Makalah ISI

Click here to load reader

  • date post

    06-Dec-2014
  • Category

    Documents

  • view

    279
  • download

    23

Embed Size (px)

Transcript of Makalah ISI

BAB I PENDAHULUAN

A.

Latar Belakang Risiko telah menjadi bagian yang tidak terpisahkan dari kehidupan manusia begitu juga

dengan perusahaan, namun keberadaan risiko tersebut perlu ditangani dengan baik sehingga kerugian yang dapat ditimbulkannya bisa kita minimalisasi atau bahkan kita hindari. Manusia memang selalu dihadapkan dengan risiko sehingga risiko menjadi bagian dari keseharian manusia. Akibatnya, kita harus menanggung kerugian jika risiko-risiko tersebut tidak kita antisipasi dari awal. Risiko, khususnya di dalam bisnis, tidaklah selalu mencerminkan hal yang buruk. Kenyataannya, risiko bisa mengandung suatu peluang yang sangat besar bagi mereka yang mampu mengelola dengan baik. Kesadaran akan memahami risiko dengan baik sebagai suatu bagian yang tidak terpisahkan dari upaya untuk mengoptimalkan keuntungan inilah yang menjadi dasar terbentuknya konsep manajemen risiko yang akhir-akhir ini semakin mengemuka didalam dunia bisnis. Semua organisasi baik profit oriented maupun social oriented didirikan dengan maksud untuk mencapai tujuan. Tujuan tersebut diarahkan kepada seluruh pemangku kepentingan (stakeholders) agar dengan tujuan tersebut memberikan suatu nilai tambah (value added). Namun dalam rangka pencapaian tujuan tak bisa dipungkiri bahwa organisasi menyadari akan adanya berbagai ketidakpastian. Makin kompleks aktivitas suatu organisasi maka makin tinggi pula tingkat ketidakpastiannya dalam pencapain tujuan. Ketidakpastian tersebut mengandung unsur risiko yang berpotensi mengurangi peluang organisasi dalam mencapai tujuannya bahkan dapat menggerogoti nilai yang telah ada. Ketidakmampuan perusahaan dalam menangani berbagai risiko yang dihadapi pun dapat berakibat fatal. Beberapa perusahaan terpaksa gulung tikar karena tidak sanggup menangani resiko yang tak terduga. Manajemen risiko oleh perusahaan dapat meningkatkan nilai perusahaan sekaligus mendukung pertumbuhan ekonomi dengan menurunkan biaya modal serta mengurangi ketidakpastian aktivitas sosial. Manajemen risiko bertujuan mengidentifikasi, mengukur dan mengatasi risiko perusahaan pada level toleransi tertentu. Menurut Risk Management Standar (4360:2004), manajemen risiko adalah kultur, proses, dan struktur yang diarahkan untuk merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan.1

Manajemen risiko merupakan tanggung jawab utama manajemen senior dan Dewan. Untuk mencapai tujuan usahanya, manajemen harus memastikan bahwa proses manajemen risiko telah ada dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki peran pengawasan terhadap efektivitas proses manajemen risiko tersebut. Untuk menjalankan perannya itu, Dewan dapat mengarahkan aktivitas audit internal untuk membantu mereka melalui pemeriksaan, evaluasi, pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan efektivitas proses manajemen risiko. Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan metodologi manajemen risiko dan pengendalian yang relevan. Berdasarkan hal tersebut, maka penulis tertarik untuk membuat suatu makalah dengan judul Risk Management ( Pengelolaan Resiko ).

B. Rumusan Masalah Berdasarkan latar belakang di atas maka perumusan masalah yang hendak di bahas adalah sebagai berikut: 1. Apa penentuan risiko itu? 2. Apa saja risiko audit dan komponen-komponennya pada audit laporan keuangan? 3. Apakah risiko perdagangan elektronik, risiko EDI dan risiko kecurangan manajemen? 4. Bagaimana pengelolaan risiko? 5. Apa saja metode-metode analisis yang digunaakan dalam mengidentifikasi risiko? C. Tujuan Berdasarkan rumusan masalah di atas maka tujuan yang hendak di bahas adalah sebagai berikut: 1. Untuk mengetahui penentuan risiko. 2. Untuk mengetahui risiko audit dan komponen-komponennya pada audit laporan keuangan. 3. Untuk memahami risiko perdagangan elektronik, risiko EDI dan risiko kecurangan manajemen. 4. Untuk memahami pengelolaan risiko. 5. Untuk memahami metode-metode analisis yang digunaakan dalam mengidentifikasi risiko.2

D. Metode Penulisan Penyusunan makalah ini menggunakan referensi-referensi dari beberapa media atau literatur yang diedit dan diunduh secara lansung.

E. Sistematika Penulisan Penyusun menggunakan sistematika berupa pendahuluan yang berisi, latar belakang, perumusan masalah, tujuan penulisan, metode penulisan, dan sistematika penulisan, yang diikuti oleh bab pembahasan, dan terakhir penutup berupa kesimpulan.

3

BAB II PEMBAHASAN

A. Penentuan Risiko

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu, dan prinsipprinsip manajemen yang baik mendorong penerapannya di industri dan sektor-sektor lain. Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan saran yang digunakan untuk melakukannya. Auditor internal harus memasukkan basil penentuan risiko ke dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan memang diterapkan untuk mengurangi resiko. Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi, mengawali pembahasan tentang penentuan risiko dengan ringkasan berikut ini: Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus ditentukan. Persyaratan awal untuk penentuan risiko adalah adanya penetapan tujuan, yang dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi. Penentuan risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk mencapai tujuan (entitas), yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko. Karena kondisi ekonomi, industri, peraturan dan operasi akan terus berubah, maka dibutuhkan mekanisme untuk mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan dengan perubahan. Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terusmenerus dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan tujuan dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan yang muncul akan menghalangi perjalanan mencapai tujuan. Beberapa hambatan, atau risiko, akan datang dari luar entitas; sedangkan yang lainnya dari dalam. Sebagai contoh: Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang dibutuhkan untuk mencapai tujuan. Sebuah perusahaan pesaing memperkenalkan produk atau jasa bare yang membutuhkan tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan4

sebelumnya. Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang. Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah ditetapkan.

Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan penentuan risiko adalah untuk membuat karyawan sadar akan beragam risiko yang ada serta prioritas, dan keterbatasan dari daftar risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses penentuan risiko itu sendiri merupakan hal penting bagi audit.

B. Siapa yang Memanfaatkan Penentuan Risiko?

Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan kesuksesan suatu entitas; hal ini telah dibahas dengan jelas pada studi COSO. Manajemen juga menggunakan penentuan risiko sebagai alat yang penting dalam merancang sistem-sistem baru. Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk memenuhi tujuan yang telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai tujuannya. Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka. Statement on Auditing Standards (SAS) No. 55 dari American Institute of Certified Public Accountants (AICPA) menguraikan tanggung jawab akuntan untuk mendapatkan pemahaman atas sistem kontrol. Akuntan publik juga melakukan penentuan risiko dalam merencanakan audit mereka. Apa saja risiko-risiko kegagalan yang bisa mengancam pencapaian tujuan audit? Pengujian audit mana yang seharusnya digunakan untuk memastikan bahwa tujuan audit tercapai? Satu risiko yang bisa muncul adalah memilih metode pengujian yang tidak tepat, yang lainnya adalah penggunaan rencana dan teknik pengambilan sampel yang tidak tepat, dan lain sebagainya. Tidak diragukan lagi bahwa auditor internal telah terlibat dalam penentuan risiko sejak5

awal profesi ini berdiri. Auditor internal selalu bertanya, "Kesalahan apa yang bisa terjadi?" Pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan persyaratan mutlak untuk menentukan prosedur kontrol yang harus diterapkan. Bagaimanapun juga, akankah ada kontrol jika tidak ada risiko? Bagaimana auditor menentukan bahwa suatu kontrol merupakan kontrol yang efektif-kontrol yang tepat-dalam suatu kondisi tanpa mengidentifikasi dan mengevaluasi risiko? Sehubungan dengan pertanyaan ini, IIA mengeluarkan Statement on Internal Auditing Standards No. 9 tentang Penentuan Risiko pada tahun 1991. Saat ini hal tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih lanjut di Practice Advisory 2210.A1-1. Pada kebanyakan entitas, departemen audit internal akan menjadi pernain utama dalam penentuan risiko yang mengarahkan laporan tahunan manajemen unttik mengemukakan kondisi sistem kontrol. Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan dalam membuat laporan tersebut. Audit khusus mungkin dibutuhkan di bebetapa entitas untuk memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah diperbaiki pada tanggal laporan akhir tahun.

