opputtinity dengan business risks.
Risiko dapat dilihat dari berbagai perspektif: kepentingan diri, kondisi sosial, lingkungan
dan sebagainya. Dalam konteks bisnis, semakin menyadari begitu luasnya dimensi dan cakupan
risiko yang “tersembunyi” di balik aktifitas bisnis, kita semakin memiliki prioritas yang
berimbang di antara pengelolaan business oppurtinity & business risk, sebagaimana pepatah
bisnis mengatakan: “high risk, high return; no risk no return.” Tabel dibawah ini menyajikan
gambaran tentang hal itu dari berbagai perspektif bisnis.
Perspektif Kategori
Lingkup Risiko Financial/Asset Risk, yaitu risiko yang dapat terukur secara
keuangan atau kalkulasi asset (yang disebut juga Tangible
Risk), seperti risiko yang ditunjukan oleh angka-angka
parameter/risio keuangan (likuiditas/turnover,
sulvabilitas/leverage, profitabilitas/rentabilitas, net present
value, dan sebagainya).
Business/Operation Risk, yaitu risiko yang sulit di ukur
secara keuangan (Intangible Risk), tetapi tidak dapat
diterlusuri sumbernya dan diukur dampaknya secara
kuantitatif maupun kualitatif, seperti penurunan market-share
atau brand awareness di masyarakat; pencapaian berbagai
parameter bisnis,operasi dan pelayanan yang tidak sesuai
target pencapaian berbagai parameter bisnis, operasi dan
pelayanan yang tidak sesuai target (on-time delivery,damage
quality, zero accident,satisfaction level, dan sebagainya).
Sumber Risiko Inherrent Risk, yaitu risiko yang terkandung dalam institusi
bisnis, seperti akuisisi kepemilikan shareholder, financial
Planing/Forecasting yang tidak tepat, minggatnya sejumlah
star employee, penyelewengan tugas (discrepancy) oleh
karyawan, birokrasi yang terlalu ‘gemuk’ service level yang
rendah, dan sebagainya).
Environment Risk, yaitu risiko yang menjadi ancaman dari
luar institusi bisni, seperti pengaruh negatife dari globalisasi
(krisi energi/pangan, resersi), perubahan rezim politik atau
regulasi pemerintah terkait bisnis, bencana alam, pembajakan
Intellectual Property milik perusahaan, dan sebagainya.
Waktu Terjadinya
Risiko (dan
Dampak dari
Risiko)
Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau
dampak yang langgsung dirasakan, seperti kerugian investasi
(atau akibat perubahan currency rate), asset yang raib (uang,
persediaan, asset tetap, dan sebagainya), turnover penjualan
yang menurun, complain dari pelanggan, pencemaran limbah
yang merugikan masyarakat sekitar, dan sebagainya.
Potential/Hidden Risk, yaitu risiko yang mungkin saja
muncul(atau dampak risiko yang akan dihadapi) padawaktu
mendatang, seperti multiplier effect dari investasi di bidang
property karena adanya skandal subrime mortgage di US ,
stock level yang berlebihan berkurangnya jumlah customer
base perusahaan secara perlahan, risiko kerugian karena
musibah (force majeur), dan sebagainya.
Skala Risiko Manageable Risk, yaitu risiko yang belum terjadi, atau
dampaknya telah diukur sebagai tidak mampu ditanggung
(paling tidak untuk beberapa waktu ke depan ), sehingga
sedapat mungkin harus dihindari, seperti risiko small
business bersaing di jalur padat modal dengan bisnis berskala
besar, risiko terjun ke segmen pasar yang didominasi brand
ternama, dan risiko berinvestasi dalam bisnis yang belum
dikenal baik (tidak ada informasi yang cukup).
Unmanageable Risk, yaitu risiko yang tidak dapat dihindari,
baik karena sudah terjadi atau sangat mungkin terjadi,
sehingga harus ditangani untuk menekan tingkat
kemungkinan timbulnya risiko atau menekan besarnya
dampak negatif yang ditimbulkannya.
