15 2-Risk Asessmen (1)
-
Upload
ekky-febrianti-astuti -
Category
Documents
-
view
33 -
download
6
Transcript of 15 2-Risk Asessmen (1)
Pag14
I. PENGERTIAN RESIKO
Resiko adalah segala hambatan yang mungkin terjadi dalam pencapaian suatu
tujuan. Sedangkan menurut beberapa ahli artii dari resiko adalah sebagai berikut :
• Resiko adalah suatu variasi dari hasil-hasil yang dapat terjadi selama periode
tertentu (Arthur Williams dan Richard, M.H)
• Resiko adalah ketidaktentuan (uncertainy) yang mungkin melahirkan peristiwa
kerugian (loss) (A. Abas Salim)
• Resiko adalah ketidakpastian atas terjadinya suatu peristiwa (Soekarto)
• Resiko adalah probalitas sesuatu hasil / outcome yang berbeda dengan yang
diharapkan (Herman Darmawi)
Sedangkan penilaian resiko menurut Muhammad Badrus adalah sebuah aktifitas
yang dilakukan untuk mendeteksi atau mengevaluasi kemungkinan adanya kesalahan atau
penurunan kualitas akibat beroperasinya suatu kegiatan. Pendapat lainnya, penilaian risiko
adalah mengkuantitatifkan atau menggolongkan tingkatan risiko agar mudah dikelola dan
dilakukan penanganan yang tepat sesuai prinsip Cost and Benefit. Penentuan resiko (risk
assessment) merupakan hal penting bagi manajemen dan auditor.Bagi manajemen
penentuan resiko merupakan tanggungjawab yang tidak terpisahkan dan dilakukan secara
terus menerus.Karena manajemen tidak dapat menetapkan tujuan dan dengan mudah
mengasumsikan bahwa tujuan tersebut telah tercapai.Banyak hambatan yang timbul dalam
pencapaian tujuan tersebut dan hambatan tersebut bisa berasal dari luar entitas maupun
dari dalam entitas.Sejumlah resiko tidaklah dalam bentuk yang statis tetapi juga dinamis
sesuai dengan perubahan yang terjadi sehingga selalu ada resiko-resiko baru yang muncul
setiap waktu. Oleh karena itu penentuan resiko harus berjalan berkelanjutan dalam proses
manajemen yang dilakukan secara terorganisir dan berurutan.
Sedangkan bagi auditor, dalam kegiatan audit harus memasukan hasil penentuan
resiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan
memang diterapkan untuk mengurangi risiko. Resiko dalam audit atau resiko audit
memperlihatkan resiko yang dihadapi auditor yang menyatakan bahwa laporan keuangan
tersebut telah benar sehingga dan pendapat auditor telah diterbitkan, tetapi pada
Pag14
kenyataannya laporan tersebut ternyata tidak benar dan materialitasnya tinggi. hal tersebut
menyebabkan pendapat auditor tersebut menjadi tidak bermutu bagi para penggunanya.
Hal ini bisa terjadi karena auditor hanya mampu mengumpulkan bukti berdasarkan tes
transaksi dan kesalahan yang telah diatur sedemikian rupa menyebabkan menjadi sangat
sulit dideteksi meskipun auditor telah bekerja sesuai dengan standar audit yang berlaku.
Menurut studi yang dilakukan oleh COSO, pembahasan tentang penentuan resiko
adalah sebagai berikut:
“Setiap entitas menghadapi berbagai resiko baik dari lua maupun dari dalam yang
harus ditentukan.Persyaratan awal untuk menentukan resiko adalah adanya
penetapan tujuan yang dihubungkan pada tingkat-tingkat yang berbeda dan
konsisten di dalam organisasi. Penentuan resiko adalah identifikasi dan analisis
resiko-resiko yang relevan untuk mencapai tujuan entitas, yang membentuk suatu
dasar untuk menentukan cara pengelolaan resiko. Karena kondisi ekonomi, industri,
peraturan, dan operasi akan terus menerus berubah, maka dibutuhkan mekanisme
untuk mengidentifikasi dan menangani resiko-resiko khusus yang berhubungan
dengan perubahan.”
Pada proses perencanaan audit, salah satu proses yang harus dilakukan oleh seorang
auditor adalah melakukan penilaian resiko bisnis klien. Auditor mempergunakan
pengetahuan yang didapatkan dari pemahaman sistem strategi akan bisnis dan industri klien
untuk melakukan penilaian resiko tersebut. Resiko bisnis klien adalah resiko dimana klien
akan gagal dalam mencapai tujuannnya. Perhatian utama seorang auditor adalah resiko dari
salah saji material dalam laporan keuangan yang disebabkan oleh resiko bisnis klien. Dalam
menilai resiko bisnis klien juga harus mempertimbangkan kontrol manajemen yang bisa
mengurangi resiko bisnis .
Auditor menerima sejumlah tingkat resiko atau ketidakpastian dalam melaksanakan
fungsi auditnya.Auditor mengenali bahwa terdapat suatu ketidakpastian tentang
kompetensi bukti, ketidakpastian tentang efektivitas dari dari pengendalian intern yang
dimiliki klien, serta ketidakpastian tentang apakah laporan keuangan telah disajikan secara
wajar pada saat audit telah selesai dilakukan. Auditor yang efektif mengenali kehadiran
sejumlah risiko serta akan bergumul dengan risiko-risiko tersebut dalam suatu cara
Pag14
pendekatan yang tepat. Mayoritas risiko yang dihadapi oleh auditor sulit untuk diukur serta
membutuhkan pemikiran yang cermat agar dapat direspons dengan tepat. Menjawab
berbagai risiko ini secara tepat merupakan suatu hal kritis dalam rangka menghasilkan suatu
audit yang berkualitas tinggi.
