I. PENGERTIAN RESIKO
Resiko adalah segala hambatan yang mungkin
terjadi dalam pencapaian suatu tujuan. Sedangkan menurut beberapa ahli artii
dari resiko adalah sebagai berikut :
•
Resiko adalah suatu variasi dari hasil-hasil
yang dapat terjadi selama periode tertentu (Arthur Williams dan Richard, M.H)
•
Resiko adalah ketidaktentuan (uncertainy)
yang mungkin melahirkan peristiwa kerugian (loss) (A. Abas Salim)
•
Resiko adalah ketidakpastian atas terjadinya
suatu peristiwa (Soekarto)
•
Resiko adalah probalitas sesuatu hasil /
outcome yang berbeda dengan yang diharapkan (Herman Darmawi)
Sedangkan
penilaian resiko menurut Muhammad Badrus adalah sebuah aktifitas yang dilakukan
untuk mendeteksi atau mengevaluasi kemungkinan adanya kesalahan atau penurunan
kualitas akibat beroperasinya suatu kegiatan. Pendapat lainnya, penilaian
risiko adalah mengkuantitatifkan atau menggolongkan tingkatan risiko agar mudah dikelola dan dilakukan penanganan
yang tepat sesuai prinsip Cost and Benefit. Penentuan resiko (risk assessment)
merupakan hal penting bagi manajemen dan auditor. Bagi manajemen penentuan
resiko merupakan tanggungjawab yang tidak terpisahkan dan dilakukan secara
terus menerus. Karena manajemen tidak dapat menetapkan tujuan dan dengan mudah
mengasumsikan bahwa tujuan tersebut telah tercapai. Banyak hambatan yang timbul
dalam pencapaian tujuan tersebut dan hambatan tersebut bisa berasal dari luar
entitas maupun dari dalam entitas. Sejumlah resiko tidaklah dalam bentuk yang
statis tetapi juga dinamis sesuai dengan perubahan yang terjadi sehingga selalu
ada resiko-resiko baru yang muncul setiap waktu. Oleh karena itu penentuan
resiko harus berjalan berkelanjutan dalam proses manajemen yang dilakukan secara
terorganisir dan berurutan.
Sedangkan bagi auditor, dalam kegiatan audit
harus memasukan hasil penentuan resiko ke dalam program audit untuk memastikan
bahwa kontrol-kontrol yang dibutuhkan memang diterapkan untuk mengurangi
risiko. Resiko dalam audit atau resiko audit memperlihatkan resiko yang
dihadapi auditor yang menyatakan bahwa laporan keuangan tersebut telah benar
sehingga dan pendapat auditor telah diterbitkan, tetapi pada kenyataannya
laporan tersebut ternyata tidak benar dan materialitasnya tinggi. hal tersebut
menyebabkan pendapat auditor tersebut menjadi tidak bermutu bagi para
penggunanya. Hal ini bisa terjadi karena auditor hanya mampu mengumpulkan bukti
berdasarkan tes transaksi dan kesalahan yang telah diatur sedemikian rupa
menyebabkan menjadi sangat sulit dideteksi meskipun auditor telah bekerja
sesuai dengan standar audit yang berlaku.
Menurut studi yang dilakukan oleh COSO,
pembahasan tentang penentuan resiko adalah sebagai berikut:
“Setiap entitas menghadapi berbagai resiko
baik dari lua maupun dari dalam yang harus ditentukan. Persyaratan awal untuk
menentukan resiko adalah adanya penetapan tujuan yang dihubungkan pada
tingkat-tingkat yang berbeda dan konsisten di dalam organisasi. Penentuan
resiko adalah identifikasi dan analisis resiko-resiko yang relevan untuk
mencapai tujuan entitas, yang membentuk suatu dasar untuk menentukan cara
pengelolaan resiko. Karena kondisi ekonomi, industri, peraturan, dan operasi
akan terus menerus berubah, maka dibutuhkan mekanisme untuk mengidentifikasi
dan menangani resiko-resiko khusus yang berhubungan dengan perubahan.”
Pada proses perencanaan audit, salah satu
proses yang harus dilakukan oleh seorang auditor adalah melakukan penilaian resiko bisnis klien.
Auditor mempergunakan pengetahuan yang didapatkan dari pemahaman sistem
strategi akan bisnis dan industri klien untuk melakukan penilaian resiko
tersebut. Resiko bisnis klien adalah resiko dimana klien akan gagal dalam
mencapai tujuannnya. Perhatian utama seorang auditor adalah resiko dari salah saji
material dalam laporan keuangan yang disebabkan oleh resiko bisnis klien. Dalam
menilai resiko bisnis klien juga harus mempertimbangkan kontrol manajemen yang
bisa mengurangi resiko bisnis .
Auditor menerima sejumlah tingkat resiko atau
ketidakpastian dalam melaksanakan fungsi auditnya. Auditor mengenali bahwa
terdapat suatu ketidakpastian tentang kompetensi bukti, ketidakpastian tentang
efektivitas dari dari pengendalian intern yang dimiliki klien, serta
ketidakpastian tentang apakah laporan keuangan telah disajikan secara wajar
pada saat audit telah selesai dilakukan. Auditor yang efektif mengenali
kehadiran sejumlah risiko serta akan bergumul dengan risiko-risiko tersebut
dalam suatu cara pendekatan yang tepat. Mayoritas risiko yang dihadapi oleh
auditor sulit untuk diukur serta membutuhkan pemikiran yang cermat agar dapat
direspons dengan tepat. Menjawab berbagai risiko ini secara tepat merupakan
suatu hal kritis dalam rangka menghasilkan suatu audit yang berkualitas tinggi.
Auditor mendapat sebuah pemahaman tentang
bisnis dan industri klien dan menilai risiko bisnis klien untuk menilai kemungkinan salah saji
mateial dalam laporan keuangan klien. Auditor menggunakan model risiko audit untuk
mengidentifikasikan lebih jauh potensial untuk kesalahan saji dan dimana mereka
paling mungkin terjadi.
