PROSES AUDIT BERBASIS RESIKO
Pengertian Audit Berbasis Resiko (Auditing Berbasis ISA).
Proses audit ini didasarkan ISA atau International Standards on Auditing. ISA menekankan berbagai kewajiban entitas dan manajemen, berbagai kewajiban entitas dapat disebut pihak-pihak berkepentingan atau TCWG “Those charged with governance”. Proses audit berbasis ISA merupakan proses audit berbasis risiko yang mengandung tiga langkah kunci yaitu Risk Assessment (Penialain Risiko), Risk Response (Merespon Risiko) dan Report (Pelaporan).
Audit Berbasis Risiko (Risk Based Audit) adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi. Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis, finansial, operasional, regulasi dan lainnya yang dihadapi oleh organisasi.
Dalam Audit berbasis risiko, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki. Risk-Based Audit memastikan bahwa seluruh tanggung jawab manajemen telah dilakukan secara efektif. Tanggung jawab manajemen yang utama termasuk memastikan internal control telah memadai dan manajemen risiko telah dilakukan dengan tepat, diikuti oleh berbagai fungsi dan unit kerja di perusahaan.
Peran Risk-Based Audit dalam peningkatan Internal Control dan Proses Manajemen Risiko sangat menyeluruh dan strategis. Oleh karena itu apabila Risk Based Audit diimplementasikan dengan konsisten, maka efektivitas Internal Control dan Proses Manajemen Risiko perusahaan akan meningkat.
Pendekatan audit berpeduli risiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaanpenugasan auditnya melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan.
Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang dikarenakan faktor risiko dalam pengambilan keputusan.
Identifikasi Risiko
Identifikasi Risiko
Sebagai bagian integral dari proses perencanaan, pemahaman atas bisnis klien diperoleh melalui interaksi berkesinambungan dengan klien, pertemuan/rapat dengan klien, review atas lingkungan pengendalian manajemen dan lain-lain. Dengan pemahaman terhadap bisnis klien Audit Direktur dan Audit Manager mengidentifikasi risiko yang dihadapi klien. Identifikasi risiko dilakukan sebagai tahap awal dalam proses perencanaan.
Prosedur identifikasi risiko dan prosedur penilaian risiko dapat dijelaskan sebagai berikut: Dalam proses identifikasi risiko pertanyaan auditor ialah apa yang bisa salah yang
menyebabkan salah saji dalam laporan keuangan ?
Auditor mencari jawaban atas pertanyaan itu dengan melaksanakan prosedur penilaian risiko.
Dalam prosedur penilaian risiko ini, auditor berupoaya mengidentifikasi risiko melalui pemahamannya terhadap entitas dan lingkungannya.
Proses pemahaman dalam butir diatas, menghasilkan daftar dari sejumlah faktor risiko bisnis dan faktor risiko kecurangan (bussiness and fraud risk factors).
MENGIDENTIFIKASI RISIKO BAWAAN ISA 240.10
Tujuan auditor adalah :
a) Mengidentifikasi dan menilai risiko salah saji yang material dalam laporan keuangan yang disebabkan oleh kecurangan.
b) Memperoleh bukti audit yang cukup dan tepat mengenai risiko salah saji yang material yang dinilai, yang disebabkan oleh kecurangan, dengan merancang dan mengimplementasi tanggapan yang tepat, dan
c) Menanggapi dengan tepat kecurangan atau dugaan mengenai kecurangan yang diidentifikasi selama audit (berlangsung).
ISA 315.3
Tujuan auditor adalah mengidentifikasi dan menilai risiko salah saji yang material, yang disebabkan oleh kecurangan maupun kesalahan, pada tingkat laporan keuangan dan tingkat asersi, melalui pemahaman tentang entitas dan lingkungannya, termasuk pengendalian internalnya, yang akan memberikan dasar untuk merancang dan mengimplementasi tanggapan terhadap risiko salah saji material yang dinilai.
ISA 240.11
Untuk tujuan ISAs, istilah-istilah berikut mempunyai makna seperti dijelaskan dibawah.
a) Fraud (kecurangan) – perbuatan yang disengaja oleh seseorang atau beberapa orang diantara manajemen, TCWG (those charged with governance), pegawai, atau pihak ketiga, dengan menipu untuk memperoleh keuntungan yang tidak dapat dibenarkan atau keuntungan yang tidak sah/melawan hokum.
b) Fraund risk faktors (faktor-faktor resiko kecurangan) – peristiwa atau kondisi yang mengindikasikan adanya insentif atau tekanan untuk melawan kecurangan atau memberikan peluang untuk melakukan kecurangan.
1. Risiko Bawaan (inherent risk)
Risiko bawaan mengukur penilaian auditor atas kemungkinan terdapatnya salah saji material (baik kecurangan maupun kesalahan) dalam sebuah bagian pengauditan sebelum
mempertimbangkan efektifitas pengendalian internal klien. 1. Risiko Pengendalian (Control Risk)
Risiko pengendalian mengukur penilaian auditor mengenai apakah salah saji melebihi jumlah yang dapat diterima di suatu bagian pengauditan akan dapat dicegah atau dideteksi dengan tepat waktu oleh pengendalian internal klien.
1. Risiko Audit yang Dapat Diterima (Acceptable Audit Risk)
Risiko audit yang dapat diterima mengukur tingkat kesediaan auditor untuk menerima
kemungkinan adanya salah saji dalam laporan keuangan setelah audit telah selesai dijalankan dan opini wajar tanpa pengecualian telah diterbitkan.
Risiko audit adalah risiko bagi auditor untuk membuat kesalahan dalam memberikan pendapat atas laporan keuangan, karena gagal mengungkap salah saji material.1[21]
Menurut SA Seksi 312 Risiko Audit dan Materialitas dalam Pelaksanaan Audit, risiko audit adalah risiko yang terjadi dalam hal auditor, tanpa disadari, tidak memodifikasi pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material. Semakin pasti auditor dalam menyatakan pendapatnya, semakin rendah risiko audit yang auditor bersedia untuk menanggungnya.2[22
Auditor merumuskan suatu pendapat atas laporan keuangan sebagai keseluruhan atas dasar bukti yang diperoleh dari verivikasi asersi yang berkaitan dengan saldo akun secara
individual atau golongan transaksi. Tujuannya adalah untuk membatasi risiko audit pada tingkat saldo akun sedemikian rupa sehingga pada akhir proses audit, risiko audit dalam menyatakan pendapat atas laporan keuangan sebagai keseluruhan akan berada pada tingkat yang rendah.3[23]
Risiko Audit
Risiko audit (audit risk) adalah risiko memberikan opini audit yang tidak tepat (expressing an inappropriate audit opinion) atas laporan keuangan yang disalahsajikan secara
material. Tujuan audit ialah menekan risiko audit ini ke tingkat rendah yang dapat diterima
auditor.