C. Memperluas Audit Berbasis Risiko

Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari observasi dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. McNamee dan Selim menyatakan pendekatan ini tidak tepat karena adanya kebutuhan untuk memenuhi tujuan terlebih seharusnya-berorientasi ke masa depan. Para penulis tersebut merekomendasikan sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran, dan penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara: 1. Mengendalikan dan menerima risiko, atau 2. Menghindari atau mendiversifkasi risiko, atau 3. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya. Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat dihindarkan di semua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui6

berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup: Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi besaran maupun jumlah; Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk kemajuan dan keuntungan; Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah pola risiko; PendiversifIkasian risiko dengan menyebarkan total risiko ke operasi-operasi yang terpisah. Misalnya: menggunakan berbagai pemasok untuk bahan baku yang penting; dan Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi. Adanya perhatian ke masa depan merupakan perluasan dari pengakuan risiko ke manajemen risiko. Hal ini merupakan contoh audit internal menuju bidang yang memberikan unsur bernilai tambah terhadap fungsi yang bernilai waktu, yang berkaitan dengan risiko dan penggunaan audit berbasis risiko.

D. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan

Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko. Luas risiko adalah jumlah yang berpotensi terkena risiko; probabilitas adalah kemungkinan terjadinya risiko. Masih terdapat hal-hal lain yang harus dipertimbangkan pada saat menentukan dampak risiko. Pendapat tentang kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian selanjutnya. AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on Auditing Standards terbaru (No. 47, No. 53, dan No. 55). Risiko audit terdiri atas dua tingkatantingkat laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan keuangan, risiko audit adalah -risiko bahwa auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material." Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada tingkat laporan keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus7

mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri, dan karakteristik penugasan. Faktor-faktor yang disebutkan berikut ini bisa menunjukkan situasi yang meningkatkan risiko audit: Karakteristik Manajemen Kebijakan manajemen didominasi hanya oleh satu orang. Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan. Perputaran manajemen tinggi. Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba. Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.

Karakteristik Operasi dan Industri Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak konsisten. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi. Entitas berada pada industri yang menurun. Organisasi entitas bersifat desentralistis tanpa pengawasan aktivitas yang memadai. Entitas diragukan kelangsungan hidupnya.

Karakteristik Penugasan Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang sulit. Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit. Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dalam jumlah yang signifikan dan tidak biasa. Sebelumnya terdapat salah saji signifkan yang dideteksi selama audit atau tidak tersedia data mengenai hal tersebut. Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh, ukuran, kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor ini. Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan berdampak pada: (1) penugasan staf; (2) pengawasan yang dibutuhkan; (3) keseluruhan strategi audit; dan (4) tingkat skeptisme profesional. Sebagai contoh, pada situasi yang dirasakan auditor memiliki risiko audit yang meningkat, auditor bisa menugaskan lebih banyak staf berpengalaman dan menerapkan lebih banyak prosedur substantif selama audit interim dan akhir tahun.8

Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi, seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah representasi manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan. SAS mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan)-keterjadian atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan pengungkapan. Misalnya, manajemen menyatakan bahwa utang usaha untuk sebuah divisi pada tanggal 30 Juni sejumlah $85.000 merupakan pernyataan bahwa: Utang usaha memang ada pada tanggal neraca (keberadaan). Semua utang usaha telah tercakup (kelengkapan). Utang usaha merupakan kewajiban hukum (kewajiban). Utang usaha dinilai dengan layak (penilaian atau alokasi). Semua utang usaha diungkapkan dengan layak (penyajian dan pengungkapan). Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas (a) risiko bahwa saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirihya sendiri atau dengan yang lainnya yang bisa berdampak material terhadap laporan keuangan, (disebut risiko bawaan dan risiko kontrol) dan (b) risiko bahwa auditor tidak akan mendeteksi salak'saji tersebut jika' memang terjadi (disebut risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok memiliki. tiga komponen-risiko bawaan, risiko kontrol, dan risiko deteksi. Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit pada tingkat saldo atau kelompok transaksi dibatasi sehingga memuhgkinkan auditor memberikan opini pada risiko audit yang rendah pada tingkat laporan keuangan. SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor dalam mengevaluasi risiko audit pada tingkat saldo, atau kelompok transaksi: Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan. Masalah-masalah akuntansi yang rumit dan mengandung perdebatan. Transaksi-transaksi yang sering terjadi atau susah untuk diaudit. Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari audit sebelumnya. Kerentanan aktiva untuk disalahgunakan. Kompetensi dan pengalaman karyawan yang memproses data. Tingkat pertimbangan dalam menentukan saldo akun atau transaksi.9

Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau kelas transaksi. Kompleksitas perhitungan. Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu kontribusi

yang besar bagi literatur audit. Hal ini dengan jelas mendefinisikan cara menentukan pekerjaan audit yang dibutuhkan untuk memenuhi tanggung jawab audit.

1. Risiko Bawaan Risiko bawaan/inheren (inherent risk) adalah kerentanan suatu asersi atas terjadinya salah saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat intrinsik terhadap usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan saldo atau kelompok transaksi dibandingkan yang lain. Sebagai contoh: Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih cenderung dilanggar daripada asersi kelengkapan pada saat auditor mempertimbangkan

kelangsungan hidup entitas. Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan perhitungan biaya depresiasi menggunakan metode garis lurus (perhitungan rumit dibandingkan dengan perhitungan sederhana). Kas lebih rawan dicuri dibandingkan persediaan bate kapur (jumlah yang lebih mudah dicuri dan memiliki nilai tinggi dibandingkan dengan barang yang sulit dicuri dan memiliki nilai yang rendah). Faktor-faktor eksternal terhadap entitas seperti perubahan teknologi yang mungkin membuat persediaan tertentu menjadi usang dan dinilai terlalu tinggi. Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat berdampak pada risiko bawaan di tingkat saldo atau kelompok transaksi. Sebagai contoh, keraguan atas kelangsungan hidup yang ditemukan pada tingkat laporan keuangan dapat menyebabkan risiko bawaan untuk penilaian persediaan menjadi meningkat. Contoh-contoh berikut ini akan membantu dalam memahami pandangan AICPA mengenal risiko bawaan: Pada perusahaan sekuritas, perhitungan bunga yang sederhana tidak serumit perhitungan berdasarkan metode bungs efektif.10

Di bank, kecurangan terhadap kredit lebih cenderung terjadi pada rekening tabungan atau pembayaran cicilan pinjaman dibandingkan rekening giro. Di toko serba ada, saldo piutang usaha lebih cenderung disajikan secars realistic dibandingkan saldo akun penyisihan piutang tak tertagih. Di toko grosir, peningkatan permintaan alas kontrol persediaan menyebabkan daftar kas sederhans dan pencatatan/perhitungan persediaan secara manual menjadi usang bila digunakan kode batang (bar code) pada terminal penjualan.

Pada organisasi yang terdiversifikasi, penekanan pada pemerolehan dana melalui kredit bank, bukan peningkatan modal, memberikan tekanan pada laba jika tingkat bunga meningkat yang mungkin mengarah pada harga jual marginal dan/atau kredit yang Iebih berisiko terhadap pencapaian laba yang lebih tinggi. Auditor mampu mengevaluasi risiko bawaan yang ada pada klien dengan memerhatikan

industri secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak di usaha pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi sekelompok risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan. Juga terdapat risiko bawaan pada suatu organisasi akibat budaya perusahaan yang diterapkan. Sebuah organisasi bisa dikelola secara ketat oleh suatu kelompoW kecil yang memiliki filosofi: 'Kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa menanggapi suatu kejadian secara langsung dan segera. Risiko-risiko yang berorientasi pada budaya perusahaan merupakan risiko-risiko yang melekat pada gaya manejemen. Jika risiko-risiko bawaan dalam suatu organisasi telah diperhitungkan, langkah selanjutnya adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat risiko-risiko tersebut Pertimbangan-pertimbangan ini melibatkin risiko kontrol. Faktor-Faktor yang harus ditelaah dalam menetapkan risiko bawaan, yaitu: Sifat bidang klien Akan lebih besar kemungkinan keusangan persediaan pada pabrik komputer daripada pabrik besi. Atau piutang pinjamna yang diberikan oleh lembaga keuangan kecil akan lebih rendah kolektibilitasnya daripada pinjaman oleh bank. Motivasi klien Motivasi manjemen dalam menyajikan laporan keuangan dapat termotivasi oleh11

beberapa hal salah satunya yaitu dari perolehan bonus dair presentase laba bagi manajer. Mungkin manajemen cenderung akan melakukan mark up laba bersih. Selain itu ada pula motivasi bagi manajemen dalam mengurangi pajak yang harus dibayar. Maka jika manajemen tidak memiliki integrasi tinggi motivasi seperti itu tentunya dapat mendorong untuk mensalah sajikan laporan keuangan.

