Download - Makalah ISI

Transcript
Page 1: Makalah ISI

BAB I

PENDAHULUAN

A. Latar Belakang

Risiko telah menjadi bagian yang tidak terpisahkan dari kehidupan manusia begitu juga

dengan perusahaan, namun keberadaan risiko tersebut perlu ditangani dengan baik sehingga

kerugian yang dapat ditimbulkannya bisa kita minimalisasi atau bahkan kita hindari.

Manusia memang selalu dihadapkan dengan risiko sehingga risiko menjadi bagian dari

keseharian manusia. Akibatnya, kita harus menanggung kerugian jika risiko-risiko tersebut tidak

kita antisipasi dari awal.  Risiko, khususnya di dalam bisnis, tidaklah selalu mencerminkan hal

yang buruk. Kenyataannya, risiko bisa mengandung suatu peluang yang sangat besar bagi

mereka yang mampu mengelola dengan baik. Kesadaran akan memahami risiko dengan baik

sebagai suatu bagian yang tidak terpisahkan dari upaya untuk mengoptimalkan keuntungan inilah

yang menjadi dasar terbentuknya konsep manajemen risiko yang akhir-akhir ini semakin

mengemuka didalam dunia bisnis.

Semua organisasi baik profit oriented maupun social oriented didirikan dengan maksud

untuk mencapai tujuan. Tujuan tersebut diarahkan kepada seluruh pemangku kepentingan

(stakeholders) agar dengan tujuan tersebut memberikan suatu nilai tambah (value added). Namun

dalam rangka pencapaian tujuan tak bisa dipungkiri bahwa organisasi menyadari akan adanya

berbagai ketidakpastian. Makin kompleks aktivitas suatu organisasi maka makin tinggi pula

tingkat ketidakpastiannya dalam pencapain tujuan.

Ketidakpastian tersebut mengandung unsur risiko yang berpotensi mengurangi peluang

organisasi dalam mencapai tujuannya bahkan dapat menggerogoti nilai yang telah ada.

Ketidakmampuan perusahaan dalam menangani berbagai risiko yang dihadapi pun dapat

berakibat fatal. Beberapa perusahaan terpaksa gulung tikar karena tidak sanggup menangani

resiko yang tak terduga. Manajemen risiko oleh perusahaan dapat meningkatkan nilai perusahaan

sekaligus mendukung pertumbuhan ekonomi dengan menurunkan biaya modal serta mengurangi

ketidakpastian aktivitas sosial. Manajemen risiko bertujuan mengidentifikasi, mengukur dan

mengatasi risiko perusahaan pada level toleransi tertentu. Menurut Risk Management Standar

(4360:2004), manajemen risiko adalah kultur, proses, dan struktur yang diarahkan untuk

merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan.

Page 2: Makalah ISI

Manajemen risiko merupakan tanggung jawab utama manajemen senior dan

Dewan. Untuk mencapai tujuan usahanya, manajemen harus memastikan bahwa proses

manajemen risiko telah ada dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki

peran pengawasan terhadap efektivitas proses manajemen risiko tersebut. Untuk menjalankan

perannya itu, Dewan dapat mengarahkan aktivitas audit internal untuk membantu mereka melalui

pemeriksaan, evaluasi, pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan

efektivitas proses manajemen risiko.

Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan

pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran

konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan

metodologi manajemen risiko dan pengendalian yang relevan.

Berdasarkan hal tersebut, maka penulis tertarik untuk membuat suatu makalah dengan

judul Risk Management ( Pengelolaan Resiko ).

B. Rumusan Masalah

Berdasarkan latar belakang di atas maka perumusan masalah yang hendak di bahas adalah

sebagai berikut:

1. Apa penentuan risiko itu?

2. Apa saja risiko audit dan komponen-komponennya pada audit laporan keuangan?

3. Apakah risiko perdagangan elektronik, risiko EDI dan risiko kecurangan manajemen?

4. Bagaimana pengelolaan risiko?

5. Apa saja metode-metode analisis yang digunaakan dalam mengidentifikasi risiko?

C. Tujuan

Berdasarkan rumusan masalah di atas maka tujuan yang hendak di bahas adalah sebagai

berikut:

1. Untuk mengetahui penentuan risiko.

2. Untuk mengetahui risiko audit dan komponen-komponennya pada audit laporan keuangan.

3. Untuk memahami risiko perdagangan elektronik, risiko EDI dan risiko kecurangan

manajemen.

4. Untuk memahami pengelolaan risiko.

5. Untuk memahami metode-metode analisis yang digunaakan dalam mengidentifikasi risiko.

Page 3: Makalah ISI

D. Metode Penulisan

Penyusunan makalah ini menggunakan referensi-referensi dari beberapa media atau literatur

yang diedit dan diunduh secara lansung.

E. Sistematika Penulisan

Penyusun menggunakan sistematika berupa pendahuluan yang berisi, latar belakang,

perumusan masalah, tujuan penulisan, metode penulisan, dan sistematika penulisan, yang

diikuti oleh bab pembahasan, dan terakhir penutup berupa kesimpulan.

Page 4: Makalah ISI

BAB II

PEMBAHASAN

A. Penentuan Risiko

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor

internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu, dan prinsip-

prinsip manajemen yang baik mendorong penerapannya di industri dan sektor-sektor lain.

Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan saran yang

digunakan untuk melakukannya. Auditor internal harus memasukkan basil penentuan risiko ke

dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan memang

diterapkan untuk mengurangi resiko.

Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi, mengawali

pembahasan tentang penentuan risiko dengan ringkasan berikut ini:

Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus

ditentukan. Persyaratan awal untuk penentuan risiko adalah adanya penetapan tujuan, yang

dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi. Penentuan

risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk mencapai tujuan (entitas),

yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko. Karena kondisi

ekonomi, industri, peraturan dan operasi akan terus berubah, maka dibutuhkan mekanisme untuk

mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan dengan perubahan.

Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus-

menerus dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan tujuan

dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan yang

muncul akan menghalangi perjalanan mencapai tujuan. Beberapa hambatan, atau risiko, akan

datang dari luar entitas; sedangkan yang lainnya dari dalam. Sebagai contoh:

Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang dibutuhkan

untuk mencapai tujuan.

Sebuah perusahaan pesaing memperkenalkan produk atau jasa bare yang membutuhkan

tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan

Page 5: Makalah ISI

sebelumnya.

Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang.

Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah

ditetapkan.

Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan penentuan risiko adalah

untuk membuat karyawan sadar akan beragam risiko yang ada serta prioritas, dan keterbatasan

dari daftar risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang

muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan

dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses

penentuan risiko itu sendiri merupakan hal penting bagi audit.

B. Siapa yang Memanfaatkan Penentuan Risiko?

Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan

kesuksesan suatu entitas; hal ini telah dibahas dengan jelas pada studi COSO. Manajemen juga

menggunakan penentuan risiko sebagai alat yang penting dalam merancang sistem-sistem baru.

Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk memenuhi tujuan yang

telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah

identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai

tujuannya.

Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka.

Statement on Auditing Standards (SAS) No. 55 dari American Institute of Certified Public

Accountants (AICPA) menguraikan tanggung jawab akuntan untuk mendapatkan pemahaman

atas sistem kontrol. Akuntan publik juga melakukan penentuan risiko dalam merencanakan audit

mereka. Apa saja risiko-risiko kegagalan yang bisa mengancam pencapaian tujuan audit?

Pengujian audit mana yang seharusnya digunakan untuk memastikan bahwa tujuan audit

tercapai? Satu risiko yang bisa muncul adalah memilih metode pengujian yang tidak tepat, yang

lainnya adalah penggunaan rencana dan teknik pengambilan sampel yang tidak tepat, dan lain

sebagainya.

Tidak diragukan lagi bahwa auditor internal telah terlibat dalam penentuan risiko sejak

Page 6: Makalah ISI

awal profesi ini berdiri. Auditor internal selalu bertanya, "Kesalahan apa yang bisa terjadi?"

Pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan persyaratan mutlak

untuk menentukan prosedur kontrol yang harus diterapkan. Bagaimanapun juga, akankah ada

kontrol jika tidak ada risiko? Bagaimana auditor menentukan bahwa suatu kontrol merupakan

kontrol yang efektif-kontrol yang tepat-dalam suatu kondisi tanpa mengidentifikasi dan

mengevaluasi risiko? Sehubungan dengan pertanyaan ini, IIA mengeluarkan Statement on

Internal Auditing Standards No. 9 tentang Penentuan Risiko pada tahun 1991. Saat ini hal

tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih lanjut di Practice Advisory

2210.A1-1.

Pada kebanyakan entitas, departemen audit internal akan menjadi pernain utama dalam

penentuan risiko yang mengarahkan laporan tahunan manajemen unttik mengemukakan kondisi

sistem kontrol. Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan dalam

membuat laporan tersebut. Audit khusus mungkin dibutuhkan di bebetapa entitas untuk

memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah diperbaiki pada

tanggal laporan akhir tahun.

C. Memperluas Audit Berbasis Risiko

Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari

observasi dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan

operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi.

