Auditing dan Masalah Resiko :

Antara Resiko Operasional Organisasi dengan Resiko Informasi dan Kebutuhan atas Jasa Auditing

Disusun untuk Memenuhi Tugas Mata Kuliah Auditing dan Atestasi

Oleh :

Muhamad Arief R. (NIM. 2015250969)

Riza Rizky Fitri (NIM. 2015250973)

Kelas Reguler PPAK Angkatan 25

[pic]

JURUSAN AKUNTANSI

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS BRAWIJAYA

MALANG

2015

Prosedur Penilaian Risiko

Tujuan dari prosedur penilaian risiko adalah untuk mengidentifikasi dan menilai risiko salah saju yang material dalam laporan keuangan. Didalam prosedur penilaian risiko, akan terdapat bukti-bukti audit yang berguna untuk mendukung penilaian risiko pada tingkat laporan keuangan dan pada tingkat asersi.

Selain bukti, harus juga dilengkapi dengan prosedur audit lanjutan yang merupakan tanggapan atas risiko yang diidentifikasi, seperti pengujian pengendalian dan/atau prosedur subtantif.

Auditor perlu melaksanakan prosedur penilaian risiko yang cukup untuk mengidentifikasi risiko bisnis dan risiko kecurangan yang berpotensi berdampak pada salah saji yang material. Selama proses audit, terdapat tiga langkah prosedur penilaian risiko yang perlu dilakukan oleh auditor, yaitu:

a. Prosedur Menanyakan Kepada Manajemen dan Pihak Lain (inquiries of management and others)

Didalam ISA 240 dijelaskan mengenai beberapa hal yang wajib ditanyakan auditor kepada manajemen, yaitu antara lain :

• Penilaian oleh manajemen mengenai risiko salah saji yang material dalam laporan keuangan karena kecurangan.

• Proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan.

• Komunikasi manajemen dengan TCWG mengenai proses yang dilakukan manajemen untuk mengidentifikasi dan menanggapi risiko kecurangan dalam entitas.

• Komunikasi manajemen dengan karyawan.

Prosedur untuk mengajukan pertanyaan digunakan auditor untuk mengidentifikasi risiko salah saji yang material. Meskipun kebanyakan informasi diperoleh dari manajemen dan pihak yang bertanggung jawab atas pelaporan keuangan, namun bertanya kepada pihak lain dalam suatu entitas dan pegawai dengan jenjang otoritas yang lain juga diperlukan untuk mendapatkan perspektif yang berbeda. Dari hasil wawancara ini juga dapat ditemukan informasi tambahan yang mungkin berguna dalam mengidentifikasi risiko salah saji yang material yang mungkin terabaikan sebelumnya. Beberapa contoh wawancara yang dilakukan auditor adalah kepada pihak-pihak berikut ini :

|TCWG |Mengenai lingkungan dimana laporan keuangan dibuat. |
| |Informasi tentang kecurangan yang terjadi atau dicurigai. |
|Manajemen dan TCWG |Penilaian risiko oleh manajemen kemungkinan laporan |
| |keuangan mengandung salah saji. |
| |Gaya kepemimpinan manajemen. |
|Pegawai Kunci |Tren dalam bisnis dan kegiatan tidak biasa. |
| |Bagaimana transaksi rumit dimulai, diolah atau dicatat. |
|Bagian Penjualan |Tren dalam strategi penjualan dan pemasaran |
| |Insentif kinerja penjualan |

b. Prosedur Analitikal

Prosedur analitikal diperlukan untuk membantu mengidentifikasi hal-hal yang mempunyai implikasi terhadap laporan keuangan dan audit. Sebagai contoh, sesuatu yang bersifat luar biasa, seperti transaksi atau peristiwa luar biasa, atau angka yang terlalu tinggi, serta tren yang ganjil. Prosedur analitikal biasanya tidak terlalu rumit karena umumnya menggunakan data agregatif. Oleh karenanya hasil dari prosedur ini hanya dapat memberi indikasi awal yang sangat umum terkait adanya salah saji yang material.

Dalam prosedur analitikal tiga langkah utama yang perlu dilakukan auditor adalah menentukan hubungan data, membandingkan, lalu mengevaluasi hasilnya. Hasil dari prosedur analitikal perlu dibandingkan dengan informasi yang sebelumnya sudah ditemukan oleh auditor untuk mengidentifikasi risiko salah saji yang material mengenai asersi yang terkandung dalam unsur-unsur laporan keuangan serta untuk membantu merancang sifat, waktu, dan luasnya prosedur audit selanjutnya.

c. Observasi (Pengamatan) dan Inspeksi

Observasi dan inspeksi memiliki dua fungsi yaitu :

• Mendukung proses inquiries (bertanya) kepada manajemen dan pihak-pihak lain.

• Menyediakan informasi tambahan mengenai entitas dan lingkungannya.

Audit Berbasis Risiko

Audit berbasis risiko adalah sinonim dari audit berbasis ISA. Ciri penting dari audit berbasis ISA adalah bahwa audit ini berbasis risiko (risk-based audit). Dalam memahami audit berbasis risiko, terdapat konsep-konsep didalamnya yang perlu terlebih dahulu dijelaskan. Konsep-konsep tersebut akan dijelaskan satu persatu dibawah ini.