Auditor mendapat sebuah pemahaman tentang bisnis dan industri klien dan menilai
risiko bisnis klien untuk menilai kemungkinan salah saji mateial dalam laporan keuangan
klien. Auditor menggunakan model risiko audit untuk mengidentifikasikan lebih jauh
potensial untuk kesalahan saji dan dimana mereka paling mungkin terjadi.
Cara utama yang dipergunakan oleh auditor untuk mempertimbangkan risiko yang
ada dalam merencanakan bukti audit yang akan dikumpulkan adalah melalui penerapan
model risiko audit (audit risk model). Sumber dari model risiko audit ini adalah literatur
profesional yang terdapat dalam SAS 39 (AU350) tentang sampling audit serta dalam SAS 47
(AU 312) tentang materialitas dan risiko. Model resiko audit umumnya digunakan bagi
berbagai tujuan perencanaan untuk memutuskan berapa banyak bukti audit yang akan
dikumpulkan pada setiap siklusnya. Formula atas model resiko audit adalah sebagai berikut:
PDR= AARIR xCR
Keterangan : PDR : planned detection risk (rentan bukti yang harus dikumpulkan auditor)
AAR : acceptable audit risk (tingkatan resiko yang masih bisa diterima
auditor)
IR : inheren risk (keyakinan atas tidak adanya salah saji diluar SPI)
CR : control risk (keyakinan atas efektifitas SPI)
II. JENIS-JENIS RESIKO
A. Risiko Deteksi Terencana
Risiko deteksi terencana (planned detection risk) merupakan ukuran risiko
bahwa bukti audit atas segmen tertentu akan gagal mendeteksi keberadaan salah
saji yang melebihi suatu nilai salah saji yang masih dapat ditoleransi, andaikan salah
Pag14
saji semacam itu ada. Terdapat dua poin utama tentang risiko deteksi terencana ini
yaitu sebagai berikut :
1. Risiko ini tergantung pada ketiga faktor lainnya yang terdapat dalam model.
Risiko deteksi terencana hanya akan berubah jika auditor melakukan
perubahan pada salah satu dari ketiga faktor lainnya tersebut.
2. Risiko ini menentukan nilai substantif yang direncanakan oleh auditor untuk
dikumpulkan, yang merupakan kebalikan dari ukuran risiko deteksi terencana
itu sendiri.
Jika nilai risiko deteksi terencana berkurang, maka auditor harus
mengumpulkan lebih banyak bukti audit untuk mencapai nilai risiko deteksi yang
berkurang ini.
B. Risko inheren
Risko inheren (inheren risiko) merupakan suatu ukuran yang dipergunakan
oleh auditor dalam menilai adanya kemungkinan bahwa terdapat sejumlah salah saji
yang material (kekeliruan atau kecurangan) dalam suatu segmen sebelum ia
mempertimbangkan keefektifan dan pengendalian intern yang ada. Dengan
mengasumsikan tiadanya pengendalian intern, maka risiko inheren ini dapat
dinyatakan sebagai kerentanan laporan keuangan terhadap timbulnya salah saji yang
material. Jika auditor, dengan mengabaikan pengendalian intern, menyimpulkan
bahwa terdapat suatu kecenderungan yang tinggi atas keberadaan sejumlah salah
saji, maka auditor akan menyimpulkan bahwa tingkat risiko inherennya tinggi.
pengendalian intern diabaikan dalam menetapkan dalam menetapkan nilai risiko
inheren karena pengendalian intern ini dipertimbangkan secara terpisah dalam
model risiko audit sebagai risiko pengendalian. Penilaian ini cenderung didasarkan
atas sejumlah diskusi yang telah dilakukan dengan pihak manajemen, pemahaman
yang dimiliki akan perusahaan, serta hasil-hasil yang diperoleh dari tahun-tahun
sebelumnya.
Pag14
Hubungan antara risiko dengan risiko deteksi terencana serta dengan bukti
audit yang direncanakan adalah sebagai berikut : risiko inheren saling berlawanan
dengan risiko deteksi terencana serta memiliki hubungan yang searah dengan bukti
audit.
Selain semakin meningkatnya bukti audit yang diperlukan untuk suatu tingkat
risiko inheren yang lebih tinggi dalam suatu area audit tertentu, merupakan hal yang
umum dilakukan pula untuk menugaskan staf yang telah memiliki lebih banyak
pengalaman untuk melakukan audit pada area tersebut serta melakukan riview yang
lebih mendalam pada kertas kerja yang telah selesai dibuat. Sebagai contoh : jika
risiko inheren atas keusangan persediaan sanagt tinggi, maka sangatlah masuk akal
bila kantor akuntan publik memilih staf yang berpengalaman untuk melakukan
sejumlah tes yang lebih mendalam atas keusangan persediaan ini dan melakukan
review yang lebih cermat atas hasil-hasil yang diperoleh dari audit ini.
C. Resiko pengendalian
Resiko pengendalian (control risk) merupakan ukuran yang digunakan oleh
auditor untuk menilai adanya kemungkina bahwa terdapat sejumlah salah saji
material yang melebihi nilai salah saji yang masi dapat ditoleransi atas segmen
tertentu akan tidak terhadang atau tidak terdeteksi oleh pengendalian intern yang
dimiliki klien. Resiko pengendalian ini memperhatikan 2 hal berikut:
1. penilaian tentang apakah pengendalian intern yang dimiliki klien efektif
untuk mencegah atau mendeteksi terjadinya salah saji.
2. kehendak auditor membuat penilaian tersebut senantiasa berada di bawah
nilai maksimum (100 persen) sebagai bagian dari rencana audit yang
dibuatnya.
Model resiko audit menunjukan hubungan yang erat antara resiko inheren
dan resiko pengendalian.