Cara utama yang dipergunakan oleh auditor
untuk mempertimbangkan risiko yang ada dalam merencanakan bukti audit yang akan
dikumpulkan adalah melalui penerapan model risiko audit (audit risk model).
Sumber dari model risiko audit ini adalah literatur profesional yang terdapat
dalam SAS 39 (AU350) tentang sampling audit serta dalam SAS 47 (AU 312) tentang
materialitas dan risiko. Model resiko audit umumnya digunakan bagi berbagai
tujuan perencanaan untuk memutuskan berapa banyak bukti audit yang akan
dikumpulkan pada setiap siklusnya. Formula atas model resiko audit adalah
sebagai berikut:
Keterangan : PDR : planned detection risk (rentan bukti yang
harus dikumpulkan auditor)
AAR : acceptable audit risk (tingkatan resiko
yang masih bisa diterima auditor)
IR : inheren risk (keyakinan atas tidak
adanya salah saji diluar SPI)
CR : control risk (keyakinan atas efektifitas
SPI)
II. JENIS-JENIS RESIKO
A. Risiko Deteksi Terencana
Risiko deteksi terencana (planned detection
risk) merupakan ukuran risiko bahwa bukti audit atas segmen tertentu akan gagal
mendeteksi keberadaan salah saji yang melebihi suatu nilai salah saji yang
masih dapat ditoleransi, andaikan salah saji semacam itu ada. Terdapat dua poin
utama tentang risiko deteksi terencana ini yaitu sebagai berikut :
1. Risiko
ini tergantung pada ketiga faktor lainnya yang terdapat dalam model.
Risiko deteksi terencana hanya akan berubah jika auditor melakukan perubahan
pada salah satu dari ketiga faktor lainnya tersebut.
2. Risiko ini menentukan nilai substantif yang
direncanakan oleh auditor untuk dikumpulkan, yang merupakan kebalikan dari
ukuran risiko deteksi terencana itu sendiri.
Jika nilai risiko deteksi
terencana berkurang, maka auditor harus
mengumpulkan lebih banyak bukti audit untuk mencapai nilai risiko deteksi yang
berkurang ini.
B. Risko inheren
Risko inheren (inheren risiko) merupakan suatu
ukuran yang dipergunakan oleh auditor dalam menilai adanya kemungkinan bahwa
terdapat sejumlah salah saji yang material (kekeliruan atau kecurangan) dalam
suatu segmen sebelum ia mempertimbangkan keefektifan dan pengendalian intern
yang ada. Dengan mengasumsikan tiadanya pengendalian intern, maka risiko
inheren ini dapat dinyatakan sebagai kerentanan laporan keuangan terhadap
timbulnya salah saji yang material. Jika
auditor, dengan mengabaikan pengendalian intern, menyimpulkan bahwa terdapat
suatu kecenderungan yang tinggi atas keberadaan sejumlah salah saji, maka
auditor akan menyimpulkan bahwa tingkat risiko inherennya tinggi. pengendalian intern diabaikan dalam menetapkan
dalam menetapkan nilai risiko inheren karena pengendalian intern ini
dipertimbangkan secara terpisah dalam model risiko audit sebagai risiko
pengendalian. Penilaian ini cenderung didasarkan atas sejumlah diskusi yang
telah dilakukan dengan pihak manajemen, pemahaman yang dimiliki akan perusahaan,
serta hasil-hasil yang diperoleh dari tahun-tahun sebelumnya.
Hubungan antara risiko dengan risiko
deteksi terencana serta dengan bukti audit yang direncanakan adalah sebagai
berikut : risiko inheren saling berlawanan dengan risiko deteksi terencana
serta memiliki hubungan yang searah
dengan bukti audit.
Selain semakin meningkatnya bukti
audit yang diperlukan untuk suatu tingkat risiko inheren yang lebih tinggi
dalam suatu area audit tertentu, merupakan hal yang umum dilakukan pula untuk
menugaskan staf yang telah memiliki lebih banyak pengalaman untuk melakukan
audit pada area tersebut serta melakukan riview yang lebih mendalam pada kertas
kerja yang telah selesai dibuat. Sebagai contoh : jika risiko inheren atas
keusangan persediaan sanagt tinggi, maka sangatlah masuk akal bila kantor akuntan publik memilih staf yang
berpengalaman untuk melakukan sejumlah tes yang lebih mendalam atas keusangan
persediaan ini dan melakukan review yang lebih cermat atas hasil-hasil yang
diperoleh dari audit ini.
C. Resiko pengendalian
Resiko pengendalian (control risk) merupakan
ukuran yang digunakan oleh auditor untuk menilai adanya kemungkina bahwa
terdapat sejumlah salah saji material yang melebihi nilai salah saji yang masi
dapat ditoleransi atas segmen tertentu akan tidak terhadang atau tidak
terdeteksi oleh pengendalian intern yang dimiliki klien. Resiko pengendalian
ini memperhatikan 2 hal berikut:
1. penilaian tentang apakah pengendalian intern
yang dimiliki klien efektif untuk mencegah atau mendeteksi terjadinya salah
saji.
2. kehendak auditor membuat penilaian tersebut
senantiasa berada di bawah nilai maksimum (100 persen) sebagai bagian dari
rencana audit yang dibuatnya.
Model resiko audit menunjukan hubungan yang
erat antara resiko inheren dan resiko pengendalian.
Sama dengan yang terjadi pada resiko
inheren, hubungan antara resiko pengendalian dan resiko deteksi terencana
adalah saling berlawanan, sementara hubungan antara resiko pengendalian dan
bukti substantif merupakan hubungan yang searah. Sebagai contoh, jika auditor
menyimpulkan bahwa pengendalian intern bersifat efektif, maka nilai resiko
deteksi terencana dapat meningkat sehingga jumlah bukti audit yang direncanakan
akan dikumpulkan akan turun. Auditor dapat meningkatkan resiko deteksi
terencana pada saat pengendalian intern bersifat efektif karena pengendalian
intern yang efektif akan mengurangi kemungkinan hadirnya salah saji dalam
laporan keuangan.