1. Reasonable Assurance (Asurans yang Layak)

Dikutip dari ISA 200 ditekankan betapa pentingnya konsep ini. Asurans yang layak adalah asurans yang tinggi, namun bukan pada tingkat tinggi yang mutlak. Asurans yang layak akan dicapai ketika auditor memperoleh bukti audit yang cukup dan tepat untuk menekan risiko audit ke tingkat rendah yang dapat diterima. Risiko audit tidak dapat ditekan sampai ke tingkat nol, karena pasti adanya kendala bawaan, oleh karena itulah auditor tidak dapat memberikan absolute assurance (asurans mutlak).

2. Inherent Limitation (Kendala Bawaan)

Beberapa kendala bawaan yang ada dalam audit antara lain adalah :

• Sifat pelaporan keuangan

• Sifat bukti audit yang tersedia

• Sifat prosedur audit

• Pelaporan keuangan tepat waktu

3. Audit Scope (Lingkup Audit)

Kebanyakan lingkup pekerjaan auditor dan opini yang diberikan dibatasi pada menjawab pertanyaan : apakah laporan keuangan dibuat, dalam semua hal yang material, seusai dengan kerangka pelaporan keuangan yang berlaku.

4. Material Misstatements (Salah Saji Material)

Salah saji yang material terjadi jika secara layak dapat diharapkan, akan memengaruhi keputusan ekonomis pemakai laporan keuangan. Salah saji material dapat berupa :

• Terjadi secara sendiri-sendiri atau bersama

• Berupa salah saji yang tidak dikoreksi

• Berupa pengungkapan yang menyesatkan

• Berapa kesalahan (error) atau kecurangan (fraud)

5. Assertions (Asersi)

Asersi adalah pernyataan yang diberikan manajemen, secara eksplisit maupun implisit, yang tertanam di dalam atau merupakan bagian dari laporan keuangan. Asersi berhubungan dengan pengakuan, pengukuran, penyajian, dan pengungkapan dari berbagai unsur laporan keuangan.

Selain pemahaman diatas, perlu dipahami juga apakah risiko audit itu sendiri. Risiko audit adalah risiko dalam memberikan opini audit yang tidak tepat atas laporan keuangan yang disalah sajikan secara material. Risiko audit terdiri atas dua unsur utama, yaitu :

|Risiko |Sifat |Sumber |
|Inherent Risk (Risiko Bawaan) dan Control |Laporan keuangan mungkin atau berpotensi |Tujuan/operasi entitas dan |
|Risk (Risiko Pengendalian) |mengandung salah saji yang material. |rancangan/implementasi pengendalian internal |
| | |oleh manajemen |
|Detection Risk (Risiko Pendeteksian) |Auditor mungkin gagal mendeteksi salah saji |Sifat dan luasnya prosedur audit yang |
| |yang material dalam laporan keuangan |dilaksanakan auditor. |

Untuk menekan risiko audit ke tingkat rendah yang dapat diterima, auditor harus menilai risiko salah saji yang material dan menekan risiko pendeteksian. Risiko salah saji yang material dalam laporan keuangan berada diluar kendali auditor. Disilah auditor perlu melakukan penilaian risiko untuk menentukan risiko salah saji yang material dalam laporan keuangan. Baru setelah itu auditor dapat merancang prosedur audit yang sesuai untuk risiko yang sudah dinilai tersebut.

Setelah memahami konsep-konsep didalam audit berbasis risiko, sekarang kita akan membahas proses dari audit berbasis risiko tersebut. Didalam audit berbasis risiko, terdapat tiga langkah kunci, yaitu :

1. Risk Assesment (Menilai Risiko)

Pada langkah pertama ini, auditor melakukan prosedur penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji yang material dalam laporan keuangan. Didalam tahap menilai risiko ada keharusan-keharusan yang harus ada, diantara lain :

• Melibatkan auditor senior sejak awal

• Menekankan skeptisisme (kewaspadaan) profesional

• Merencanakan audit

• Melaksanakan diskusi tim audit dan komunikasi yang berkelanjutan

• Fokus pada identifikasi risiko

• Mengevaluasi secara cerdas tanggapan manajemen mengenai risiko

• Menggunakan kearifan profesional

2. Risk Response (Menanggapi Risiko)

Pada langkah kedua, auditor merancang dan melaksanakan prosedur audit selanjutnya yaitu menanggapi risiko yang telah diidentifikasi dan dinilai pada langkah sebelumnya. Dalam tahap ini auditor perlu mendokumentasikan risiko yang telah dinilai dalam suatu rencana audit yang :

• Berisi tanggapan menyeluruh atas risiko yang diidentifikasi pada tingkat laporan keuangan

• Menangani area laporan keuangan yang material

• Berisi sifat, luasnya, dan penjadwalan prosedur audit spesifik untuk menanggapi risiko salah saji material, pada tingkat asersi.