Dengan mengacu pada berbagai perspektif pemahaman di atas dapat disimpulkan secara
sederhana bahwa substansi dari pengelolaan risiko adalah berfokus pada tindakan
antisipasi/pencegahan (anticipativepreventive actions), dengan upaya mengenali risiko
yang mungkin terjadi (possibility of risk) sekaligus dampak yang mungkin
ditimbulkannya (possibility of risk impact). Tindakan pencegahan berupa:
Upaya memastikan tingkat kemungkinan terjadinya risiko dan tingkat kemampuan untuk menghadapai atau menghindari (Risk Detection).Misalnya, dengan membatasi dana yang akan diinvestasikan dalam bisnis baru, melakukan uji pasar (Market Test) terhadap produk baru, dan memantau kompetensi SDM selama masa probation.
Upaya menekan atau mengurangi tingkat terjadinya risiko (Risk Reduction, Risk Elimination) misalnya, dengan melakukan Hedging dan mengantisipasi fluktuasi Currency Rate, membangun pengendalian internal yang kuat, menempatkan SDM dengan prinsip “The Right Man on The Right Place”, dan menginvestasikan dana pada penanganan limbah produksi.
Upaya membagi atau mengalihkan dampak risiko yang mungkin timbul (Risk Sharing, Risk Outsourcing). Misalnya, dengan melakukan diversifikasi pada berbagai instrument investasi atau bisnis yang berbeda, menjalin kerja sama atau aliansi bisnis, menutup asuransi, mensubkontrakkan, sejumlah aktifitas bisnis/operasi, dan sebagainya.
Upaya mengurangi/menghentikan dampak negative (kerugian) yang sudah terjadi. Misalnya, menarik dana dari instrument investasi atau bisnis yang terus merugi, menerapkan restrukturisasi terhadap kinerja perusahaan yeng mengalami “bleeding” melakukan pendekatan kepada masyrakat terkait pencemaran limbah yang sudah terjadi.
RISK SHARING/
OUTSOURCING
RISK REDUCTION/
ELIMINATION
RISK MITIGATION
RISKDETECTION
Dari uraian tersebut dapat disimpulkan bahwa hampir tidak ada ruang sekecilpun dalam
bisnis yang bebas dari risiko dan tidak ada risiko bisnis yang tidak dapat ditelusuri, diukur, serta
ditangani. Dengan kata lain, semua risiko bisnis harus dikelola dengan baik. Sekali lagi, kunci
dari pengelolalaan risiko adalah tingkat kememadaian risiko (risk process cycle), yaitu:
1. Identifikasi jenis risiko yang mungkin dihadapi oleh bisnis serta PEMETAAN dampak
negatif yang ditimbulkan oleh setiap jenis resiko tersebut.
2. Pengumpulan, seleksi, dan ANALISIS informasi factual yang relevan dengan setiap jenis
risiko beserta dampaknya.
3. Pengembangan hasil analisis informasi berupa PERAMALAN (forecasting) terhadap
tingkat kemungkinan risiko ke depan.
4. Perencanan, eksekusi, dan Evaluasi PENGENDALIAN Sumber Risiko dan/atau Dampak
Risiko berdasarkan hasil Analisis (Pemetaan) Risiko.
Apa hubungan pengelolaan Risiko dengan pengendalian internal? Titik temu utamanya
adalah pada kepentingan untuk melakukan tindakan pencegahan (preventive action) atau
membangun system peringatan dini (early warning system or alert system or alert system) yang
efektif diperusahaan, dimana berbagai risiko yang mungkin terjadi beserta dampaknya dapat
diidentifikasi, diukur, dan akhirnya dapat diminimalkan sekecil mungkin (controllable risk).
Kalimat-kalaimat sederhana berikut ini memberi gambaran lain tentang hubungan keduanya:
Internal Control adalah alat untuk mendukung Risk management dalam pengumpulan
informasi lapangan, sekaligus sebagai response in action terhadap hasil Risk
Management.
Sebaliknya, Risk Management adalah acuan awal bagi seluruh aktivitas Internal
Control, sekaligus alat evaluasi yang efektif untuk mengukur kememandaian internal
Control yang sedang berjalan.
Internal Control dan Risk Management bagai “otak” dan “hati”, pikiran dan bijaksana, atau bagai
dua sisis mata uang yang tidak bisa terpisahkan. Keduanya merupakan integrated mission bagi
Satuan Kerja Audit Internal.