Untuk menekan risiko audit ke tingkat rendah yang dapat diterima, auditor harus : Menilai risiko salah saji yang material; dan
Menekan risiko pendeteksian komponen utama risiko audit : Inherent Risk (Resiko Bawaan)
Kerentanan suatu asersi (mengenai jenis transaksi, saldo akun, atau pengungkapan) terhadap salah saji yang mungkin material, sendiri, atau tergabung, tanpa memperhitungkan pengendalian terkait.
Risiko AuditAdalah risiko yang terjadi dalam hal auditor tanpa disadari tidak memodifikasikan pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material. DSemakin besar keinginan auditor menyatakan pendapat 1
2 3
yang benar, Semakin rendah risiko audit yang akan bisa ia terimajika diinginkan keyakinan 99%, maka risiko audit yangdapat diterima adalah 1%.
Risiko Pengendalian, yakni Risiko pengendalian adalah risiko yang terjadinya salah saji material dalam suatu asersi yang tidak dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian intern entitas. Risiko ini ditentukan oleh evektifitas kebijakan dan prosedur pengendalian intern untuk mencapai tujuan umum pengendalian intern yang relevan dengan audit atas laporan keuangan entitas. Risiko pengendalian tertentu akan selalu ada karena keterbatasan bawaan dalam setiap pengendalian intern. Sebagai contoh, pengendalian intern mungkin menjadi tidak evektif karena kelalayan manusia akibat ceroboh atau bosan atau karena adanya kolosi diantara personel pelaksanaan
Control Risk (Risiko Pengendalian).
Risiko bahwa suatu salah saji bisa terjadi dalam suatu asersi (mengenai jenis transaksi, saldo akun, atau pengungkapan) dan bisa material, sendiri atau tergabung dengan salah saji lainnya, tidak tercegah atau terdeteksi dan terkoreksi pada waktunya oleh pengendalian intern entitas.
Risiko Pengendalian (Control Risk) merupakan risiko bahwa suatu salahsaji yang material yang akan terjadi dalam asersi tidak dapat dicegah ataudideteksi secara tepat waktu oleh pengendalian perusahaan. Risiko inimerupakan fungsi keefektifan perancangan dan operasi pengendalianinternal dalam mencapai tujuan entitas yang relevan untuk
menyusunlaporan keuangan entitas. Beberapa risiko pengendalian akan selalu adakarena keterbatasan yang melekat pada pengendalian internal.
Tujuan dari menilai risiko pengendalian adalah untuk membantu auditor dalam membuat suatu pertimbangan mengenai risiko salah saji yang material dalam asersi laporan keuangan. Risiko pengendalian, seperti komponen lain dalam model risiko audit, dinilai dalam asersi laporan keuangan individual. System akuntansi berfokus kepada pemrosesan transaksi, dan banyak aktivitas pengendalian berhubungan dengan pemrosesan suatu jenis transaksi tertentu.
Dalam membuat penilaian risiko pengendalian untuk suatu asersi adalah penting bagi auditor untuk : 1. Mempertimbangkanpengetahuan yang diperolehdariproseduruntukmemperolehsuatupemahamanmengenaiapakahpengendalian yang berhubungandenganasersitelahdirancangdanditerapkandalamoperasiolehmanajemenenti tas
2. Mengidentifikasikansalahsajipotensial yang dapatmunculdalamasersientitas 3. Mengidentifikasikanpengendalian yang diperlukan yang
4. Melaksanakanpengujianpengendalianterhadappengendalian yang
diperlukanuntukmenentukanefektivitasrancangandanpengoperasiandaripengendalianter sebut
5. Mengevaluasibuktidanmembuatpenilaian Contoh Kasus :
Sebagai contoh, prosedur otorisasi oleh seorang pejabat keuangan dimaksudkan untuk mencegah risiko bahwa pengeluaran kas telah dibebankan pada mata anggaran yang sesuai. Setelah prosedur ini diuji efektivitasnya, ternyata diketahui bahwa sebesar 30% pengeluaran kas telah dibebankan pada mata anggaran yang keliru, maka dalam hal ini auditor perlu menetapkan tingkat risiko pengendalian yang tinggi terhadap
terjadinya pengeluaran yang tidak sesuai anggaran.
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control
risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus
lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.
Risiko Deteksi, yakni Risiko yang disebabkan oleh kegagalan auditor dalam mendeteksi salah saji material, setelah audit dilaksanakan sesuai dengan standar auditing. Risiko ini timbul sebagian karena ketidakpastian yang ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi, dan sebagian lagi karena ketidakpastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut diperiksa 100%. Ketidakpastian lain semacam itu timbul karena auditor mungkin memilih suatu prosedur audit yang tidak sesuai, menerapkan secara keliru prosedur yang semestinya, atau menafsirkan secara keliru hasil audit. Ketidakpastian lain ini dapat dikurangi sampai pada tingkat yang dapat diabaikan melalui perencanaan dan supervisi memadai dan pelaksanaan praktik audit yang sesuai dengan standar pengendalian mutu.
Risiko bahwa prosedur yang dilaksanakan auditor untuk menekan risiko audit ke tingkat rendah yang dapat diterima, tidak akan mendeteksi salah saji yang bisa material, secara individu atau tergabung dengan salah saji lainnya.
(Detection Risk), adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Risiko deteksi merupakan fungsi efektivitas prosedur audit dan penerapannya oleh auditor. Risiko ini timbul sebagian karena
ketidakpastian yang ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi, dan sebagian lagi karena ketidakpastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut telah diperiksa 100%. Ketidakpastian lain semacam itu bisa timbul karena auditor mungkin memilih suatu prosedur audit yang tidak sesuai, menerapkan secara keliru prosedur yang semestinya, atau menafsirkan secara keliru hasil audit.
Ketidakpastian seperti ini dapat dikurangi sampai pada tingkat yang dapat diabaikan melalui perencanaan dan supervisi memadai serta pelaksanaan praktek audit yang sesuai dengan standar pengendalian mutu. Jadi risiko deteksi sepenuhnya merupakan hasil dari keputusan pengujian yang dilakukan oleh auditor. Makin besar nilaiRD makin besar kemungkinan audit tidak dapat mendeteksi adanya kesalahan.
Jadi, berbeda dengan risiko inheren dan risiko pengendalian, risikodeteksi sepenuhnya ditentukan oleh auditor. Dihubungkan dengan pelaksanaan pengujian bukti dalam audit yang pada umumnya dilakukan dengan pengambilan sampel atas populasi bukti yang diuji, RD terdiri dari:
Risiko sampling yaitu risiko yang terjadi jika sampel yang diuji tidak mewakili populasi (tidak representatif). Jadi risiko sampling berkaitan dengan metode sampling yang digunakan oleh auditor. Untuk mengatasi terjadinya risiko sampling, maka auditor harus merancang metode samplingnya sedemikian rupa agar sampel mewakili populasi.