Sebelum auditor dapat menetapkan nilai resiko pengendalian
kurang dari 100 persen, auditor harus memahami pengendalian intern yang ada,
dan berdasarkan pemahaman itu, auditor melakukan evaluasi tentang bagaimana
seharusnya fungsi pengendalian intern tersebut, serta melakukan uji atas
efektifitas pengendalian intern tersebut. Hal pertama dari semua ini adalah keharusan
untuk memahami semua jenis audit. Dua hal terakhir adalah langkah-langkah
penilaian resiko pengendalian yang diperlukan jika auditor memilih untuk
memberikan nilai atas resiko pengendalian supaya berada di bawah nilai
maksimum.
D. Resiko akseptibilitas audit
Resiko akseptibilitas audit (acceptable audit
risk) merupakan ukuran atas tingkat kesediaan auditor untuk menerima kenyataan
bahwa laporan keuangan mungkin masih mengandung salah saji yang material
setelah audit selesai dilaksanakan serta suatu laporan audit wajar tanpa syarat
telah diterbitkan. Ketika auditor memutuskan untuk menetapkan suatu tingkat
resiko akseptibilitas audit yang lebih rendah, hal tersbut berarti bahwa
auditor ingin memperoleh tingkat keyakinan yang lebih tinggi bahwa laporan keuangan
tidak mengandung salah saji yang material. Resiko nol berarti yakin sekali, dan
suatu tingkat resiko sebesar 100 persen berarti benar-benar tidak yakin.
Dalam audit terdapat istilah audit
assurance atau tingkat keyakinan, yaitu merupakan pelengkap dari resiko
akseptibilitas audit. Audit assurance dihitung dengan perhitungan satu
dikurangi resiko akseptibilitas audit. Sebagai contoh, tingkat resiko
akseptibilitas audit sebesar 2 persen sama dengan tingkat audit assurance
sebesar 98 persen.
Dengan mempergunakan model audit, akan
terlihat adanya hubungan yang searah antara resiko akseptibilitas audit dan
resiko deteksi terencana, serta hubungan yang saling berlawanan antara resiko
akseptibilitas audit dan bukti audit yang direncanakan. Sebagai contoh, jika
auditor memutuskan akan mengurangi nilai resiko akseptibilitas audit, maka akan
mengurangi pula resiko deteksi terencana serta bukti audit yang direncanakan
akan dikumpulkan harus ditingkatkan. Auditor pun seringkali harus menugaskan
staf yang lebih berpengalaman atau mereview kertas kerja dengan lebih cermat
bagi klien dengan tingkat resiko akseptibilitas audit yang lebih rendah.
E. Resiko kecurangan
Resiko kecurangan merupakan resiko selain 4
resiko di atas dan resiko ini biasanya di perhitungkan di luar dari model
resiko audit. Karena resiko kecurangan secara konsep dan praktek sangat sulit
untuk dipisahkan faktor-faktornya ke dalam 4 jenis resiko di atas. Kecurangan
sendiri memiliki arti kesalahan penyajian yang dilakukan secara sengaja dalam
bentuk penggelapan aktiva dan kecurangan pelaporan keuangan.
Untuk menilai resiko kecurangan,
auditor mengumpulkan informasi untuk
menentukan luasnya keberadaan kondisi kecurangan. Hal-hal yang menyebabkan
timbulnya resiko kecurangan antara lain tekanan yang diterima manajemen baik
kelompok maupun individual, kesempatan yang tercipta, dan perilaku manajemen
untuk membiarkan terjadinya tindakan ketidakjujuran tersebut.
III. PENILAIAN RISIKO
A. Menilai Risiko Yang Dapat Diterima ( Acceptable Audit Risk )
Auditor harus memutuskan risiko audit
yang dapat diterima yang tepat bagi suatu audit selama perencanaan audit.
Pertama, auditor memutuskan risiko risiko penugasan.
Risiko penugasan (engagement risk)
adalah risiko bahwa auditor atau organisasi yang membawahi auditor akan
menderita kerugian setelah selesainya audit, walaupun laporan audit sudah
benar.
Untuk menilai risiko audit yang dapat
diterima, auditor harus menilai setiap factor yang mempengaruhi risiko audit
yang dapat diterima
Faktor faktor utama yang mempengaruhi
resiko penugasan dan mempengaruhi resiko yang audit yang dapat diterima antara
lain:
a.
Derajat
ketergantungan pemakai eksternal pada laporan keuangan
b.
Kemungkinan klien
mengalami kesulitan keuangan
c.
Integritas
manajemen
Metode yang digunakan menilai risiko
audit yang dapat diterima
a.
Derajat
ketergantungan pemakai eksternal pada laporan keuangan
·
Menelaah laporan
keuangan
·
Membaca notulen
rapat dewan direksi unruk menentukan rencana masa depan
·
Membahas rencana
pembiayaan dengan manajemen.
b.
Kemungkinan klien
mengalami kesulitan
·
Menganalisis
keuangan laporan keuangan dan
menggunakan prosedur analitis lainnya
·
Menelaah laporan
arus kas historis dan proyeksi, untuk mempelajari arus kas masuk dan keluar
c.
Integritas
manajemen
·
Menganalisa
prosedur penerimaan klien dan kelanjutan klien.
Menurut Petunjuk Teknis Penilaian Risiko
Pemeriksaan BPK
Penilaian risiko pemeriksaan yang
dapat diterima secara kualitatif bisa
dibagi menjadi 3 kategori yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima
rendah,
2. Tingkat risiko pemeriksaan yang dapat diterima
menengah,
3. Tingkat risiko pemeriksan yang dapat diterima
tinggi.