McNamee dan Selim menyatakan pendekatan ini tidak tepat karena adanya kebutuhan untuk

memenuhi tujuan terlebih seharusnya-berorientasi ke masa depan. Para penulis tersebut

merekomendasikan sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan

organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran,

dan penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara:

1. Mengendalikan dan menerima risiko, atau

2. Menghindari atau mendiversifkasi risiko, atau

3. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya.

Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat

dihindarkan di semua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui

Page 7: Makalah ISI

berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup:

Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi

besaran maupun jumlah;

Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk

kemajuan dan keuntungan;

Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah

pola risiko;

PendiversifIkasian risiko dengan menyebarkan total risiko ke operasi-operasi yang

terpisah. Misalnya: menggunakan berbagai pemasok untuk bahan baku yang penting; dan

Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan

pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.

Adanya perhatian ke masa depan merupakan perluasan dari pengakuan risiko ke

manajemen risiko. Hal ini merupakan contoh audit internal menuju bidang yang memberikan

unsur bernilai tambah terhadap fungsi yang bernilai waktu, yang berkaitan dengan risiko dan

penggunaan audit berbasis risiko.

D. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan

Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko. Luas risiko

adalah jumlah yang berpotensi terkena risiko; probabilitas adalah kemungkinan terjadinya risiko.

Masih terdapat hal-hal lain yang harus dipertimbangkan pada saat menentukan dampak risiko.

Pendapat tentang kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian

selanjutnya.

AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on

Auditing Standards terbaru (No. 47, No. 53, dan No. 55). Risiko audit terdiri atas dua tingkatan-

tingkat laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan

keuangan, risiko audit adalah -risiko bahwa auditor mungkin secara tidak sengaja gagal

memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material."

Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa

yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada

tingkat laporan keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus

Page 8: Makalah ISI

mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri, dan karakteristik

penugasan. Faktor-faktor yang disebutkan berikut ini bisa menunjukkan situasi yang

meningkatkan risiko audit:

Karakteristik Manajemen

Kebijakan manajemen didominasi hanya oleh satu orang.

Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan.

Perputaran manajemen tinggi.

Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba.

Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.

Karakteristik Operasi dan Industri

Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak

konsisten.

Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.

Entitas berada pada industri yang menurun.

Organisasi entitas bersifat desentralistis tanpa pengawasan aktivitas yang memadai.

Entitas diragukan kelangsungan hidupnya.

Karakteristik Penugasan

Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang sulit.

Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit.

Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dalam jumlah

yang signifikan dan tidak biasa.

Sebelumnya terdapat salah saji signifkan yang dideteksi selama audit atau tidak tersedia

data mengenai hal tersebut.

Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh,

ukuran, kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor

ini.

Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan

berdampak pada: (1) penugasan staf; (2) pengawasan yang dibutuhkan; (3) keseluruhan strategi

audit; dan (4) tingkat skeptisme profesional. Sebagai contoh, pada situasi yang dirasakan auditor

memiliki risiko audit yang meningkat, auditor bisa menugaskan lebih banyak staf berpengalaman

dan menerapkan lebih banyak prosedur substantif selama audit interim dan akhir tahun.

Page 9: Makalah ISI

Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi,

seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah

representasi manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan.

SAS mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan)-keterjadian

atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan

pengungkapan. Misalnya, manajemen menyatakan bahwa utang usaha untuk sebuah divisi pada

tanggal 30 Juni sejumlah $85.000 merupakan pernyataan bahwa:

Utang usaha memang ada pada tanggal neraca (keberadaan).

Semua utang usaha telah tercakup (kelengkapan).

Utang usaha merupakan kewajiban hukum (kewajiban).

Utang usaha dinilai dengan layak (penilaian atau alokasi).

Semua utang usaha diungkapkan dengan layak (penyajian dan pengungkapan).

Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas (a) risiko bahwa

saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirihya sendiri atau

dengan yang lainnya yang bisa berdampak material terhadap laporan keuangan, (disebut risiko

bawaan dan risiko kontrol) dan (b) risiko bahwa auditor tidak akan mendeteksi salak'saji tersebut

jika' memang terjadi (disebut risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok

memiliki. tiga komponen-risiko bawaan, risiko kontrol, dan risiko deteksi. Seorang auditor

diharapkan untuk merencanakan audit sehingga risiko audit pada tingkat saldo atau kelompok

transaksi dibatasi sehingga memuhgkinkan auditor memberikan opini pada risiko audit yang

rendah pada tingkat laporan keuangan.

SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor

dalam mengevaluasi risiko audit pada tingkat saldo, atau kelompok transaksi:

Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan.

Masalah-masalah akuntansi yang rumit dan mengandung perdebatan.

Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.

Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari

audit sebelumnya.

Kerentanan aktiva untuk disalahgunakan.

Kompetensi dan pengalaman karyawan yang memproses data.

Tingkat pertimbangan dalam menentukan saldo akun atau transaksi.

Page 10: Makalah ISI

Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau kelas transaksi.

Kompleksitas perhitungan.

Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu kontribusi

yang besar bagi literatur audit. Hal ini dengan jelas mendefinisikan cara menentukan pekerjaan

audit yang dibutuhkan untuk memenuhi tanggung jawab audit.

1. Risiko Bawaan

Risiko bawaan/inheren (inherent risk) adalah kerentanan suatu asersi atas terjadinya salah

saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur

kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat intrinsik

terhadap usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan

saldo atau kelompok transaksi dibandingkan yang lain. Sebagai contoh:

Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih cenderung

dilanggar daripada asersi kelengkapan pada saat auditor mempertimbangkan

kelangsungan hidup entitas.

Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan perhitungan biaya

depresiasi menggunakan metode garis lurus (perhitungan rumit dibandingkan dengan

perhitungan sederhana).

Kas lebih rawan dicuri dibandingkan persediaan bate kapur (jumlah yang lebih mudah

dicuri dan memiliki nilai tinggi dibandingkan dengan barang yang sulit dicuri dan

memiliki nilai yang rendah).

Faktor-faktor eksternal terhadap entitas seperti perubahan teknologi yang mungkin

membuat persediaan tertentu menjadi usang dan dinilai terlalu tinggi.

Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat berdampak pada

risiko bawaan di tingkat saldo atau kelompok transaksi. Sebagai contoh, keraguan atas

kelangsungan hidup yang ditemukan pada tingkat laporan keuangan dapat menyebabkan risiko

bawaan untuk penilaian persediaan menjadi meningkat.

Contoh-contoh berikut ini akan membantu dalam memahami pandangan AICPA

mengenal risiko bawaan:

Pada perusahaan sekuritas, perhitungan bunga yang sederhana tidak serumit perhitungan

berdasarkan metode bungs efektif.

Page 11: Makalah ISI

Di bank, kecurangan terhadap kredit lebih cenderung terjadi pada rekening tabungan atau

pembayaran cicilan pinjaman dibandingkan rekening giro.

Di toko serba ada, saldo piutang usaha lebih cenderung disajikan secars realistic

dibandingkan saldo akun penyisihan piutang tak tertagih.

Di toko grosir, peningkatan permintaan alas kontrol persediaan menyebabkan daftar kas

sederhans dan pencatatan/perhitungan persediaan secara manual menjadi usang bila

digunakan kode batang (bar code) pada terminal penjualan.

Pada organisasi yang terdiversifikasi, penekanan pada pemerolehan dana melalui kredit

bank, bukan peningkatan modal, memberikan tekanan pada laba jika tingkat bunga

meningkat yang mungkin mengarah pada harga jual marginal dan/atau kredit yang Iebih

berisiko terhadap pencapaian laba yang lebih tinggi.

Auditor mampu mengevaluasi risiko bawaan yang ada pada klien dengan memerhatikan

industri secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak di

usaha pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi

sekelompok risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan.

Juga terdapat risiko bawaan pada suatu organisasi akibat budaya perusahaan yang

diterapkan. Sebuah organisasi bisa dikelola secara ketat oleh suatu kelompoW kecil yang

memiliki filosofi: 'Kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa

menanggapi suatu kejadian secara langsung dan segera.

Risiko-risiko yang berorientasi pada budaya perusahaan merupakan risiko-risiko yang

melekat pada gaya manejemen.

Jika risiko-risiko bawaan dalam suatu organisasi telah diperhitungkan, langkah

selanjutnya adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat

risiko-risiko tersebut Pertimbangan-pertimbangan ini melibatkin risiko kontrol.

Faktor-Faktor yang harus ditelaah dalam menetapkan risiko bawaan, yaitu:

Sifat bidang klien

Akan lebih besar kemungkinan keusangan persediaan pada pabrik komputer daripada

pabrik besi. Atau piutang pinjamna yang diberikan oleh lembaga keuangan kecil akan

lebih rendah kolektibilitasnya daripada pinjaman oleh bank.

Motivasi klien

Motivasi manjemen dalam menyajikan laporan keuangan dapat termotivasi oleh

Page 12: Makalah ISI

beberapa hal salah satunya yaitu dari perolehan bonus dair presentase laba bagi manajer.

Mungkin manajemen cenderung akan melakukan mark up laba bersih. Selain itu ada pula

motivasi bagi manajemen dalam mengurangi pajak yang harus dibayar. Maka jika

manajemen tidak memiliki integrasi tinggi motivasi seperti itu tentunya dapat mendorong

untuk mensalah sajikan laporan keuangan.