Pag14
Sama dengan yang terjadi pada resiko inheren, hubungan antara resiko
pengendalian dan resiko deteksi terencana adalah saling berlawanan, sementara
hubungan antara resiko pengendalian dan bukti substantif merupakan hubungan
yang searah. Sebagai contoh, jika auditor menyimpulkan bahwa pengendalian intern
bersifat efektif, maka nilai resiko deteksi terencana dapat meningkat sehingga
jumlah bukti audit yang direncanakan akan dikumpulkan akan turun. Auditor dapat
meningkatkan resiko deteksi terencana pada saat pengendalian intern bersifat
efektif karena pengendalian intern yang efektif akan mengurangi kemungkinan
hadirnya salah saji dalam laporan keuangan.
Sebelum auditor dapat menetapkan nilai resiko pengendalian kurang dari
100 persen, auditor harus memahami pengendalian intern yang ada, dan
berdasarkan pemahaman itu, auditor melakukan evaluasi tentang bagaimana
seharusnya fungsi pengendalian intern tersebut, serta melakukan uji atas efektifitas
pengendalian intern tersebut. Hal pertama dari semua ini adalah keharusan untuk
memahami semua jenis audit. Dua hal terakhir adalah langkah-langkah penilaian
resiko pengendalian yang diperlukan jika auditor memilih untuk memberikan nilai
atas resiko pengendalian supaya berada di bawah nilai maksimum.
D. Resiko akseptibilitas audit
Resiko akseptibilitas audit (acceptable audit risk) merupakan ukuran atas
tingkat kesediaan auditor untuk menerima kenyataan bahwa laporan keuangan
mungkin masih mengandung salah saji yang material setelah audit selesai
dilaksanakan serta suatu laporan audit wajar tanpa syarat telah diterbitkan. Ketika
auditor memutuskan untuk menetapkan suatu tingkat resiko akseptibilitas audit
yang lebih rendah, hal tersbut berarti bahwa auditor ingin memperoleh tingkat
keyakinan yang lebih tinggi bahwa laporan keuangan tidak mengandung salah saji
yang material. Resiko nol berarti yakin sekali, dan suatu tingkat resiko sebesar 100
persen berarti benar-benar tidak yakin.
Pag14
Dalam audit terdapat istilah audit assurance atau tingkat keyakinan, yaitu
merupakan pelengkap dari resiko akseptibilitas audit. Audit assurance dihitung
dengan perhitungan satu dikurangi resiko akseptibilitas audit. Sebagai contoh,
tingkat resiko akseptibilitas audit sebesar 2 persen sama dengan tingkat audit
assurance sebesar 98 persen.
Dengan mempergunakan model audit, akan terlihat adanya hubungan yang
searah antara resiko akseptibilitas audit dan resiko deteksi terencana, serta
hubungan yang saling berlawanan antara resiko akseptibilitas audit dan bukti audit
yang direncanakan. Sebagai contoh, jika auditor memutuskan akan mengurangi nilai
resiko akseptibilitas audit, maka akan mengurangi pula resiko deteksi terencana
serta bukti audit yang direncanakan akan dikumpulkan harus ditingkatkan. Auditor
pun seringkali harus menugaskan staf yang lebih berpengalaman atau mereview
kertas kerja dengan lebih cermat bagi klien dengan tingkat resiko akseptibilitas audit
yang lebih rendah.
E. Resiko kecurangan
Resiko kecurangan merupakan resiko selain 4 resiko di atas dan resiko ini
biasanya di perhitungkan di luar dari model resiko audit.Karena resiko kecurangan
secara konsep dan praktek sangat sulit untuk dipisahkan faktor-faktornya ke dalam 4
jenis resiko di atas.Kecurangan sendiri memiliki arti kesalahan penyajian yang
dilakukan secara sengaja dalam bentuk penggelapan aktiva dan kecurangan
pelaporan keuangan.
Untuk menilai resiko kecurangan, auditor mengumpulkan informasi untuk
menentukan luasnya keberadaan kondisi kecurangan. Hal-hal yang menyebabkan
timbulnya resiko kecurangan antara lain tekanan yang diterima manajemen baik
kelompok maupun individual, kesempatan yang tercipta, dan perilaku manajemen
untuk membiarkan terjadinya tindakan ketidakjujuran tersebut.
Pag14
III. PENILAIAN RISIKO
A. Menilai Risiko Yang Dapat Diterima ( Acceptable Audit Risk )
Auditor harus memutuskan risiko audit yang dapat diterima yang tepat bagi
suatu audit selama perencanaan audit. Pertama, auditor memutuskan risiko risiko
penugasan.
Risiko penugasan (engagement risk) adalah risiko bahwa auditor atau
organisasi yang membawahi auditor akan menderita kerugian setelah selesainya
audit, walaupun laporan audit sudah benar.
Untuk menilai risiko audit yang dapat diterima, auditor harus menilai setiap
factor yang mempengaruhi risiko audit yang dapat diterima
Faktor faktor utama yang mempengaruhi resiko penugasan dan
mempengaruhi resiko yang audit yang dapat diterima antara lain:
a. Derajat ketergantungan pemakai eksternal pada laporan keuangan
b. Kemungkinan klien mengalami kesulitan keuangan
c. Integritas manajemen
Metode yang digunakan menilai risiko audit yang dapat diterima
a. Derajat ketergantungan pemakai eksternal pada laporan keuangan
Menelaah laporan keuangan
Membaca notulen rapat dewan direksi unruk menentukan rencana
masa depan
Membahas rencana pembiayaan dengan manajemen.
b. Kemungkinan klien mengalami kesulitan
Menganalisis keuangan laporan keuangan dan menggunakan
prosedur analitis lainnya
Pag14
Menelaah laporan arus kas historis dan proyeksi, untuk mempelajari
arus kas masuk dan keluar
c. Integritas manajemen
Menganalisa prosedur penerimaan klien dan kelanjutan klien.