Sedangkan penilaian risiko pemeriksaan
menggunakan pendekatan kuantitatif menetapkan tingkat risiko pemeriksaan yang
dapat diterima merujuk pada ASOSAI yaitu:
1. Tingkat risiko pemeriksaan yang dapat diterima
sebesar 5 %, artinya tingkat keyakinan pemeriksa atas opininya sebesar 95%
(AAR=1-tingkat keyakinan). Tingkat ini berlaku untuk sebagian besar entitas
yang diperiksa.
2. Tingkat risiko pemeriksaan yang dapat diterima
sebesar 3%, artinya tingkat keyakinan pemeriksa atas opininya sebesar 97%.
Tingkat ini dinilai cukup memadai untuk beberapa entitas yang sangat sensitif
atau berisiko tinggi.
3. Tingkat risiko pemeriksaan yang dapat diterima
sebesar 1%, artinya tingkat keyakinan pemeriksa atas opininya sampai 99%.
Tingkat ini berlaku bagi beberapa entitas
dengan ciri-ciri sebagai berikut:
·
Entitas tersebut
mempunyai pengguna eksternal yang sangat ekstensif perhatiannya terhadap
laporan keuangan entitas tersebut, dan/atau
·
Entitas tersebut
cukup rentan akan terjadinya salah saji material dan secara politik sensitif
dan/atau adanya harapan atas kewajaran
laporan keuangan entitas tersebut sehingga pemeriksa membutuhkan tingkat
keyakinan yang sangat tinggi.
Pemeriksa harus menentukan risiko
pemeriksaan yang dapat diterima berdasarkan identifikasi kondisi entitas yang
diperiksa dan juga informasi penting lainnya yang berkaitan. Pemeriksa juga
perlu mempertimbangkan harapan penugasan atas entitas diperiksa apalagi jika
entitas tersebut mempunyai stakeholders yang luas.
B. Menilai Risiko Inheren (Inherent Risk)
Auditor melakukan penilaian risiko
inheren selama tahap perencanaan dan memperbaharui penilaian tersebut selama
audit berlangsung. Auditor harus mengevaluasi informasi yang mempengaruhi
risiko inheren serta memutuskan faktor risiko inheren yang tepat bagi setiap
tujuan audit.
Faktor faktor yang mempengaruhi risiko
inheren :
a. Sifat bisnis klien
Risiko inheren untuk akun tertentu
dipengaruhi oleh sifat bisnis klien. Pemahaman auditor atas bisnis klien akan
membantu menilai risiko inheren ini.
b. Hasil audit sebelumnya
Salah saji yang ditemukan dalam audit
tahun sebelumnya dapat ditemukan lagi dalam audit tahun berjalan. Oleh karena
itu auditor tidak boleh mengabaikan hasil audit tahun sebelumnya selama
mengembangkan proses audit di tahun berjalan.
c. Penugasan awal vs penugasan berulang
Auditor akan memperoleh pengalaman dan
pengetahuan tentang kemungkinan salah saji setelah mengaudit klien selama
beberapa tahun. Auditor menetapkan risiko inheren yang tinggi pada tahun
pertama audit dan mengurangi tinggkat risikonya pada tahun berikutnya karena
telah semakin memahami klien.
d. Pihak pihak yang terkait
Pihak yang terkait yaitu perusahaan
induk dengan perusahaan anak, serta manajemen dan entitas perusahaan. Risiko
inheren atas transaksi pihak yang terkait ini sangat tinggi karena kemungkinan
salah saji yang lebih besar.
e. Transaksi non rutin
Transaksi yang tidak biasa bagi klien
lebih besar resikonya dibandingkan transaksi rutin karen pengalaman untuk
transaksi non rutin masih sedikit.
f.
Pertimbangan yang
diperlukan untuk mencatat saldo akun dan transaksi dengan tepat
Auditor harus memperbesar risiko
inheren karena banyak akun memerlukan estimasi dan banyak pertimbangan
manajemen.
g. Unsur unsur populasi
Seluruh item yang membentuk populasi
mempengaruhi ekspektasi auditor mengenai salah saji yang material
h. Faktor faktor yang berkaitan dengan pelaporan
keuangan yang curang dan misapropriasi aktiva
Menurut konsep maupun praktik sangat
sulit memisahkan faktor faktor risiko kecurangan ke dalam risiko yang dapat
diterima ataupun risiko inheren.
Menurut Petunjuk Teknis Penilaian Risiko
Pemeriksaan BPK
Secara kualitatif, risiko inheren
terbagi menjadi lebih rendah dan lebih tinggi. Pemeriksa dapat
mendokumentasikan penilaian risiko inherennya pada setiap level melalui
formulir Audit Risk Matrix (ARM). Berdasarkan analisis pada matriks ARM maka
dihasilkan akun-akun apa saja yang signifikan dan beresiko tinggi terhadap
kewajaran laporan keuangan.
a. Lebih tinggi atau 100%. Pada saat pemeriksa
mengidentifikasi risiko tertentu atau faktor lain yang menimbulkan keyakinan
bahwa terdapat kemungkinan yang lebih besar akan terjadinya kesalahan atas hal
yang menurut pemeriksaan penting, pemeriksa akan menilai risiko inheren bagi
asersi laporan keuangan yang relevan dengan kriteria lebih tinggi. Pemeriksa
juga menganggap risiko inheren sebagai 100% sebagai hasil pertimbangan
profesionalnya dan bersifat konservatif.
b. Lebih rendah atau <100%. Jika pemeriksa
yakin bahwa kecil kemungkinan terjadinya kesalahan atas hal yang menurut
pemeriksaan penting (dengan asumsi tidak ada pengendalian), pemeriksa akan
memberi penilaian dengan kriteria lebih rendah.