2. Risiko Kontrol

Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada

suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau

prosedur kontrol internal suatu entitas.

Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan yang melekat pada

struktur kontrol internal.

Seorang auditor bisa menilai risiko kontrol path tingkat maksimurn apabila kebijakan

maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi

efektivitasnya. Jika auditor menetapkan risiko kontrol di bawah maksimum, auditor tersebut

diharapkan memperoleh bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur

yang layak untuk membenarkan penetapan tersebut.

3. Risiko Deteksi

Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah

saji material yang terdapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor

memutuskan tidak memeriksa 100 persen saldo atau transaksi atau karena ketidakpastian lainnya.

Termasuk dalam ketidakpastian Iainnya ini adalah pemilihan prosedur audit yang tidak layak,

salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit. Ketidakpastian

Iainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan dan

pengawasan audit yang sesuai.

4. Hubungan Antar-risiko

Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun

kualitatif. SAS memberikan rumus berikut ini:

Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi

Page 13: Makalah ISI

Ketika menggunakan rumus ini, seorang auditor bisa menilai risko audit yang

direncanakan untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan

risiko penemuan yang direncanakan dengan meneniukan risiko deteksi.

Risiko Deteksi = Risiko Audit/(Risiko Bawaan x Risiko Kontrol)

Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan

mengurangi risiko deteksi di bawah risiko penemuan yang direncanakan. Hal ini menekankan

konsep bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan

dalam struktur kontrol internal yang direkomendasikan dan direncanakan setelah periode audit

tidak akan mengubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh karena

itu, untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko kontrol

berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko kontrol terkait

dengan suatu asersi, makin rendah risiko deteksi yang dapat diterima dan makin banyak bukti

audit yang harus dikumpulkan. Seorang auditor harus melaksanakan beberapa pengujian

substantif jika terdapat salah saji material. Dalam beberapa kasus auditor tidak dapat hanya

mengandalkan penentuan risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak

dilaksanakannya pengujian substantif.

Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang

direncanakan, penugasan staf, dan supervisi yang dibutuhkan dalam mempertimbangkan reaksi

terhadap perubahan dalam risiko deteksi.

Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan auditor internal

Sifat usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu atmosfer yang

berdampak besar terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa memiliki

risiko bawaan yang sama karena sama-sama merupakan organisasi publik. Akan tetapi, keduanya

bisa memiliki tingkat risiko yang berbeda karena yang satu memiliki walikota yang kuat dan

struktur dewan yang lemah sementara yang satu lagi memiliki walikota yang lemah dan struktur

dewan yang kuat. Risiko bisa lebih berbeda jika salah satu pernerintahan memiliki kepentingan

umum yang kuat dan pemerintahan yang terbuka sementara yang lain memiliki publik yang

apatis dan orang yang sangat berkuasa secara politis.

Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus

mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari

organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang

Page 14: Makalah ISI

panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian

organisasi yang berbeda. Risiko bawaan di perusahaan pabrikasi .berbeda dari perusahaan jasa

keuangan. Risiko pada operasi produksi pakaian akan berbeda dari risiko yang terdapat pada

perusahaan yang memproduksi bahan-bahan kimia.

Identifikasi risiko pada suatu organisasi bermula dari Yisiko bawaan yang terkait dengan

usaha dan gaya manajemennya. Risiko-risiko tersebut dihadapi dengan membuat sistem kontrol.

Karena tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko meskipun

kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep keyakirian

yang wajar mulai dlterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang

dicapal pada scat terjadi keseimliangan antara biaya kontrol dan eksposur dengan'manfaat yang

dijerima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan biaya kontrol berada

pada ekuilibrium.

E. Auditor Internal dan Risiko Perdagangan Elektronik

Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan

elektronik (electronic commerce-EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini

dapat diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI),

menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-

risiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini

mencakup:

Risiko dan dampaknya terhadap organisasi.

Modifikasi atau aktivitas terkait yang direkomendaikan.

Dampak modifikasi risiko terhadap operasi.

Tingkat pengurangan risiko yang akan dicapai.

Eksposur keuangan yang terkait dengan operasi.

Biaya modifikasi yang dilakukan.

Elemen-elemen waktu.

Kemungkinan sukses.

Rekomendasi jika terdapat lebih dari satu ukuran.

Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan analisis

Page 15: Makalah ISI

risiko ini harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus

memahami perkembangan baru di bidang ini terutama mengenai:

Perubahan teknologi TI yang baru.

Situasi yang diberitakan baru-baru ini.

Perubahan dalam operasi organisasi.

Dalam sebuah monograf yang dipublikasikan oleh The Institute of Internal Auditors,

Xenia Lee Parker menekankan pekerjaan auditor internal dalam mengevaluasi perdagangan

elektronik relatif terhadap risiko yang dihadapi proses bisnis. Parker menyatakan bahwa aktivitas

audit internal berbasis TI perlu melakukan hal-hal berikut ini agar dapat membuat asersi

mengenai risiko pemrosesan perdagangan elektronik:

"Pemahaman atas sistem dan infrastruktur:

o Front-end Web severs;

o Metode transmisi dan protokol;

o Firewalls;

o Gateways;

o Back end;

o Middleware; dan

o Kemungkinan koneksi dengan sistem perkantoran.

"Menentukan informasi apa yang penting, elemen data dan program yang memengaruhi

data, bagaimana program yang didistribusikan, lokasi, server, pihak-pihak eksternal, dan

proses yang terlibat.

"Pencatatan dan evaluasi kontrol serta prosedur yang menangani informasi penting dan

sensitif;

"Penilaian prosedur pengawasan;

"Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak ketiga."

Parker menyatakan bahwa, "sertifikasi dari pihak yang dapat dipercaya merupakan cara

lain menyediakan faktor-faktor yang dapat diverifikasi ke pihak-pihak yang berkepentingan." Ia

menyatakan bahwa, "Merupakan hal penting untuk mengetahui siapa yang melaksanakan

pekerjaan, keahlian dan kualifikasi mereka, dan kriteria yang digunakan dalam penelaahan:'

Page 16: Makalah ISI

F. Risiko EDI

Pertukaran data elektronik (electronic data interchange-EDI) adalah sebuah sistem

komunikasi informasi komputer-ke-komputer yang saling terhubung untuk dokumen-dokumen

bisnis yang terstandardisasi di batas-batas organisasi. Komputer, database, dan pusat informasi

terhubung oleh jaringan komunikasi publik atau lainnya.

Meskipun aspek komputer dari audit internal lebih banyak dibahas pada Bab 13 sampai

Bab 16, patut diperkenalkan di sini beberapa informasi mengenai penentuan risiko dari area

operasi tersebut. Kerawanan sistem EDI adalah tinggi karena kegagalan sistem pada setiap tiga

tahapan-inisiasi, transmisi, dan tujuan akan mengganggu transaksi.

Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal yang berkaitan

dirinci pada Tampilan di bawah ini. Enam area tersebut adalah:

1. Tercurinya akses informasi

2. Hilangnya integritas data

3. Kurang lengkapnya transaksi

4. Tidak tersedianya sistem EDI

5. Ketidakmampuan untuk mengirimkan transaksi

6. Kurangnya pedoman hukum

Adanya beberapa lapis kontrol memiliki dampak berlipat•untuk mengurangi risiko

kontrol. Risiko kontrol yang tiga lapis kontrol-kontrol aciministratif, kontiol fisik, dan perangkat

lunak-akan gagal, dihitung dengan persamaan ini:

CREDI = CRA * CRP' CRs

keterangan:

CREDI = Risiko Kontrol sistem EDI.

CRA = Risiko Kontrol gagalnya prosedur administratif.

CRP = Risiko Kontrol gagalnya mekanisme fisik.

CR6 = Risiko Kontrol gagalnya kontrol perangkat lunak.

Jadi, jika dibuat asumsi berikut ini:

Prosedur administratif 0,10

Mekanisme fisik 0,20

Kontrol perangkat lunak tidak mencegah akses pihak yang

Page 17: Makalah ISI

tidak berkepentingan 0,05

Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi 0,001.

Acuan tersebut menyajikan contoh yang bagus mengenai situasi masalah potensial terkait

dengan risiko bawaan dapat mengakibatkan kerugian sebesar $555.493. Dan bahwa jika risiko

bawaan dikurangi menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi

$27.774) menjadi $527.718.

Acuan tersebut mengutip laporan COSO bahwa auditor internal harus membuat langkah-

langkah ini secara terpisah dari proses penilaian:

1. Menghitung signifikansi risiko dalam satuan uang.

2. Menentukan kemungkinan terjadinya risiko.

3. Menentukan cara untuk mengurangi dampak risiko sehingga eksposur dapat dikurangi

hingga ke tingkat yang dapat diterima.

Organisasi audit internal dapat menyumbangkan proses penentuan risiko EDI dengan

mengevaluasi baik risiko bawaan maupun risiko kontrol internal untuk menentukan apakah telah

terdapat aktivitas kontrol yang memadai dan efektif untuk mengelola risiko.