Risiko non sampling yaitu risiko yang terjadi tanpa ada hubungannya dengan pelaksanaan audit secara sampling. Risiko non sampling dipengaruhi oleh dua faktor, kompetensi auditor dan prosedur audit yang dipilih. Auditor akan mengalami risiko deteksi atau gagal
menemukan kesalahan jika auditor yang ditugaskan melakukan pengujian tidak kompeten, misalnya auditor tidak mengetahui kesalahan apa yang harus ditemukan. Di samping itu, auditor juga dapat gagal menemukan kesalahan jika prosedur audit yang digunakan salah.
Contoh Kasus :
Risiko deteksi juga dapat terjadi karena auditor salah menetapkan langkah
pengujiannya (prosedur audit). Sebagai contoh, prosedur pengeluaran barang menetapkan bahwa setiap pengeluaran barang harus didasarkan pada permintaan dari pihak yang akan menggunakan. Jadi dalam pelaksanaan pengeluaran barang akan terdapat dua populasi bukti yang saling terkait, bukti permintaan barang dan bukti pengeluaran barang. Dalam hal ini, risiko deteksi dapat terjadi jika dalam melakukan pengujian auditor menetapkan prosedur audit “periksa apakah atas setiap bukti permintaan barang terdapat bukti pengeluaran barangnya!” Prosedur ini dipastikan tidak akan menemukan kesalahan seperti kecurangan pihak gudang yang mengeluarkan barang walaupun tidak ada permintaan dari pihak yang membutuhkan barang, karena jika ada permintaan barang dapat dipastikan bagian gudang akan menerbitkan bukti pengeluaran barang. Sebaliknya, jika prosedur audit yang ditetapkan adalah: “periksa apakah atas setiap bukti pengeluaran barang terdapat bukti permintaan barangnya!” maka prosedur ini mungkin akan dapat menemukan kecurangan bagian gudang atas pengeluaran barang yang tidak didasarkan pada permintaan barang. Dengan prosedur tersebut, jika seandainya bagian gudang melakukan kecurangan mengeluarkan barang tetapi
bukan untuk kepentingan perusahaan, maka akan dapat ditemukan dari sampel pengeluaran barang yang tidak ditemukan bukti permintaan barangnya.
Berdasarkan penjelasan di atas, maka risiko deteksi berhubungan dengan luasnya pengumpulan dan pengujian bukti yang harus dilakukan auditor. Risiko deteksi yang rendah hanya dapat dicapai jika auditor melakukan pengujian yang luas. Hal ini berarti bahwa risiko deteksi berbanding terbalik dengan luasnya pengujian. Pemahaman mengenai model risiko audit tersebut akan dapat membantu auditor dalam merancang luasnya pengujian agar auditor tidak mengalami risiko audit (dalam arti audit menjadi tidak efektif), serta agar audit dapat dilaksanakan secara efisien (dalam arti audit dapat menghindarkan diri, melakukan perluasan pengujian yang tidak perlu).
Risiko Bawaan, yakni risiko bawaan adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji material, dengan asumsi bahwa tidak terdapat pengendalian yang terkait. Risiko salah saji demikian adalah lebih besar pada saldo akun atau golongan transaksi tertentu dibandingkan dengan yang lain. Sebagai contoh, perhitungan yang rumit lebih mungkin disajikan salah jika dibandingkan dengan perhitungan yang sederhana. Uang tunai lebih mudah dicuri daripada sediaan batu bara. Akun yang terdiri dart jumlah yang berasal dart estimasi akuntansi cenderung mengandung risiko lebih besar dibandingkan dengan akun yang sifatnya relatif rutin dan berisi data berupa fakta. Faktor ekstern juga mempengaruhi risiko bawaan.
. Risiko Bawaan / Melekat (Inherent risk)
Adalah kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji material, dengan asumsi bahwa tidak terdapat pengendalian yang terkait (maksudnya bahwa risiko bawaan timbul dengan asumsi pengedalian intern dalam perusahaan tidak ada. Jika sekiranya pengendalian intern dalam perusahaan memadai serta efektif dalam
pelaksanaannya dengan sendirinya risiko bawaan akan dapat diminimalisasi). Risiko salah saji demikian adalah lebih besar pada saldo akun atau golongan transaksi tertentu
dibandingkan dengan yang lain. Sebagai contoh, perhitungan yang rumit lebih mungkin disajikan salah jika dibandingkan dengan perhitungan yang sederhana. Uang tunai dalam perusahaan lebih mudah dicuri daripada persediaan. Suatu akun dalam laporan keuangan yang berasal dari estimasi akuntansi cenderung mengandung risiko yang lebih besar
dibandingkan dengan akun yang sifatnya relatif rutin dan berisi data faktual. Perusahaan yang bergerak dalam bidang industri yang memproduksi barang-barang hi-tech seperti misalnya handphone akan lebih berisiko terjadinya penumpukan persediaan yang usang karena tidak sesuai lagi dengan tuntutan pasar.
Risiko bawaan tidak dapat dirubah oleh penerapan prosedur audit yang paling baik sekalipun. Risiko bawaan bervariasi untuk setiap asersi. Sebagai contoh, asersi keberadaan dan keterjadian kas mempunyai risiko bawaan yang lebih tinggi daripada aktiva tetap. Hal
inji disebabkan uang tunai merupakan suatu asset yang sangat rawan terhadap manipulasi, dan semua orang berminat terhadap uang. Sedangkan aktiva tetap lebih jelas keberadaannya. Risiko bawaan juga dibedakan atas risiko bawaan setiap akun dan risiko bawaan keseluruhan untuk banyak akun. Berikut merupakan beberapa factor yang menentukan risiko bawaan pada banyak akun:
1. Profitabilitasperusahaansecara relative dibandingkandenganperusahaanpadaumumnya. Semakintinggiprofitabilitassuatuperusahaan, semakinkecilrisikobawaannya.
2. Jenisusahadansensitivitasoperasi. Perusahaan
yagnbergerakpadabidangkeuanganlebihbesarrisikobawaannyadaripadaperusahaanekspedi sikarenabidangkeuangansangat sensitive terhadapperubahankursmatauang,
danperubahantingkatsukubunga. Olehkarenaitu, semakin sensitive operasiperusahaan, semakintinggirisikobawaannya. Bidangusaha yang
sangatdipengaruhiperkembanganteknologi, dankompetiwsiusahanyaketat, mengakibatkanrisikobawaan yang tinggi.
3. Masalahkelangsunganusaha. Perusahaan yang
sedangmengalamimasalahkebangkrutanmempunyairisikobawaan yang tinggi. 4. Sifat, penyebab, danjumlahsalahsaji yang dideteksidalam audit tahunsebelumnya.
Risikobawaanperusahaanakandinilailebihtinggiapabilabanyaksalahsaji yang terdeteksimelalui audit tahunsebelumnya.
5. Integritas, erputasi, danpengetahuanakuntansidarimanajemen. Semakinbaikintegritas, reputasi, danpengetahuantentangakuntansi yang dimilikimanajemenklien,
semakinkecilrisikobawannya.