Masih di langkah kedua, auditor perlu merencanakan kombinasi prosedur yang tepat untuk menanggapi risiko yang ada, untuk itu, ada beberapa pertimbangan yang perlu diperhatikan oleh auditor, yaitu :

a. Uji Pengendalian (Test of Controls)

Mengidentifikasi pengendalian intern yang relevan, yang jika diuji dapat mengurangin lingkup prosedur substantif lainnya. Biasanya, jumlah sampel dalam uji pengendalian akan lebih sedikit daripada jumlah sampel dalam uji substantif.

b. Prosedur Analitikal Substantif (Substantive Analytical Procedures)

Pada prosedur ini jumlah total arus transaksi (contoh : penjualan) telah diperkirakan dengan cukup akurat. Jika risiko yang dinilai untuk asersi tertentu rendah, maka auditor dapat menetapkan bahwa prosedur analitikal substantif sudah cukup untuk memberikan bukti audit yang cukup dan tepat.

c. Pendadakan (Unpredictability)

Dalam situasi tertentu, unsur pendadakan mungkin saja dibutuhkan dalam prosedur audit. Misalnya adalah untuk menangani salah saji material yang berhubungan dengan kecurangan. Dalam menanganinya, pihak auditor dapat melakukan kunjungan ke kantor cabang tanpa pemberitahuan terlebih dahulu. Entitas cukup diberitahu mengenai prosedur tanpa detail waktu dan cabang yang pasti.

d. Management Override

Auditor perlu mempertimbangkan adanya prosedur audit yang spesifik dalam menghadapi kemungkinan management override.

e. Significant Risks

Pembahasan terkait risiko signifikan akan dijelaskan secara lebih mendetail di pembahasan selanjutnya.

3. Reporting (Pelaporan)

Dilangkah ketiga, ada tahap pelaporan yang pada tahap ini, auditor perlu menentukan apakah bukti audit yang ada telah cukup dan tepat untuk menekan risiko audit ke tingkat rendah yang dapat diterima.

Diakhir penugasan, biasanya akan diadakan pertemuan team debriefing, namun hal ini bukanlah suatu kewajiban yang secara spesifik ditetapkan ISAs, namun kegiatan ini dapat berguna untuk para staf membahas hasil temuan audit mereka, mengidentifikasi setiap indikasi kecurangan, dan menentukan apakah perlu adanya prosedur audit selanjutnya. Selanjutnya, jika semua prosedur sudah dilakukan dan tercapai kesimpulan, maka temuan audit tersebut akan dilaporkan kepada manajemen dan TCWG (those charged with governance), opini audit perlu dirumuskan, dan redaksi yang tepat untuk laporan auditor harus dibuat.

Dalam penerapan audit berbasis risiko, ada manfaat-manfaat yang dapat dirasakan. Manfaat-manfaat tersebut adalah :

1. Fleksibilitas waktu

Karena prosedur penilaian risiko tidak menguji transaksi dan saldo secara rinci, prosedur dapat dilaksanakan jauh sebelum akhir tahun. Sehingga selain dapat menyeimbangkan beban kerja auditor selama setahun, ini juga memberikan waktu yang cukup bagi klien untuk menanggapi hasil temuan audit.

2. Upaya tim audit terfokus pada area kunci

Dengan memahami dimana risiko salah saji material bisa terjadi dalam laporan keuangan, auditor dapat mengarahkan tim audit ke hal-hal yang beresiko tinggi. Sehingga sumber daya dapat dimanfaatkan sebaik-baiknya.

3. Prosedur audit terfokus pada risiko

Karna prosedur audit dirancang untuk menanggapi risiko yang dinilai, maka uji risiko yang hanya menanggapi risiko secara umum dapat dikurangi atau bahkan dihilangkan

4. Pemahaman atas pengendalian internal

Pemahaman terhadap pengendalian intern (yang diwajibkan ISA) memungkinkan auditor mengambil keputusan yang tepat untuk menguji atau tidak menguji efektifnya pengendalian intern.

5. Komunikasi tepat waktu

Melakukan komunikasi dengan manajemen terkait kelemahan dalam pengendalian intern secara tepat waktu memungkinkan entitas mengambil tindakan yang tepat, selain itu hal ini juga dapat menghemat pelaksanaan audit.

ISAs untuk Entitas Kecil

Terkait entitas kecil, pembahasannya terdapat didalam ISA 200. Didalam ISA 200 disebutkan beberapa ciri kualitatif entitas yang lebih kecil, namun ditegaskan bahwa ciri-ciri ini bukan merupakan daftar lengkap, dimana menjadi ciri wajib yang harus dimiliki entitas yang lebih kecil. Ciri-ciri ini hanyalah sebagian contoh yang dijelaskan oleh ISA. Ciri-ciri entitas yang lebih kecil itu sendiri antara lain :

a. Kepemilikan dan manajemen terpusat pada beberapa orang saja (kadang hanya satu orang atau satu perusahaan yang memiliki entitas tersebut)

b. Satu atau lebih ciri berikut :

• Transaksi sederhana;

• Pembukuan sederhana;

• Hanya beberapa jalur usaha dan beberapa produk dalam setiap jalur usaha;

• Sedikit pengendalian intern

Namun, meskipun entitas dinilai kecil, ISA tidak membedakan bentuk pendekatan auditnya dengan entitas yang mempekerjakan ribuan pegawai. Jadi didalam ISA ditegaskan bahwa pendekatan dasar suatu audit tidak berubah sekedar karena entitasnya yang kecil.

Mengidentifikasi Risiko Bawaan

Identifikasi risiko merupakan fondasi dari suatu audit. Tujuan dari tahap pertama dalam proses audit, tahap penilaian risiko, adalah untuk mengidentifikasi sumber-sumber risiko, dan kemudian menilai apakah risiko-risiko ini mungkin menjadi sebab salah saji yang material dalam laporan keuangan. Oleh karena itu pada tahap proses audit ini terdapat dua bagian utama yaitu risk identification (identifikasi risiko) dan risk assesment (penilaian risiko).