Faktor-faktor Risiko dan Aktivitas Kontrol

Faktor-faktor Risiko Kontrol Internal

1. Akses informasi yang tidak diotorisasi.

a. Hacker mengakses sistem.

b. Intersepsi selama transmisi.

c. Penyadapan (wiretapping).

Kontrol akses.

Kata sandi (password); mekanisme dial-back;

ID pengguna; kunci penyimpan; tingkat akses

yang berbeda.

Meningkatkan proteksi kabel; mengrimkan

pesan melalui media yang aman; serat optik;

enkripsi; lapisan lintasan; amplop elektronik

rahasia.

Meteran sinyal; pelindung kebocoran; perisai

elektromagnetik; saluran penahan akses.

2. Hilangnya integritas data.

a. Perubahan/pemalsuan data

b. Tidak adanya jejak audit dalam

Pengecekan keotentikan data.

Protokol pemberitahuan.

Log terkomputerisasi.

Page 18: Makalah ISI

bentuk kertas

c. Hilangnya tanda tangn fisik

d. Adanya kesalahan pada sistem.

e. Gangguan oleh karyawan yang

memiliki otorisasi.

Tanda tangan digital; mekanisme pengesahan.

Pengecekan edit.

Pemisahan tugas; tingkat akses yang berbeda.

3. Kurang lengkapnya transaksi.

a. Transaksi selama transmisi.

b. Duplikasi transaksi akibat transmisi

ulang.

Pemberitahuan.

Total kelompok; Penomoran berurutan.

Pengecekan satu demi satu dibandingkan

dengan arsip pengendali.

4. Tidak berjalannya sistem EDI.

a. Penyebab logis, seperti virus, kuda

Trojan, kesalahan program,

kesalahan perangkat keras dan

lunak.

b. Penyebab alami, seperti kebakaran,

banjir, gempa, kerusakan listrik,

dan lain-lain.

c. Sabotase oleh orang yang memiliki

otorisasi.

Sistem yang menoleransi kegagalan.

Paket antivirus; perangkat keras dan perangkat

yang bebas kesalahan.

Pengamanan di luar kantor; RAID; disk

mirroring.

Pelatihan; pengumuman prosedur dan

kebijakan

5. Ketidakmampuan untuk mengirimkan

transaksi.

Format data terstruktur/terstandardisasi;

ketaatan pada protokol ANSI/EDIFACT.

6. Kurangnya pedoman hukum. Perjanjian defrnisi-definisi hukum, tanggung

jawab, dan kewajiban.

G. Risiko Kecurangan Manajemen

Artikel terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang

dilakukan oleh manajemen (management fraud) membahas model risiko kecurangan yang dapat

digunakan oleh auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis:

1. Membuat ekspektasi kuantitatif untuk saldo akun.

2. Membuat risiko investigatif dan saldo materialitas kuantitatif.

Page 19: Makalah ISI

3. Membandingkan saldo akun aktual dengan ekspektasi auditor.

Para penulis tersebut kemudian menyarankan sebuah struktur tiga elemen yang akan

digunakan dalam proses evaluasi risiko. Ketiga elemen tersebut adalah:

1. Kondisi yang memungkinkan terjadinya kecurangan manajemen.

2. Motivasi yang dapat melandasi terjadinya kecurangan.

3. Tingkah laku manajemen yang dapat mendorong manajemen untuk melakukan tindak

kecurangan.

Untuk setiap area di atas terdapat risiko-risiko internal dan eksternal. Misalnya:

Kondisi:

Tidak adanya atau lemahnya kontrol internal

Tidak adanya atau lemahnya komite audit

Pesatnya pertumbuhan

Sedikitnya produk-produk utama

Pengambilan keputusan yang tersentralisasi

Manajemen yang tidak berpengalaman

Motivasi:

Untuk meningkatkan investasi eksternal

Untuk menunjukkan laba yang meningkat

Untuk menghilangkan persepsi pasar yang negatif

Untuk mendapatkan pendanaan

Untuk menunjukkan ketaatan terhadap syarat-syarat pendanaan

Untuk memenuhi tujuan dan sasaran

Untuk mendapatkan bonus

Tingkah laku:

Ketidakjujuran

Kurangnya perhatian terhadap aturan dan regulasi

Kurangnya komitmen terhadap etika

Auditor seharusnya membuat suatu model yang terdiri atas semua indikasi potensial di

atas yaitu situasi kecurangan pada satu sumbu (artikel rujukan tersebut memperluas daftar ini

secara material), salah satu daftar hal-hal yang sering disebut "pertanda" (red flag) pada sumbu

yang lain, dan dalam setiap sel hasil untuk mencapai indikasi area-area potensial yang sedang

Page 20: Makalah ISI

diperiksa.

Membuat Rencana Penentuan Risiko

Pembahasan penentuan risiko oleh COSO menyatakan bahwa tujuan organisasi, sistem

kontrol, dan penentuan risiko tidak dapat dipisahkan satu sama lain. Tidak mungkin untuk

menentukan risiko jika seseorang tidak mengetahui bahayanya. Begitu risiko telah diidentifikasi,

langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut.

Fondasi penentuan risiko tercakup dalam definisi kontrol internal. Studi COSO adalah

sumber definisi kontrol internal yang ada saat ini dan diakui secara luas.

Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas,

manajemen, dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar

mengenai pencapaian tujuan pada kategori-kategori berikut ini:

Efekktivitas dan efisiensi operasi.

Keandalan pelaporan keuangan.

Ketaatan terhadap hukum dan regulasi yang berlaku.

Dalam pernbahasannya mengenai penentuan risiko, studi COSO menyatakan:

Meskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan:

Tujuan Operasional-Hal ini berkaitan dengan efektivitas dan efisiensi operasi entitas,

termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya terhadap

kerugian. Tujuan-tujuan tersebut bervariasi berdasarkan pilihan manajemen mengenai

struktur dan kinerja.

Tujuan Pelaporan Keuangan-Hal ini berkaitan dengan penyyjian laporan keuangan yang

andal, termasuk pencegahan pelaporan keuangah publik yang mengandung kecurangan.

Tujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan eksternal.

Tujuan-tujuan Ketaatan-Tujuan-tujuan ini berkaitan dengan ketaatan terhadap hti um dan

peraturan yang berlaku bagi entitas. Tujuan-tujuan tersebut tergantiing pada faktorfaktor

eksternal, seperti peraturan lingkungan, dan cenderung serupa tintuk semua entitas dalam

beberapa kasus dan dalam beberapa industri.

Definisi dari tujuan-tujuan ini memberikan titik awal untuk penentuan risiko. Tujuan-

tujuan umum tersebut dapat dirinci ke dalam tujuan-tujuan khusus dengan risiko-risiko yang

dapat diidentifikasL Jika risiko-risiko telah diidentiftkasi, berbagai pilihan kontrol dapat

Page 21: Makalah ISI

diterapkah untuk risiko-risiko tersebut dalam rangka menentukanprosedur kontrol optimal yang

akan diterapkan.

Misalnya, anggaplah bahwa si auditor'sedang memeriksa operasi pemrosesan penerimaan

kas. Cek-cek bernilai kecil hingga ribuan dolar diterima sebagai pembayaran piutang usaha.

Pembayaran tersebut diterima di kotak pos kantor umum dan dipisahkan dari surat-surat yang

lain kemudian diberpkan ke unit pemrosesan kas. Unit-unit ini membuka surat tersebut

dan.memeriksa apakah jumlah yang tertera di cek sesuai dengan lampiran nota penerimaan. Unit

yang lain menyiapkan slip setoran di penghujung hari dan menyetorkannya ke bank. Setoran

tersebut sengaja dibuat menjadi investasi overnight atau "menyapu" rekening yang menghasilkan

bunga. Penggunaan sistem "kotak terkunci" memungkinkan bank melaksanakan fungsi ini.

Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan,

dan ketaatan untuk operasi tersebut:

Untuk menerima semua pembayaran secara tepat waktu (operasional).

Untuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi piutang

usaha (keuangan).

Untuk memastikan bahwa kemampuan untuk menegosiasikan jumlah yang tertera di cek

memang telah disetujui (operasional).

Untuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional).

Untuk menyetorkan ke bank secara tepat waktu agar bisa mendapatkan pendapatan bunga

maksimum (operasional).

Untuk memastikan informasi yang dicatat pada rekening pelanggan akan menghasilkan

catatan kredit yang akurat untuk umur piutang dan sejarah kredit pelanggan (operasional

dan ketaatan).

Untuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan penanganan

cek untuk menghindari tidak adanya pihak yang bertanggung jawab ketika terjadi

kehilangan atau kecurangan (operasional dan ketaatan).

Untuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesual

prosedur (operasional dan keuangan).

Untuk memberikan pengukuran kinerja bagi unit dan karyawan di dalamnya untuk

memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk

memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima

Page 22: Makalah ISI

(operasional dan ketaatan).

Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan

menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan sebagai contoh,

auditor menyiapkan daftar risiko sebagai berikut:

Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.

Risiko-risiko

Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke ruang

penerimaan surat.