Berikutinimerupakan factor yang menentukanrisikobawaansuatuakuntertentu: 1. Auditabilitasakunatautransaksi. Semakintinggitingkataktivitasakun,
semakinrendahrisikobawaanpadaakuntersebut. 2. Kerumitanmasalahakuntansiterkait.
Masalahakuntansiterkaitmeliputimasalahpengekuandankerumitanpenilaianakun. Masalahakuntansi yang rumitakanmeningkatkanrisiko audit.
3. Sifat, penyebab, danjumlahsalahsaji yang dideteksidalam audit tahunsebelumnya. Risikobawaanperusahaanakandinilailebihtinggiapabilabanyaksalahsaji yang terdeteksimelalui audit tahunsebelumnya.
Contoh kasus :
Sebagai contoh, kegiatan penyimpanan obat di rumah sakit memiliki risiko inheren yang lebih tinggi terhadap kehilangan, daripada kegiatan penyimpanan blanko formulir pencatatan data pasien. Hal ini karena obat mempunyai kemungkinan yang lebih besar (atau dengan kata lain lebih berisiko) untuk dicuri serta rusak karena penyimpanan dibandingkan dengan blangko formulir data pasien. Di samping itu, hilang atau rusaknya obat akan mengakibatkan kerugian yang lebih besar dibandingkan dengankerugian akibat hilangnya blangko formulir data pasien.
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena
pengendalian internal lemah atau tidak ada. Sebagai contoh:
1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku) untuk meningkatkan kreativitas dan layanan pelanggan.
7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko budaya.
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena
1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.
Risiko bisnis (bussiness risk)
Risiko bisnis berasal dari kondisi, peristiwa, situasi, tindakan, bahkan “tidak mengambil tindakan” (inaction) yang berdampak negatif terhadap kemampuan perusahaan mencapai tujuannya dan melaksanakan strateginya. Risiko bisnis juga meliputi peristiwa yang timbul akibat perubahan, kompleksitas, atau gagal melihat kebutuhan untuk berubah.
Risiko bisnis berasal dari kondisi, peristiwa, situasi, tindakan, bahkan “tidak mengambil tindakan” (inactions) yang dapat berdampak negatif terhadap kemampuan perusahaan mencapai tujuannya dan melaksanakan strateginya.Termasuk di dalamnya, penetapan tujuan dan strategi yang tidak tepat.
Risiko bisnis juga meliputi peristiwa yang timbul akibat perubahan, komplesitas, atau gagal melihat kebutuhan untuk berubah. Perubahan bisa berasal dari :
Pasar yang tidak cukup besar, sekalipun produk baru sukses dikembangkan; atau Kegagaln produk yang bisa menimbulkan tuntutan dan menghancurkan reputasi ;
Tuntutan hokum juga bisa terjadi justru ketika produknya sukses, dan saingan menuntut karena dugaan pelanggaran hak cipta, seperti dalam kasus sabak elektronik ( Apple versus Samsung).
HUBUNGAN ANTAR RISIKO
Hubungan risiko terformula standar audit adalah bahwa audit risk = inherent risk
X control risk X detection risk,dimana Detection Risk = Audit Risk/(Inherent Risk X Control Risk), dan Inherent risk dan control risk terjadi di luar kekuasaan
auditor.
Auditor hanya dapat mengurangi detection risk, makin besar inherent
risk dan control risk, makin besar bukti audit (audit sampling, observasi dll)
harus dikumpulkan. Sebagai catatan pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing, prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100% atau full audit) pada wilayah kecurigaan tersebut.
Inherent risk terkait pada
Jenis bisnis, jenis industri Jenis aktivitas, rantai nilai Gaya manajemen
Iklim / atmosfer manajemen
Sebagai misal, bagi BPKP sebagai internal auditor NKRI :
Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah daerah otonom sederajat.
Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala
Pemda yang kuat, bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD yang kuat, dan rakyat yang apatis.
RISIKO SIGNIFIKAN ISA 240.26
Ketika mengidentifikasi dan menilai risiko salah saji material karena kecurangan, auditor wajib, berdsarkan dugaan adanya risiko kecurangan dalam pengakuan
pendapatan, mengevaluasi jenis pendapatan, transaksi pendapatan atau asersi apa saja yang menimbulkan risiko tersebut. Alinea 47 memerinci dokumentasi yang diperlukan jika auditor menyimpulkan dugaan itu tidak beralasan dan karenanya ia tidak mengidentifkasi pengakuan pendapatan sebagai risiko salah saji material karena kecurangan.
ISA 315.4
Untuk tujuan ISAs, Isitilah berikut mempunyai makna seperti dijelaskan di bawah. (e) Signifikan Risk (Risiko signifikan)__Risiko salah saji material yang diidentifikasi
dan dinilai yang menurut pendapat auditor, memerlukan pertimbangan khusus.
Contoh-contoh risiko signifikan
Tabel
Sumber Risiko Contoh Risiko Signifikan
Kegiatan berisiko
tinggi Peristiwa/operasi di mana salah saji material mudah terjadi: (1) Tokoperhiasan dengan banyak persediaan emas dan logam mulia; (2) Sistem akuntansi baru, rumit, dengan pengolahan data electronis, mulai dikenalkan perusahaan.
Transaksi nonrutin (ukuran dan sifat)
Transaksi hubungan istimewa di luar jalur bisnis yang normal. Trsansksinya tidak sering terjadi, tapi nilai transaksi besar. Sebagai contoh adalah sebagai berikut :
Transaksi rutin dalam volume yang sangat besar dengan pihak terkait
Penjualan besar (kontrak besar) dibandingkan dengan seluruh penjualan entitas.
Jual/beli aset utama (misalnya pabrik penghasil produk terpenting) atau segmen bisnis penting.
Penjualan bisnis kepada pihak ketiga
Transaksi rutin yang tidak kompleks dengan pemrosesan sistematis tidak merupakan transaksi berisiko signifikan.
Perlu judgment, ada intervensi manajemen dan rutinitas/kebosanan .
Contoh-contoh adalah sebagai berikut :
Asumsi dan kalkulasi yang digunakan manajemen dalam membuat estimasi penting.
Kalkulasi atau prinsip akuntansi yang kompleks Pengakuan pendapatan dan multi tafsir.
Pengumpulan dan pengolahan data secara manual
Intervensi manajemen diperlukan untuk menentukan perlakuan akuntansi yang digunakan
Potensi kecurangan Risiko tidak mendeteksi salah saji material karena kecurangan (dilakukan dengan sengaja dan ditutup-tutupi) lebih tinggi dari risiko tidak mendeteksi salah saji material karena kesalahan.
Dalam mengevaluasi apakah risiko signifikan bisa terjadi dari faktor risiko kecurangan yang diidentifikasi serta scenario kecurangan yang diidentifikasi dalam diskusi tim audit. Pertimbangkan hal-hal berikut: Keterampilan melakukan kecurangan dari calon pelaku
Jumlah rata-rata yang dimanipulasi.