Menurut jenisnya, risiko terbagi atas dua klasifikasi utama yaitu :

1. Risiko Bisnis (Business Risk)

Risiko bisnis berasal dari kondisi, peristiwa, situasi, tindakan, bahkan ‘tidak mengambil keputusan’ (inactions) yang dapat berdampak negatif terhadap kemampuan perusahaan mencapai tujuannya dan melaksanakan strateginya. Risiko bisnis juga meliputi peristiwa yang timbul akibat perubahan, kompleksitas, atau gagal melihat kebutuhan untuk berubah

2. Risiko Kecurangan (Fraud Risk)

Risiko kecurangan berhubungan dengan peristiwa atau kondisi yang berindikasi adanya insentif atau tekanan untuk melakukan kecurangan atau adanya peluang untuk melakukan kecurangan.

Segitiga kecurangan atau fraud triangle menjelaskan tiga kondisi yang dapat memberi petunjuk mengenai adanya kecurangan, yaitu :

a. Tekanan (pressure)

Ini sering didorong oleh kebutuhan yang sangat mendesak, termasuk kebutuhan untuk “sejajar” dengan tetangga atau rekan kerja di perusahaan/kantor.

b. Peluang (opportunity)

Peluang ini berhubungan dengan budaya korporasi dan pengendalian intern yang tidak mencegah, mendeteksi, dan mengoreksi keadaan

c. Pembenaran (rationalization)

Pembenaran adalah cara pelaku “menentramkan diri”, misalnya; “semua orang melakukan korupsi” atau “nanti akan saya kembalikan.”

Dalam memahami risiko sangat penting bagi auditor untuk menggunakan skeptisisme profesional sepanjang periode penugasan. Teruama kewaspadaan atas kemungkinan terjadinya kecurangan.

Yang tidak kalah penting bagi auditor adalah untuk memahami faktor risiko bisnis dan faktor risiko kecurangan karna dapat meningkatkan peluang untuk mengidentifikasi adanya risiko salah saji yang material meskipun bukan menjadi tanggung jawab auditor untuk mengidentifikasi atau menilai semua kemungkinan risiko bisnis.

Selanjutnya, dalam penilaian atau pengidentifikasian risiko, langkah pertama yang perlu dilakukan adalah mengumpulkan dan memutakhirkan sebanyak mungkin informasi yang relevan mengenai entitas. Informasi ini memberikan kerangka rujukan yang penting untuk dapat mengidentifikasi dan menilai faktor risiko yang ada.

Setelah mendapatkan informasi yang cukup mengenai entitas, auditor selanjutnya dapat merancang prosedur penilaian risiko seperti yang telah dibahas sebelumnya. Prosedur-prosedur penilaian risiko ini dirancang untuk memperoleh dan mendokumentasikan pemahaman mengenai entitas dan lingkungannya, termasuk pengendalian internal. Lingkup pemahaman yang diperlukan auditor untuk mengidentifikasi risiko dicakup dalam enam area inti atau Enam Sumber Risiko, keenam sumber tersebut adalah :

a. Faktor Eksternal : Sifat industri, Aturan perundangan dan regulator, Kerangka pelaporan keuangan

b. Sifat Entitas : Pegawai operasional dan pegawai inti, Kepemilikan dan governance, Investasi, struktur, dan pembelanjaan

c. Kebijakan Akuntansi : Pemilihan dan penerapan, Alasan untuk mengubah, Tepatnya kebijakan untuk entitas

d. Tujuan dan Strategi Entitas : Rencana dan strategi bisnis, Implikasi dan risiko keuangan terkait

e. Pengukuran/Review Kinerja Keuangan : Apa yang diukur? Siapa yang mereview kinerja keuangan?

f. Pengendalian Internal yang Relevan untuk Audit : Segala proses dan pengendalian yang relevan untuk memitigasi risiko di tingkat entitas dan di tingkat transaksi.

Langkah yang terakhir dalam menilai atau mengidentifikasi risiko, kita perlu menghubungkan risiko yang diidentifikasi dengan area dalam laporan keuangan. Karena untuk setiap faktor risiko yang teridentifikasi dapat mengakibatkan sejumlah salah saji yang berbeda, yang mungkin berdampak terhadap lebih dari satu area laporan keuangan. Risiko pervasif semacam ini seringkali berdampak terhadap penilaian risiko di tingkat laporan keuangan.

Melalui audit progresses, faktor risiko tambahan mungkin teridentifikasi. Dan faktor tersebut dapat ditambahkan ke daftar risiko yang ada, sehingga auditor dapat membuat keputusan mengenai dampaknya terhadap strategi audit dan rencana audit, misalnya keputusan mengenai sifat dan luasnya prosedur audit selanjutnya. Bentuk praktik ini memastikan bahwa ketika auditor melakukan perencanaan untuk periode yang akan datang identifikasi dan penilaian risikonya sudah selasai dilakukan.