2. Risiko Kontrol Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau prosedur kontrol internal suatu entitas. Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan yang melekat pada struktur kontrol internal. Seorang auditor bisa menilai risiko kontrol path tingkat maksimurn apabila kebijakan maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi efektivitasnya. Jika auditor menetapkan risiko kontrol di bawah maksimum, auditor tersebut diharapkan memperoleh bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur yang layak untuk membenarkan penetapan tersebut.

3. Risiko Deteksi Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor memutuskan tidak memeriksa 100 persen saldo atau transaksi atau karena ketidakpastian lainnya. Termasuk dalam ketidakpastian Iainnya ini adalah pemilihan prosedur audit yang tidak layak, salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit. Ketidakpastian Iainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan dan pengawasan audit yang sesuai.

4. Hubungan Antar-risiko Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun kualitatif. SAS memberikan rumus berikut ini: Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi12

Ketika menggunakan rumus ini, seorang auditor bisa menilai risko audit yang direncanakan untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan risiko penemuan yang direncanakan dengan meneniukan risiko deteksi. Risiko Deteksi = Risiko Audit/(Risiko Bawaan x Risiko Kontrol) Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan mengurangi risiko deteksi di bawah risiko penemuan yang direncanakan. Hal ini menekankan konsep bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan dalam struktur kontrol internal yang direkomendasikan dan direncanakan setelah periode audit tidak akan mengubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh karena itu, untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko kontrol berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko kontrol terkait dengan suatu asersi, makin rendah risiko deteksi yang dapat diterima dan makin banyak bukti audit yang harus dikumpulkan. Seorang auditor harus melaksanakan beberapa pengujian substantif jika terdapat salah saji material. Dalam beberapa kasus auditor tidak dapat hanya mengandalkan penentuan risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak dilaksanakannya pengujian substantif. Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang direncanakan, penugasan staf, dan supervisi yang dibutuhkan dalam mempertimbangkan reaksi terhadap perubahan dalam risiko deteksi. Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan auditor internal Sifat usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu atmosfer yang berdampak besar terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa memiliki risiko bawaan yang sama karena sama-sama merupakan organisasi publik. Akan tetapi, keduanya bisa memiliki tingkat risiko yang berbeda karena yang satu memiliki walikota yang kuat dan struktur dewan yang lemah sementara yang satu lagi memiliki walikota yang lemah dan struktur dewan yang kuat. Risiko bisa lebih berbeda jika salah satu pernerintahan memiliki kepentingan umum yang kuat dan pemerintahan yang terbuka sementara yang lain memiliki publik yang apatis dan orang yang sangat berkuasa secara politis. Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang13

panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian organisasi yang berbeda. Risiko bawaan di perusahaan pabrikasi.berbeda dari perusahaan jasa keuangan. Risiko pada operasi produksi pakaian akan berbeda dari risiko yang terdapat pada perusahaan yang memproduksi bahan-bahan kimia. Identifikasi risiko pada suatu organisasi bermula dari Yisiko bawaan yang terkait dengan usaha dan gaya manajemennya. Risiko-risiko tersebut dihadapi dengan membuat sistem kontrol. Karena tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko meskipun kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep keyakirian yang wajar mulai dlterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang dicapal pada scat terjadi keseimliangan antara biaya kontrol dan eksposur dengan'manfaat yang dijerima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan biaya kontrol berada pada ekuilibrium.

E. Auditor Internal dan Risiko Perdagangan Elektronik Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan elektronik (electronic commerce-EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini dapat diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI), menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risikorisiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini mencakup: Risiko dan dampaknya terhadap organisasi. Modifikasi atau aktivitas terkait yang direkomendaikan. Dampak modifikasi risiko terhadap operasi. Tingkat pengurangan risiko yang akan dicapai. Eksposur keuangan yang terkait dengan operasi. Biaya modifikasi yang dilakukan. Elemen-elemen waktu. Kemungkinan sukses. Rekomendasi jika terdapat lebih dari satu ukuran. Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan analisis14

risiko ini harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus memahami perkembangan baru di bidang ini terutama mengenai: Perubahan teknologi TI yang baru. Situasi yang diberitakan baru-baru ini. Perubahan dalam operasi organisasi. Dalam sebuah monograf yang dipublikasikan oleh The Institute of Internal Auditors, Xenia Lee Parker menekankan pekerjaan auditor internal dalam mengevaluasi perdagangan elektronik relatif terhadap risiko yang dihadapi proses bisnis. Parker menyatakan bahwa aktivitas audit internal berbasis TI perlu melakukan hal-hal berikut ini agar dapat membuat asersi mengenai risiko pemrosesan perdagangan elektronik: "Pemahaman atas sistem dan infrastruktur: o Front-end Web severs; o Metode transmisi dan protokol; o Firewalls; o Gateways; o Back end; o Middleware; dan o Kemungkinan koneksi dengan sistem perkantoran. "Menentukan informasi apa yang penting, elemen data dan program yang memengaruhi data, bagaimana program yang didistribusikan, lokasi, server, pihak-pihak eksternal, dan proses yang terlibat. "Pencatatan dan evaluasi kontrol serta prosedur yang menangani informasi penting dan sensitif; "Penilaian prosedur pengawasan; "Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak ketiga." Parker menyatakan bahwa, "sertifikasi dari pihak yang dapat dipercaya merupakan cara lain menyediakan faktor-faktor yang dapat diverifikasi ke pihak-pihak yang berkepentingan." Ia menyatakan bahwa, "Merupakan hal penting untuk mengetahui siapa yang melaksanakan pekerjaan, keahlian dan kualifikasi mereka, dan kriteria yang digunakan dalam penelaahan:'

15

F. Risiko EDI Pertukaran data elektronik (electronic data interchange-EDI) adalah sebuah sistem komunikasi informasi komputer-ke-komputer yang saling terhubung untuk dokumen-dokumen bisnis yang terstandardisasi di batas-batas organisasi. Komputer, database, dan pusat informasi terhubung oleh jaringan komunikasi publik atau lainnya. Meskipun aspek komputer dari audit internal lebih banyak dibahas pada Bab 13 sampai Bab 16, patut diperkenalkan di sini beberapa informasi mengenai penentuan risiko dari area operasi tersebut. Kerawanan sistem EDI adalah tinggi karena kegagalan sistem pada setiap tiga tahapan-inisiasi, transmisi, dan tujuan akan mengganggu transaksi. Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal yang berkaitan dirinci pada Tampilan di bawah ini. Enam area tersebut adalah: 1. Tercurinya akses informasi 2. Hilangnya integritas data 3. Kurang lengkapnya transaksi 4. Tidak tersedianya sistem EDI 5. Ketidakmampuan untuk mengirimkan transaksi 6. Kurangnya pedoman hukum Adanya beberapa lapis kontrol memiliki dampak berlipatuntuk mengurangi risiko kontrol. Risiko kontrol yang tiga lapis kontrol-kontrol aciministratif, kontiol fisik, dan perangkat lunak-akan gagal, dihitung dengan persamaan ini: CREDI = CRA * CRP' CRs keterangan:

CREDI CRA CRP CR6

= Risiko Kontrol sistem EDI. = Risiko Kontrol gagalnya prosedur administratif. = Risiko Kontrol gagalnya mekanisme fisik. = Risiko Kontrol gagalnya kontrol perangkat lunak.