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK
Penilaian risiko pemeriksaan yang dapat diterima secara kualitatif bisa dibagi
menjadi 3 kategori yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima rendah,
2. Tingkat risiko pemeriksaan yang dapat diterima menengah,
3. Tingkat risiko pemeriksan yang dapat diterima tinggi.
Sedangkan penilaian risiko pemeriksaan menggunakan pendekatan
kuantitatif menetapkan tingkat risiko pemeriksaan yang dapat diterima merujuk
pada ASOSAI yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima sebesar 5 %, artinya
tingkat keyakinan pemeriksa atas opininya sebesar 95% (AAR=1-tingkat
keyakinan). Tingkat ini berlaku untuk sebagian besar entitas yang
diperiksa.
2. Tingkat risiko pemeriksaan yang dapat diterima sebesar 3%, artinya
tingkat keyakinan pemeriksa atas opininya sebesar 97%. Tingkat ini
dinilai cukup memadai untuk beberapa entitas yang sangat sensitif atau
berisiko tinggi.
3. Tingkat risiko pemeriksaan yang dapat diterima sebesar 1%, artinya
tingkat keyakinan pemeriksa atas opininya sampai 99%. Tingkat ini
berlaku bagi beberapa entitas dengan ciri-ciri sebagai berikut:
Pag14
Entitas tersebut mempunyai pengguna eksternal yang sangat ekstensif
perhatiannya terhadap laporan keuangan entitas tersebut, dan/atau
Entitas tersebut cukup rentan akan terjadinya salah saji material dan
secara politik sensitif dan/atau adanya harapan atas kewajaran laporan
keuangan entitas tersebut sehingga pemeriksa membutuhkan tingkat
keyakinan yang sangat tinggi.
Pemeriksa harus menentukan risiko pemeriksaan yang dapat diterima
berdasarkan identifikasi kondisi entitas yang diperiksa dan juga informasi penting
lainnya yang berkaitan. Pemeriksa juga perlu mempertimbangkan harapan
penugasan atas entitas diperiksa apalagi jika entitas tersebut mempunyai
stakeholders yang luas.
B. Menilai Risiko Inheren (Inherent Risk)
Auditor melakukan penilaian risiko inheren selama tahap perencanaan dan
memperbaharui penilaian tersebut selama audit berlangsung. Auditor harus
mengevaluasi informasi yang mempengaruhi risiko inheren serta memutuskan faktor
risiko inheren yang tepat bagi setiap tujuan audit.
Faktor faktor yang mempengaruhi risiko inheren :
a. Sifat bisnis klien
Risiko inheren untuk akun tertentu dipengaruhi oleh sifat bisnis klien.
Pemahaman auditor atas bisnis klien akan membantu menilai risiko inheren ini.
b. Hasil audit sebelumnya
Salah saji yang ditemukan dalam audit tahun sebelumnya dapat ditemukan
lagi dalam audit tahun berjalan. Oleh karena itu auditor tidak boleh mengabaikan
Pag14
hasil audit tahun sebelumnya selama mengembangkan proses audit di tahun
berjalan.
c. Penugasan awal vs penugasan berulang
Auditor akan memperoleh pengalaman dan pengetahuan tentang
kemungkinan salah saji setelah mengaudit klien selama beberapa tahun. Auditor
menetapkan risiko inheren yang tinggi pada tahun pertama audit dan mengurangi
tinggkat risikonya pada tahun berikutnya karena telah semakin memahami klien.
d. Pihak pihak yang terkait
Pihak yang terkait yaitu perusahaan induk dengan perusahaan anak, serta
manajemen dan entitas perusahaan.Risiko inheren atas transaksi pihak yang terkait
ini sangat tinggi karena kemungkinan salah saji yang lebih besar.
e. Transaksi non rutin
Transaksi yang tidak biasa bagi klien lebih besar resikonya dibandingkan
transaksi rutin karen pengalaman untuk transaksi non rutin masih sedikit.
f. Pertimbangan yang diperlukan untuk mencatat saldo akun dan transaksi
dengan tepat
Auditor harus memperbesar risiko inheren karena banyak akun memerlukan
estimasi dan banyak pertimbangan manajemen.
g. Unsur unsur populasi
Seluruh item yang membentuk populasi mempengaruhi ekspektasi auditor
mengenai salah saji yang material
h. Faktor faktor yang berkaitan dengan pelaporan keuangan yang curang dan
misapropriasi aktiva
Menurut konsep maupun praktik sangat sulit memisahkan faktor faktor risiko
kecurangan ke dalam risiko yang dapat diterima ataupun risiko inheren.
Pag14
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK
Secara kualitatif, risiko inheren terbagi menjadi lebih rendah dan lebih tinggi.
Pemeriksa dapat mendokumentasikan penilaian risiko inherennya pada setiap level
melalui formulir Audit Risk Matrix (ARM). Berdasarkan analisis pada matriks ARM
maka dihasilkan akun-akun apa saja yang signifikan dan beresiko tinggi terhadap
kewajaran laporan keuangan.
a. Lebih tinggi atau 100%. Pada saat pemeriksa mengidentifikasi risiko tertentu
atau faktor lain yang menimbulkan keyakinan bahwa terdapat kemungkinan
yang lebih besar akan terjadinya kesalahan atas hal yang menurut
pemeriksaan penting, pemeriksa akan menilai risiko inheren bagi asersi
laporan keuangan yang relevan dengan kriteria lebih tinggi. Pemeriksa juga
menganggap risiko inheren sebagai 100% sebagai hasil pertimbangan
profesionalnya dan bersifat konservatif.
b. Lebih rendah atau <100%. Jika pemeriksa yakin bahwa kecil kemungkinan
terjadinya kesalahan atas hal yang menurut pemeriksaan penting (dengan
asumsi tidak ada pengendalian), pemeriksa akan memberi penilaian dengan
kriteria lebih rendah.
C. Menilai Risiko Deteksi Yang Direncanakan (Planned Detection Risk)
Para auditor menetapkan tingkat risiko deteksi yang dapat diterima (risiko
deteksi yang direncanakan) yang mempengaruhi tes-tes substantif yang mereka
lakukan.
a. Jika tingkat risiko deteksi yang direncanakan rendah, maka auditor akan
mengumpulkan bukti sebanyak mungkin untuk menurunkan risiko kesalahan
saji .