C. Menilai Risiko Deteksi Yang Direncanakan (Planned Detection Risk)
Para auditor menetapkan tingkat risiko
deteksi yang dapat diterima (risiko deteksi yang direncanakan) yang
mempengaruhi tes-tes substantif yang mereka lakukan.
a. Jika tingkat risiko deteksi yang direncanakan
rendah, maka auditor akan mengumpulkan bukti sebanyak mungkin untuk menurunkan
risiko kesalahan saji .
b. Tingkat risiko deteksi yang direncanakan
tinggi maka auditor mengurangi pengumpulan bukti .
Menurut Petunjuk Teknis Penilaian Risiko Pemeriksaan
BPK,
Ada dua jenis risiko deteksi berkaitan
dengan audit sampling, yaitu risiko prosedur analitis dan risiko pengujian
substantive.
a. Risiko prosedur analitis berasal dari
keputusan pemeriksa untuk menggunakan pertimbangannya dan menentukan apakah
prosedur analitis merupakan prosedur yang efektif dan efisien dalam mendapatkan
bukti pemeriksaan yang memadai.
b. Penilaian risiko prosedur analitis sangat
subyektif dan sulit untuk dikuantifikasikan. Oleh sebab itu biasanya pemeriksa
secara konservatif memberikan nilai risiko ini cukup tinggi, yaitu antara 40%
hingga 100%.
D. Menilai Risiko Pengendalian (Control Risk)
Auditor harus memahami perancangan dan pengimplementasian pengendalian internal
untuk melakukan penilaian pendahuluan atas risiko pengendalian. Setelah
memahami pengendalian internal, auditor dapat membuat penilaian pendahuluan
atas risiko pengendalian sebagai bagian dari penilaian risiko secara
keseluruhan. Penilaian ini merupakan ukuran ekspektasi auditor bahwa
pengendalian internal akan mencegah salah saji material atau mendeteksi dan
mengoreksinya jika terjadi.
Banyak auditor menggunakan matriks
risiko pengendalian (control risk matrix) untuk membantu proses penilaian
risiko pengendalian. Tujuannya adalah menyediakan cara yang mudah untuk
mengatur penilaian risiko pengendalian bagi setiap tujuan audit.
Langkah langkah dalam penilaian risiko
pengendalian:
·
Mengidentifikasi
tujuan audit
·
Mengidentifikasi
pengendalian yang ada
·
Menghubungkan
pengendalian dengan tujuan audit
·
Mengidentifikasi
dan mengevaluasi defisiensi pengendalian, defisiensi yang signifikan dan
kelemahan yang material
·
Menghubungkan
defisiensi yang signifikan dan kelemahan yang material dengan tujuan audit
terkait.
·
Menilai risiko
pengendalian untuk setiap tujuan audit.
Menurut Petunjuk Teknis Penilaian Risiko
Pemeriksaan BPK
Setelah pemeriksa menilai risiko
inheren, risiko pengendalian juga harus dinilai sebagai bagian proses penilaian
risiko dalam pemeriksaan keuangan.
Penilaian risiko pengendalian
merupakan estimasi terhadap risiko pengendalian intern yang sangat bergantung
pada bagaimana hasil evaluasi pemeriksa yang bersangkutan terhadap pengendalian
intern entitas yang diperiksa, meskipun pertimbangan profesional pemeriksa
masih juga menentukan.
Apabila sistem pengendalian intern
entitas yang diperiksa telah dirancang secara memadai, dan pengujian ketaatan
yang dilaksanakan pemeriksa menunjukkan bahwa pengendalian tersebut telah
dijalankan secara memadai pula, maka pemeriksa akan merasa bahwa pengendalian
intern tersebut dapat diandalkan, yang berarti bahwa dia akan memberikan
estimasi yang cukup rendah terhadap risiko ini. Demikian pula sebaliknya.
Berdasarkan matriks CRM, Pemeriksa
dapat menilai risiko pengendalian menjadi "minimum”, "moderat” atau
"maksimum”untuk dimasukkan kedalam matriks ARM.
a. Minimum atau keyakinan pemeriksa sangat
terjamin atas efektivitas pengendalian intern dengan rentang risiko
pengendalian sebesar 10-30%. Pemeriksa menilai pengendalian sebagai efektif dan
melaksanakan test of controls untuk mengkonfirmasikan bahwa pengendalian telah
beroperasi secara efektif sepanjang periode.
Pemeriksa mengevaluasi kecukupan dari bukti yang sudah diperoleh serta
apakah bukti ini mendukung penilaian "minimum". Jika pemeriksa
menyimpulkan bahwa bukti-bukti pemeriksaan tidak mendukung penilaian ini,
pemeriksa mempertimbangkan kembali evaluasinya atas efektivitas
pengendalian. Jika pengendalian
ditemukan ternyata tidak efektif, pemeriksa menilai risiko pengendalian sebagai
"maksimum".
b. Moderat atau keyakinan pemeriksa cukup
terjamin atas efektivitas pengendalian intern dengan rentang risiko
pengendalian sebesar 31-70%. Pemeriksa menyimpulkan bahwa desain dari
pengendalian adalah efektif, tetapi pemeriksa tidak melakukan test of controls
untuk mengkonfirmasikan efektifitas pelaksanaannya sepanjang periode. Pemeriksa juga mempertimbangkan apakah
pelaksanaan walkthrough yang dilakukan oleh pemeriksa terhadap pengendalian
memberikan bukti yang cukup untuk menilai risiko sebagai "moderat".