Jadi, jika dibuat asumsi berikut ini: Prosedur administratif Mekanisme fisik Kontrol perangkat lunak tidak mencegah akses pihak yang16

0,10 0,20

tidak berkepentingan Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi 0,001.

0,05

Acuan tersebut menyajikan contoh yang bagus mengenai situasi masalah potensial terkait dengan risiko bawaan dapat mengakibatkan kerugian sebesar $555.493. Dan bahwa jika risiko bawaan dikurangi menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi $27.774) menjadi $527.718. Acuan tersebut mengutip laporan COSO bahwa auditor internal harus membuat langkahlangkah ini secara terpisah dari proses penilaian: 1. Menghitung signifikansi risiko dalam satuan uang. 2. Menentukan kemungkinan terjadinya risiko. 3. Menentukan cara untuk mengurangi dampak risiko sehingga eksposur dapat dikurangi hingga ke tingkat yang dapat diterima. Organisasi audit internal dapat menyumbangkan proses penentuan risiko EDI dengan mengevaluasi baik risiko bawaan maupun risiko kontrol internal untuk menentukan apakah telah terdapat aktivitas kontrol yang memadai dan efektif untuk mengelola risiko.

Faktor-faktor Risiko dan Aktivitas Kontrol Faktor-faktor Risiko 1. Akses informasi yang tidak diotorisasi. a. Hacker mengakses sistem. Kontrol Internal Kontrol akses. Kata sandi (password); mekanisme dial-back; ID pengguna; kunci penyimpan; tingkat akses yang berbeda. b. Intersepsi selama transmisi. Meningkatkan proteksi kabel; mengrimkan pesan melalui media yang aman; serat optik; enkripsi; lapisan lintasan; amplop elektronik rahasia. c. Penyadapan (wiretapping). Meteran sinyal; pelindung kebocoran; perisai elektromagnetik; saluran penahan akses. 2. Hilangnya integritas data. a. Perubahan/pemalsuan data Pengecekan keotentikan data. Protokol pemberitahuan.

b. Tidak adanya jejak audit dalam Log terkomputerisasi.17

bentuk kertas c. Hilangnya tanda tangn fisik d. Adanya kesalahan pada sistem. Tanda tangan digital; mekanisme pengesahan. Pengecekan edit.

e. Gangguan oleh karyawan yang Pemisahan tugas; tingkat akses yang berbeda. memiliki otorisasi. 3. Kurang lengkapnya transaksi. a. Transaksi selama transmisi. Pemberitahuan. Total kelompok; Penomoran berurutan.

b. Duplikasi transaksi akibat transmisi Pengecekan satu demi satu dibandingkan ulang. 4. Tidak berjalannya sistem EDI. dengan arsip pengendali. Sistem yang menoleransi kegagalan.

a. Penyebab logis, seperti virus, kuda Paket antivirus; perangkat keras dan perangkat Trojan, kesalahan lunak. b. Penyebab alami, seperti kebakaran, Pengamanan di luar kantor; RAID; disk banjir, gempa, kerusakan listrik, mirroring. dan lain-lain. c. Sabotase oleh orang yang memiliki Pelatihan; otorisasi. kebijakan pengumuman prosedur dan kesalahan perangkat program, yang bebas kesalahan. keras dan

5. Ketidakmampuan untuk mengirimkan Format transaksi. 6. Kurangnya pedoman hukum.

data

terstruktur/terstandardisasi;

ketaatan pada protokol ANSI/EDIFACT. Perjanjian defrnisi-definisi hukum, tanggung jawab, dan kewajiban.

G. Risiko Kecurangan Manajemen Artikel terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang dilakukan oleh manajemen (management fraud) membahas model risiko kecurangan yang dapat digunakan oleh auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis: 1. Membuat ekspektasi kuantitatif untuk saldo akun. 2. Membuat risiko investigatif dan saldo materialitas kuantitatif.18

3. Membandingkan saldo akun aktual dengan ekspektasi auditor. Para penulis tersebut kemudian menyarankan sebuah struktur tiga elemen yang akan digunakan dalam proses evaluasi risiko. Ketiga elemen tersebut adalah: 1. Kondisi yang memungkinkan terjadinya kecurangan manajemen. 2. Motivasi yang dapat melandasi terjadinya kecurangan. 3. Tingkah laku manajemen yang dapat mendorong manajemen untuk melakukan tindak kecurangan. Untuk setiap area di atas terdapat risiko-risiko internal dan eksternal. Misalnya: Kondisi: Tidak adanya atau lemahnya kontrol internal Tidak adanya atau lemahnya komite audit Pesatnya pertumbuhan Sedikitnya produk-produk utama Pengambilan keputusan yang tersentralisasi Manajemen yang tidak berpengalaman Motivasi: Untuk meningkatkan investasi eksternal Untuk menunjukkan laba yang meningkat Untuk menghilangkan persepsi pasar yang negatif Untuk mendapatkan pendanaan Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan Untuk memenuhi tujuan dan sasaran Untuk mendapatkan bonus Tingkah laku: Ketidakjujuran Kurangnya perhatian terhadap aturan dan regulasi Kurangnya komitmen terhadap etika Auditor seharusnya membuat suatu model yang terdiri atas semua indikasi potensial di atas yaitu situasi kecurangan pada satu sumbu (artikel rujukan tersebut memperluas daftar ini secara material), salah satu daftar hal-hal yang sering disebut "pertanda" (red flag) pada sumbu yang lain, dan dalam setiap sel hasil untuk mencapai indikasi area-area potensial yang sedang19

diperiksa.

Membuat Rencana Penentuan Risiko Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem kontrol, dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk menentukan risiko jika seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi, langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut. Fondasi penentuan risiko tercakup dalam definisi kontrol internal. Studi COSO adalah sumber definisi kontrol internal yang ada saat ini dan diakui secara luas. Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas, manajemen, dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar mengenai pencapaian tujuan pada kategori-kategori berikut ini: Efekktivitas dan efisiensi operasi. Keandalan pelaporan keuangan. Ketaatan terhadap hukum dan regulasi yang berlaku. Dalam pernbahasannya mengenai penentuan risiko, studi COSO menyatakan: Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan: Tujuan Operasional-Hal ini berkaitan dengan efektivitas dan efisiensi operasi entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya terhadap kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen mengenai struktur dan kinerja. Tujuan Pelaporan Keuangan-Hal ini berkaitan dengan penyyjian laporan keuangan yang andal, termasuk pencegahan pelaporan keuangah publik yang mengandung kecurangan. Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan eksternal. Tujuan-tujuan Ketaatan-Tujuan-tujuan ini berkaitan dengan ketaatan terhadap hti um dan peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantiing pada faktorfaktor eksternal, seperti peraturan lingkungan, dan cenderung serupa tintuk semua entitas dalam beberapa kasus dan dalam beberapa industri. Definisi dari tujuan-tujuan ini memberikan titik awal untuk penentuan risiko. Tujuantujuan umum tersebut dapat dirinci ke dalam tujuan-tujuan khusus dengan risiko-risiko yang dapat diidentifikasL Jika risiko-risiko telah diidentiftkasi, berbagai pilihan kontrol dapat20

diterapkah untuk risiko-risiko tersebut dalam rangka menentukanprosedur kontrol optimal yang akan diterapkan. Misalnya, anggaplah bahwa si auditor'sedang memeriksa operasi pemrosesan penerimaan kas. Cek-cek bernilai kecil hingga ribuan dolar diterima sebagai pembayaran piutang usaha. Pembayaran tersebut diterima di kotak pos kantor umum dan dipisahkan dari surat-surat yang lain kemudian diberpkan ke unit pemrosesan kas. Unit-unit ini membuka surat tersebut dan.memeriksa apakah jumlah yang tertera di cek sesuai dengan lampiran nota penerimaan. Unit yang lain menyiapkan slip setoran di penghujung hari dan menyetorkannya ke bank. Setoran tersebut sengaja dibuat menjadi investasi overnight atau "menyapu" rekening yang menghasilkan bunga. Penggunaan sistem "kotak terkunci" memungkinkan bank melaksanakan fungsi ini. Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan, dan ketaatan untuk operasi tersebut: Untuk menerima semua pembayaran secara tepat waktu (operasional). Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi piutang usaha (keuangan). Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di cek memang telah disetujui (operasional). Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional). Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan bunga maksimum (operasional). Untuk memastikan informasi yang dicatat pada rekening pelanggan akan menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit pelanggan (operasional dan ketaatan). Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan penanganan cek untuk menghindari tidak adanya pihak yang bertanggung jawab ketika terjadi kehilangan atau kecurangan (operasional dan ketaatan). Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesual prosedur (operasional dan keuangan). Untuk memberikan pengukuran kinerja bagi unit dan karyawan di dalamnya untuk memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima21

(operasional dan ketaatan). Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan sebagai contoh, auditor menyiapkan daftar risiko sebagai berikut: Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.