Pag14
b. Tingkat risiko deteksi yang direncanakan tinggi maka auditor mengurangi
pengumpulan bukti .
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK,
Ada dua jenis risiko deteksi berkaitan dengan audit sampling, yaitu risiko
prosedur analitis dan risiko pengujian substantive.
a. Risiko prosedur analitis berasal dari keputusan pemeriksa untuk
menggunakan pertimbangannya dan menentukan apakah prosedur analitis
merupakan prosedur yang efektif dan efisien dalam mendapatkan bukti
pemeriksaan yang memadai.
b. Penilaian risiko prosedur analitis sangat subyektif dan sulit untuk
dikuantifikasikan. Oleh sebab itu biasanya pemeriksa secara konservatif
memberikan nilai risiko ini cukup tinggi, yaitu antara 40% hingga 100%.
D. Menilai Risiko Pengendalian (Control Risk)
Auditor harusmemahami perancangan dan pengimplementasian
pengendalian internal untuk melakukan penilaian pendahuluan atas risiko
pengendalian.Setelah memahami pengendalian internal, auditor dapat membuat
penilaian pendahuluan atas risiko pengendalian sebagai bagian dari penilaian risiko
secara keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor bahwa
pengendalian internal akan mencegah salah saji material atau mendeteksi dan
mengoreksinya jika terjadi.
Banyak auditor menggunakan matriks risiko pengendalian (control risk
matrix) untuk membantu proses penilaian risiko pengendalian. Tujuannya adalah
menyediakan cara yang mudah untuk mengatur penilaian risiko pengendalian bagi
setiap tujuan audit.
Langkah langkah dalam penilaian risiko pengendalian:
Pag14
Mengidentifikasi tujuan audit
Mengidentifikasi pengendalian yang ada
Menghubungkan pengendalian dengan tujuan audit
Mengidentifikasi dan mengevaluasi defisiensi pengendalian, defisiensi yang
signifikan dan kelemahan yang material
Menghubungkan defisiensi yang signifikan dan kelemahan yang material
dengan tujuan audit terkait.
Menilai risiko pengendalian untuk setiap tujuan audit.
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan BPK
Setelah pemeriksa menilai risiko inheren, risiko pengendalian juga harus
dinilai sebagai bagian proses penilaian risiko dalam pemeriksaan keuangan.
Penilaian risiko pengendalian merupakan estimasi terhadap risiko
pengendalian intern yang sangat bergantung pada bagaimana hasil evaluasi
pemeriksa yang bersangkutan terhadap pengendalian intern entitas yang diperiksa,
meskipun pertimbangan profesional pemeriksa masih juga menentukan.
Apabila sistem pengendalian intern entitas yang diperiksa telah dirancang
secara memadai, dan pengujian ketaatan yang dilaksanakan pemeriksa menunjukkan
bahwa pengendalian tersebut telah dijalankan secara memadai pula, maka
pemeriksa akan merasa bahwa pengendalian intern tersebut dapat diandalkan, yang
berarti bahwa dia akan memberikan estimasi yang cukup rendah terhadap risiko ini.
Demikian pula sebaliknya.
Berdasarkan matriks CRM, Pemeriksa dapat menilai risiko pengendalian
menjadi "minimum”, "moderat” atau "maksimum”untuk dimasukkan kedalam
matriks ARM.
Pag14
a. Minimum atau keyakinan pemeriksa sangat terjamin atas efektivitas
pengendalian intern dengan rentang risiko pengendalian sebesar 10-30%.
Pemeriksa menilai pengendalian sebagai efektif dan melaksanakan test of
controls untuk mengkonfirmasikan bahwa pengendalian telah beroperasi
secara efektif sepanjang periode. Pemeriksa mengevaluasi kecukupan dari
bukti yang sudah diperoleh serta apakah bukti ini mendukung penilaian
"minimum". Jika pemeriksa menyimpulkan bahwa bukti-bukti pemeriksaan
tidak mendukung penilaian ini, pemeriksa mempertimbangkan kembali
evaluasinya atas efektivitas pengendalian. Jika pengendalian ditemukan
ternyata tidak efektif, pemeriksa menilai risiko pengendalian sebagai
"maksimum".
b. Moderat atau keyakinan pemeriksa cukup terjamin atas efektivitas
pengendalian intern dengan rentang risiko pengendalian sebesar 31-70%.
Pemeriksa menyimpulkan bahwa desain dari pengendalian adalah efektif,
tetapi pemeriksa tidak melakukan test of controls untuk mengkonfirmasikan
efektifitas pelaksanaannya sepanjang periode. Pemeriksa juga
mempertimbangkan apakah pelaksanaan walkthrough yang dilakukan oleh
pemeriksa terhadap pengendalian memberikan bukti yang cukup untuk
menilai risiko sebagai "moderat". Jika pemeriksa menyimpulkan bahwa bukti
tidak mendukung penilaian ini, pemeriksa mempertimbangkan untuk
mendapatkan bukti-bukti tambahan untuk mendukung penilaian “moderat”,
atau menilai risiko pengendalian sebagai "maksimum". Penilaian risiko
pengendalian ini tidak berlaku untuk akun-akun atau asersi-asersi yang
dipengaruhi oleh transaksi-transaksi yang bersifat estimasi, seperti
penyusutan, penyisihan piutang ragu-ragu.
c. Maksimum atau keyakinan pemeriksa tidak terjamin atas efektivitas
pengendalian intern dengan rentang risiko pengendalian sebesar 71-100%.
Pemeriksa menilai risiko pengendalian sebagai maksimum ketika (1) bukti
pemeriksaan mengindikasikan bahwa pengendalian tidak efektif, atau (2)
setelah memperoleh pemahaman yang memadai mengenai proses entitas
yang diperiksa:
Pag14
Pemeriksa percaya bahwa pengendalian nampaknya akan tidak efektif, atau
Pemeriksa sudah mengidentifikasi prosedur-prosedur uji substantif yang
efisien dan efektif yang diyakini penting untuk mendukung saldo akun terkait.