Menilai Risiko Bawaan

Dalam mengidentifikasi risiko, auditor:

• Melaksanakan prosedur penilaian risiko untuk mengidentifikasi sumber atau penyebab risiko melalui pemahaman entitas;

• Menentukan dampak yang mungkin ada, dari sumber risiko yang diidentifikasi (salah saji potensial dalam laporan keuangan), termasuk kemungkinan kecurangan; dan

• Menghubungkan dampak risiko denganarea laporan keuangan dan asersi yang dipengaruhi, atau menetukan apakah risiko bersifat pervasif terhadap laporan keuangan secara menyeluruh dan secara potensial mempengaruhi banyak asersi.

Langkah berikutnya ialah menilai risiko yang diidentifikasi dan menentukan seberapa pentingnya risiko tersebut untuk mengaudit laporan keuangan. Lebih baik menilai risiko bawaan terlebih dahulu sebelum mempertimbangkan penggunaan pengendalian intern yang mungkin dapat memitigasi risiko.

Penilaian atas risiko yang diidentifikasi mempertimbangkan dua atribut mengenai risiko, yakni:

• Berapa besarnya peluan terjadinya salah saji laporan keuangan akibat risiko tersebut?

• Berapa besar dampaknya moneternya jika risiko itu menjadi kenyataan?

Peluang Terjadinya Salah Saji

Auditor dapat mengevaluasi probabilitas risiko dengan sederhana, yakni apakah probabilitasnya tinggi, sedang, atau rendah. Atau auditor dapat memberi skor dalam bentuk angka, misalnya antara 1 sampai dengan 5, dimana skor yanglebih tinggi berarti peluang terjadinya lebih besar.

Besaran (Dampak Moneter) jika Risiko Terjadi

Jika risiko itu memang terjadi, berapa besar dampak moneternya? Pendapat mengenai hal ini harus dinilai terhadap suatu jumlah tertentu sebagai acuan untuk menghindari kesimpulan yang brbeda. Untuk tujuan audit, angka yang ditetapkan berhubungan dengan apa yang merupakan salah saji material dalam laporan keuangan secara menyeluruh. Penilaian ini dievaluasi secara sederhana, sebagai tinggi, sedang, atau rendah. Atau, dengan memberi skor dalam bentuk angka, misalnya 1 sampai dengan 5, dimana skor yang lebih tinggi berarti besaran risiko yang lebih tinggi pula

Ketika faktor risiko didokumentasikan dan dinilai oleh auditor, sangatlah penting bahwa hasilnya dibahas dengan manajemen. Pembahasan ini membantu auditor memastikan bahwa tidak ada faktor risiko yang terabaikan, dan bahwa penilaian auditor atas risiko (peluang dan dampaknya) adalah layak. Namun, auditor harus selalu menggunakan skeptisme profesionalnya ketika mengevaluasi masukan dan tanggapan manajemen.

Penilaian Risiko oleh Entitas

Penilaian risiko merupakan slah satu dari lima komponen dalam pengendalian internal yang harus ditangani manajemen.

Dalam entitas yang lebih kecil, proses penialaian risiko bersifat informal dan tidak terstruktur. Risiko dalam entitas yang lebih kecil seringkali diakui secara implisit dan bukan eksplisit. Manajemen mungkin saja menyadari risiko yang berhubungan dengan pelporan keuangan melalui keterlibatan langsung pegawai dan pihak-pihak luar. Oleh karena itu, auditor harus menanyakan kepada manajemen bagaimana manajemen mengidentifikasi dan mengelola risiko. Pertanyaan selanjutnya, risiko apa saja yang benar-benar diidentifikasi dan dikelola manajemen. Auditor kemudian mendokumentasikan proses ini beserta hasilnya.

Ketika manajemen memahami proses penilaian risiko yang lebih formal, manajemen mungkin memutuskan untuk mengembangkan, mengimplementasi, dan mendokumentasikan prosesnya sendiri. Jika ini terjadi, auditor akan mengevaluasi:

• Pengendalian yang ada terhadap proses manajemen ini;

• Lengkapnya identifikasi risiko bisnis dan risiko kecurangan. Identifikasi ini dicatat dalam apa yang disebut “daftar risiko”;

• Penilaian manajemen terhadap besaran risiko atau dampak moneter dan peluang terjadinya;

• Tanggapan manajemen terhadap risiko yang dinilai yang merupakan hasil dari proses penilaian risiko.

Mendokumentasikan Risiko yang Dinilai

Menilai faktor risiko memerlukan kearifan profesional. Penilaian risiko salah saji material dilakukan pada dua tingkat, yakni di tingkat laporan keuangan dan di tingkat asersi untuk jenis transaksi, saldo akun, dan disclosures.

Dokumentasi bisa dalam bentuk memo atau daftar risiko seperti yang diikhtisarkan dalam tabel di bawah ini.

Tabel

|SUMBER RISIKO |IMPLIKASI FAKTOR RISIKO |ASERSI PCAEV |
|Imbalan bagian penjualan berupa komisi |Potensi penjualan fiktif, pencatatan penjualan dalam |EA |
|penjualan. |periode yang salah, syarat penjualan dimainkan, dan upaya | |
| |lain untuk mencapai/melewati ambang batas bonus. | |
|Pelanggaran terhadap perjanjian kredit |Journal entries tanpa persetujuan untuk menunda pembebanan |P |
|sengaja ditutup-tutupi agar tidak |biaya, bis manajemen dalam membuat estimasi akuntansi. | |
|diketahui pihak bank. | | |
|Pegawai memasukkan penyuplai fiktif |Entitas membayar harga mahal untuk barang/jasa yang tidak |EA |
| |diterima. | |
|Hubungan pihak berelasi dirahasiakan |Pendapatan dan beban tidak dicatat dengan nilai pasar |P |
|dari pemegang saham yang bukan pemegang|wajar. | |
|saham pengendali. | | |
|Penjualan tunai spare parts dan servis |Pendapatan dan aset dinyatakan terlalu rendah |CAE |
|tidak dicatat dan disetor. |(understated). | |

Catatan untuk tabel:

1. Dua kolom pertama (“sumber risiko” dan “implikasi faktor risiko”) diselesaikan sebagai bagian dari langkah identifikasi risiko.