Risiko-risiko Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke ruang penerimaan surat. Amplop-amplop berlsi pembayaran ungat rawan ketika dlidcntiflkasl dan disortir di ruangan penyurtiran sebelum diberikan ke unit pemrosesan. Cek cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank disiapkan. Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan. Uang yang akan disetor bisa jadi hilang atau dicuri selams perjalanan dari area pemrosesan ke bank. Seorang karyawan bisa dirarnpok selama perjalanan ke bank pada saat menyetorkan.

Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga maksimum

Risiko-risiko Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos. Pembayaran mungkin tidak dipisahkan di ruing penyortiran dan diberikan ke unit pemrosesan secara tepat waktu. Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan ke bank sebelum batas waktu jam 2 siang. Hal-hal pengecualian bisa jadi membuat penyotoran ditunda sampai hari (-hari) berikutnya. Kegagalan peralatan dapat memperlambat pemrosesan. Si auditor membuat daftar 'risiko dengan mengamati aktivitas dan menggunakan pendekatan analitis, keahlian, dan imajinasi. Auditor menentukan spa yang bisa menjadi hambatan dalam pencapaian tujuan. Begitu risiko telah diidentifikasi, auditor dapat menentukan22

kontrol yang diterapkan perusahaan dan menentukan apakah kontrol-kontrol tersebut Iayak dan memadai sehubungan dengan risiko yang ads. Jika terdapat risiko-risiko yang tidak tercakup secara Iayak, auditor akan membuat rekomendasi atas kelemahan yang ditemukan. Auditor akan mencari struktur kontrol yang optimal. Optimal (optimum) artinva adalah struktur kontrol terbaik dalam suatu kondisi dan memiliki pertimbangan mantaat dan biaya. Sisa bab Lm membanas .,araru-sauna yang tersedia bagi auditor untuk mengidentifikasi dan mengevaluasi aktivitas tujuan, risiko, dan kontrol.

H. Pengelolaan Risiko (Risk Management) COSO framework telah mengubah peta pengendalian internal tidak haya pada fakta yang ada, tetapi juga lebih berbasis risiko. Risiko terkait erat dengan situasi ketidakpastian (uncertaiunt) hasil atau dampak dari proses yang sedang berjalan atau sesuatu yang belum terjadi atau situasi/kesempatan diwaktu mendatang, dimana ada probabilitas (probability) tidak sesuai dengan yang diharapkan, merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan kurangnya informasi (atau analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil analisis informasi) tentang apa yang akan terjadi. Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis secara sederhana dapat didefinisikan sebagai: Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan

penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi. Pengelolaan/manajemen risiko dalam bisnis awalnya hanya sering dijumpai pada industri jasa keuangan saja (banking, multifinance, insurance, foreign,/stock,commodity exchange, fund investmen, dan sebagainya), mengingat ukuran kerugian yang paling mudah adalah uang. Singkatnya manajemen risiko juga dikenal pada bisnis tertentu dikaitkan dengan keselamatan kerja (seperti mining exploration, construction project, building managenment) atau pencegahan risiko pencemaran hasil produksi dan penaganan limbah beracun pada manufaktur. Belakangan, para pebisnis diberbagai industri secara global semakin menyadari arti penting manajemen risiko. Tadinya para pebisnis lebih berfokus pada Business opportunity (melalui pembuatan23

Business Plan/Strategy yang kemudian dituangkan kedalam Business Action/Execution). Sejalan dengan berlalunya waktu, dinamika persaingan dan perubahan yang kian akrab menyertai dunia bisnis telah mendorong dikedepankanya peranan pengelolahan/analisis informasi untuk memastikan keseimbangan opputtinity dengan business risks. Risiko dapat dilihat dari berbagai perspektif: kepentingan diri, kondisi sosial, lingkungan dan sebagainya. Dalam konteks bisnis, semakin menyadari begitu luasnya dimensi dan cakupan risiko yang tersembunyi di balik aktifitas bisnis, kita semakin memiliki prioritas yang berimbang di antara pengelolaan business oppurtinity & business risk, sebagaimana pepatah bisnis mengatakan: high risk, high return; no risk no return. Tabel dibawah ini menyajikan gambaran tentang hal itu dari berbagai perspektif bisnis.

Perspektif Lingkup Risiko

Kategori Financial/Asset Risk, yaitu risiko yang dapat terukur secara keuangan atau kalkulasi asset (yang disebut juga Tangible Risk), seperti risiko yang ditunjukan oleh angka-angka parameter/risio keuangan (likuiditas/turnover,

sulvabilitas/leverage, profitabilitas/rentabilitas, net present value, dan sebagainya). Business/Operation Risk, yaitu risiko yang sulit di ukur secara keuangan (Intangible Risk), tetapi tidak dapat diterlusuri sumbernya dan diukur dampaknya secara

kuantitatif maupun kualitatif, seperti penurunan market-share atau brand awareness di masyarakat; pencapaian berbagai parameter bisnis,operasi dan pelayanan yang tidak sesuai target pencapaian berbagai parameter bisnis, operasi dan pelayanan yang tidak sesuai target (on-time delivery,damage quality, zero accident,satisfaction level, dan sebagainya).

Sumber Risiko

Inherrent Risk, yaitu risiko yang terkandung dalam institusi bisnis, seperti akuisisi kepemilikan shareholder, financial

24

Planing/Forecasting yang tidak tepat, minggatnya sejumlah star employee, penyelewengan tugas (discrepancy) oleh karyawan, birokrasi yang terlalu gemuk service level yang rendah, dan sebagainya). Environment Risk, yaitu risiko yang menjadi ancaman dari luar institusi bisni, seperti pengaruh negatife dari globalisasi (krisi energi/pangan, resersi), perubahan rezim politik atau regulasi pemerintah terkait bisnis, bencana alam, pembajakan Intellectual Property milik perusahaan, dan sebagainya.

Waktu Terjadinya Risiko (dan Dampak dari Risiko)

Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau dampak yang langgsung dirasakan, seperti kerugian investasi (atau akibat perubahan currency rate), asset yang raib (uang, persediaan, asset tetap, dan sebagainya), turnover penjualan yang menurun, complain dari pelanggan, pencemaran limbah yang merugikan masyarakat sekitar, dan sebagainya.

Potential/Hidden Risk, yaitu risiko yang mungkin saja muncul(atau dampak risiko yang akan dihadapi) padawaktu mendatang, seperti multiplier effect dari investasi di bidang property karena adanya skandal subrime mortgage di US , stock level yang berlebihan berkurangnya jumlah customer base perusahaan secara perlahan, risiko kerugian karena musibah (force majeur), dan sebagainya.

Skala Risiko

Manageable Risk, yaitu risiko yang belum terjadi, atau dampaknya telah diukur sebagai tidak mampu ditanggung (paling tidak untuk beberapa waktu ke depan ), sehingga sedapat mungkin harus dihindari, seperti risiko small business bersaing di jalur padat modal dengan bisnis berskala besar, risiko terjun ke segmen pasar yang didominasi brand ternama, dan risiko berinvestasi dalam bisnis yang belum25

dikenal baik (tidak ada informasi yang cukup). Unmanageable Risk, yaitu risiko yang tidak dapat dihindari, baik karena sudah terjadi atau sangat mungkin terjadi, sehingga harus ditangani untuk menekan tingkat

kemungkinan timbulnya risiko atau menekan besarnya dampak negatif yang ditimbulkannya.