E. Menilai Risiko Kecurangan
Dalam menilai risiko kecurangan, SAS 99 memberikan pedoman bagi auditor.
Auditor harus mempertahankan sikap skeptisisme profesional ketika
memepertimbangkan serangkaian informasi termasuk faktor faktor risiko
kecurangan, untuk dapat mengidentifikasi dan menanggapi risiko kecurangan
a. Skeptisisme professional
Selama penugasan, bahwa tim auditor harus mempertahankan sikap dan
pikiran yang selalu mempertanyakan.
b. Evaluasi kritis atas bukti
Auditor harus menyelidiki secara mendalam permasalahan dan kemungkinan
kesalahan salah saji yang material karen kecurangan.
c. Komunikasi di antara tim audit
Diantara auditor dapat saling bertukar pendapat terutama dengan yang telah
berpengalaman mengenai penilaian risiko kecurangan, dan bagaimana
kecurangan kecurangan itu biasanya terjadi dalam organisasi atau entitas
yang diaudit.
d. Mengajukan pertanyaan kepada manajemen
Untuk menilai risiko kecurangan, auditor dapat menanyakan beberapa
pertanyaan secara langsung kepada manajemen ataupun pihak lain dalam
organisasi, sehingga terbuka kesempatan datangnya informasi yang dalam
Pag14
kondisi lain tidak diungkapkan oleh manajemen ataupun pihak lain dalam
organisasi.
e. Prosedur analitis
Auditor harus melakukan prosedur analitis selama tahapan perencanaan
audit dan penyelesaian audit untuk membantu mengidentifikasi kecurangan
kecurangan.
f. Faktor faktor risiko
Untuk menilai resiko kecurangan, kondisi yang harus diperhatikan adalah
adanya faktor faktor risiko kecurangan (segitiga kecurangan/ fraud triangle)
Insentif/tekanan
Manajemen atau pegawai merasakan insentif atau tekanan untuk melakukan
kecurangan.Insentif yang umum bagi entitas untuk memanipulasi laporan
keuangan adalah menurunnya prospek keuangan entitas.
Kesempatan
Situasi yang membuka kesempatan bagi manajemen atau pegawai lain untuk
melakukan kecurangan. Risiko kecurangan yang lebih besar akan dihadapi
oleh entitas yang menggunakan banyak pertimbangan dan estimasi dalam
operasinya.
Perilaku/rasionalisasi
Karakter, sikap dan nilai nilai etis yang membolehkan manajemen dan
pegawai lain bersikap curang atau lingkungan yang menekan dan membuat
adanya rasionalisasi tindakan curang.
Pag14
IV. HUBUNGAN ANTARA RESIKO DENGAN BUKTI AUDIT DAN FAKTOR YANG MEMPENGARUHI RESIKO
Faktor
Yang
Mempengaruhi
Resiko
Gambar di atas mengikhtisarkan berbagai faktor yang menentukan masing-
masing tingkat resiko, pengaruh dari ketiga komponen resiko pada penetapan resiko
deteksi terencana, serta hubungan keempat faktor resiko tersebut pada bukti audit
yang direncanakan. Huruf “D” pada gambar mengindikasikan suatu hubungan yang
searah antara suatu komponen resiko dengan resiko deteksi terencana atau bukti
audit yang direncanakan. Huruf “I” mengindikasikan suatu hubungan yang terbalik.
Sebagai contoh, suatu peningkatan pada resiko akseptibilitas audit akan
mengakibatkan suatu peningkatan pada resiko deteksi terencana (D) serta suatu
penurunan pada bukti audit yang direncanakan (I).
Resiko Audit untuk Segmen - segmen
Baik resiko pengendalian maupun resiko inheren umumnya ditentukan bagi
setiap siklus, setiap akun, dan seringkali pula bagi setiap tujuan audit, bukan bagi
keseluruhan penugasan audit, dan kemungkinan besar akan sangat bervariasi dari
satu siklus ke siklus lainnya, sari satu akun ke akun lainnya, serta dari satu tujuan
Resiko Akseptibilitas Audit
Resiko Pengendalian
Resiko Inheren Resiko Deteksi Terencana
Bukti Audit yang Direncanakan
I
I D
I
I
D D
Pag14
audit ke tujuan audit lainnya untuk suatu penugasan audit saja. Pengendalian intern
barangkali memiliki tingkat keefektifan yang lebih tinggi untuk sejumlah akun yang
terkait dengan saldo daripada atas akun-akun yang terkait dengan aktiva tetap.
Selanjutnya, resiko pengendalian pun akan berbeda bagi akun-akun yang berbeda.
Resiko akseptibilitas audit umumnya ditetapkan oleh auditor selama fase
perencanaan dan ditetapkan pada tingkat yang sama bagi setiap siklus dan akun
utama. Para auditor umumnya mempergunakan tingkat resiko akseptibilitas audit
yang sama bagi setiap segmen karena berbagai faktor yang mempengaruhi tingkat
resiko akseptibilitas audit terkait dengan seluruh aspek penugasan audit, bukan pada
masing-masing akun.
Tetapi, pada beberapa kasus, tingkat resiko akseptibilitas audit yang lebih
rendah barangkali akan lebih tepat bagi suatu akun daripada akun-akun lainnya.
Dalam contoh terdahulu, walaupun auditor memutuskan untuk menggunakan suatu
tingkat resiko akseptibilitas audit yang menengah bagi keseluruhan penugasan audit,
auditor dapat saja memutuskan untuk mengurangi tingkat resiko akseptibilitas audit
hingga tingkat yang rendah bila ternyata persediaan tersebut dipergunakan sebagai
jaminan atas suatu kredit jangka pendek.