2. Kolom “asersi” merupakan penilaian terhadap:

a. Asersi spesifik yang berkaitan dengan area laporan keuangan (jenis transaksi atau saldo akun) atau pengungkapan (disclosures) yang dipengaruhi oleh risiko tersebut.

b. Risiko pervasif yang berdampak terhadap banyak, kebanyakan, atau semua asersi, dan berpengaruh atas penilaian risiko pada tingkat laporan keuangan.

c. Singkatan asersi: P (pervasive), C (completeness), A (accuracy), E (existence), dan V (valuation).

3. Risiko yang dinilai adalah risiko bawaan, bukan risiko pengendalian.

4. Penilaian mengenai “Peluang terjadinya risiko” dan “Dampak moneter” menggunakan skala angka dimana skor 1 berarti peluang terjadinya risiko/dampak moneter adalah rendah dan skor 5 berarti peluang terjadinya risiko/dampak moneter adalah tinggi. Skor ini dapat dikalikan untuk menghitung risiko gabungan. Alternatifnya ialah mendokumentasikan risiko yang dinilai sebagai T (tinggi), S (sedang), atau R (rendah).

Dalam medokumentasikan faktor risiko, pertimbangan bagaimana informasi ini dimutahirkan dan digunakan di waktu yang akan datang. Mencatat informasi di satu tempat dan dalam format terstruktur (seperti pada tabel di atas) mungkin akan akan memakan waktu pada awalnya, tetapi akan lebih mudah dan menghemat waktu saat pemutakhiran. Suatu format terstruktur juga membantu memastikan:

• Berbagai risiko tidak ditangani berulang kali, yang sering terjadi dalam hal informasinya tersebar di mana-mana;

• Setiap risiko dinilai dengan cara yang sama dan konsisten;

• Setiap risiko yang signifikan akan teridentifikasi;

• Review menjadi mudah, kertas kerja elektronis memungkinkan risiko (yang diberi skor angka) disortir menurut skor gabungan, atau menurut peluang terjadinya atau besaran risiko (dampak moneter);

• Daftar risiko dapat dibagi dengan klien untuk memperoleh masukan, atau auditor memninta klien untuk membuat daftar faktor risiko untuk di-review.

Risiko Signifikan

Sesudah risiko bisnis dan kecurangan diidentifikasi dan dinilai, auditor mempertimbangkan kemungkinan adnya risiko signifikan. Risiko signifikan adalah risiko salah saji material yang dinilai begitu besarnya, yang menurut pendpaat auditor, akan memerlukan pertimbangan audit khusus.

Risiko signifikan dinilai sebelum (atau dengan tidak) mempertimbangkan pengendalian yang dapat menanggulangi risiko tersebut. Risiko signifikan didasarkan atas risiko bawaan, dan bukan risiko gabungan antara risiko bawaan dan risiko pengendalian internal. Sebagai contoh, perusahaan dengan persediaan emas yang banyak akan mempunyai risiko pencurian (risiko bawaan) yang tinggi. Tanggung jawab manajemen ialah mengadakan sistem, sarana, dan SDM pengamanan yang kuat. Jika fasilitas pengamanan kuat, risiko gabungan berupa salah saji material, adalah minimal. Namun, risiko kerugian (sebelum mempertimbangkan pengendalian internal) adalah tinggi dan besarannya akan berdampak material terhadap laporan keuangan, risiko ini merupakan risiko “signifikan”.

Ketika mempertimbangkan risiko signifikan, memang sulit mengabaikan daya tangkal dari pengendalian internal yang relevan dengan risiko tersebut. Ini terlihat misalnya dalam hal auditor mengenal dengan baik petugas yang melaksanakan pengendalian itu, dan kompetensinya yang tidak diragukan lagi.

Yang harus dilakukan adalah memisahkan risiko bawaan dan pengendalian yang dipasang. Sebagai contoh, untuk ornag dewasa, menyeberang jalan di tengah kendaraan yang lalu lalang, (seolah-olah) bukan kegiatan berisiko. Orang dewasa, dengan mata, telinga, dan pengalaman menyeberang jalan, senantiasa waspada.

Tetapi ketika menilai kegiatan menyeberang jalan sebagai “tidak berisiko”, kita sebenarnya menggabungkan risiko bawaan (banyak kendaraan, pengendara yang ugal-ugalan, dan kemacetan) dengan pengendalian (mata, telinga, dan pengalaman) yang menangkal sebagian risiko. Untuk menilai apakah menyeberang jalan merupakan risiko signifikan (sebelum adanya pengendalian), orang dewasa itu harus menyeberang jalan dengan mata dan telinga tertutup.

Pada tabel di bawah ini menyajikan contoh-contoh risiko signifikan.