Dengan mengacu pada berbagai perspektif pemahaman di atas dapat disimpulkan secara sederhana bahwa substansi dari pengelolaan risiko adalah berfokus pada tindakan antisipasi/pencegahan (anticipativepreventive actions), dengan upaya mengenali risiko yang mungkin terjadi (possibility of risk) sekaligus dampak yang mungkin ditimbulkannya (possibility of risk impact). Tindakan pencegahan berupa:

RISK DETECTION

Upaya memastikan tingkat kemungkinan terjadinya risiko dan tingkat kemampuan untuk menghadapai atau menghindari (Risk Detection). Misalnya, dengan membatasi dana yang akan diinvestasikan dalam bisnis baru, melakukan uji pasar (Market Test) terhadap produk baru, dan memantau kompetensi SDM selama masa probation.

RISK REDUCTION/ ELIMINATION

RISK SHARING/ OUTSOURCING

Upaya menekan atau mengurangi tingkat terjadinya risiko (Risk Reduction, Risk Elimination) misalnya, dengan melakukan Hedging dan mengantisipasi fluktuasi Currency Rate, membangun pengendalian internal yang kuat, menempatkan SDM dengan prinsip The Right Man on The Right Place, dan menginvestasikan dana pada penanganan limbah produksi. Upaya membagi atau mengalihkan dampak risiko yang mungkin timbul (Risk Sharing, Risk Outsourcing). Misalnya, dengan melakukan diversifikasi pada berbagai instrument investasi atau bisnis yang berbeda, menjalin kerja sama atau aliansi bisnis, menutup asuransi, mensubkontrakkan, sejumlah aktifitas bisnis/operasi, dan sebagainya.

RISK MITIGATION

Upaya mengurangi/menghentikan dampak negative (kerugian) yang sudah terjadi. Misalnya, menarik dana dari instrument investasi atau bisnis yang terus merugi, menerapkan restrukturisasi terhadap kinerja perusahaan yeng mengalami bleeding melakukan pendekatan kepada masyrakat terkait pencemaran limbah yang sudah terjadi.26

Dari uraian tersebut dapat disimpulkan bahwa hampir tidak ada ruang sekecilpun dalam bisnis yang bebas dari risiko dan tidak ada risiko bisnis yang tidak dapat ditelusuri, diukur, serta ditangani. Dengan kata lain, semua risiko bisnis harus dikelola dengan baik. Sekali lagi, kunci dari pengelolalaan risiko adalah tingkat kememadaian risiko (risk process cycle), yaitu: 1. Identifikasi jenis risiko yang mungkin dihadapi oleh bisnis serta PEMETAAN dampak negatif yang ditimbulkan oleh setiap jenis resiko tersebut. 2. Pengumpulan, seleksi, dan ANALISIS informasi factual yang relevan dengan setiap jenis risiko beserta dampaknya. 3. Pengembangan hasil analisis informasi berupa PERAMALAN (forecasting) terhadap tingkat kemungkinan risiko ke depan. 4. Perencanan, eksekusi, dan Evaluasi PENGENDALIAN Sumber Risiko dan/atau Dampak Risiko berdasarkan hasil Analisis (Pemetaan) Risiko.

Apa hubungan pengelolaan Risiko dengan pengendalian internal? Titik temu utamanya adalah pada kepentingan untuk melakukan tindakan pencegahan (preventive action) atau membangun system peringatan dini (early warning system or alert system or alert system) yang efektif diperusahaan, dimana berbagai risiko yang mungkin terjadi beserta dampaknya dapat diidentifikasi, diukur, dan akhirnya dapat diminimalkan sekecil mungkin (controllable risk). Kalimat-kalaimat sederhana berikut ini memberi gambaran lain tentang hubungan keduanya: Internal Control adalah alat untuk mendukung Risk management dalam pengumpulan informasi lapangan, sekaligus sebagai response in action terhadap hasil Risk Management. Sebaliknya, Risk Management adalah acuan awal bagi seluruh aktivitas Internal Control, sekaligus alat evaluasi yang efektif untuk mengukur kememandaian internal Control yang sedang berjalan. Internal Control dan Risk Management bagai otak dan hati, pikiran dan bijaksana, atau bagai dua sisis mata uang yang tidak bisa terpisahkan. Keduanya merupakan integrated mission bagi Satuan Kerja Audit Internal.

Artikel terbaru tentang risiko telah menyarankan auditor internal untuk membantu27

manajemen dengan tidak hanya mengidentifikasi area-area risiko tetapi juga membantu manajemen dalam mengendalikan risiko tersebut secara positif. Penulis menyatakan bahwa risiko biasanya dipandang negatif, padahal risiko merupakan esensi usaha dan fungsi jenis usaha. Fungsi-fungsi ini biasanya menggunakan kontrol untuk menetralkan risiko yang berlebihan dan mencoba seperangkat parameter empat risiko ditempatkan pada tingkat di mana aspek positif melebihi aspek negatifnya. Contoh sederhana adalah penetapan batas kredit atas penjualan: untuk menetapkan batasan yang ketat dan menghilangkan risiko akan menghilangkan penjualan marginal yang secara potensial akan dihapuskan dalam kondisi usaha yang normal. Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan berhatihati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit menjadi suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-risiko yang harus diambil dan kontrol terkait untuk meningkatkan operasi dari posisi pendapatan dan laba. Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. Jadi:

Kontrol Risiko: Mendukung suatu program kontrol risiko dan kerugian secara proaktif. Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko. Memonitor efektivitas aktivitas kontrol risiko.

Pendanaan Risiko: Mempertimbangkan semua sumber keuangan yang tersedia. Mempertahankan proteksi terhadap kerusakan yang mungkin timbul. Mengalokasikan biaya pendanaan risiko di antara unit-unit operasi secara wajar.

Administrasi: Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko. Menerapkan struktur manajemen risiko yang terdefinisi dengan baik. Mengembangkan tujuan tahunan yang ditargetkan dengan jelas.28

Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh. Jadi, auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari

manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk memberi kontribusi bagi kebaikan manajemen

Tujuan-tujuan Proses Manajemen Risiko Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang tercantum pada Practice Advisory 21'10-1, "Penilaian Kecukupan Proses Manajemen Risiko" Tujuan-tujuan ini adalah: Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan. Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana strategis organisasi. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan dewan komisaris. Aktivitas-aktivitas pengawasan yang berkelanjutan ailaksanakari untuk secara periodik menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko. Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.

Metode-metode Analitis Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-metode ini adalah: Pembuatan bagan alir Kuesioner konntrol internal Analisis matriks

29

1. Pembuatan Bagan Alir Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran aktivitas melalui proses. Bagan tersebut memungkinkan untuk "melihat" operasi,

mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-kelemahan kontrol. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan karyawan operasional; bagaikan sebuah peta jalan yang merupakan alat komunikasi yang, lebih baik dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan alir juga menawarkan peluang untuk menyajikan secara komparatif suatu gambar mengenai pendekatan alternatif untuk suatu proses. Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di masa lalu karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas kertas menggunakan pola plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis tangan yang final sering kali merupakan produk akhir dari proses sebelumnya yang banyak mengandung kesalahan dan banyak dihapus. Bagan alir yang ditulis tangan tidak memudahkan modifikasi. Meskipun merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya digunakan karena tidak efisien. Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir. Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak tenaga. Sebuah bagan alir yang dibuat menggunakan komputer untuk operasi pemrosesan pembayaran tampak seperti ini:

30

Tampilan Proses Pembayaran yang Ditemukan Selama AuditPembayaran yang diterima di kotak pos

Risiko Semua suratbisa jadi tidak diproses

Kotak pos dikosongkan oleh kurir; dibawa ke ruang penyortiran surat

Kontrol tunggal untuk surat dari kotak pos ke ruang penyortirandalam kotak khusus.Tidak disiapkan total batch (Kelompok)

Surat disortir, Pembayaran ke kotak Khusus Risiko Semua penerimaan kas bisa jadi tidak diproses pada jumlah yang sesuai

Kotak dikirimkan ke unit Pemrosesan

Risiko nota pereimaan bisa jadi tidak sesuai

Amplop dibuka, cek dibandingkan dengan nota pembayaran

Unit pemrosesan haruslah sebuah area yang aman

Ya Cek

Apakah nota pembayran dan cek sesuai?