Artikel terbaru tentang risiko telah menyarankan auditor internal untuk membantu
manajemen dengan tidak hanya mengidentifikasi area-area risiko tetapi juga membantu
manajemen dalam mengendalikan risiko tersebut secara positif. Penulis menyatakan bahwa
risiko biasanya dipandang negatif, padahal risiko merupakan esensi usaha dan fungsi jenis usaha.
Fungsi-fungsi ini biasanya menggunakan kontrol untuk menetralkan risiko yang berlebihan dan
mencoba seperangkat parameter empat risiko ditempatkan pada tingkat di mana aspek positif
melebihi aspek negatifnya. Contoh sederhana adalah penetapan batas kredit atas penjualan: untuk
menetapkan batasan yang ketat dan menghilangkan risiko akan menghilangkan penjualan
marginal yang secara potensial akan dihapuskan dalam kondisi usaha yang normal.
Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan
berhatihati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah
yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit menjadi
suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-risiko yang harus
diambil dan kontrol terkait untuk meningkatkan operasi dari posisi pendapatan dan laba.
Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam
mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang
audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. Jadi:
Kontrol Risiko:
Mendukung suatu program kontrol risiko dan kerugian secara proaktif.
Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko.
Memonitor efektivitas aktivitas kontrol risiko.
Pendanaan Risiko:
Mempertimbangkan semua sumber keuangan yang tersedia.
Mempertahankan proteksi terhadap kerusakan yang mungkin timbul.
Mengalokasikan biaya pendanaan risiko di antara unit-unit operasi secara wajar.
Administrasi:
Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko.
Menerapkan struktur manajemen risiko yang terdefinisi dengan baik.
Mengembangkan tujuan tahunan yang ditargetkan dengan jelas.
Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.
Jadi, auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari
manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk
memberi kontribusi bagi kebaikan manajemen
Tujuan-tujuan Proses Manajemen Risiko
Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan
suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang
tercantum pada Practice Advisory 21'10-1, "Penilaian Kecukupan Proses Manajemen Risiko"
Tujuan-tujuan ini adalah:
Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.
Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau
justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan
dewan komisaris.
Aktivitas-aktivitas pengawasan yang berkelanjutan ailaksanakari untuk secara periodik
menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.
Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik
tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.
Metode-metode Analitis
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang
optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-metode
ini adalah:
Pembuatan bagan alir
Kuesioner konntrol internal
Analisis matriks
1. Pembuatan Bagan Alir
Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol
operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran
aktivitas melalui proses. Bagan tersebut memungkinkan untuk "melihat" operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-kelemahan
kontrol. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan karyawan
operasional; bagaikan sebuah peta jalan yang merupakan alat komunikasi yang, lebih baik
dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan alir juga
menawarkan peluang untuk menyajikan secara komparatif suatu gambar mengenai pendekatan
alternatif untuk suatu proses.
Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di
masa lalu karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas
kertas menggunakan pola plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis
tangan yang final sering kali merupakan produk akhir dari proses sebelumnya yang banyak
mengandung kesalahan dan banyak dihapus. Bagan alir yang ditulis tangan tidak memudahkan
modifikasi. Meskipun merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya
digunakan karena tidak efisien.
Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir.
Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak
tenaga. Sebuah bagan alir yang dibuat menggunakan komputer untuk operasi pemrosesan
pembayaran tampak seperti ini:
Apakah nota
pembayran dan cek sesuai?
Periksa salinan
cek
Siapkan pengganti nota pembayaran, periksa yang
asli
Siapkan induk batch berisi total, kirim ke
EDP
Ya
Siapkan slip setoran bank, saldo untuk pembayaran
batch
Kirim surat ke pelanggan menjelaskan perbedaan dan langkah yang diambil
Cek asli
Ya
Tidak
Nota Pembayaran
Bandingkan aplikasisetoran
Cek Risiko– nota Pengganti bisa jadi untuk akun yang tidak sesuai
Piutang usaha diperbarui
Nota Pengganti
Supervisor harus mengetahui semuatransaksi-transaksi yang dikecualikan
Risiko – Tidak adakontrol untuk penerimaan kas yang tidak dapat diterapkan
Setorkan ke bank
Tampilan Proses Pembayaran yang Ditemukan Selama Audit
Pembayaran yang diterima di kotak pos
Risiko – Semua surat Kotak pos dikosongkan Kontrol tunggal untuk suratbisa jadi tidak diproses oleh kurir; dibawa ke dari kotak pos ke ruang
ruang penyortiran surat penyortirandalam kotak khusus.