Beberapa auditor menggunakan tingkat resiko akseptibilitas audit yang sama
dengan tingkat resiko akseptibilitas audit atas keseluruhan penugasan audit bagi
setiap segmen auditnya, sementara sejumlah auditor lain menggunakan suatu
tingkat resiko akseptibilitas audit yang lebih tinggi bagi setiap segmen.
Karena tingkat resiko pengendalian dan tingkat resiko inheren sangat
bervariasi dari satu siklus ke siklus lainnya, dari satu akun ke akun lainnya, atau dari
satu tujuan audit ke tujuan audit lainnya, maka tingkat resiko deteksi terencana serta
jumlah bukti audit yang direncanakan pun semakin bervariasi. Setiap penugasan
didasari oleh situasi-situasi yang berbeda, serta rentang bukti audit yang diperlukan
akan tergantung pada sejumlah situasi yang unik. Sebagai contoh, pada suatu
penugasan audit, akun persediaan barangkali akan membutuhkan pengujian yang
ekstensif akibat dari lemahnya pengendalian intern serta akibat dari pertimbangan
tentang tingkat keusangan yang terjadi dari sejumlah perubahan teknologi yang
Pag14
terdapat dalam industry. Dalam penugasan audit yang sama, akun piutang dagang
barangkali hanya memerlukan sedikit pengujian saja karena efektifnya tingkat
pengendalian intern yang ada, tingkat penagihan piutang yang tinggi, serta temuan
audit yang baik pada penugasa audit tahun-tahun sebelumnya. Maka bagi suatu
audit atas persediaan, auditor dapat menetapkan suatu penilaian bahwa di dalam
akun tersebut terdapat suatu tingkat resiko inheren yang tinggi atas suatu salah saji
dalam nilai yang terealisasi akibat dari tingginya potensi keusangan persediaan,
tetapi menetapkan suatu tingkat resiko inheren yang rendah atas suatu salah saji
dalam klasifikasi karena pada klien tersebut hanya terdapat persediaan yang dibeli
dari pihak ketiga saja.
Pemakai yang dapat ditentukan sebelumnya
Resiko kecurangan bisa dinilai untuk seluruh audit atau per siklus, akun dan
tujuan. Umpamanya, sebuah insentif kuat untuk manajemen agar memenuhi
harapan pendapatan yang cukup agresif bisa mempengaruhi audit sedangkan
kerentanan terhadap pencurian persediaan bisa mempengaruhi akun
persediaan.Baik untuk resiko kecurangan pelaporan keuangan dan resiko
penyalahgunaan aktiva, fokusnya berada pada area khusus dan meningkatnya resiko
kecurangan dan merancang prosedur audit atau mengubah keseluruhan perilaku
audit untuk merespon resiko tersebut.
Mengaitkan Nilai Salah Satu yang Masih Dapat Ditoleransi dan Resiko-
Resiko kepada Tujuan Audit yang Terkait dengan Saldo
Walaupun merupakan hal yang umum dipraktekkan untuk melakukan
penilaian atas resiko inheren dan resiko pengendalian bagi setiap tujuan audit yang
terkait dengan saldo, tetapi melakukan alokasi materialitas pada setiap tujuan audit
bukanlah hal yang biasa dilakukan. Para auditor dapat mengasosiasikan sebagian
besar resiko pada berbagai tujuan audit yang berbeda dengan efektif. Menentukan
hubungan antara suatu resiko dengan satu atau dua tujuan audit cukup mudah
untuk dilakukan. Sebagai contoh, tingkat keusangan persediaan kemungkinan besar
tidak akan mempengaruhi tujuan audit lainnya selain dari tujuan audit atas nilai yang
terrealisasi. Merupakan hal yang lebih sulit untuk memutuskan berapa besar
Pag14
seharusnya tingkat materialitas yang harus dialokasikan pada suatu akun tertentu
untuk dialokasikan kembali pada satu atau dua tujuan audit. Mayoritas auditor tidak
memiliki keinginan untuk melakukan hal tersebut
Batasan – Batasan Pengukuran
Satu batasan utama dalam penerapan model resiko audit ini adalah kesulitan
pengukuran berbagai komponen model. Walaupun auditor telah mencoba upaya
yang terbaik dalam membuat perencanaan audit, penilaian atas resiko akseptibilitas
audit, resiko inheren, dan resiko pengendalian, serta selanjutnya atas resiko deteksi
terencana sangatlah subyektif dan terdiri dari sejumlah perkiraan terbaik. Untuk
mengimbangi masalah pengukuran ini sebagian besar auditor mempergunakan
istilah – istilah pengukuran yang lebar dan subyektif, seperti rendah, sedang, dan
tinggi.
Situasi AAR Inheren Risk Control Risk PDR Jumlah Bukti
yang
Diperlukan
1 Tinggi Rendah Rendah Tinggi Rendah
2 Rendah Rendah Rendah Sedang Sedang
3 Rendah Tinggi Tinggi Rendah Tinggi
4 Sedang Sedang Sedang Sedang Sedang
5 Tinggi Rendah Sedang Sedang Sedang
Merupakan hal yang cukup sulit untuk mengukur jumlah bukti audit yang
diperlukan bagi suatu tingkat resiko deteksi terencana tertentu. Suatu program audit
khusus yang ditujukan untuk mengurangi tingkat resiko deteksi hingga tingkat resiko
yang direncanakan merupakan suatu kombinasi atas sejumlah prosedur audit, yang
masing-masing mempergunakan suatu jenis bukti yang berbeda yang diterapkan
pada berbagai tujuan audit yang berbeda pula.
Pag14
Dalam menetapkan model resiko audit, auditor sangat memperhatikan
masalah overauditing dan underauditing, tetapi sebagian besar auditor lebih
memperhatikan masalah yang terakhir. Underauditing dapat membawa kantor
akuntan public pada kewajiban hokum serta kehilangan reputasi profesionalnya.
