05 Resiko Audit SI. ppt

(1)

Ir. Sumijan,

M.Sc

(2)

Pengertian Risiko

Menurut Peltier dalam Gondodiyoto (2007 :

110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya.

Menurut Peltier (2005: 325), “Risk is the

(3)

Jenis Risiko

Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, diantaranya :

Risiko Bisnis (Business Risk)

Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goal objectives). Risiko Bawaan (Inherent Risk)

Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal.

Risiko Pengendalian (Control Risk)

Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara

(4)

Jenis Risiko

Risiko Deteksi (Detection Risk)

Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup matrealitas atau adanya kemungkinan fraud.

Risiko Audit (Audit Risk)

Risiko audit sebenarnya adalah kombinasi dari

(5)

Penetapan Penilaian Risiko dan

Pengendalian



Menurut Gondodiyoto (2007 : 559),

penilaian risiko dan pengendalian internal

dapat dilakukan dengan menggunakan :



Matriks Penilaian Risiko

(6)

Matriks Penilaian Risiko

Matriks penilaian risiko adalah metoda analisis

dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High)

nilai -3.

Teknik perhitungan nilai risiko menggunakan

rasio antara dampak dengan keterjadian :

(7)

Risiko kecil (

Low

)

Jika dampak Low (-1) dan keterjadian Low (-1),

maka nilai risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

Jika dampak Low (-1) dan keterjadian Medium

(-2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

Jika dampak Medium (-2) dan keterjadian Low

(8)

Risiko sedang (

Medium

)

Jika dampak Low (-1) dan keterjadian High (-3),

maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

Jika dampak Low (-2) dan keterjadian Medium

(-2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

Jika dampak High (-3) dan keterjadian Low (-1),

(9)

Risiko tinggi (

High

)

Jika dampak Medium (-2) dan keterjadian High

(-3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

Jika dampak High (-3) dan keterjadian Medium

(-2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

Jika dampak High (-3) dan keterjadian High (-3),

(10)

Matriks Penilaian

Pengendalian

Matrik penilaian pengendalian adalah metoda analisis

desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (Low) nilai 1, M (Medium) nilai 2, H (High) nilai 3.

Teknik perhitungan dalam matriks penilaian

pengendalian menggunakan fungsi perkalian anatara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari :

Pengendalian kecil (Low) nilainya berkisar antara -1 Pengendalian sedang (Medium) nilainya antara 3

dan 4,

(11)

Pengendalian kecil (

Low

)

Jika efektifitas Low (1) dan desain Low (1), maka

nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

Jika efektifitas Low (1) dan desain Medium (2),

maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

Jika efektifitas Medium (2) dan desain Low (1),

(12)

Pengendalian sedang

(

Medium

)

Jika efektifitas Low (-1) dan desain High (-3),

maka nilai pengendalian adalah -3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

Jika efektifitas Low (2) dan desain Medium (2),

maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

Jika efektifitas High (3) dan desain Low (1),

(13)

Pengendalian tinggi (

High

)

Jika efektifitas Medium (2) dan desain High (3),

maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Jika efektifitas High (3) dan desain Medium (2),

maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

Jika efektifitas High (3) dan desain High (3),

(14)

Penilaian Risiko

Penetapan tingkat efektifitas antara risiko dan

pengendalian adalah sebagai berikut :

 _{Jika jumlah penilaian risiko dan pengendalian 0, maka}

tingkat pengendalian dan risiko adalah standar, artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada.

 Jika jumlah penilaian risiko dan pengendalian positif, maka

pengendalian baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional.

 Jika jumlah penilaian risiko dan pengendalian negatif, maka

(15)

Teknik Penilaian Risiko dan

Pengendalian

Menurut Griffiths, David M (2007: 18), setelah

memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti, audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada.

Matriks penilaian risiko adalah suatu cara untuk

(16)

Upaya Penanggulangan Risiko

(1)

Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi

risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain:

 _{Melakukan pencegahan dan pengurangan terhadap kemungkinan} terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan.

(17)

Upaya Penanggulangan Risiko

(2)

Melakukan pengendalian terhadap risiko, contohnya

melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan,

Mengalihkan/memindahkan risiko kepada pihak lain, yaitu

dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian.

Tugas dari seorang manajer risiko adalah berkaitan erat

(18)

Macam-Macam Risiko



Menurut Djojosoedarso (2005, p3), risiko

dibedakan dengan berbagai macam cara,

antara lain:

Menurut sifatnya risiko

Dapat tidaknya risiko tersebut dialihkan kepada pihak lain

(19)

Menurut sifatnya risiko

 _{Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi}

tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya.

 _{Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja}

ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya.

 Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan

kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya.

 Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan

umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya.

 Risiko dinamis adalah risiko yang timbul karena perkembangan dan

(20)

Dapat tidaknya risiko tersebut

dialihkan kepada pihak lain



Risiko yang dapat dialihkan kepada pihak

lain, dengan mempertanggungkan suatu

objek yang akan terkena risiko kepada

perusahaan asuransi, dengan membayar

sejumlah premi asuransi, sehingga semua

kerugian

menjadi

tanggungan

pihak

perusahaan asuransi.



Risiko yang tidak dapat dialihkan kepada

(21)



Risiko intern, yaitu risiko yang berasal dari

dalam perusahaan itu sendiri, seperti:

kerusakan aktiva karena ulah karyawan

sendiri, kecelakaan kerja, kesalahan

manajemen dan sebagainya.



Risiko ekstern, yaitu risiko yang berasal

(22)

Kategori Risiko Tesknologi

Informasi



Menurut Hughes (2006, p36), dalam

penggunaan teknologi informasi berisiko

terhadap

kehilangan

informasi

dan

pemulihannya yang tercakup dalam 6

kategori, yaitu:

Keamanan

Ketersediaan Daya Pulih Performa

(23)

Kategori Risiko Tesknologi Informasi (1)

Keamanan

Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber.

Ketersediaan

Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error),

perubahan konfigurasi, dan kurangnya penggunaan arsitektur.

Daya Pulih

Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman

(24)

Kategori Risiko Tesknologi Informasi (2)

Performa

Risiko dimana informasi tidak tersedia saat diperlukan, yang diakibatkan oleh arsitektur terdistribusi, permintaan yang tinggi dan topografi informasi teknologi yang beragam.

Daya Skala

Risiko yang perkembangan bisnis, pengaturan bottleneck,

dan bentuk arsitekturnya membuatnya tidak mungkin menangani banyak aplikasi baru dan biaya bisnis secara efektif.

Ketaatan

(25)

Kelas-kelas Risiko Teknologi

Informasi

Menurut Jordan & Silcock (2005, p49), risiko-risiko

teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu :

 Projects-failing to deliver

 IT service continuity-when business operations go off

the air

 Information assets-failing to protect and preserve

 Service providers and vendors-breaks in the IT value

chain

 Applications-flaky systems

 Infrastructure-shaky foundations