Jika pemeriksa menyimpulkan bahwa bukti tidak mendukung penilaian ini,
pemeriksa mempertimbangkan untuk mendapatkan bukti-bukti tambahan untuk
mendukung penilaian “moderat”, atau menilai risiko pengendalian sebagai
"maksimum". Penilaian risiko
pengendalian ini tidak berlaku untuk akun-akun atau asersi-asersi yang
dipengaruhi oleh transaksi-transaksi yang bersifat estimasi, seperti
penyusutan, penyisihan piutang ragu-ragu.
c. Maksimum atau keyakinan pemeriksa tidak
terjamin atas efektivitas pengendalian intern dengan rentang risiko
pengendalian sebesar 71-100%. Pemeriksa menilai risiko pengendalian sebagai
maksimum ketika (1) bukti pemeriksaan mengindikasikan bahwa pengendalian tidak
efektif, atau (2) setelah memperoleh pemahaman yang memadai mengenai proses
entitas yang diperiksa:
·
Pemeriksa percaya
bahwa pengendalian nampaknya akan tidak efektif, atau
·
Pemeriksa sudah
mengidentifikasi prosedur-prosedur uji substantif yang efisien dan efektif yang
diyakini penting untuk mendukung saldo akun terkait.
E. Menilai Risiko Kecurangan
Dalam menilai risiko kecurangan, SAS
99 memberikan pedoman bagi auditor. Auditor harus mempertahankan sikap
skeptisisme profesional ketika memepertimbangkan serangkaian informasi termasuk
faktor faktor risiko kecurangan, untuk dapat mengidentifikasi dan menanggapi
risiko kecurangan
a.
Skeptisisme
professional
Selama penugasan, bahwa tim auditor harus
mempertahankan sikap dan pikiran yang selalu mempertanyakan.
b.
Evaluasi kritis
atas bukti
Auditor harus menyelidiki secara mendalam
permasalahan dan kemungkinan kesalahan salah saji yang material karen
kecurangan.
c.
Komunikasi di
antara tim audit
Diantara auditor dapat saling bertukar
pendapat terutama dengan yang telah berpengalaman mengenai penilaian risiko
kecurangan, dan bagaimana kecurangan kecurangan itu biasanya terjadi dalam organisasi
atau entitas yang diaudit.
d.
Mengajukan
pertanyaan kepada manajemen
Untuk menilai risiko kecurangan, auditor dapat
menanyakan beberapa pertanyaan secara langsung kepada manajemen ataupun pihak
lain dalam organisasi, sehingga terbuka kesempatan datangnya informasi yang
dalam kondisi lain tidak diungkapkan oleh manajemen ataupun pihak lain dalam
organisasi.
e.
Prosedur analitis
Auditor harus melakukan prosedur analitis
selama tahapan perencanaan audit dan penyelesaian audit untuk membantu
mengidentifikasi kecurangan kecurangan.
f.
Faktor faktor
risiko
Untuk menilai resiko kecurangan, kondisi yang
harus diperhatikan adalah adanya faktor
faktor risiko kecurangan (segitiga kecurangan/ fraud triangle)
·
Insentif/tekanan
Manajemen atau pegawai merasakan insentif atau
tekanan untuk melakukan kecurangan. Insentif yang umum bagi entitas untuk
memanipulasi laporan keuangan adalah menurunnya prospek keuangan entitas.
·
Kesempatan
Situasi yang membuka kesempatan bagi manajemen
atau pegawai lain untuk melakukan kecurangan. Risiko kecurangan yang lebih
besar akan dihadapi oleh entitas yang menggunakan banyak pertimbangan dan
estimasi dalam operasinya.
·
Perilaku/rasionalisasi
Karakter, sikap dan nilai nilai etis yang
membolehkan manajemen dan pegawai lain bersikap curang atau lingkungan yang
menekan dan membuat adanya rasionalisasi tindakan curang.
IV. HUBUNGAN ANTARA RESIKO DENGAN BUKTI AUDIT DAN FAKTOR YANG MEMPENGARUHI RESIKO
Faktor
Yang
|
|
|
Mempengaruhi
|
|
Resiko
|
|||
|
|||
Gambar di atas mengikhtisarkan
berbagai faktor yang menentukan masing-masing tingkat resiko, pengaruh dari
ketiga komponen resiko pada penetapan resiko deteksi terencana, serta hubungan
keempat faktor resiko tersebut pada bukti audit yang direncanakan. Huruf “D”
pada gambar mengindikasikan suatu hubungan yang searah antara suatu komponen
resiko dengan resiko deteksi terencana atau bukti audit yang direncanakan.
Huruf “I” mengindikasikan suatu hubungan yang terbalik. Sebagai contoh, suatu
peningkatan pada resiko akseptibilitas audit akan mengakibatkan suatu
peningkatan pada resiko deteksi terencana (D) serta suatu penurunan pada bukti
audit yang direncanakan (I).
Resiko Audit untuk Segmen - segmen
Baik resiko pengendalian maupun resiko
inheren umumnya ditentukan bagi setiap siklus, setiap akun, dan seringkali pula
bagi setiap tujuan audit, bukan bagi keseluruhan penugasan audit, dan
kemungkinan besar akan sangat bervariasi dari satu siklus ke siklus lainnya,
sari satu akun ke akun lainnya, serta dari satu tujuan audit ke tujuan audit
lainnya untuk suatu penugasan audit saja. Pengendalian intern barangkali
memiliki tingkat keefektifan yang lebih tinggi untuk sejumlah akun yang terkait
dengan saldo daripada atas akun-akun yang terkait dengan aktiva tetap. Selanjutnya, resiko pengendalian pun akan
berbeda bagi akun-akun yang berbeda.
Resiko akseptibilitas audit umumnya
ditetapkan oleh auditor selama fase perencanaan dan ditetapkan pada tingkat
yang sama bagi setiap siklus dan akun utama. Para auditor umumnya mempergunakan
tingkat resiko akseptibilitas audit yang sama bagi setiap segmen karena
berbagai faktor yang mempengaruhi tingkat resiko akseptibilitas audit terkait
dengan seluruh aspek penugasan audit, bukan pada masing-masing akun.