Surat disortir, Tidak disiapkan total batchPembayaran ke kotak (Kelompok)
KhususRisiko – Semua penerimaankas bisa jadi tidak diproses pada jumlah yang sesuai Kotak dikirimkan ke unit
Pemrosesan
Risiko – nota pereimaan Amplop dibuka, cek Unit pemrosesan haruslah bisa jadi tidak sesuai dibandingkan dengan sebuah area yang aman
nota pembayaran
Catatan auditor berada di luar symbol-simbol bagan alir.
Auditor melakukan analisis awal tentang risiko dan menggunakan alternatif-alternatif
yang direkomendasikan oleh rekomendasi audit yang tertera pada bagan berikut.
Ya
Pembayaranhanyaditunjukankekotakposkhususpembayaran.Satukotakuntukpembayarandalamjumlahbesar: yang lainuntukjumlah
yang lebihkecil.
Duakaryawanmengosongkankotakdanmenyerahkansuratberisipema
bayaranke unit pemrosesan
Pembayarandalamjumlahbesardiprosesleb
Siapkansetoran bank, saldountuk
batch pembayaran
Pembayaranditerimadalamkotakpos
Suratdisortir, pembayarankekotakk
husus
Kotakposdikosongkanolehkurir;
dibawahkeruangpenyprtiransurat.
kotakdiserahkanke unit pemrosesasan.
Nota pembayaran dan cek sesuai?
Periksasalinan
Sipkan nota pembayaranp
engganti, periksa yang
Suratkepelangganmenjelaskanperbedaandantindakan
yang di ambil
Setorankhususuntukcek-
cekberjumlahbesardisiapkan,
dibawahke bank olehdua orang sebelum jam 2.
Setoranke bank
Siapkaninduk batch dengan
total, kirimke EDP
Piutangusaha di perbaharui
Ya
Tidak
CekAsliNota Pengganti
Supervisorharusmengetahuisemuatransaksipeng
ecualian
Nota Pembayaran
Kontroltunggaluntuksuratdarikotakposkeruangpenyortirandalamkotakkhusus
Unit pemrosesanharusberada
dalam area aman.
Pembayarandalamjumlahkecildiprosess
Amplop-amplopdibuka, cek-
cekdibandingkandengan nota pembayaran
Auditor dapat melakukan observasi tentang metode, risiko, dan control pada bagan alir.
Auditor dapat membuat scenario alternatif dan mencobanya pada bagan sebelum menjadi
rekomendasi audit. Alternatif-alternatif tersebut dapat lebih mudah dibahas dengan manajemen
jika bagan lama dan baru dapat dibandingkan secara berdampingan. Juga, control dapat
didefinisikan dan dibahas untuk menetukan efisiensi dan efektivitasnya.
Jika bagan sudah dibuat, maka bagan tersebut siap ditelaah, dianalisis, dan diperbarui
pada audit selanjutnya. Bagan tersebut juga membantu pengembangan dan pemeliharaan
program audit. Bagan alir yang diperbarui menjadi bagian dari arsip permanen.
2. Kuesioner Kontrol Internal
Pada bab yang membahas Survei Pendahuluan, kuesioner dibahas sebagai sebuah sarana
untuk mendapatkan informasi tentang fungsi yang akan disurvei dan segera diaudit. Terdapat
kuesioner jenis lain yang biasa digunakan oleh auditor. Kuesioner tersebut dikenal sebagai
kuesioner kontrol internal (internal control questionnaire-ICQ). Kuesioner ini berbeda dari
kuesioner dengan pertanyaan terbuka yang digunakan dalam survei pendahuluan.
Kuesioner pertanyaan terbuka mendnyakan pertanyaan-pertanyaan yang membutuhkan
tanggapan naratif dari responden. Kuesioner seperti ini mencari informasi untuk memperluas
pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan
membutuhkan jawaban "ya" atau "tidak" disertai komentar. ICQ membutuhkan jawaban yang
langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan.