Mengidentifikasi Risiko Signifikan
Jika risiko salah saji sudah diidentfikasi dan dinilai, yang diperlukan ialah menelaah temuan dan kemudian memilih (berdasarkan kearifan professional) risiko-risiko yang memang signifikan.
1. Penilaian Resiko 2. Penilaian Risiko
3. Tahap selanjutnya adalah penyaringan, apakah risiko tersebut cukup signifikan bagi klien, yang dalam pertimbangan auditor mungkin berpengaruh
5. terhadap opini audit. Auditor harus menilai signifikan tidaknya suatu risiko dalam hal: 6. − Risiko audit, yaitu risiko yang timbul karena ketidaktahuan auditor sehingga
mengeluarkan opini yang salah.
7. − Risiko bisnis, yaitu ancaman internal dan eksternal yang berdampak pada kemampuan entity untuk mencapai tujuannya. Risiko bisnis meliputi keuangan, politis, kinerja, pemborosan, probity dan risiko kepatuhan perundangan.
8. Analisa risiko ini mensyaratkan bahwa atas risiko yang diidentifikasi harus ditentukan: 9. − Tingkat/level risiko
10. − Kemungkinan terjadinya risiko
11. − Pengendalian yang dimiliki manajemen dalam mengidentifikasi risiko dan meminimalisir risiko.
12. − Apakah risiko berpengaruh pada audit tahun berjalan.
13. Audit New Zealand kemudian mendokumentasikan program audit guna meyakini kewajaran laporan keuangan dengan mempertimbangkan risiko signifikan.
14. Signifikan
15. Risiko dapat dikategorikan signifikan jika terdapat faktor-faktor sebagai berikut: 16. o Dalam pertimbangan auditor dinilai sebagai suatu risiko.
17. o Berpotensi mempengaruhi pelaporan ke OAG dalam tahun berjalan dan tahun-tahun mendatang.
Risk assessment (menilai risiko). Melaksanakan prosedur penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji yang material dalam laporan keuangan. Kutipan dari ISA 315.3 mengenai tujuan auditor dalam proses audit tahap 1.
“Tujuan auditor adalah mengidentifikasi dan menilai salah saji yang material, karena kecurangan atau kesalahan, pada tingkat laporan keuangan dan asersi, melalui
pemahaman terhadap entitas dan lingkungannya, termasuk pengendalian intern entitas, yang memberikan dasar untuk merancang dan mengimplementasikan tanggapan terhadap risiko (salah saji material) yang dinilai”
Keharusan dalam tahap risk assessment : Sejak awal, libatkan auditor senior.
Partner (yang memimpin) penugasan dan anggota inti tim audit harus terlibat aktif dalam merencanakan audit, serta dalam merencanakan dan berpartisipasi dalam diskusi antar anggota tim audit. Keterlibatan mereka sejak awal memastikan perencanaan audit memanfaatkan pengalaman dan insight anggota tim senior
Tekankan skeptisisme profesional
Auditor tidak dapat diharapkan mengabaikan pengalaman masa lalunya mengenai integritas dan kejujuran manajemen dan TCWG (those charged with governance). Namun kepercayaan bahwa manajemen dan TCWG jujur dan punya integritas, tidak membebaskan auditor dari keharusan mempertahankan skeptisisme profesional Rencanakan auditnya
Waktu yang digunakan dalam perencanaan audit (mengembangkan strategi audit) akan memastikan bahwa tujuan audit sudah dipenuhi dengan benar, dan pekerja staf audit terfokus pada pengumpulan bukti pada hal-hal yang paling kritikal untuk terjadinya salah saji.
Laksanakan diskusi tim audit dan komunikasi berkelanjutan
Diskusi/pertemuan perencanaan tim dengan partner penugasan merupakan forum yang sangat baik untuk:
Menginformasikan kepada staf tentang klien secara umum dan membahas area yang berpotensi mengandung risiko
Membahas efektifnya strategi audit menyeluruh dan rencana audit, dan, jika perlu, membuat perubahan
Bertukar pikiran (brainstorming) mengenai bagaimana kecurangan mungkin terjadi dan kemudian merancang tanggapan yang tepat; dan
Menetapkan tanggung jawab audit kepada staf dan menetapkan waktu penyelesaian tugas mereka
Fokus pada identifikasi risiko
Langkah terpenting dalam proses penilaian risiko adalah mengidentifikasi semua risiko yang relevan
Evaluasi secara cerdas tanggapan manajemen mengenai risiko
Bagaimana manajemen merancang/melaksakan pengendalian untuk memitigasi risiko (salah saji material dalam laporan keuangan) yang sudah diidentifikasi oleh manajemen (sendiri) dan/atau auditor
Gunakan kearifan profesional
ISA mengharuskan penggunaan dan kemudian pendokumentasian kearifan profesional (professional judgment) yang penting oleh auditor selam audit.
Risk respone (menanggapi risiko). Merancang dan melaksanakan prosedur audit selanjutnya yang menanggapi risiko (salah saji yang material) yang telah diidentifikasi dan dinilai, pada tingkat laporan keuangan dan asersi.
Reporting (pelaporan). Tahap melaporkan meliputi : a) merumuskan pendapat berdasarkan bukti audit yang diperoleh; dan b) membuat dan menerbitkan laporan yang tepat, sesuai kesimpulan yang ditarik.
Prosedur Penilaian Risiko
Prosedur-prosedur penilaian risiko ini idrancang untuk memperoleh dan mendokumentasikan pemahaman mengenai entitas dan lingkungannya termasuk pengendalian internal.
Lingkup pemahaman yang diperlukan auditor untuk mengidentifiksi risiko, dicakup dalam enam area inti atau enam sumber risiko.
A. Faktor eksternal Sifat industri
Aturan perundangan dan regulator Kerangka pelaporan keuangan B. Sifat entitas Pegawai operasional an pegawai inti
Kepemilikan dan governance
Investasi, struktur, dan pembelanjaan C. Kebijakan akuntansi Pemilihan dan penerapan
Alasan untuk mengubah
Tepatnya kebijakan untuk entitas D. Tujuan dan strategi entitas Rencana dan strategi bisnis
Implikasi dan risiko keuangan terkait E. Pengukuran/reviu kinerja
keuangan
Apa yang diukur ?
Siapa yang mereviu kinerja keuangan ? F. Pengendalian yang relevan
untuk audit
Segala proses dan pengendalian yang relevan untuk memitigasi risiko di tingkat entitas dan di tingkat transaksi . PENILAIAN RISIKO BAWAAN
ISA 240.25
Sesuai dengan ISA 315, auditor wajib mengidentifikasi dan menilai risiko salah saji material karena kecurangan pada tingkat laporan keuangan, dan pada tingkat asersi untuk jenis transaksi, saldo akun, dan pengungkapan.
ISA 240.27
Auditor wajib memperlakukan risiko yang dinilai mengenai salah saji material karena kecurangan sebagai risiko yang signifikan dan karenanya, jika belum dilakukan, auditor wajib memperoleh pemahaman mengenai pengendalian entitas yang terkait, termasuk kegiatan pengendalian, yang berkenaan dengan risiko tersebut.
