Komponen ketiga dari model pengendalian internal COSO yang disajikan pada Tabel 1 di atas, adalah penilaian risiko. Akuntan memainkan peran yang penting dalam membantu manajemen, mengontrol bisnis dengan mendesain sistem pengendalian yang efektif, dan mengevaluasi sistem yang ada untuk memastikan bahwa sistem tersebut berjalan dengan efektif. Akuntan dapat mengevaluasi sistem pengendalian internal dengan menggunakan strategi manajemen risiko yang ditampilkan pada Gambar 2. Langkah-langkah utama dari strategi tersebut dijelaskan di bawah ini.
Tentukan ancaman yang mengandung perusahaan
Perkiraan risiko, atau probabilitas, dari setiap ancaman yang muncul
Perkiraan pajanann (exposure), atau kreugian potensial, dari setiap ancaman
Identitas serangkaian pengendalian untuk melindungi terhadap ancaman
Perkiraan biaya dan keuntungan dari pengadaan pengendalian
Terapkan rangkaian pengendalian untuk melindungi terhadap ancaman
Ya
Tida k Apakah
menguntungkan dari segi biaya (cost
beneficial) untuk melindungi sistem
dari ancaman?
Perusahaan menghadapi jenis-jenis ancaman berikut ini: Strategis (contoh: melakukan hal yang salah)
Operasional (contoh: melakukan hal yang benar, tetapi dengan cara yang salah)
Keuangan (contoh: adanya kerugian sumber daya keuangan, pemborosan, pencurian atau pembuatan kewajiban yang tidak tepat)
Informasi (contoh: menerima informasi yang salah atau tidak relevan, sistem yang tidak andal, dan laporan yang tidak benar atau menyesatkan)
Gambar 2: Ancangan Penilaian Risiko untuk Mendesain Pengendalian Internal
Contohnya, banyak organisasi yang menerapkan sistem pertukaran data elektronik EDI (electronic data interchange) yang menyediakan komunikasi instan dan tidak menggunakan dokumen kertas. Sistem EDI membuat mereka dapat menciptakan dokumen elektronik, mentransfernya melalui jaringan kerja internal atau melalui Internet, ke komputer pelanggan atau pemasok mereka, dan sebaliknya juga menerima respons elektronik. Perusahaan yang menerapkan sistem EDI harus mengidentifikasi ancaman-ancaman yang akan dihadapi oleh sistem tersebut, seperti:
1. Pemilihan teknologi yang tidak sesuai. Perusahaan
mungkin pindah ke EDI sebelum pelanggan dan pemasok mereka siap. Perusahaan juga dapat memilih untuk menggunakan EDI ketika ada sarana komunikasi yang lebih efektif dengan pelanggan dan pemasok secara elektronik.
2. Akses sistem yang tidak diotorisasi. Hackers (perusak program komputer) dapat menerobos
sistem dan mencuri data atau menyabot sistem.
3. Penyadapan transmisi data. Hacker dapat
menyadap transmisi data dan mengkopi transmisi, mengacaukannya, atau menghalanginya untuk sampai ke tempat tujuan
4. Hilangnya integritas data. Kesalahan mungkin masuk ke data karena kesalahan yang ditimbulkan oleh software atau pegawai,
masukan yang salah, transmisi yang gagal, dan lain-lain. 5. Transaksi yang tidak lengkap. Komputer penerima mungkin
tidak menerima paket data yang lengkap dari komputer pengirim.
6. Kegagalan sistem. Masalah software dan hardware, pemadaman listrik, sabotase, kesalahan pegawai, atau faktor-faktor lairmya, dapat menyebabkan sistem EDI' gagal atau tidak dapat diakses pada waktu tertentu.
7. Sistem yang tidak kompatibel. Beberapa perusahaan dapat mengalami kesulitan berinteraksi dengan sistem yang lain karena sistem komputer yang tidak kompatibel.
Perkirakan Risiko
Beberapa ancaman menunjukkan risiko yang lebih besar karena probabilitas kemunculannya lebih besar. Misalnya: perusahaan lebih mungkin menjadi korban penipuan komputer daripada serangan teroris, dan pegawai lebih mungkin melakukan kesalahan yang tidak disengaja daripada melakukan tindakan penipuan secara sengaja.
Perkirakan Pajanan (Kemungkinan)
Risiko gempa bumi mungkin kecil, tetapi pajanannya dapat sangat besar; gempa dapat menghancurkan perusahaan dan menyebabkan kebangkrutan. Pajanan dari penipuan biasanya tidak
sebesar itu, karena kebanyakan penipuan tidak mengancam keberadaan perusahaan. Pajanan dari kesalahan yang tidak disengaja memiliki jangkauan pengaruh yang luas, tergantung bentuk kesalahan dan berapa lama terjadinya. Risiko dan pajanan harus diperhitungkan bersama-sama, karena apabila salah satu meningkat, maka baik materialitas ancaman maupun kebutuhan untuk melindunginya, akan meningkat.