ICQ digunakan untuk evaluasi berkelanjutan atas kontrol yang ada dan dapat digunakan
dala4analisis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktivitas atau proses telah
dianalisis daft kontrol yang sesuai telah diterapkan. ICQ merupakan uji ketaatan yang
dimaksu~kan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat
dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor mengenai kontrol
yang seharusnya diterapkan dan diuji selama audit. ,
Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini:
Pertanyaan Jawaban Komentar Metode Dikerjakan Oleh
Apakah cek-cek
dibandingkan
dengan nota
Ya
Tidak
Ini merupakan
bagian untuk
menyakinkan
Tanya jawab
Observasi
Pengujian
JEL
pembayaran? jumlah yang
diterima akan
dikreditkan ke
akun pelanggan
Apakah setoran
bank sesuai
dengan data
pembayaran
sebelum
diserahkan ke
bank
Ya
Tidak
Jika keduanya
tidak sesuai,
setoran
diversifikasi dan
dikirim ke bank
untuk dikredit
secepat mungkin
Tanya jawab
Observasi
Pengujian
MRE
Pertanyaan dijawab 'Ya atau 'Tidak" (digaris bawahi) dan setiap perubahan "Komentar"
dicatat oleh auditor. "Metode" menentukan jawaban dicatat. Suatu tanya jawab, yeitu bertanya
kepada klien, bukan merupakan sumber yang dapat diandalkan seperti halnya observasi.
Memeriksa bahan bukti dokumen yang diperoleh selama pengujian Iebih diharapkan daripada
sekadar observasi. Pengujian catatan dan transaksi memberi peluang untuk memeriksa kejadian
dan mengevaluasi risiko selama jangka waktu tertentu dibandingkan dengan periode pengamatan
yang pendek. Hal ini diperlukan untuk mengevaluasi fungsi kontrol kunci.
Kolom 'Dikerjakan Oleh" harus berisi nama atau inisial orang yang melakukan aktivitas
tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat
penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian
ini terhadap risiko.
Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa
kuesioner tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi
selanjutnya setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi baru,
pemberlakuan hukum dan peraturan baru, dan munculnya banyak peristiwa lain membutuhkan
penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih dilakukan bisa jadi
bukanlah prosedur terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk menentukan
bahwa pertanyaan dan konteks jawabannya tetap relevan. Auditor harus memastikan bahwa ICQ
mengikuti dan merespons perubahan dalam organisasi, metode operasi, dan tujuan organisasi.
Perubahan dalam setiap hal ini membutuhkan perubahan dalam ICQ.
3. Analisis Matriks
Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control
and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis
matriks tersebut dapat digunakan untuk analisis kontrol di aktivitas mana pun.
Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna
memastikan bahwa setiap risiko memiliki kontrol yang layak. Matriks kontrol juga mengakui
bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai
contoh, sebuah kunci melindungi aset dari kemungkinan hilang dengan membatasi akses. Hal ini
juga memberikan akuntabilitas untuk menangani aset karena orang yang memegang kunci akan
bertanggung jawab jika aset yang sudah diamankan tersebut hilang. Suatu anggaran menetapkan
tujuan dan sasaran yang akan dicapai dan menjadi alat ukur kinerja. Anggaran juga menetapkan
otoritas manajer untuk bertindak dalam kendala keuangan berupa anggaran.
Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1);
tingkat keyakinan ini disebut sebagai primer (P) karena merupakan kontrol utama menghadapi
risiko.
Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan
menghadapi risiko lain (Risiko 2), tetapi tingkat keyakinannya lebih kecil dari kontrol yang
semula dirancang untuk itu.
Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko 2 memiliki kontrol primernya
sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan menghadapi Risiko 2 ketika
menghadapi Risiko 1.
Suatu kontrol dapat memberikan tingkat keyakinan ketiga atas kontrol yang lain (Risiko
3). Tingkat keyakinan ini disebut sebagai berguna (B). Tingkat keyakinan tersebut tidak cukup
hanya mengandalkan kontrol menghadapi Risiko 3 tetapi kontrol ini bisa memunculkan pertanda
atas adanya Risiko 3 yang harus diinvestigasi.
Matriks risiko dan kontrol tampak seperti ini:
Kontrol A Kontrol B Kontrol C
Risiko I P B
Risiko 2 S P B
Risiko 3 P
Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini.
Dalarn sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yangberkaftan
dengan akses ke atxsip data. Perhatikan risiko-risiko berikut ini dan kontrol primernya.