Tinjauan Umum
Penilaian atas risiko yang diidentifikasi mempertimbangkan dua atribut mengenai risiko, yaitu :
Berapa besarnya peluang terjadinya salah saji (dalam laporan keuangan) akibat risiko tersebut?
Berapa besar dampak moneternya jika risiko itu menjadi kenyataan? Peluang Terjadinya Salah Saji
Berapa probabilitas risiko itu terjadi?Auditor dapat mengevaluasi probabilitas ini dengan sederhana, yakni apakah probabilitasnya tinggi, sedang atau renah.
Besaran (Dampak Moneter) jika Risiko Terjadi
Jika risiko itu memang terjadi, berapa bsar dampak moneternya?Pendapat mengenai hal ini harus dinilai terhadap suatu jumlah tertentu sebagai acuan.Jika tidak, orang yang berbeda (dengan angka materialitas yang berbeda dalam benaknya) bisa berkesimpulan yang berbeda.Untuk tujuan audit, angka yang ditetapkan berhubungan dengan apa yang merupakan salah saji material dalam laporan keuangan secara menyeluruh. Penilaian ini dievaluasi secara sederhana sebagai tinggi, sedang atau rendah.
Penilaian Risiko oleh Entitas
Dalam entitas yang lebih kecil, proses penilaian risiko bersifat informal dan tidak terstruktur.Risiko dalam entitas yang lebih kecil seringkali diakui secara implisit dan bukan eksplisit.Manajemen mungkin saja menyadari risiko yang berhubungan dengan pelaporan keuangan melalui keterlibatan langsung pegawai dan pihak-pihak luar.Oleha karena itu, auditor harus menanyakan kepada manajemen mengenai bagaimana manajemen mengidentifikasi dan mengelola risiko.Pertanyaan selanjutnya, risiko apa saja yang benar-benar diidentifikasi dan dikelola oleh manajemen. Auditor kemudian mendokumentasikan proses ini beserta hasilnya.
Mendokumentasikan Risiko yang Dinilai
Penilaian risiko salah saji material dilakukan pada dua tingkat, yakni ditingkat laporan keuangan dan ditingkat asersi untuk jenis transaksi, saldo akun, dan disclosures.
MENILAI RISIKO AUDIT YANG DAPAT DITERIMA
Dalam sebuah pengauditan, auditor harus memutuskan risiko audit yang dapat diterima, lebih utama dilakukan selama masa perencanaan. Pertama, auditor menetapkan risiko kontrak kerja dan kemudian menggunakan risiko kontrak kerja tersebut untuk memodifikasi risiko audit yang dapat diterima.
Tujuan auditor adalah mengindentifikasi dan menilai salah saji yang material, karena kecurangan atau kesalahan pada tingkat laporan keuangan dan asersi, melalui pemahaman terhadap entitas dan lingkungannya, termasuk pengendalian interentitas yang memberikan dasar untuk merancang dan mengimplementasi tanggapan terhadap risiko (salah saji material yang dinilai).
1. Tahap Penjelasan Risiko Assessment
Penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji material dalam laporan keuangan, merancang dan melaksanakan prosedur audit selanjutnya untuk menanggapi risiko salah saji.
Partner dan Tim inti audit terlibat aktif dalam audit plan.
Skeptisisme Profesional dalam upaya mencapai asurans yang layak.
Rencanakan auditnya mencakup waktu dalam audit plan akan memastikan tujuan audit dipenuhi.
Diskusi tim audit dan komunikasi berkelanjutan. Fokus identifikasi risiko yang relevan.
Evaluasi cerdas tanggapan manajemen atas risiko.
Profesional Judgment dalam penerimaan klien, develop audit strategy, materiality, develop analytic procedure dan pertimbangan audit khusus yang diperlukan
18. Perbedaan Identifikasi Risiko Dengan Penilaian Resiko 19. Respon Resiko
Kutipan ISA 330.3 mengenai tujuan auditor dalam proses audit tahap 2:
“Tujuan auditor adalah memperoleh bukti audit yang cukup dan tepat tentang risiko (salah saji material) yang dinilai, dengan merancang dan mengimplementasikan tanggapan yang tepat terhadap risiko tersebut”
Dalam tahap ini auditor :
Menilai risiko bawaan dan risiko pengendalian pada tingkat laporan keuangan dan pada tingkat asersi (untuk setiap jenis transaksi, saldo akun, dan pengungkapan) Mengembangkan prosedur aktif responsif, yakni prosedur audit yang menanggapi
risiko yang dinilai.
Tanggapan auditor terhadap risiko yang dinilai untuk risiko salah saji material, didokumentasikan dalam suatu rencana audit yang :
Berisi tanggapan menyeluruh atas risiko yang diidentifikasi pada tingkat laporan keuangan
Mengangani area laporan keuangan yang material; dan
Berisi sifat, luasnya, dan penjadwalan prosedur audit spesifik untuk menanggapi risiko salah saji material, pada tingkat asersi.
Prosedur audit selanjutnya umumnya terdiri atas prosedur audit substansif seperti uji rincian (test of details), prosedur analitikal (analytical procedures), dan uji pengendalian (test
of controls). Uji pengendalian lazimnya digunakan jika ada ekspektasi bahwa pengendalian
tersebut berfungsi dengan efektif dalam periode berjalan.
Beberapa hal yang menjadi pertimbangan auditor dalam merencanakan kombinasi prosedur audit yang tepat (appropriate mix of audit procedures) untuk menanggapi risiko termasuk berikut ini:
1. Uji Pengendalian (test of controls)
Identifikasi pengendalian intern yang relevan, yang jika diuji dapat mengurangi lingkup prosedur substansif lainnya.
Identifikasi setiap asersi yang tidak dapat ditangani dengan prosedur substansif saja.
2. Prosedur Analitikal Substansif (Substansive Analytical Procedures). Ini prosedur dimana jumlah total suatu arus transaksi (misalnya penjualan) dapat diperkirakan dengan cukup tepat berdasarkan bukti yang tersedia.
3. Pendadakan (Unpredictability). Dalam hal tertentu auditor perlu memasukkan unsur pendadakan (element of predictability atau element of surprise ) dalam prosedur audit, misalnya ketika menanggapi salah saji material karena kecurangan.
4. Management Override. Auditor juga mempertimbangkan perlunya prosedur audit yang spesifik menangani kemungkinan management override atau putusan manajemen untuk meniadakan atau mengabaikan pengendalian dengan membuat “pengecualian”
5. Significant Risks. Istilah “significant risks” atau “risiko signifikan” dalam isas mempunyai makna khusus
Ketika risiko digolongkan signifikan, auditor harus memberikan tanggapan.Tanggapan auditor, berupa langkah audit, terhadap risiko signifikan.