Identifikasi Pengendalian
Manajemen harus mengidentifikasi salah satu atau beberapa pengendalian yang akan melindungi perusahaan dari setiap ancaman. Dalam mengevaluasi keuntungan prosedur pengendalian internal tertentu, manajemen perlu mempertimbangkan keefektifan dan waktunya. Apabila semua faktor yang lainnya sama, maka pengendalian untuk pencegahan akan lebih baik daripada pengendalian untuk pemeriksaan. Akan tetapi, apabila pengendalian untuk pencegahan gagal, maka pengendalian untuk pemeriksaanpenting untuk menemukan masalah, dan pengendalian korektif membantu mengatasi masalah tersebut. Jadi, pengendalian untuk pencegahan, untuk pemeriksaan, dan korektif saling melengkapi, dan sistem pengendalian internal yang baik perlu menggunakan ketiga-tiganya.
Perkirakan Biaya dan Manfaat
Tidak ada sistem pengendalian internal yang dapat menyediakan perlindungan anti penipuan terhadap seluruh ancaman dalam pengendalian internal. Biaya atas sistem anti penipuan akan menjadi halangan. Sebagai tambahan, oleh karena "banyak pengendalian yang secara negatif dapat mempengaruhi keefisienan beroperasi, penerapan terlalu banyak pengendalian akan memperlambat sistem, dan akan membuatnya menjadi tidak efisien. Oleh sebab itu, tujuan untuk mendesain sebuah sistem pengendalian internal adalah untuk menyediakan jaminan yang wajar bahwa tidak akan muncul masalah dalam sistem pengendalian itu sendiri.
Manfaat dari sebuah prosedur pengendalian internal harus melebihi biayanya. Akan tetapi, biaya lebih mudah untuk diukur. Elemen utama biaya adalah personil, termasuk waktu untuk melaksanakan prosedur pengendalian, biaya untuk mempekerjakan pegawai tambahan agar mencapai pemisahan tugas yang efektif, serta biaya untuk memprogram pengendalian dalam sistem komputer. Pengendalian internal memberikan manfaat pada perusahaan dari adanya pengurangan kerugian. Salah satu cara untuk menghitung manfaat melibatkan perkiraan kerugian (expected loss), yang merupakan hasil matematis dari risiko dan pajanan.
Tabel 2: Perkiraan kerugian = risiko x pajanan
Analisis Biaya-Manfaat (Cost-Benefit Analysis) Prosedur Validasi Penggajian
Tanpa prosedur validasi Dengan Prosedur validasi Perkiraan bersih perbedaan
Biaya untuk memproses ulang seluruh penggajian
Rp10.000.000,- Rp10.000.000,- Risiko adanya kesalahan
data penggajian
15% 1%
Perkiraan biaya pemrosesan ulang
Rp1.500.000,- Rp100.000,- Rp1.400,.000,- Biaya untuk prosedur
Validasi
Rp0 Rp600.000,- Rp(600.000,-)
Perkiraan bersih manfaat prosedur validasi
Rp800.000,-
Manfaat dari prosedur pengendalian adalah perbedaan antara perkiraan kerugian dengan prosedur pengendalian, dan perkiraan kerugian tanpa adanya prosedur pengendalian.
Menetapkan Efektivitas Biaya-Manfaat (Cost-Benefit Effectiveness)
Setelah memperkirakan manfaat dan biaya, pihak manajemen menetapkan apakah pengendalian tersebut menguntungkan dari segi biaya. Contohnya, di Atlantic Richfield, kesalahan pada data kadang kala membutuhkan pemrosesan ulang seluruh penggajian dengan biaya sebesar Rp10.000.000,-. Pihak manajemen menetapkan bahwa langkah validasi data akan mengurangi risiko
kesalahan dari 15% menjadi 1%, dengan biaya sebesar Rp600.000,- per periode pembayaran gaji. Analisis biaya-manfaat yang dipergunakan pihak manajemen untuk menetapkan apakah langkah validasi seharusnya dipergunakan atau tidak, diperlihatkan dalam Tabel 2.
Apabila prosedur validasi penggajian yang diusulkan tidak dipergunakan, maka perkiraan kerugian perusahaan adalah sebesar Rp1.500.000,- Oleh karena perkiraan kerugian dengan menggunakan langkah validasi sebesar Rp100.000,-, pengendalian tersebut memberikan perkiraan manfaat sebesar Rp1.400.000,- Setelah menguranginya dengan biaya pengendalian sebesar Rp600.000,- langkah validasi tersebut memberikan manfaat bersih sebesar Rp800.000,- dan jelas harus diimplementasikan.
Dalam mengevaluasi biaya dan manfaat suatu pengendalian internal, pihak manajemen harus mempertimbangkan faktor-faktor lain di luar faktor-faktor dalam perhitungan perkiraan manfaat. Contoh, apabila sebuah pajanan mengancam keberadaan sebuah organisasi, mungkin akan berguna untuk mengeluarkan lebih banyak uang daripada dengan yang ditunjukkan oleh analisis biaya- manfaat, untuk meminimalkan kemungkinan terganggunya organisasi tersebut. Biaya ekstra yang dikeluarkan ini dapat dibebankan sebagai premi asuransi kerugian atas bencana (catastrophic loss insurance premium).