Hubungan antara Resiko, Materialitas, dan Bukti Audit
Konsep – konsep materialitas dan resiko dalam auditing saling terkait erat
dan tak terpisahkan.Resiko merupakan suatu pengukuran atas ketidakpastian,
sementara materialitas merupakan suatu pengukuran atas ukuran atau
besaran.Secara bersama-sama, kedua hal tersebut mengukur tingkat ketidakpastian
suatu nilai pada suatu besaran tertentu. Sebagai contoh, suatu pernyataan bahwa
auditor berencana untuk mengumpulkan bukti audit sedemikian rupa hingga hanya
terdapat suatu tingkat resiko (resiko akseptibilitas audit) sebesar 5 persen saja atas
kegagalan dalam mengungkapkan suatu salah saji yang melebihi nilai salah saji yang
masih dapat ditoleransi sebesar $400,000 (materialitas) merupakan suatu
pernyataan yang sangat akurat dan penuh arti. Jika, baik bagian yang menyatakan
risiko atau materialitas dari pernyataan tersebut dihapuskan, maka pernyataan
tersebut tidak akan memiliki arti apapun. Suatu tingkat risiko sebesar 5 persen tanpa
diikuti dengan suatu ukuran materialitas yang spesifik dapat menyatakan secara
tidak langsung bahwa suatu salah saji yang bernilai $100 atau $1,000,000 pun dapat
diterima.Suatu overstatement sebesar $442,000 tanpa diikuti dengan suatu tingkat
risiko yang spesifik dapat menyatakan secara tidak langsung bahwa suatu tingkat
risiko sebesar 1 persen atau 80 persen pun dapat diterima.
Pag14
V. EVALUASI HASIL
Setelah auditor merencanakan penugasan dan mengumpulkan bukti audit,hasil-
hasilnya dapat diyatakan dalam versi evaluasi model resiko audit. SAS107 menyatakan
model resiko audit untuk mengevaluasi hasil-hasil audit sebagai
di mana:
AcAR = Achieved Audit Risk (risiko audit yang dicapai).Ukuran risiko yang sudah
diambil auditor bahwa suatu akun dalam laporan disalahsajikan secara material
setelah auditor mengumpulkan bukti audit.
IR = Inherent Risk (risiko inheren). Factor risiko inheren yang sama yang dibahas
dalam perencanaan kecuali sudah direvisi karena ada informasi baru.
CR = Control Risk (risiko pengendalian). Risiko pegendalian yang sama yang telah
dibahas sebelumnya kecuali sudah direvisi selama audit.
AcDR = Achieved Detection Risk (risiko deteksi yang dicapai). Ukuran risiko bahawa
bukti audit untuk suatu segmen tidak mendeteksi salah saji yang melampaui salah
saji yang dapat ditoleransi, jika salah saji semacam itu memang ada. Auditor dapat
mengurangi risiko deteksi yang dicapai ini hanya dengan mengumpulkan bukti.
Berdasarkan riset, tidak tepat menggunakan rumus evaluasi ini untuk benar-benar
menghitung risiko audit yang dicapai sebagai mana yang dinyatakan rumus di atas. Riset
menununjukkan bahwa penggunaan rumus ini dapat mengakibatkan risiko audit yang
dicapai kurang saji. Namun, hubungan yang ada dalam rumus itu valid dan harus digunakan
dalam praktik.
Rumus tersebut menunjukkan tiga cara untuk mengurangi risiko audit yang dicapai
ke tingkat yang dapat diterima:
1. Mengurangi risiko inheren
2. Mengurangi risiko pengendalian
AcAR = IR x CR x AcDR
Pag14
3. Mengurangi risiko deteksi yang dapat dicapai dengan meningkatkan pengujian audit
substantive
Penggabungan ketiga faktor tersebut secara subjektif untuk mencapai tingkat risiko
audit yang cukup rendah membutuhkan pertimbangan profesional yang matang.
Model risiko audit merupakan model perencanaan, sehingga penggunaannya
terbatas pada mengevaluasi hasil audit saja.
Model risiko audit untuk merencanakan Bukti dan mengevaluasi Hasil
Risiko inheren
Risiko pengendalian
Risiko deteksi yang dicapai
Bukti audit substansial
Risiko audit yang dicapaiRisiko audit yang
dapat diterima
Risiko inheren
Risiko pengendalian
Salah saji yang dapat ditoleransi
Risiko deteksi yang
direncanakan
Bukti audit yang direncanakan
BUKTI YANG DIRENCANAKAN
bandingkan
BUKTI AKTUAL
L
L
LLT
T
TT
TL = hubungan langsung
T = hubungan terbalik
Pag14
Gambar tersebut menunjukkan model risiko audit untuk perencanaan dan evaluasi
hasil audit. Sisi kana gambar menunjukkan bahwa pengumpulan bukti yang lebih
substantive dapat mengurangi risiko deteksi yang dicapai. Tingkat risiko deteksi yang dicapai
lebih rendah beserta risiko inheren dan risiko pengendalian yang lebih rendah akan
mengurangi risiko audit yang dicapai.
Meskipun tidak ada kesulitan yang dihadapi oleh auditor dalam mengumpulkan bukti
yang direncanakan dan menyimpulkan bahwa penilaian setiap risiko sudah wajar atau lebih
baik daripada yang diduga semula, auditor tetap harus sangat hati-hati dalam mengambil
keputusan. Penilaian awal atas risiko pengendalian atau risiko inheren dapat ditetapkan
terlalu rendah atau risiko audit yang dapat diterima ditetapkan terlalu tinggi.
Dalam keadaan seperti itu, auditor harus mengikuti pendekatan dua langkah.
1. Auditor harus merevisi penilaian awal atas tingkat risiko yang tepat.
2. Auditor harus mempertimbangkan dampak revisi tersebut terhadap kebutuhan
bukti, tanpa menggunakan model risiko audit.