Amplop-amplop berlsi pembayaran ungat rawan ketika dlidcntiflkasl dan disortir di

ruangan penyurtiran sebelum diberikan ke unit pemrosesan.

Cek cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank

disiapkan.

Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan.

Uang yang akan disetor bisa jadi hilang atau dicuri selams perjalanan dari area

pemrosesan ke bank.

Seorang karyawan bisa dirarnpok selama perjalanan ke bank pada saat menyetorkan.

Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga maksimum

Risiko-risiko

Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.

Pembayaran mungkin tidak dipisahkan di ruing penyortiran dan diberikan ke unit

pemrosesan secara tepat waktu.

Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan ke

bank sebelum batas waktu jam 2 siang.

Hal-hal pengecualian bisa jadi membuat penyotoran ditunda sampai hari (-hari)

berikutnya.

Kegagalan peralatan dapat memperlambat pemrosesan.

Si auditor membuat daftar 'risiko dengan mengamati aktivitas dan menggunakan

pendekatan analitis, keahlian, dan imajinasi. Auditor menentukan spa yang bisa menjadi

hambatan dalam pencapaian tujuan. Begitu risiko telah diidentifikasi, auditor dapat menentukan

Page 23: Makalah ISI

kontrol yang diterapkan perusahaan dan menentukan apakah kontrol-kontrol tersebut Iayak dan

memadai sehubungan dengan risiko yang ads. Jika terdapat risiko-risiko yang tidak tercakup

secara Iayak, auditor akan membuat rekomendasi atas kelemahan yang ditemukan. Auditor akan

mencari struktur kontrol yang optimal.

Optimal (optimum) artinva adalah struktur kontrol terbaik dalam suatu kondisi dan

memiliki pertimbangan mantaat dan biaya. Sisa bab Lm membanas .,araru-sauna yang tersedia

bagi auditor untuk mengidentifikasi dan mengevaluasi aktivitas tujuan, risiko, dan kontrol.

H. Pengelolaan Risiko (Risk Management)

COSO framework telah mengubah peta pengendalian internal tidak haya pada fakta yang

ada, tetapi juga lebih berbasis risiko. “Risiko” terkait erat dengan situasi ketidakpastian

(uncertaiunt) hasil atau dampak dari proses yang sedang berjalan atau sesuatu yang belum terjadi

atau situasi/kesempatan diwaktu mendatang, dimana ada probabilitas (probability) tidak sesuai

dengan yang diharapkan, merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan

kurangnya informasi (atau analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil

analisis informasi) tentang apa yang akan terjadi.

Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis

secara sederhana dapat didefinisikan sebagai:

“Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa

depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan

dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan

penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.

Pengelolaan/manajemen risiko dalam bisnis awalnya hanya sering dijumpai pada industri

jasa keuangan saja (banking, multifinance, insurance, foreign,/stock,commodity exchange, fund

investmen, dan sebagainya), mengingat ukuran kerugian yang paling mudah adalah uang.

Singkatnya manajemen risiko juga dikenal pada bisnis tertentu dikaitkan dengan keselamatan

kerja (seperti mining exploration, construction project, building managenment) atau pencegahan

risiko pencemaran hasil produksi dan penaganan limbah beracun pada manufaktur. Belakangan,

para pebisnis diberbagai industri secara global semakin menyadari arti penting manajemen

risiko.

Tadinya para pebisnis lebih berfokus pada Business opportunity (melalui pembuatan

Page 24: Makalah ISI

Business Plan/Strategy yang kemudian dituangkan kedalam Business Action/Execution). Sejalan

dengan berlalunya waktu, dinamika persaingan dan perubahan yang kian akrab menyertai dunia

bisnis telah mendorong dikedepankanya peranan pengelolahan/analisis informasi untuk

memastikan keseimbangan opputtinity dengan business risks.

Risiko dapat dilihat dari berbagai perspektif: kepentingan diri, kondisi sosial, lingkungan

dan sebagainya. Dalam konteks bisnis, semakin menyadari begitu luasnya dimensi dan cakupan

risiko yang “tersembunyi” di balik aktifitas bisnis, kita semakin memiliki prioritas yang

berimbang di antara pengelolaan business oppurtinity & business risk, sebagaimana pepatah

bisnis mengatakan: “high risk, high return; no risk no return.” Tabel dibawah ini menyajikan

gambaran tentang hal itu dari berbagai perspektif bisnis.

Perspektif Kategori

Lingkup Risiko Financial/Asset Risk, yaitu risiko yang dapat terukur secara

keuangan atau kalkulasi asset (yang disebut juga Tangible

Risk), seperti risiko yang ditunjukan oleh angka-angka

parameter/risio keuangan (likuiditas/turnover,

sulvabilitas/leverage, profitabilitas/rentabilitas, net present

value, dan sebagainya).

Business/Operation Risk, yaitu risiko yang sulit di ukur

secara keuangan (Intangible Risk), tetapi tidak dapat

diterlusuri sumbernya dan diukur dampaknya secara

kuantitatif maupun kualitatif, seperti penurunan market-share

atau brand awareness di masyarakat; pencapaian berbagai

parameter bisnis,operasi dan pelayanan yang tidak sesuai

target pencapaian berbagai parameter bisnis, operasi dan

pelayanan yang tidak sesuai target (on-time delivery,damage

quality, zero accident,satisfaction level, dan sebagainya).

Sumber Risiko Inherrent Risk, yaitu risiko yang terkandung dalam institusi

bisnis, seperti akuisisi kepemilikan shareholder, financial

Planing/Forecasting yang tidak tepat, minggatnya sejumlah

Page 25: Makalah ISI

star employee, penyelewengan tugas (discrepancy) oleh

karyawan, birokrasi yang terlalu ‘gemuk’ service level yang

rendah, dan sebagainya).

Environment Risk, yaitu risiko yang menjadi ancaman dari

luar institusi bisni, seperti pengaruh negatife dari globalisasi

(krisi energi/pangan, resersi), perubahan rezim politik atau

regulasi pemerintah terkait bisnis, bencana alam, pembajakan

Intellectual Property milik perusahaan, dan sebagainya.

Waktu Terjadinya

Risiko (dan

Dampak dari

Risiko)

Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau

dampak yang langgsung dirasakan, seperti kerugian investasi

(atau akibat perubahan currency rate), asset yang raib (uang,

persediaan, asset tetap, dan sebagainya), turnover penjualan

yang menurun, complain dari pelanggan, pencemaran limbah

yang merugikan masyarakat sekitar, dan sebagainya.

Potential/Hidden Risk, yaitu risiko yang mungkin saja

muncul(atau dampak risiko yang akan dihadapi) padawaktu

mendatang, seperti multiplier effect dari investasi di bidang

property karena adanya skandal subrime mortgage di US ,

stock level yang berlebihan berkurangnya jumlah customer

base perusahaan secara perlahan, risiko kerugian karena

musibah (force majeur), dan sebagainya.

Skala Risiko Manageable Risk, yaitu risiko yang belum terjadi, atau

dampaknya telah diukur sebagai tidak mampu ditanggung

(paling tidak untuk beberapa waktu ke depan ), sehingga

sedapat mungkin harus dihindari, seperti risiko small

business bersaing di jalur padat modal dengan bisnis berskala

besar, risiko terjun ke segmen pasar yang didominasi brand

ternama, dan risiko berinvestasi dalam bisnis yang belum

Page 26: Makalah ISI

dikenal baik (tidak ada informasi yang cukup).

Unmanageable Risk, yaitu risiko yang tidak dapat dihindari,

baik karena sudah terjadi atau sangat mungkin terjadi,

sehingga harus ditangani untuk menekan tingkat

kemungkinan timbulnya risiko atau menekan besarnya

dampak negatif yang ditimbulkannya.

Dengan mengacu pada berbagai perspektif pemahaman di atas dapat disimpulkan secara

sederhana bahwa substansi dari pengelolaan risiko adalah berfokus pada tindakan

antisipasi/pencegahan (anticipativepreventive actions), dengan upaya mengenali risiko

yang mungkin terjadi (possibility of risk) sekaligus dampak yang mungkin

ditimbulkannya (possibility of risk impact). Tindakan pencegahan berupa:

Upaya memastikan tingkat kemungkinan terjadinya risiko dan tingkat kemampuan untuk menghadapai atau menghindari (Risk Detection).Misalnya, dengan membatasi dana yang akan diinvestasikan dalam bisnis baru, melakukan uji pasar (Market Test) terhadap produk baru, dan memantau kompetensi SDM selama masa probation.

Upaya menekan atau mengurangi tingkat terjadinya risiko (Risk Reduction, Risk Elimination) misalnya, dengan melakukan Hedging dan mengantisipasi fluktuasi Currency Rate, membangun pengendalian internal yang kuat, menempatkan SDM dengan prinsip “The Right Man on The Right Place”, dan menginvestasikan dana pada penanganan limbah produksi.

Upaya membagi atau mengalihkan dampak risiko yang mungkin timbul (Risk Sharing, Risk Outsourcing). Misalnya, dengan melakukan diversifikasi pada berbagai instrument investasi atau bisnis yang berbeda, menjalin kerja sama atau aliansi bisnis, menutup asuransi, mensubkontrakkan, sejumlah aktifitas bisnis/operasi, dan sebagainya.