Ya Risiko nota Pengganti bisa jadi untuk akun yang tidak sesuai

Nota Pembayaran

Tidak

Cek asli

Periksa salinan cek

Siapkan slip setoran bank, saldo untuk pembayaran batch Setorkan ke bank

Siapkan pengganti nota pembayaran, periksa yang asli

Nota Pengganti

Siapkan induk batch berisi total, kirim ke EDP

Supervisor harus mengetahui semua transaksi-transaksi yang dikecualikan

Piutang usaha diperbarui

Kirim surat ke pelanggan menjelaskan perbedaan dan langkah yang diambil

Bandingkan aplikasi setoran31

Risiko Tidak ada kontrol untuk penerimaan kas yang tidak dapat diterapkan

Catatan auditor berada di luar symbol-simbol bagan alir. Auditor melakukan analisis awal tentang risiko dan menggunakan alternatif-alternatif yang direkomendasikan oleh rekomendasi audit yang tertera pada bagan berikut.

Pembayaranhanyadit unjukankekotakposk hususpembayaran.Sa tukotakuntukpemba yarandalamjumlahbe sar: yang lainuntukjumlah yang lebihkecil.

Pembayaranditerima dalamkotakpos

Duakaryawanmengoso ngkankotakdanmenyer ahkansuratberisipemab ayaranke unit pemrosesan

Kotakposdikosongkan olehkurir; dibawahkeruangpeny prtiransurat.

Kontroltunggaluntuksur atdarikotakposkeruangp enyortirandalamkotakk husus

Suratdisortir, pembayarankekotakk husus

Pembayarandalamjum lahbesardiproseslebih dahulu Pembayarandalamju mlahkecildiprosesse telahnya

kotakdiserahkanke unit pemrosesasan.

Amplopamplopdibuka, cekcekdibandingkandeng an nota pembayaran

Unit pemrosesanharusberad adalam area aman.

Setorankhususu ntukcekcekberjumlahbe sardisiapkan, dibawahke bank olehdua orang sebelum jam 2.

Ya

Nota pembayar an dan cek sesuai?

YaNota Pembayaran

Tidak CekAsliSiapkansetoran bank, saldountuk batch pembayaran Periksa salinan cek Sipkan nota pembayaranpe ngganti, periksa yang asli

Nota PenggantiSupervisorharusm engetahuisemuatr ansaksipengecuali an

Siapkaninduk batch dengan total, kirimke EDP

Setoranke bank

Suratkepelangganmenj elaskanperbedaandant indakan yang di ambil

Piutangusaha di perbaharui

32

Auditor dapat melakukan observasi tentang metode, risiko, dan control pada bagan alir. Auditor dapat membuat scenario alternatif dan mencobanya pada bagan sebelum menjadi rekomendasi audit. Alternatif-alternatif tersebut dapat lebih mudah dibahas dengan manajemen jika bagan lama dan baru dapat dibandingkan secara berdampingan. Juga, control dapat didefinisikan dan dibahas untuk menetukan efisiensi dan efektivitasnya. Jika bagan sudah dibuat, maka bagan tersebut siap ditelaah, dianalisis, dan diperbarui pada audit selanjutnya. Bagan tersebut juga membantu pengembangan dan pemeliharaan program audit. Bagan alir yang diperbarui menjadi bagian dari arsip permanen.

2.

Kuesioner Kontrol Internal Pada bab yang membahas Survei Pendahuluan, kuesioner dibahas sebagai sebuah sarana

untuk mendapatkan informasi tentang fungsi yang akan disurvei dan segera diaudit. Terdapat kuesioner jenis lain yang biasa digunakan oleh auditor. Kuesioner tersebut dikenal sebagai kuesioner kontrol internal (internal control questionnaire-ICQ). Kuesioner ini berbeda dari kuesioner dengan pertanyaan terbuka yang digunakan dalam survei pendahuluan. Kuesioner pertanyaan terbuka mendnyakan pertanyaan-pertanyaan yang membutuhkan tanggapan naratif dari responden. Kuesioner seperti ini mencari informasi untuk memperluas pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan membutuhkan jawaban "ya" atau "tidak" disertai komentar. ICQ membutuhkan jawaban yang langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan. ICQ digunakan untuk evaluasi berkelanjutan atas kontrol yang ada dan dapat digunakan dala4analisis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktivitas atau proses telah dianalisis daft kontrol yang sesuai telah diterapkan. ICQ merupakan uji ketaatan yang dimaksu~kan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor mengenai kontrol yang seharusnya diterapkan dan diuji selama audit. , Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini: Pertanyaan Jawaban Komentar Ini Metode Dikerjakan Oleh JEL

Apakah cek-cek Ya dibandingkan dengan nota Tidak

merupakan Tanya jawab untuk Observasi Pengujian

bagian

menyakinkan33

pembayaran?

jumlah diterima dikreditkan

yang akan ke

akun pelanggan Apakah bank dengan pembayaran sebelum diserahkan bank ke setoran Ya sesuai data Tidak Jika tidak setoran diversifikasi dan dikirim ke bank untuk dikredit keduanya Tanya jawab sesuai, Observasi Pengujian MRE

secepat mungkin

Pertanyaan dijawab 'Ya atau 'Tidak" (digaris bawahi) dan setiap perubahan "Komentar" dicatat oleh auditor. "Metode" menentukan jawaban dicatat. Suatu tanya jawab, yeitu bertanya kepada klien, bukan merupakan sumber yang dapat diandalkan seperti halnya observasi. Memeriksa bahan bukti dokumen yang diperoleh selama pengujian Iebih diharapkan daripada sekadar observasi. Pengujian catatan dan transaksi memberi peluang untuk memeriksa kejadian dan mengevaluasi risiko selama jangka waktu tertentu dibandingkan dengan periode pengamatan yang pendek. Hal ini diperlukan untuk mengevaluasi fungsi kontrol kunci. Kolom 'Dikerjakan Oleh" harus berisi nama atau inisial orang yang melakukan aktivitas tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian ini terhadap risiko. Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa kuesioner tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi selanjutnya setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi baru, pemberlakuan hukum dan peraturan baru, dan munculnya banyak peristiwa lain membutuhkan penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih dilakukan bisa jadi bukanlah prosedur terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk menentukan bahwa pertanyaan dan konteks jawabannya tetap relevan. Auditor harus memastikan bahwa ICQ34

mengikuti dan merespons perubahan dalam organisasi, metode operasi, dan tujuan organisasi. Perubahan dalam setiap hal ini membutuhkan perubahan dalam ICQ.

3.

Analisis Matriks Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control

and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis matriks tersebut dapat digunakan untuk analisis kontrol di aktivitas mana pun. Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna memastikan bahwa setiap risiko memiliki kontrol yang layak. Matriks kontrol juga mengakui bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai contoh, sebuah kunci melindungi aset dari kemungkinan hilang dengan membatasi akses. Hal ini juga memberikan akuntabilitas untuk menangani aset karena orang yang memegang kunci akan bertanggung jawab jika aset yang sudah diamankan tersebut hilang. Suatu anggaran menetapkan tujuan dan sasaran yang akan dicapai dan menjadi alat ukur kinerja. Anggaran juga menetapkan otoritas manajer untuk bertindak dalam kendala keuangan berupa anggaran. Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1); tingkat keyakinan ini disebut sebagai primer (P) karena merupakan kontrol utama menghadapi risiko. Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan menghadapi risiko lain (Risiko 2), tetapi tingkat keyakinannya lebih kecil dari kontrol yang semula dirancang untuk itu. Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko 2 memiliki kontrol primernya sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan menghadapi Risiko 2 ketika menghadapi Risiko 1. Suatu kontrol dapat memberikan tingkat keyakinan ketiga atas kontrol yang lain (Risiko 3). Tingkat keyakinan ini disebut sebagai berguna (B). Tingkat keyakinan tersebut tidak cukup hanya mengandalkan kontrol menghadapi Risiko 3 tetapi kontrol ini bisa memunculkan pertanda atas adanya Risiko 3 yang harus diinvestigasi.