Tabel

|Sumber Risiko |Contoh Risiko Signifikan |
|Kegiatan berisiko tinggi |Peristiwa/operasi dimana salah saji material mudah terjadi: (1) Toko perhiasan dengan banyak |
| |persediaan emas dan logam mulia; (2) sistem akuntansi baru, rumit, dengan pengolahan data |
| |elektronis, mulai dikenalkan perusahaan. |
|Transaksi nonrutin (ukuran & |Transaksi hubungan pihak berelasi di luar jalur bisnis yang normal. Transaksinya tidak sering |
|sifat) |terjadi, tapi nilai transaksinya besar. Sebagai contoh adalah berikut. |
| |Transaksi rutin dalam volume yang sangat besar dengan pihak berelasi. |
| |Penjualan besar (kontrak besar) dibandingkan dengan seluruh penjualan entitas. |
| |Jual/beli aset utama (misalnya pabrik penghasil produk terpenting atau segmen bisnis |
| |terpenting). |
| |Penjualan bisnis kepada pihak ketiga. |
|Perlu judgement, ada |Contoh-contoh adalah sebagai berikut: |
|intervensi manajemen dan |Asumsi dan kalkulasiyang digunakan perusahaan dalam membuat estimasi peting. |
|rutinitas/kebosanan |Kalkulasi atau prinsip akuntansi yang kompleks. |
| |Pengakuan pendapatan yang multi tafsir. |
| |Pengumpulan dan pengolahan data secara manual. |
| |Intervensi manajemen diperlukan untuk menentukan perlakuan akuntansi yang digunakan. |
|Potensi kecurangan | |

Mengidentifikasi Risiko Signifikan

Jika risiko salah saji material sudah diidentifikasi dan dinilai, yang diperlukan ialah menelaah temuan dan kemudian memilih risiko yang memang signifikan. Lihat matriks dalam Gambar.

[pic]

Menanggapi Risiko Signifikan

Ketika risiko digolongkan sebagai signifikan, auditor harus memberikan tanggapan. Berikut ini merupakan tanggapan auditor, berupa langkah audit, terhadap risiko signifikan.

Evaluasi pengendalian internal

Apakah manajemen merancang dan mengimplementasi pengendalian intern yang menangkal risiko signifikan? Lihat eksistensi pengendalian langsung seperti kegiatan pengendalian dan pengendalian tidak langsung seperti pengendalian pervasif yang dapat dimasukkan dalam pengendalian lingkungan, penilaian risiko, sistem informasi, dan unsur pemantauan.

Informasi di atas diperlukan untuk mengembangkan tanggapan audit yang efektif terhadap risiko yang diidentifikasi. Ketika hal-hal nonrutin signifikan atau hal-hal yang bersifat judgemental tidak diamankan dengan pengendalian intern rutin (misalnya dalam hal peristiwa yang terjadi sekali setahun), auditor akan mengevaluasi kesadaran manajemen mengenai risiko signifikan dan apakah tanggapan terhadap risiko signifikan itu tepat.

Contoh, jika entitas membeli aset bisnis lain, tanggung jawab entitas bisa meliputi:

• “sewa” penilai independen untuk aset yang dibeli;

• Penerapan prinsip akuntansi yang tepat; dan

• Pengungkapan transaksi dengan benar dalam laporan keuangan.

Ketika auditor menentukan bahwa manajemen belum menanggapi risiko dengan tepat (dengan mengimplementasi pengendalian intern atas risiko signifikan), ada kelemahan signifikan dalam pengendalian intern entitas, yang akan dikomunikasikan (secepatnya) kepada TCWG (those charged with governance).

Tanggapan audit terhadap risiko signifikan

Apakah prosedur audit selanjutnya (yang direncanakan) secara spesifik menanggapi risiko signifikan? Prosedur ini dirancang untuk memperolehbukti audit dengan keandalan tinggi, dan dapat terdiri atas uji pengendalian dan prosedur substantif.

Umumnya, prosedur audit ini sekedar merupakan kelanjutan dari prosedur yang biasanya dilakukan. Contoh, jika risiko signifikan berkaitan dengan bias manajemen, seperti dalam membuat estimasi akuntansi, kelanjutan dari prosedur substantif adalah:

• Menilai validitas asumsi yang digunakan;

• Mengidentifikasi sumber dan keandalan informasi yang digunakan (baik eksternal maupun internal);

• Perhatikan bias dalam estimasi di tahun yang lalu, dibandingkan dengan realisasi; dan

• Review metode yang digunakan dalam kalkulasi estimasi.

Bukti yang diperoleh tahun lalu

Dalam hal auditor merencaakan menguji efektifnya operasi (untuk pengendalian yang menangkal risiko signifikan, auditor tidak dapat mengandalkan bukti audit yang diperoleh tahun lalu mengenai efektifnya pengendalian intern pengendalian.

Prosedur analitikal substantif saja tidak cukup

Penggunaan prosedur analitikal substantif saja, tidaklah cukup untuk menanggapi risiko signifikan. Jika pendekatan terhadap risiko signifikan terdiri atas prosedur substantif saja, prosedur audit dapat berupa:

• Uji rincian (test of details) saja; atau

• Kombinasi uji rincian dan prosedur analitikal substantif.