Upaya mengurangi/menghentikan dampak negative (kerugian) yang sudah terjadi. Misalnya, menarik dana dari instrument investasi atau bisnis yang terus merugi, menerapkan restrukturisasi terhadap kinerja perusahaan yeng mengalami “bleeding” melakukan pendekatan kepada masyrakat terkait pencemaran limbah yang sudah terjadi.

RISK SHARING/

OUTSOURCING

RISK REDUCTION/

ELIMINATION

RISK MITIGATION

RISKDETECTION

Page 27: Makalah ISI

Dari uraian tersebut dapat disimpulkan bahwa hampir tidak ada ruang sekecilpun dalam

bisnis yang bebas dari risiko dan tidak ada risiko bisnis yang tidak dapat ditelusuri, diukur, serta

ditangani. Dengan kata lain, semua risiko bisnis harus dikelola dengan baik. Sekali lagi, kunci

dari pengelolalaan risiko adalah tingkat kememadaian risiko (risk process cycle), yaitu:

1. Identifikasi jenis risiko yang mungkin dihadapi oleh bisnis serta PEMETAAN dampak

negatif yang ditimbulkan oleh setiap jenis resiko tersebut.

2. Pengumpulan, seleksi, dan ANALISIS informasi factual yang relevan dengan setiap jenis

risiko beserta dampaknya.

3. Pengembangan hasil analisis informasi berupa PERAMALAN (forecasting) terhadap

tingkat kemungkinan risiko ke depan.

4. Perencanan, eksekusi, dan Evaluasi PENGENDALIAN Sumber Risiko dan/atau Dampak

Risiko berdasarkan hasil Analisis (Pemetaan) Risiko.

Apa hubungan pengelolaan Risiko dengan pengendalian internal? Titik temu utamanya

adalah pada kepentingan untuk melakukan tindakan pencegahan (preventive action) atau

membangun system peringatan dini (early warning system or alert system or alert system) yang

efektif diperusahaan, dimana berbagai risiko yang mungkin terjadi beserta dampaknya dapat

diidentifikasi, diukur, dan akhirnya dapat diminimalkan sekecil mungkin (controllable risk).

Kalimat-kalaimat sederhana berikut ini memberi gambaran lain tentang hubungan keduanya:

Internal Control adalah alat untuk mendukung Risk management dalam pengumpulan

informasi lapangan, sekaligus sebagai response in action terhadap hasil Risk

Management.

Sebaliknya, Risk Management adalah acuan awal bagi seluruh aktivitas Internal

Control, sekaligus alat evaluasi yang efektif untuk mengukur kememandaian internal

Control yang sedang berjalan.

Internal Control dan Risk Management bagai “otak” dan “hati”, pikiran dan bijaksana, atau bagai

dua sisis mata uang yang tidak bisa terpisahkan. Keduanya merupakan integrated mission bagi

Satuan Kerja Audit Internal.

Artikel terbaru tentang risiko telah menyarankan auditor internal untuk membantu

Page 28: Makalah ISI

manajemen dengan tidak hanya mengidentifikasi area-area risiko tetapi juga membantu

manajemen dalam mengendalikan risiko tersebut secara positif. Penulis menyatakan bahwa

risiko biasanya dipandang negatif, padahal risiko merupakan esensi usaha dan fungsi jenis usaha.

Fungsi-fungsi ini biasanya menggunakan kontrol untuk menetralkan risiko yang berlebihan dan

mencoba seperangkat parameter empat risiko ditempatkan pada tingkat di mana aspek positif

melebihi aspek negatifnya. Contoh sederhana adalah penetapan batas kredit atas penjualan: untuk

menetapkan batasan yang ketat dan menghilangkan risiko akan menghilangkan penjualan

marginal yang secara potensial akan dihapuskan dalam kondisi usaha yang normal.

Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan

berhatihati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah

yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit menjadi

suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-risiko yang harus

diambil dan kontrol terkait untuk meningkatkan operasi dari posisi pendapatan dan laba.

Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam

mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang

audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. Jadi:

Kontrol Risiko:

Mendukung suatu program kontrol risiko dan kerugian secara proaktif.

Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko.

Memonitor efektivitas aktivitas kontrol risiko.

Pendanaan Risiko:

Mempertimbangkan semua sumber keuangan yang tersedia.

Mempertahankan proteksi terhadap kerusakan yang mungkin timbul.

Mengalokasikan biaya pendanaan risiko di antara unit-unit operasi secara wajar.

Administrasi:

Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko.

Menerapkan struktur manajemen risiko yang terdefinisi dengan baik.

Mengembangkan tujuan tahunan yang ditargetkan dengan jelas.

Page 29: Makalah ISI

Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.

Jadi, auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari

manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk

memberi kontribusi bagi kebaikan manajemen

Tujuan-tujuan Proses Manajemen Risiko

Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan

suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang

tercantum pada Practice Advisory 21'10-1, "Penilaian Kecukupan Proses Manajemen Risiko"

Tujuan-tujuan ini adalah:

Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.

Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima

oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana

strategis organisasi.

Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau

justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan

dewan komisaris.

Aktivitas-aktivitas pengawasan yang berkelanjutan ailaksanakari untuk secara periodik

menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.

Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses

manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik

tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.

Metode-metode Analitis

Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang

optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-metode

ini adalah:

Pembuatan bagan alir

Kuesioner konntrol internal

Analisis matriks

Page 30: Makalah ISI

1. Pembuatan Bagan Alir

Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol

operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran

aktivitas melalui proses. Bagan tersebut memungkinkan untuk "melihat" operasi,

mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-kelemahan

kontrol. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan karyawan

operasional; bagaikan sebuah peta jalan yang merupakan alat komunikasi yang, lebih baik

dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan alir juga

menawarkan peluang untuk menyajikan secara komparatif suatu gambar mengenai pendekatan

alternatif untuk suatu proses.

Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di

masa lalu karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas

kertas menggunakan pola plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis

tangan yang final sering kali merupakan produk akhir dari proses sebelumnya yang banyak

mengandung kesalahan dan banyak dihapus. Bagan alir yang ditulis tangan tidak memudahkan

modifikasi. Meskipun merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya

digunakan karena tidak efisien.

Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir.

Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak

tenaga. Sebuah bagan alir yang dibuat menggunakan komputer untuk operasi pemrosesan

pembayaran tampak seperti ini:

Page 31: Makalah ISI

Apakah nota

pembayran dan cek sesuai?

Periksa salinan

cek

Siapkan pengganti nota pembayaran, periksa yang

asli

Siapkan induk batch berisi total, kirim ke

EDP

Ya

Siapkan slip setoran bank, saldo untuk pembayaran

batch

Kirim surat ke pelanggan menjelaskan perbedaan dan langkah yang diambil

Cek asli

Ya

Tidak

Nota Pembayaran

Bandingkan aplikasisetoran

Cek Risiko– nota Pengganti bisa jadi untuk akun yang tidak sesuai

Piutang usaha diperbarui

Nota Pengganti

Supervisor harus mengetahui semuatransaksi-transaksi yang dikecualikan

Risiko – Tidak adakontrol untuk penerimaan kas yang tidak dapat diterapkan

Setorkan ke bank

Tampilan Proses Pembayaran yang Ditemukan Selama Audit

Pembayaran yang diterima di kotak pos

Risiko – Semua surat Kotak pos dikosongkan Kontrol tunggal untuk suratbisa jadi tidak diproses oleh kurir; dibawa ke dari kotak pos ke ruang

ruang penyortiran surat penyortirandalam kotak khusus.

Surat disortir, Tidak disiapkan total batchPembayaran ke kotak (Kelompok)

KhususRisiko – Semua penerimaankas bisa jadi tidak diproses pada jumlah yang sesuai Kotak dikirimkan ke unit

Pemrosesan

Risiko – nota pereimaan Amplop dibuka, cek Unit pemrosesan haruslah bisa jadi tidak sesuai dibandingkan dengan sebuah area yang aman

nota pembayaran

Page 32: Makalah ISI

Catatan auditor berada di luar symbol-simbol bagan alir.

Auditor melakukan analisis awal tentang risiko dan menggunakan alternatif-alternatif

yang direkomendasikan oleh rekomendasi audit yang tertera pada bagan berikut.

Ya

Pembayaranhanyaditunjukankekotakposkhususpembayaran.Satukotakuntukpembayarandalamjumlahbesar: yang lainuntukjumlah

yang lebihkecil.

Duakaryawanmengosongkankotakdanmenyerahkansuratberisipema

bayaranke unit pemrosesan

Pembayarandalamjumlahbesardiprosesleb

Siapkansetoran bank, saldountuk

batch pembayaran

Pembayaranditerimadalamkotakpos

Suratdisortir, pembayarankekotakk

husus

Kotakposdikosongkanolehkurir;

dibawahkeruangpenyprtiransurat.

kotakdiserahkanke unit pemrosesasan.

Nota pembayaran dan cek sesuai?

Periksasalinan

Sipkan nota pembayaranp

engganti, periksa yang

Suratkepelangganmenjelaskanperbedaandantindakan

yang di ambil

Setorankhususuntukcek-

cekberjumlahbesardisiapkan,

dibawahke bank olehdua orang sebelum jam 2.