35

Matriks risiko dan kontrol tampak seperti ini: Kontrol A Risiko I Risiko 2 Risiko 3 P S P Kontrol B Kontrol C B B P

Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini. Dalarn sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yangberkaftan dengan akses ke atxsip data. Perhatikan risiko-risiko berikut ini dan kontrol primernya. Risiko Kontrol Primer

1. Individu yang tidak memiliki A. ID pengguna dan kata sandi otorisasi di dalam organisasi bisa dibutuhkan untuk mengakses sistem mengakses catatan komputer. komputer.

2. Individu yang tidak memiliki B. Alat modem dihubungkan hanya otorisasi di luar organisasi bisa jika pengguna eksternal yang dikenal mengakses catatan komputer. meminta akses dan tidak

disambungkan di akhir sesi. 3. individu yang tidak memiliki C. laporan usaha yang gagal

otorisasi bisa mencoba mendapatkan dihasilkan dari sistem penegaman, akses catatan ke komputer, dan bisa dan laporan tersebut diperiksa setiap hari oleh pegawai pengaman data.

Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol? ID pengguna dan kata sandi (A) adalah kontrol primer untuk menghadapi orang dalam yang tidak terotorisasi yang mencoba mengakses catatan komputer organisasi. Memutuskan sambungan modem pada saat tidak digunakan (B) merupakan perlindungan primer menghadapi penyusup luar. Mereka tidak dapat mengakses pada waktu sirkuit terhubung Ice pengguna resmi. Jika modem tidak disambungkan pada saat sesi resmi diselesaikan, tidak ada jalan bagi hacker untuk mengakses. Jika modem masih terkoneksi dan sirkuit masih terbuka, tingkat kontrol selanjutnyaID pengguna dan kata sandi-akan tersedia sebagai penghalang36

terhadap hacker (sekunder). Kontrol tersebut dapat diandalkan untuk menghadapi hacker meskipun dibuat untuk menghadapi orang dalam yang tidak memiliki otorisasi. (Primer) Jika modem terkoneksi dan hacker mencoba selama beberapa hari, laporan pengamanan harian (C) akan memberi tanda kepada pegawai pengamanan data. (Berguna). Penelaahan atas laporan pengamanan harian berguna untuk menghadapi orang dalam yang tidak memiliki otorisasi karena akan melaporkan seseorang yang mencoba mengakses dengan ID pengguna dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini, pegawai pengamanan data dapat memulai langkah-langkah untuk menemukan orang yang mencoba masuk. Mengapa ini hanya merupakan kontrol yang berguna? Laporan tersebut tidak bernilai dalam mencegah akses ke komputer. Apalagi, laporan tersebut menampilkan upaya yang gagal ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang bukan merupakan kesalahan berbahaya. Oleh karena itu, laporan tersebut tidak dapat diandalkan dalam mendeteksi segera atau hanya upaya akses dengan niat jahat. Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol primer yang berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya untuk menerapkan beberapa kontrol atas risiko yang sama karena takut salah satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat digunakan untuk lebih dari satu tujuan dan memberikan kontrol yang dibutuhkan, sistem tersebut sudah lebih kuat tanpa perlu tambahan biaya.

4.

Kontrol Preventif dan Detektif

Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol-preventif atau detektif. Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol detektif mendeteksinya sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di atas, dua kontrol-memutuskan kata sandi dan modem-adalah kontrol preventif. Orang-orang jahat" tidak bisa mendapat akses karena kontrol ini diterapkan. Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan upaya orangorang tidak bertanggung jawab untuk masuk ke sistem. Jika pengguna yang tidak memiliki otorisasi bisa mengakses pada hari pertama, laporan di pagi hari akan memberikan informasi yang bisa digunakan untuk mengejar si hacker, tetapi hanya setelah kejadian. Kontrol detektif memiliki sifat "aktivitas setelah fakta' dan membutuhkan empat unit37

tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi, atau menemukan masalah atau risiko yang ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang tidak diinginkan untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan. Tindakan ketiga adalah koreksi. Tindakan terakhir adalah pengecekan lerhadap tindakan korektif untuk melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau dinetralkan. Ada dua aspek lain dari kontrol detektif yang -membuatnya kurang efektif dibandingkan kontrol preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Penelaahan dan analisis dapat ditangguhkan jika tekanan lain meningkat, dan dapat diabaikan jika orang yang ditugaskan merasa pekerjaan tersebut tidak menyenangkan. Kedua, kontrol detektif kelihatannya hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan. Akan tetapi, kita tidak bisa mengetahui tidak adanya hal-hal yang tidak diinginkan atau tidak adanya risiko sampai pemeriksaan diselesaikan. Untuk itulah terdapat keadaan-keadaan yang kontrol detektif merupakan satu-satunya pilihan. Bukan kontrol preventif yang bisa mengamankan setiap risiko yang mungkin muncul. Sebagai contoh buku cek dapat ditempatkan dalam tempat terkuncisebuah kontrol preventif. Hal ini tidak menghilangkan kebutuhan untuk memeriksa cek untuk mendeteksi adanya perubahan yang dilakukan dan pemalsuan- sebuah kontrol detektif. Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol preventif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan atau diabaikan. Sehingga matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis. Contoh sebelumnya digunakan dengen sifat kontrol ditampilkan dalam tanda kurung.

Kontrol A Risiko 1 Risiko 2 Risiko 3 P(p) S(p)

Kontrol B

Kontrol C B(d)

P(p)

B(d) P(d)

Dalam beberapa penggunaan dari pendekatan ini, tanda (p) atau (d) ditempatkan pada awal kolom dengan identifikasi kontrol. Hal ini cenderung menghilangkannya dari daerah pertimbangan jika analisis dilakukan. Memposisikan sifat dengan tingkat keyakinan meningkatkan efisiensi dan efektivitas analisis, khususnya jika matriksnya besar dengan banyak kolom dan baris.38

I. Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas pertanyaanpertanyaan yang dapat mereka simpulkan merupakan risiko penentu yang signifikan. Pertanyaanpertanyaan seperti yang disajikan di awal bab ini divalidasi melalui pengalaman lampau dan melalui pembahasan dengan manajemen dan pegawai audit internal. Aspek pentingnya adalah penentuan jawaban spesifik dan bobotnya. Sebagai contoh, organisasi harus mempertimbangkan berapa volume transaksi yang merupakan indikator potensial. Hal ini dapat bervariasi menurut ukuran organisasi. Bobot diberikan ke jawaban-jawaban ini dan sebuah metodologi untuk menjumlahkan jawaban ditentukan. Tergantung dari pengalaman dan situasi saat ini, beberapa pertanyaan bisa memiliki bobot lebih tinggi dibandingkan yang lain. Sebagai contoh, sensitivitas informasi bisa memiliki bobot lebih tinggi dibandingkan bila digit terakhir dilaksanakan. Skor risiko untuk situasi tertentu dievaluasi terhadap semua risiko lainnya dan digunakan untuk membuat rencana audit. Beberapa organisasi menggunakan model ini untuk menetapkan jam penugasan. Organisasi yang sedang mengembangkan program seperti ini yakin bahwa manfaat yang didapat jelas melebihi biayanya dan memungkinkan pendekatan yang lebih objektif untuk penentuan risiko. Namun, ada organisasi-organisasi yang justru meyakini sebaliknya dan, bila mereka menggunakan kuesioner, maka tergantung auditor untuk memutuskan berdasarkan evaluasinya terhadap jawaban pertanyaan.

39

BAB III PENUTUP

A. Kesimpulan

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor internal. Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus ditentukan. Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus-menerus dari manajemen. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses penentuan risiko itu sendiri merupakan hal penting bagi audit. Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian organisasi yang berbeda. Risiko terkait erat dengan situasi ketidakpastian (uncertaiunt) hasil atau dampak dari proses yang sedang berjalan atau sesuatu yang belum terjadi atau situasi/kesempatan diwaktu mendatang, dimana ada probabilitas (probability) tidak sesuai dengan yang diharapkan, merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan kurangnya informasi (atau analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil analisis informasi) tentang apa yang akan terjadi. Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis secara sederhana dapat didefinisikan sebagai: Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan

penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.

40

Daftar Pustaka'Committee of Sponsoring Organizations of the Treadway Commission, Internal Control Integrated Framework (Jersey City, NJ: COSO, 1992), 29. Sawyer, Lawrence B. 2005. Sawyers Internal Auditing. Jakarta: Salemba Empat.

41