Mendokumentasikan Risiko Signifikan

Auditor mendokumentasikan risiko signifikan yang diidentifikasikannya dan tanggapan audit yang dilakukannya. Jika semua risiko didokumentasikan di satu tempat, pendokumentasian risiko signifikan sekadar perluasan dari informasi yang sudah didokumentasikan.

Menyelesaikan Tahap Penilaian Risiko

Langkah terakhir dalam penilaian risiko adalah me-review hasil dari pelaksanaan prosedur penilaian risiko, dan kemudian mengiktisarkan risiko salah saji material pada:

• Tingkat laporan keuangan. Pada tingkat ini, risiko salah saji bersifat pervasif dan dapat memengaruhi beberapa asersi;

• Tingkat asersi untuk jenis transaksi, saldo akun, dan penyajian serta pengungkapan.

Hasil dari tahap penilaian risiko ialah suatu daftar tentang risiko yang dinilai. Hasil penilaian risiko ini, akan menjadi dasar untuk tahap berikutnya, yakni menentukan bagaimana menanggapi dengan tepat risiko yang dinilai tersebut, melalui rancangan prosedur audit selanjutnya.

Bukti Sampai Akhir Tahap Penilaian Risiko

Sampai akhir tahap penilaian risiko, auditor memperoleh bukti-bukti yang secara garis besar adalah bukti mengenai risiko yang dihadapi entitas dan pengendalian internal untuk menangkal risiko tersebut. Sumber-sumber bukti audit yang relevan untuk merangkum dan menilai risiko pada tingkat laporan keuangan dan asersi adalah sebagai berikut:

1. Strategi audit menyeluruh

2. Materialitas

3. Diskusi tim audit

4. Menyelesaikan tahap penilaian risiko

5. Identifikasi dan penilaian risiko bawaan

6. Risiko signifikan

7. Memahami dan mengevaluasi pengendalian internal

8. Mengkomunikasikan kelemahan pengendalian internal

Merangkum Hasil Penilaian Risiko

Tujuan penialaian risiko ialah memberikan landasan dan acuan mengenai apa yang diperlukan untuk memberikan tanggapan yang tepat terhadap risiko yang diidentifikasi dan dinilai, dengan prosedur audit selanjutnya yang dirancang dengan baik dan efisien.

Jika risiko yang diidentifikasi sudah didokumentasi dan dinilai dengan cara yang konsisten, auditor akan mudah me-review dan meringkasnya. Rangkuman risiko yang dinilai, menyatukan faktor risiko bawaan yang diidentifikasi dan evaluasi atas pengendalian internal yang dirancang untuk memitigasi risiko tersebut.

Revisi atas Penilaian Risiko

Penilaian risiko tidak berakhir pada satu titik. Informasi baru diperoleh selama audit berjalan, dan pelaksanaan prosedur audit mungkin menemukan risiko tambahan, atau pengendalian internal tidak berfungsi sebagaimana mestinya. Ketika ini terjadi, penilain risiko semula, harus direvisi dan dampaknya terhadap sifat dan luasnya prosedur audit selanjutnya, perlu dipertimbangkan.

Dokumentasi

Rangkuman dari risiko-risiko yang dinilai dapat didokumentasikan dengan berbagai cara. Tiga cara di antaranya dijelaskan dengan singkat di bawah.

• Dokumen yang berdiri sendiri

Dokumen yang terpisah dari dokumen lain, merupakan dokumen yang berdiri sendiri yang menyajikan rangkuman hasil penilaian atas risiko bawaan dan pengendalian, serta alasan utamauntuk penilaian risiko gabungan. Dokumen ini juga dapat digunakan sebagai outline untuk tanggapan terhadap risiko.

• Bagian dari strategi dan rencana audit

Dalam pendekatan ini, dokumentasi rangkuman risiko yang dinilai merupakan bagian dari dokumen lain, yakni dokumen berisi strategi audit menyeluruh dan rencana audit.

Bagian pertama drai setiap seksi dalam rencana audit, misalnya untuk siklus penjualan dan penagihan, meringkas hasil penilaian risiko dan dampaknya terhadap prosedur audit yang direncanakan.

• Bagian dari dokumen prosedur audit selanjutnya

Dalam pendekatan ini, dokumentasi penilaian risiko merupakan bagian dari dokumentasi auditor mmengenai prosedur audit selanjutnya. Penilaian risiko, rencana audit, dan hasil pelaksanaan kerja didokumentasikan dalam satu himpunan kertas kerja yang komprehensif untuk setiap area laporan keuangan.

Bentuk dan luasnya dokumentasi yang mendukung dipengaruhi oleh:

1. Sifat, ukuran, dan kompleksitas entitas dan pengendalian internalnya;

2. Tersedianya informasi pada entitas;

3. Metodologi dan teknologi audit yang digunakan.

Faktor lain yang perlu dipertimbangkan dalam merancang dokumentasi antara lain:

1. Mudah dipahami;

2. Acuan silang ke (rancangan dan implementasi) tanggapan audit yang tepat;

3. Mudah dimutakhirkan di audit selanjutnya;

4. Mudah di-review, yang me-review harus dapat menentukan apakah risiko kunci sudah diidentifikasi dan apakah tanggapan auditnya tepat.

Suatu rangkuman risiko yang dinilai juga berguna dalam pertemuan perencanaan dari tim audit dalam audit berikutnya, di mana sifat risiko dan luasnya tanggapan audit dibahas.