Risiko
1. Individu yang tidak memiliki
otorisasi di dalam organisasi bisa
mengakses catatan komputer.
Kontrol Primer
A. ID pengguna dan kata sandi
dibutuhkan untuk mengakses sistem
komputer.
2. Individu yang tidak memiliki
otorisasi di luar organisasi bisa
mengakses catatan komputer.
B. Alat modem dihubungkan hanya
jika pengguna eksternal yang dikenal
meminta akses dan tidak
disambungkan di akhir sesi.
3. individu yang tidak memiliki
otorisasi bisa mencoba mendapatkan
akses catatan ke komputer, dan bisa
C. laporan usaha yang gagal
dihasilkan dari sistem penegaman,
dan laporan tersebut diperiksa setiap
hari oleh pegawai pengaman data.
Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol? ID pengguna dan
kata sandi (A) adalah kontrol primer untuk menghadapi orang dalam yang tidak terotorisasi yang
mencoba mengakses catatan komputer organisasi.
Memutuskan sambungan modem pada saat tidak digunakan (B) merupakan perlindungan
primer menghadapi penyusup luar. Mereka tidak dapat mengakses pada waktu sirkuit terhubung
Ice pengguna resmi. Jika modem tidak disambungkan pada saat sesi resmi diselesaikan, tidak ada
jalan bagi hacker untuk mengakses. Jika modem masih terkoneksi dan sirkuit masih terbuka,
tingkat kontrol selanjutnyaID pengguna dan kata sandi-akan tersedia sebagai penghalang
terhadap hacker (sekunder). Kontrol tersebut dapat diandalkan untuk menghadapi hacker
meskipun dibuat untuk menghadapi orang dalam yang tidak memiliki otorisasi. (Primer) Jika
modem terkoneksi dan hacker mencoba selama beberapa hari, laporan pengamanan harian (C)
akan memberi tanda kepada pegawai pengamanan data. (Berguna).
Penelaahan atas laporan pengamanan harian berguna untuk menghadapi orang dalam
yang tidak memiliki otorisasi karena akan melaporkan seseorang yang mencoba mengakses
dengan ID pengguna dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini, pegawai
pengamanan data dapat memulai langkah-langkah untuk menemukan orang yang mencoba
masuk. Mengapa ini hanya merupakan kontrol yang berguna? Laporan tersebut tidak bernilai
dalam mencegah akses ke komputer. Apalagi, laporan tersebut menampilkan upaya yang gagal
ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang bukan merupakan
kesalahan berbahaya. Oleh karena itu, laporan tersebut tidak dapat diandalkan dalam mendeteksi
segera atau hanya upaya akses dengan niat jahat.
Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol primer yang
berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya untuk menerapkan beberapa kontrol
atas risiko yang sama karena takut salah satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat
digunakan untuk lebih dari satu tujuan dan memberikan kontrol yang dibutuhkan, sistem tersebut
sudah lebih kuat tanpa perlu tambahan biaya.
4. Kontrol Preventif dan Detektif
Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol-preventif atau detektif.
Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol detektif
mendeteksinya sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di atas, dua
kontrol-memutuskan kata sandi dan modem-adalah kontrol preventif. °Orang-orang jahat" tidak
bisa mendapat akses karena kontrol ini diterapkan.
Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan
upaya orangorang tidak bertanggung jawab untuk masuk ke sistem. Jika pengguna yang tidak
memiliki otorisasi bisa mengakses pada hari pertama, laporan di pagi hari akan memberikan
informasi yang bisa digunakan untuk mengejar si hacker, tetapi hanya setelah kejadian.
Kontrol detektif memiliki sifat "aktivitas setelah fakta' dan membutuhkan empat unit
tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi, atau menemukan masalah atau
risiko yang ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang tidak
diinginkan untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan. Tindakan
ketiga adalah koreksi. Tindakan terakhir adalah pengecekan lerhadap tindakan korektif untuk
melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau dinetralkan.