Tetapi, pada beberapa kasus, tingkat
resiko akseptibilitas audit yang lebih rendah barangkali akan lebih tepat bagi
suatu akun daripada akun-akun lainnya. Dalam contoh terdahulu, walaupun auditor
memutuskan untuk menggunakan suatu tingkat resiko akseptibilitas audit yang
menengah bagi keseluruhan penugasan audit, auditor dapat saja memutuskan untuk
mengurangi tingkat resiko akseptibilitas audit hingga tingkat yang rendah bila
ternyata persediaan tersebut dipergunakan sebagai jaminan atas suatu kredit
jangka pendek.
Beberapa auditor menggunakan tingkat
resiko akseptibilitas audit yang sama dengan tingkat resiko akseptibilitas
audit atas keseluruhan penugasan audit bagi setiap segmen auditnya, sementara
sejumlah auditor lain menggunakan suatu tingkat resiko akseptibilitas audit
yang lebih tinggi bagi setiap segmen.
Karena tingkat resiko pengendalian dan
tingkat resiko inheren sangat bervariasi dari satu siklus ke siklus lainnya,
dari satu akun ke akun lainnya, atau dari satu tujuan audit ke tujuan audit
lainnya, maka tingkat resiko deteksi terencana serta jumlah bukti audit yang
direncanakan pun semakin bervariasi. Setiap penugasan didasari oleh
situasi-situasi yang berbeda, serta rentang bukti audit yang diperlukan akan
tergantung pada sejumlah situasi yang unik. Sebagai contoh, pada suatu
penugasan audit, akun persediaan barangkali akan membutuhkan pengujian yang
ekstensif akibat dari lemahnya pengendalian intern serta akibat dari
pertimbangan tentang tingkat keusangan yang terjadi dari sejumlah perubahan
teknologi yang terdapat dalam industry. Dalam penugasan audit yang sama, akun
piutang dagang barangkali hanya memerlukan sedikit pengujian saja karena
efektifnya tingkat pengendalian intern yang ada, tingkat penagihan piutang yang
tinggi, serta temuan audit yang baik pada penugasa audit tahun-tahun
sebelumnya. Maka bagi suatu audit atas persediaan, auditor dapat menetapkan
suatu penilaian bahwa di dalam akun tersebut terdapat suatu tingkat resiko
inheren yang tinggi atas suatu salah saji dalam nilai yang terealisasi akibat
dari tingginya potensi keusangan persediaan, tetapi menetapkan suatu tingkat
resiko inheren yang rendah atas suatu salah saji dalam klasifikasi karena pada klien tersebut hanya terdapat persediaan
yang dibeli dari pihak ketiga saja.
Pemakai yang dapat ditentukan sebelumnya
Resiko kecurangan bisa dinilai untuk
seluruh audit atau per siklus, akun dan tujuan. Umpamanya, sebuah insentif kuat
untuk manajemen agar memenuhi harapan pendapatan yang cukup agresif bisa mempengaruhi
audit sedangkan kerentanan terhadap pencurian persediaan bisa mempengaruhi akun
persediaan. Baik untuk resiko kecurangan pelaporan keuangan dan resiko
penyalahgunaan aktiva, fokusnya berada pada area khusus dan meningkatnya resiko
kecurangan dan merancang prosedur audit atau mengubah keseluruhan perilaku
audit untuk merespon resiko tersebut.
Mengaitkan Nilai Salah Satu yang Masih Dapat
Ditoleransi dan Resiko-Resiko kepada Tujuan Audit yang Terkait dengan Saldo
Walaupun merupakan hal yang umum dipraktekkan
untuk melakukan penilaian atas resiko inheren dan resiko pengendalian bagi
setiap tujuan audit yang terkait dengan saldo, tetapi melakukan alokasi
materialitas pada setiap tujuan audit bukanlah hal yang biasa dilakukan. Para
auditor dapat mengasosiasikan sebagian besar resiko pada berbagai tujuan audit
yang berbeda dengan efektif. Menentukan hubungan antara suatu resiko dengan
satu atau dua tujuan audit cukup mudah untuk dilakukan. Sebagai contoh, tingkat
keusangan persediaan kemungkinan besar tidak akan mempengaruhi tujuan audit
lainnya selain dari tujuan audit atas nilai yang terrealisasi. Merupakan hal
yang lebih sulit untuk memutuskan berapa besar seharusnya tingkat materialitas
yang harus dialokasikan pada suatu akun tertentu untuk dialokasikan kembali
pada satu atau dua tujuan audit. Mayoritas auditor tidak memiliki keinginan
untuk melakukan hal tersebut
Batasan – Batasan Pengukuran
Satu batasan utama dalam penerapan
model resiko audit ini adalah kesulitan pengukuran berbagai komponen model.
Walaupun auditor telah mencoba upaya yang terbaik dalam membuat perencanaan
audit, penilaian atas resiko akseptibilitas audit, resiko inheren, dan resiko
pengendalian, serta selanjutnya atas resiko deteksi terencana sangatlah
subyektif dan terdiri dari sejumlah perkiraan terbaik. Untuk mengimbangi
masalah pengukuran ini sebagian besar auditor mempergunakan istilah – istilah
pengukuran yang lebar dan subyektif, seperti rendah, sedang, dan tinggi.
|
Situasi
|
AAR
|
Inheren Risk
|
Control Risk
|
PDR
|
Jumlah Bukti yang Diperlukan
|
|
1
|
Tinggi
|
Rendah
|
Rendah
|
Tinggi
|
Rendah
|
|
2
|
Rendah
|
Rendah
|
Rendah
|
Sedang
|
Sedang
|
|
3
|
Rendah
|
Tinggi
|
Tinggi
|
Rendah
|
Tinggi
|
|
4
|
Sedang
|
Sedang
|
Sedang
|
Sedang
|
Sedang
|
|
5
|
Tinggi
|
Rendah
|
Sedang
|
Sedang
|
Sedang
|
Merupakan hal yang cukup sulit untuk
mengukur jumlah bukti audit yang diperlukan bagi suatu tingkat resiko deteksi
terencana tertentu. Suatu program audit khusus yang ditujukan untuk mengurangi
tingkat resiko deteksi hingga tingkat resiko yang direncanakan merupakan suatu
kombinasi atas sejumlah prosedur audit, yang masing-masing mempergunakan suatu
jenis bukti yang berbeda yang diterapkan pada berbagai tujuan audit yang
berbeda pula.