1. Evaluasi pengendalian internal
Apakah manajemen merancang dan mengimplementasi pengendalian internyang menangkal risiko signifikan?Lihat eksistensi pengendalian langsung seperti kegiatan pengendalian dan pengendalian tidak langsung seperti pengendalian pervasive yang dapat dimasukkan dalam pengendalian lingkungan, penilaian risiko, sistem informasi, dan unsur pemantauan.
2. Tanggapan audit terhadap risiko signifikan
Apakah prosedur audit selanjutnya (yang direncanakan) secara spesifik menanggapi risiko signifikan? Prosedur ini dirancang untuk memperoleh bukti audit dengan keandalan tinggi, dan dapat terdiri atas uji pengendalian.
3. Bukti yang diperoleh tahun lalu
Dalam hal auditor merencanakan menguji efektifnya operasi (untuk pengendalian yang menangkal risiko signifikan, auditor tidak dapat mengandalkan bukti audit yang diperoleh tahun lalu mengenai efektifnya pengendalian intern.
4. Prosedur analitikal substantif saja, tidak cukup
Penggunaan prosedur analitikal substantive saja, tidaklah cukup untuk menanggapi risiko signifikan.jika pendekatan terhadap risiko signifikan terdiri atas prosedur abstantif saja, prosedur audit dapat berupa :
ujia rincian saja, atau
kombinasi uji rincian dan prosedur analitikal substantif.
Mendokumentasikan Risiko Signifikan
Auditor mendokumentasikan risiko signifikan yang diidentifikasikannya dan tanggapan audit yang akan dilakukannya. Jika semua risiko didokumentasikan di satu tempat, pendokumentasian risiko signifikan sekadar perluasan dari informasi yang sudah didokumentasikan.
. Risk Response
Merancang dan melaksanakan prosedur audit selanjutnya untuk menanggapi risiko salah saji material pada tingkat laporan keuangan dan asersi.
a. Uji Pengendalian/ test of controls b. Prosedur Analitikal Substantif
c. Pendadakan/ Upredictable examination d. Management Override
e. Significant Risks
Tujuan auditor adalah memperoleh bukti audit yang cukup dan tepat tentang risiko (salah saji material) yang dinilai, dengan merancan dan mengimplementasi tanggapan yang tepat terhadap risiko tersebut. Beberapa hal yang menjadi pertimbangan auditor dalam
merencanakan kombinasi prosedur audit yang tepat untuk menanggapi risiko: 1. Uji pengendalian
a. Identifikasi pengendalian yang relevan yang jika diuji dapat mengurangi lingkup prosedur subtantif lainnya. Namun, tidak ada keharusan untuk menguji berfungsinya pengendalian intern (langsung atau tidak langsung)
b. Identifikasi setiap asersi yagn tidak dapat di tangani dengan prosedur substantif saja. 2. Prosedur analitikal substantif
Ini adalah prosedur dimana jumlah total sesuatu arus transaksi (misalnya penjualan) dapat di perkirakan dengan cukup tepat berdasarkan bukti yang tersedia. Ekspektasi atau perkiraan di bandingkan dengan jumlah ( penjualan) sebenarnya seperti tercataa dalam pembukuan, dan selisih nya atau salah saji langsung teridentifikasi.
3. Pedadakan (unpredictability)
Dalam hal tertentu, auditor perlu memasukkan unsur pendadakan dalam prosedur audit misalnya ketika menanggapi salah saji material karna kecurangan.
4. Management override
Auditor juga mempertimbangkan perlu nya prosedur audit yang spesifik menangani kemungkinan manajemen override atau putusan manajemen untuk meniadakan atau
mengabaikan pengendalian dengan membuat “pengecualian”. 5. Significant Risks
Istilah significant risks atau risiko signifikan dalam ISAs mempunyai makna khusus.
Respon Resiko Bisnis Dan Bawaan Yang Harus Dilakukan Manajemen Manajemen mengembangkan pendekatan untuk menanggapi risiko bisnis dengan mengimplementasikan proses penentuan risiko
Respon Risiko Atas Identifikasi Yang Ditemukan Oleh Auditor 20. Pelaporan
Kutipan dari ISA 700.6 mengenai tujuan auditor dalam proses audit tahap 3: “Tujuan auditor adalah:
Merumuskan opini mengenailaporan keuangan berdasarkan evaluasi atau kesimpulan yang ditarik atas bukti audit yang diperoleh dan
Memberikan opini dengan jelas, melalui laporan tertulis, yang juga menjelaskan dasar (untuk memberikan) pendapat tersebut”
Tahap terakhir dalam audit adalah menilai bukti audit yag diperlukan dan menentukan apakah bukti audit itu cukup dan tepat untuk menekan risiko audit ke tingkat rendah yang dapat diterima.
Dalam tahap ini sangatlah penting untuk menentukan: Setiap perubahan dalam tingkat risiko yang sinilai;
Apakah kesimpulan yang ditarik dari pekerjaan audit, sudah tepat; Apakah ada situasi mencurigakan yang dialami; dan
Risiko tambahan (yang sebelumnya tidak teridentifikasi) sudah dinilai dengan tepat dan prosedur audit selanjutnya, sudah dilaksanakan sebagaimana diwajibkan (ISAs) Jika semua prosedur sudah dilaksanakan dan kesimpulan dicapai, maka :
Temuan audit dilaporkan kepada manajemen
Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk laporan auditor, harus dibuat.
. Reporting
Merumuskan pendapat berdasarkan bukti yang diperoleh ; membuat dan menerbitkan laporan yang tepat sesuai kesimpulan audit. Jika semua prosedur sudah dilaksanakan dan kesimpulan dicapai, maka: Temuan audit dilaporkan kepada manajemen dan TCWG Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk laporan auditor dibuat.
Prosedur Analisa dan Analisis Data
1. ABR menggunakan prosedur analisa dan analisis data pada beberapa tingkat yang berbeda (tingkat laporan keuangan,rekening, dan transaksi) dalam audit untuk mendapatkan bukti-bukti audit
2. Bisa memberikan pembuktian audit yang meyakinkan (significant audit assurance)
3. Bisa untuk mengidentifikasi area-area mana yang perlu pemeriksaan lebih lanjut.
4. Kerjasama tim sangat membantu dalam menghasilkan audit yang efektif dan efisien.
5. Kerjasama tim berkontribusi pada anggota tim untuk dapat mencapai prestasi tertinggi.
6. Pembangunan ide-ide dan value yaitu melihat pada resiko bisnis untuk mengurangi resiko audit dan pada saat yang sama, ABR memungkinkan untuk memberikan nilai tambah kepada klien dengan mengidentifikasi usulan-usulan untuk memperbaiki manajemen resiko bisinis.
Pelaporan Atau Reporting
Tujuan auditor adalah merumuskan opini mengenai laporan keuangan berdasarkan evaluasi atas kesimpulan yang di tarik atas bukti audit yang di peroleh dan memberikan opini yang jelas, melalui laporan tertulis, yang juga menjelaskan dasar ( untuk memberikan) pendapat tersebut.