Setoranke bank

Siapkaninduk batch dengan

total, kirimke EDP

Piutangusaha di perbaharui

Ya

Tidak

CekAsliNota Pengganti

Supervisorharusmengetahuisemuatransaksipeng

ecualian

Nota Pembayaran

Kontroltunggaluntuksuratdarikotakposkeruangpenyortirandalamkotakkhusus

Unit pemrosesanharusberada

dalam area aman.

Pembayarandalamjumlahkecildiprosess

Amplop-amplopdibuka, cek-

cekdibandingkandengan nota pembayaran

Page 33: Makalah ISI

Auditor dapat melakukan observasi tentang metode, risiko, dan control pada bagan alir.

Auditor dapat membuat scenario alternatif dan mencobanya pada bagan sebelum menjadi

rekomendasi audit. Alternatif-alternatif tersebut dapat lebih mudah dibahas dengan manajemen

jika bagan lama dan baru dapat dibandingkan secara berdampingan. Juga, control dapat

didefinisikan dan dibahas untuk menetukan efisiensi dan efektivitasnya.

Jika bagan sudah dibuat, maka bagan tersebut siap ditelaah, dianalisis, dan diperbarui

pada audit selanjutnya. Bagan tersebut juga membantu pengembangan dan pemeliharaan

program audit. Bagan alir yang diperbarui menjadi bagian dari arsip permanen.

2. Kuesioner Kontrol Internal

Pada bab yang membahas Survei Pendahuluan, kuesioner dibahas sebagai sebuah sarana

untuk mendapatkan informasi tentang fungsi yang akan disurvei dan segera diaudit. Terdapat

kuesioner jenis lain yang biasa digunakan oleh auditor. Kuesioner tersebut dikenal sebagai

kuesioner kontrol internal (internal control questionnaire-ICQ). Kuesioner ini berbeda dari

kuesioner dengan pertanyaan terbuka yang digunakan dalam survei pendahuluan.

Kuesioner pertanyaan terbuka mendnyakan pertanyaan-pertanyaan yang membutuhkan

tanggapan naratif dari responden. Kuesioner seperti ini mencari informasi untuk memperluas

pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan

membutuhkan jawaban "ya" atau "tidak" disertai komentar. ICQ membutuhkan jawaban yang

langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan.

ICQ digunakan untuk evaluasi berkelanjutan atas kontrol yang ada dan dapat digunakan

dala4analisis risiko. ICQ juga biasanya dikembangkan setelah sebuah aktivitas atau proses telah

dianalisis daft kontrol yang sesuai telah diterapkan. ICQ merupakan uji ketaatan yang

dimaksu~kan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat

dievaluasi. ICQ juga dapat digunakan sebagai sebuah pengingat bagi auditor mengenai kontrol

yang seharusnya diterapkan dan diuji selama audit. ,

Sebuah bagian dari ICQ yang biasa digunakan berisi hal-hal berikut ini:

Pertanyaan Jawaban Komentar Metode Dikerjakan Oleh

Apakah cek-cek

dibandingkan

dengan nota

Ya

Tidak

Ini merupakan

bagian untuk

menyakinkan

Tanya jawab

Observasi

Pengujian

JEL

Page 34: Makalah ISI

pembayaran? jumlah yang

diterima akan

dikreditkan ke

akun pelanggan

Apakah setoran

bank sesuai

dengan data

pembayaran

sebelum

diserahkan ke

bank

Ya

Tidak

Jika keduanya

tidak sesuai,

setoran

diversifikasi dan

dikirim ke bank

untuk dikredit

secepat mungkin

Tanya jawab

Observasi

Pengujian

MRE

Pertanyaan dijawab 'Ya atau 'Tidak" (digaris bawahi) dan setiap perubahan "Komentar"

dicatat oleh auditor. "Metode" menentukan jawaban dicatat. Suatu tanya jawab, yeitu bertanya

kepada klien, bukan merupakan sumber yang dapat diandalkan seperti halnya observasi.

Memeriksa bahan bukti dokumen yang diperoleh selama pengujian Iebih diharapkan daripada

sekadar observasi. Pengujian catatan dan transaksi memberi peluang untuk memeriksa kejadian

dan mengevaluasi risiko selama jangka waktu tertentu dibandingkan dengan periode pengamatan

yang pendek. Hal ini diperlukan untuk mengevaluasi fungsi kontrol kunci.

Kolom 'Dikerjakan Oleh" harus berisi nama atau inisial orang yang melakukan aktivitas

tersebut. Dengan melihat sekilas kolom ini, auditor senior dapat menentukan apakah terdapat

penugasan yang tidak sesuai dan bisa, melalui analisis, mengidentifikasi akibat ketidaksesuaian

ini terhadap risiko.

Kenyataan bahwa ICQ merupakan daftar pertanyaan yang dibuat menekankan bahwa

kuesioner tersebut digunakan sebagai sebuah daftar pemeriksaan untuk membantu evaluasi

selanjutnya setelah penentuan risiko awal dibuat. Perubahan kondisi, munculnya teknologi baru,

pemberlakuan hukum dan peraturan baru, dan munculnya banyak peristiwa lain membutuhkan

penentuan risiko yang berkelanjutan. Apa yang dulu dilakukan dan masih dilakukan bisa jadi

bukanlah prosedur terbaik bagi organisasi. ICQ harus dinilai terus-menerus untuk menentukan

bahwa pertanyaan dan konteks jawabannya tetap relevan. Auditor harus memastikan bahwa ICQ

Page 35: Makalah ISI

mengikuti dan merespons perubahan dalam organisasi, metode operasi, dan tujuan organisasi.

Perubahan dalam setiap hal ini membutuhkan perubahan dalam ICQ.

3. Analisis Matriks

Analisis matriks diperkenalkan dalam Kontrol Komputer dan Audit (Computer Control

and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis

matriks tersebut dapat digunakan untuk analisis kontrol di aktivitas mana pun.

Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna

memastikan bahwa setiap risiko memiliki kontrol yang layak. Matriks kontrol juga mengakui

bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari satu risiko. Sebagai

contoh, sebuah kunci melindungi aset dari kemungkinan hilang dengan membatasi akses. Hal ini

juga memberikan akuntabilitas untuk menangani aset karena orang yang memegang kunci akan

bertanggung jawab jika aset yang sudah diamankan tersebut hilang. Suatu anggaran menetapkan

tujuan dan sasaran yang akan dicapai dan menjadi alat ukur kinerja. Anggaran juga menetapkan

otoritas manajer untuk bertindak dalam kendala keuangan berupa anggaran.

Setiap kontrol (Kontrol A) dirancang untuk pengamanan atas risiko tertentu (Risiko 1);

tingkat keyakinan ini disebut sebagai primer (P) karena merupakan kontrol utama menghadapi

risiko.

Kontrol tersebut (Kontrol A) juga bisa memberikan tingkat keyakinan dalam pengamanan

menghadapi risiko lain (Risiko 2), tetapi tingkat keyakinannya lebih kecil dari kontrol yang

semula dirancang untuk itu.

Tingkat keyakinan ini disebut sebagai sekunder (S). Risiko 2 memiliki kontrol primernya

sendiri (Kontrol B) tetapi Kontrol A merupakan pengaman cadangan menghadapi Risiko 2 ketika

menghadapi Risiko 1.

Suatu kontrol dapat memberikan tingkat keyakinan ketiga atas kontrol yang lain (Risiko

3). Tingkat keyakinan ini disebut sebagai berguna (B). Tingkat keyakinan tersebut tidak cukup

hanya mengandalkan kontrol menghadapi Risiko 3 tetapi kontrol ini bisa memunculkan pertanda

atas adanya Risiko 3 yang harus diinvestigasi.

Page 36: Makalah ISI

Matriks risiko dan kontrol tampak seperti ini:

Kontrol A Kontrol B Kontrol C

Risiko I P B

Risiko 2 S P B

Risiko 3 P

Sebuah contoh metode matriks bisa membantu untuk memperjelas prinsip-prinsip ini.

Dalarn sebuah operasi yang terkomputerisasi, terdapat risiko-risiko tertentu yangberkaftan

dengan akses ke atxsip data. Perhatikan risiko-risiko berikut ini dan kontrol primernya.

Risiko

1. Individu yang tidak memiliki

otorisasi di dalam organisasi bisa

mengakses catatan komputer.

Kontrol Primer

A. ID pengguna dan kata sandi

dibutuhkan untuk mengakses sistem

komputer.

2. Individu yang tidak memiliki

otorisasi di luar organisasi bisa

mengakses catatan komputer.

B. Alat modem dihubungkan hanya

jika pengguna eksternal yang dikenal

meminta akses dan tidak

disambungkan di akhir sesi.

3. individu yang tidak memiliki

otorisasi bisa mencoba mendapatkan

akses catatan ke komputer, dan bisa

C. laporan usaha yang gagal

dihasilkan dari sistem penegaman,

dan laporan tersebut diperiksa setiap

hari oleh pegawai pengaman data.