Dalam menetapkan model resiko audit,
auditor sangat memperhatikan masalah overauditing dan underauditing, tetapi
sebagian besar auditor lebih memperhatikan masalah yang terakhir. Underauditing
dapat membawa kantor akuntan public pada kewajiban hokum serta kehilangan
reputasi profesionalnya.
Hubungan antara Resiko, Materialitas, dan
Bukti Audit
Konsep – konsep materialitas dan
resiko dalam auditing saling terkait erat dan tak terpisahkan. Resiko merupakan
suatu pengukuran atas ketidakpastian, sementara materialitas merupakan suatu
pengukuran atas ukuran atau besaran. Secara bersama-sama, kedua hal tersebut
mengukur tingkat ketidakpastian suatu nilai pada suatu besaran tertentu.
Sebagai contoh, suatu pernyataan bahwa auditor berencana untuk mengumpulkan
bukti audit sedemikian rupa hingga hanya terdapat suatu tingkat resiko (resiko akseptibilitas
audit) sebesar 5 persen saja atas kegagalan dalam mengungkapkan suatu salah
saji yang melebihi nilai salah saji yang masih dapat ditoleransi sebesar
$400,000 (materialitas) merupakan suatu pernyataan yang sangat akurat dan penuh
arti. Jika, baik bagian yang menyatakan risiko atau materialitas dari
pernyataan tersebut dihapuskan, maka pernyataan tersebut tidak akan memiliki
arti apapun. Suatu tingkat risiko sebesar 5 persen tanpa diikuti dengan suatu
ukuran materialitas yang spesifik dapat menyatakan secara tidak langsung bahwa
suatu salah saji yang bernilai $100 atau $1,000,000 pun dapat diterima. Suatu
overstatement sebesar $442,000 tanpa diikuti dengan suatu tingkat risiko yang
spesifik dapat menyatakan secara tidak langsung bahwa suatu tingkat risiko
sebesar 1 persen atau 80 persen pun dapat diterima.
V. EVALUASI HASIL
Setelah auditor merencanakan penugasan dan
mengumpulkan bukti audit,hasil-hasilnya dapat diyatakan dalam versi evaluasi
model resiko audit. SAS107 menyatakan
model resiko audit untuk mengevaluasi hasil-hasil audit sebagai
di mana:
AcAR =
Achieved Audit Risk (risiko audit yang dicapai). Ukuran risiko yang sudah diambil auditor
bahwa suatu akun dalam laporan disalahsajikan secara material setelah auditor
mengumpulkan bukti audit.
IR =
Inherent Risk (risiko inheren).
Factor risiko inheren yang sama yang dibahas dalam perencanaan kecuali sudah
direvisi karena ada informasi baru.
CR = Control
Risk (risiko pengendalian). Risiko
pegendalian yang sama yang telah dibahas sebelumnya kecuali sudah direvisi
selama audit.
AcDR =
Achieved Detection Risk (risiko
deteksi yang dicapai). Ukuran risiko bahawa bukti audit untuk suatu segmen
tidak mendeteksi salah saji yang melampaui salah saji yang dapat ditoleransi,
jika salah saji semacam itu memang ada. Auditor dapat mengurangi risiko deteksi
yang dicapai ini hanya dengan mengumpulkan bukti.
Berdasarkan riset, tidak tepat menggunakan
rumus evaluasi ini untuk benar-benar menghitung risiko audit yang dicapai sebagai
mana yang dinyatakan rumus di atas. Riset menununjukkan bahwa penggunaan rumus
ini dapat mengakibatkan risiko audit yang dicapai kurang saji. Namun, hubungan
yang ada dalam rumus itu valid dan harus digunakan dalam praktik.
Rumus tersebut menunjukkan tiga cara untuk
mengurangi risiko audit yang dicapai ke tingkat yang dapat diterima:
1. Mengurangi risiko inheren
2. Mengurangi risiko pengendalian
3. Mengurangi risiko deteksi yang dapat dicapai
dengan meningkatkan pengujian audit substantive
Penggabungan ketiga faktor tersebut secara
subjektif untuk mencapai tingkat risiko audit yang cukup rendah membutuhkan
pertimbangan profesional yang matang.
Model risiko audit merupakan model
perencanaan, sehingga penggunaannya terbatas pada mengevaluasi hasil audit
saja.
Model risiko
audit untuk merencanakan Bukti dan mengevaluasi Hasil
Gambar tersebut menunjukkan model risiko audit
untuk perencanaan dan evaluasi hasil audit. Sisi kana gambar menunjukkan bahwa
pengumpulan bukti yang lebih substantive dapat mengurangi risiko deteksi yang dicapai.
Tingkat risiko deteksi yang dicapai lebih rendah beserta risiko inheren dan
risiko pengendalian yang lebih rendah akan mengurangi risiko audit yang
dicapai.
Meskipun tidak ada kesulitan yang dihadapi
oleh auditor dalam mengumpulkan bukti yang direncanakan dan menyimpulkan bahwa
penilaian setiap risiko sudah wajar atau lebih baik daripada yang diduga
semula, auditor tetap harus sangat hati-hati dalam mengambil keputusan.
Penilaian awal atas risiko pengendalian atau risiko inheren dapat ditetapkan terlalu
rendah atau risiko audit yang dapat diterima ditetapkan terlalu tinggi.
Dalam keadaan seperti itu, auditor harus
mengikuti pendekatan dua langkah.
1. Auditor harus merevisi penilaian awal atas
tingkat risiko yang tepat.
2. Auditor harus mempertimbangkan dampak revisi
tersebut terhadap kebutuhan bukti, tanpa menggunakan model risiko audit.
Print this page
Postingan