Ada dua aspek lain dari kontrol detektif yang -membuatnya kurang efektif dibandingkan
kontrol preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Penelaahan dan
analisis dapat ditangguhkan jika tekanan lain meningkat, dan dapat diabaikan jika orang yang
ditugaskan merasa pekerjaan tersebut tidak menyenangkan. Kedua, kontrol detektif kelihatannya
hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan. Akan tetapi, kita
tidak bisa mengetahui tidak adanya hal-hal yang tidak diinginkan atau tidak adanya risiko sampai
pemeriksaan diselesaikan. Untuk itulah terdapat keadaan-keadaan yang kontrol detektif
merupakan satu-satunya pilihan. Bukan kontrol preventif yang bisa mengamankan setiap risiko
yang mungkin muncul. Sebagai contoh buku cek dapat ditempatkan dalam tempat terkunci-
sebuah kontrol preventif. Hal ini tidak menghilangkan kebutuhan untuk memeriksa cek untuk
mendeteksi adanya perubahan yang dilakukan dan pemalsuan- sebuah kontrol detektif.
Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol
preventif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan atau diabaikan.
Sehingga matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis. Contoh
sebelumnya digunakan dengen sifat kontrol ditampilkan dalam tanda kurung.
Kontrol A Kontrol B Kontrol C
Risiko 1 P(p) B(d)
Risiko 2 S(p) P(p) B(d)
Risiko 3 P(d)
Dalam beberapa penggunaan dari pendekatan ini, tanda (p) atau (d) ditempatkan pada awal
kolom dengan identifikasi kontrol. Hal ini cenderung menghilangkannya dari daerah
pertimbangan jika analisis dilakukan. Memposisikan sifat dengan tingkat keyakinan
meningkatkan efisiensi dan efektivitas analisis, khususnya jika matriksnya besar dengan
banyak kolom dan baris.
I. Sistem Evaluasi Risiko
Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah
mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas pertanyaan-
pertanyaan yang dapat mereka simpulkan merupakan risiko penentu yang signifikan. Pertanyaan-
pertanyaan seperti yang disajikan di awal bab ini divalidasi melalui pengalaman lampau dan
melalui pembahasan dengan manajemen dan pegawai audit internal. Aspek pentingnya adalah
penentuan jawaban spesifik dan bobotnya. Sebagai contoh, organisasi harus mempertimbangkan
berapa volume transaksi yang merupakan indikator potensial. Hal ini dapat bervariasi menurut
ukuran organisasi. Bobot diberikan ke jawaban-jawaban ini dan sebuah metodologi untuk
menjumlahkan jawaban ditentukan. Tergantung dari pengalaman dan situasi saat ini, beberapa
pertanyaan bisa memiliki bobot lebih tinggi dibandingkan yang lain. Sebagai contoh, sensitivitas
informasi bisa memiliki bobot lebih tinggi dibandingkan bila digit terakhir dilaksanakan.
Skor risiko untuk situasi tertentu dievaluasi terhadap semua risiko lainnya dan digunakan
untuk membuat rencana audit. Beberapa organisasi menggunakan model ini untuk menetapkan
jam penugasan. Organisasi yang sedang mengembangkan program seperti ini yakin bahwa
manfaat yang didapat jelas melebihi biayanya dan memungkinkan pendekatan yang lebih
objektif untuk penentuan risiko. Namun, ada organisasi-organisasi yang justru meyakini
sebaliknya dan, bila mereka menggunakan kuesioner, maka tergantung auditor untuk
memutuskan berdasarkan evaluasinya terhadap jawaban pertanyaan.
BAB III
PENUTUP
A. Kesimpulan
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus
ditentukan. Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan
terus-menerus dari manajemen. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang
muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan
dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses
penentuan risiko itu sendiri merupakan hal penting bagi audit.
Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian
organisasi yang berbeda.
“Risiko” terkait erat dengan situasi ketidakpastian (uncertaiunt) hasil atau dampak dari
proses yang sedang berjalan atau sesuatu yang belum terjadi atau situasi/kesempatan diwaktu
mendatang, dimana ada probabilitas (probability) tidak sesuai dengan yang diharapkan,
merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan kurangnya informasi (atau
analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil analisis informasi) tentang
apa yang akan terjadi.
Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis
secara sederhana dapat didefinisikan sebagai:
“Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa
depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan
dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan
penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.
Daftar Pustaka
'Committee of Sponsoring Organizations of the Treadway Commission, Internal Control
Integrated Framework (Jersey City, NJ: COSO, 1992), 29.
Sawyer, Lawrence B. 2005. Sawyer’s Internal Auditing. Jakarta: Salemba Empat.