Apa yang diungkapkan oleh contoh-contoh ini tentang sistem kontrol? ID pengguna dan

kata sandi (A) adalah kontrol primer untuk menghadapi orang dalam yang tidak terotorisasi yang

mencoba mengakses catatan komputer organisasi.

Memutuskan sambungan modem pada saat tidak digunakan (B) merupakan perlindungan

primer menghadapi penyusup luar. Mereka tidak dapat mengakses pada waktu sirkuit terhubung

Ice pengguna resmi. Jika modem tidak disambungkan pada saat sesi resmi diselesaikan, tidak ada

jalan bagi hacker untuk mengakses. Jika modem masih terkoneksi dan sirkuit masih terbuka,

tingkat kontrol selanjutnyaID pengguna dan kata sandi-akan tersedia sebagai penghalang

Page 37: Makalah ISI

terhadap hacker (sekunder). Kontrol tersebut dapat diandalkan untuk menghadapi hacker

meskipun dibuat untuk menghadapi orang dalam yang tidak memiliki otorisasi. (Primer) Jika

modem terkoneksi dan hacker mencoba selama beberapa hari, laporan pengamanan harian (C)

akan memberi tanda kepada pegawai pengamanan data. (Berguna).

Penelaahan atas laporan pengamanan harian berguna untuk menghadapi orang dalam

yang tidak memiliki otorisasi karena akan melaporkan seseorang yang mencoba mengakses

dengan ID pengguna dan kata sandi yang mungkin digunakan. Dengan pengetahuan ini, pegawai

pengamanan data dapat memulai langkah-langkah untuk menemukan orang yang mencoba

masuk. Mengapa ini hanya merupakan kontrol yang berguna? Laporan tersebut tidak bernilai

dalam mencegah akses ke komputer. Apalagi, laporan tersebut menampilkan upaya yang gagal

ketika pengguna resmi menyentuh komputer dan huruf yang salah, yang bukan merupakan

kesalahan berbahaya. Oleh karena itu, laporan tersebut tidak dapat diandalkan dalam mendeteksi

segera atau hanya upaya akses dengan niat jahat.

Matriks mengakui bahwa kontrol memang diperlukan tetapi biaya kontrol primer yang

berlebihan sangatlah tinggi. Tidaklah efektif dari segi biaya untuk menerapkan beberapa kontrol

atas risiko yang sama karena takut salah satu bisa rusak. Jika kontrol dibuat tunggal tetapi dapat

digunakan untuk lebih dari satu tujuan dan memberikan kontrol yang dibutuhkan, sistem tersebut

sudah lebih kuat tanpa perlu tambahan biaya.

4. Kontrol Preventif dan Detektif

Karakteristik lain yang harus dipertimbangkan adalah sifat kontrol-preventif atau detektif.

Kontrol preventif mencegah terjadinya kejadian yang tidak diinginkan. Kontrol detektif

mendeteksinya sehingga tindakan korektif bisa dilakukan. Dalam contoh matriks di atas, dua

kontrol-memutuskan kata sandi dan modem-adalah kontrol preventif. °Orang-orang jahat" tidak

bisa mendapat akses karena kontrol ini diterapkan.

Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan

upaya orangorang tidak bertanggung jawab untuk masuk ke sistem. Jika pengguna yang tidak

memiliki otorisasi bisa mengakses pada hari pertama, laporan di pagi hari akan memberikan

informasi yang bisa digunakan untuk mengejar si hacker, tetapi hanya setelah kejadian.

Kontrol detektif memiliki sifat "aktivitas setelah fakta' dan membutuhkan empat unit

Page 38: Makalah ISI

tindakan. Tindakan pertama adalah penelaahan, rekonsiliasi, atau menemukan masalah atau

risiko yang ada. Tindakan kedua adalah identifikasi dan analisis kejadian atau kondisi yang tidak

diinginkan untuk menentukan bagaimana terjadinya dan apa yang harus dilakukan. Tindakan

ketiga adalah koreksi. Tindakan terakhir adalah pengecekan lerhadap tindakan korektif untuk

melihat apakah kejadian atau risiko yang tidak diinginkan telah diperbaiki atau dinetralkan.

Ada dua aspek lain dari kontrol detektif yang -membuatnya kurang efektif dibandingkan

kontrol preventif. Kontrol detektif, karena sifatnya, lebih mudah diabaikan. Penelaahan dan

analisis dapat ditangguhkan jika tekanan lain meningkat, dan dapat diabaikan jika orang yang

ditugaskan merasa pekerjaan tersebut tidak menyenangkan. Kedua, kontrol detektif kelihatannya

hanya menghabiskan waktu jika tidak ditemukan hal-hal yang tidak diinginkan. Akan tetapi, kita

tidak bisa mengetahui tidak adanya hal-hal yang tidak diinginkan atau tidak adanya risiko sampai

pemeriksaan diselesaikan. Untuk itulah terdapat keadaan-keadaan yang kontrol detektif

merupakan satu-satunya pilihan. Bukan kontrol preventif yang bisa mengamankan setiap risiko

yang mungkin muncul. Sebagai contoh buku cek dapat ditempatkan dalam tempat terkunci-

sebuah kontrol preventif. Hal ini tidak menghilangkan kebutuhan untuk memeriksa cek untuk

mendeteksi adanya perubahan yang dilakukan dan pemalsuan- sebuah kontrol detektif.

Suatu kontrol preventif (p) lebih disukai daripada kontrol detektif (d) karena kontrol

preventif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan atau diabaikan.

Sehingga matriks ditingkatkan jika sifat kontrol ditambahkan ke dalam analisis. Contoh

sebelumnya digunakan dengen sifat kontrol ditampilkan dalam tanda kurung.

Kontrol A Kontrol B Kontrol C

Risiko 1 P(p) B(d)

Risiko 2 S(p) P(p) B(d)

Risiko 3 P(d)

Dalam beberapa penggunaan dari pendekatan ini, tanda (p) atau (d) ditempatkan pada awal

kolom dengan identifikasi kontrol. Hal ini cenderung menghilangkannya dari daerah

pertimbangan jika analisis dilakukan. Memposisikan sifat dengan tingkat keyakinan

meningkatkan efisiensi dan efektivitas analisis, khususnya jika matriksnya besar dengan

banyak kolom dan baris.

Page 39: Makalah ISI

I. Sistem Evaluasi Risiko

Untuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah

mengembangkan sistem evaluasi risiko berdasarkan jawaban-jawaban atas pertanyaan-

pertanyaan yang dapat mereka simpulkan merupakan risiko penentu yang signifikan. Pertanyaan-

pertanyaan seperti yang disajikan di awal bab ini divalidasi melalui pengalaman lampau dan

melalui pembahasan dengan manajemen dan pegawai audit internal. Aspek pentingnya adalah

penentuan jawaban spesifik dan bobotnya. Sebagai contoh, organisasi harus mempertimbangkan

berapa volume transaksi yang merupakan indikator potensial. Hal ini dapat bervariasi menurut

ukuran organisasi. Bobot diberikan ke jawaban-jawaban ini dan sebuah metodologi untuk

menjumlahkan jawaban ditentukan. Tergantung dari pengalaman dan situasi saat ini, beberapa

pertanyaan bisa memiliki bobot lebih tinggi dibandingkan yang lain. Sebagai contoh, sensitivitas

informasi bisa memiliki bobot lebih tinggi dibandingkan bila digit terakhir dilaksanakan.

Skor risiko untuk situasi tertentu dievaluasi terhadap semua risiko lainnya dan digunakan

untuk membuat rencana audit. Beberapa organisasi menggunakan model ini untuk menetapkan

jam penugasan. Organisasi yang sedang mengembangkan program seperti ini yakin bahwa

manfaat yang didapat jelas melebihi biayanya dan memungkinkan pendekatan yang lebih

objektif untuk penentuan risiko. Namun, ada organisasi-organisasi yang justru meyakini

sebaliknya dan, bila mereka menggunakan kuesioner, maka tergantung auditor untuk

memutuskan berdasarkan evaluasinya terhadap jawaban pertanyaan.

Page 40: Makalah ISI

BAB III

PENUTUP

A. Kesimpulan

Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor

internal. Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus

ditentukan. Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan

terus-menerus dari manajemen. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang

muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan

dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses

penentuan risiko itu sendiri merupakan hal penting bagi audit.

Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus

mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari

organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang

panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian

organisasi yang berbeda.

“Risiko” terkait erat dengan situasi ketidakpastian (uncertaiunt) hasil atau dampak dari

proses yang sedang berjalan atau sesuatu yang belum terjadi atau situasi/kesempatan diwaktu

mendatang, dimana ada probabilitas (probability) tidak sesuai dengan yang diharapkan,

merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan kurangnya informasi (atau

analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil analisis informasi) tentang

apa yang akan terjadi.

Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis

secara sederhana dapat didefinisikan sebagai:

“Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa

depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan

dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan

penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.

Page 41: Makalah ISI

Daftar Pustaka

'Committee of Sponsoring Organizations of the Treadway Commission, Internal Control

Integrated Framework (Jersey City, NJ: COSO, 1992), 29.

Sawyer, Lawrence B. 2005. Sawyer’s Internal Auditing. Jakarta: Salemba Empat.