Risiko Audit
Risiko audit adalah risiko memberikan opini audit yang tidak tepat atas laporan keuangan yang disalah sajikan secara material. Risiko audit terdiri dari 2 unsur utama : 1. Inherent risk ( risiko bawaan) dan control risk ( risiko pengendalian)
Sifat : laporan keuangan mungkin/berpotensi mengandung salah saji yang material Sumber : tujuan/operasi entitas dan rancangan/implementasi pengendalian internal oleh manajemen.
2. Detection risk (risiko pendeteksian)
Sifat : auditor mungkin gagan mendeteksi salah saji yang material dalam laporan keuangan
Sumber : sifat dan luasnya prosedur audit yang dilaksanaan auditor.
Melaksanakan Audit Berbasis Risiko
Pelaksanaan audit berbasis risiko, terdapat 4 pokok bahasan : 1. Skeptisisme professional
Auditor wajib merencanakan dan melaksanakan suatu audit dengan Skekeptisi professional dengan menyadari bahwa mungkin ada situasi yang menyebabkan laporan keuangan disalah sajikan secara material.
2. Kearifan professional
Auditor wajib melaksanakan kearifan professional dalam merencanakan dan melaksanakan suatu audit atas laporan keuangan.
3. Asurans yang layak
Untuk memperoleh asurans yang layak auditor memperoleh bukti auditor yang cukup dan tepat untuk menekan risiko audit ketingkat rendah yang dapat diterima, dengan demikian memungkinkan auditor menarik kesimpulan yang layak untuk digunakan sebagai dasar pemberian pendapat auditor.
4. Gunakan tujuan sesuai ISAs yang relevan
Untuk mencapai tujuan seluruhnya auditor wajib menggunakan tujuan yang dinyatakan dalam ISAs yang relevan dalam merencanakan dan melaksanakan audit tersebut dengan memperhatikan keterkaitan diantara berbagai ISAs
.
Pelaksanaan Audit Berbasis Risiko.
Pelaksanaan audit berbasis risiko, terdapat 4 pokok bahasan : 1. Skeptisisme professional
Auditor wajib merencanakan dan melaksanakan suatu audit dengan Skekeptisi professional dengan menyadari bahwa mungkin ada situasi yang menyebabkan laporan keuangan disalah sajikan secara material.
2. Kearifan professional
Auditor wajib melaksanakan kearifan professional dalam merencanakan dan melaksanakan suatu audit atas laporan keuangan.
3. Asurans yang layak
Untuk memperoleh asurans yang layak auditor memperoleh bukti auditor yang cukup dan tepat untuk menekan risiko audit ketingkat rendah yang dapat
diterima, dengan demikian memungkinkan auditor menarik kesimpulan yang layak untuk digunakan sebagai dasar pemberian pendapat auditor.
4. Gunakan tujuan sesuai ISAs yang relevan
Untuk mencapai tujuan seluruhnya auditor wajib menggunakan tujuan yang dinyatakan dalam ISAs yang relevan dalam merencanakan dan melaksanakan audit tersebut dengan memperhatikan keterkaitan diantara berbagai ISAs.
ISK BASED AUDIT (Audit Berbasis Risiko)
2 PENDAHULUAN Risk Based Audit (RBA) adalah pendekatan audit yang dimulai dengan proses penilaian risiko audit, sehingga dalam perencanaan, pelaksanaan, dan pelaporan auditnya lebih difokuskan pada area penting yang berisiko terjadinya penyimpangan atau kecurangan
3 PENDAHULUAN RBA tidak hanya memusatkan perhatian pada catatan akuntansi dan penyiapan laporan keuangan, namun juga memusatkan perhatian pada proses akuntansi, pemilihan dan pencatatan data, pengidentifikasian indikator risiko kegagalan Konsep:
Identify areas of the financial statements where there is a higher risk of material misstatement and concentrate audit efforts in those areas, caused by either high inherent or control risk Identify lower-risk areas in which to perform less extensive procedures
4 LATAR BELAKANG PERUBAHAN Pendekatan RBA timbul karena adanya hal-hal berikut: Permintaan dan tekanan untuk melakukan reformasi dalam pengelolaan perusahan (good corporate governance) Keinginan stakeholders agar perusahaan dikelola secara lebih efektif Keinginan dari manajemen untuk memperoleh saran-saran perbaikan dalam kegiatan operasinya
5 SASARAN YANG INGIN DICAPAI Sasaran yang ingin dicapai dalam penerapan RBA: Mengidentifikasi risiko kegagalan, kekeliruan, dan kecurangan, serta memberikan
rekomendasi bagi auditee untuk perbaikan operasinya Memberikan dasar yang kuat bagi tim audit dalam memberikan pendapat atas laporan keuangan dengan mempertimbangkan risiko
salah saji yang terkait dengan risiko kegagalan, kekeliruan, dan kecurangan Kerangka untuk meningkatkan efisiensi (menekan biaya audit dengan mengurangi tes substantif), efektivitas (mengindentifikasi dan fokus pada area-area yang berisiko), dan kualitas audit (menekan kesalahan audit)
6 KEUNTUNGAN RBA BAGI KAP Proses audit dapat dilaksanakan dengan lebih efisien Mengurangi risiko pelaksanaan audit Memberikan pendekatan audit sitematis dan unggul yang terfokus pada pengurangan risiko Meningkatkan kemampuan auditor (sebagai auditor sekaligus konsultan yang terpadu dalam GCG) Membantu pemahaman yang lebih baik atas operasi klien Membantu auditor untuk dapat menjadi konsultan yang dapat dipercaya oleh klien
7 KEUNTUNGAN RBA BAGI AUDITEE Memberikan tingkat jaminan yang lebih tinggi atas proses dan hasil audit Membantu meningkatkan proses manajeman dalam pengelolaan risiko dan proses pengendalian risiko perusahaan Memberikan nilai tambah bagi jasa audit melalui rekomendasi/saran yang terkait dengan peningkatan kinerja organisasi dan bagaimana mengelola risiko operasi
8 RISIKO: review Risiko ketidakpastian hasil yang dicapai (effect of uncertainty on objectives) RBA memandang bahwa risiko audit dipengaruhi oleh risiko bisnis klien Risiko bisnis: potensi terjadinya suatu peristiwa, tindakan, atau tidak dilakukannya tindakan, yang mengakibatkan klien gagal untuk memenuhi tujuan usahanya (business objectives), atau gagal dalam mengidentifikasi tujuan usaha yang diharapkan oleh stakeholder utama Risiko bisnis terkait dengan risiko inheren dan risiko pengendalian klien Risiko bisnis yang tinggi = risiko inheren yang tinggi Risiko Pengendalian yang tinggi = risiko bisnis yang tinggi Jika auditor bisa mengindetifikasi risiko bisnis, hal itu akan memberikan manfaat lebih (add value) kepada klien
9 AUDIT RISK MODEL AR = IR x CR x DR AR = audit risk = risiko auditor mengeluarkan pendapat WTP, padahal dalam laporan tersebut terdapat salah saji yang material IR = inherent risk = risiko adanya salah saji yang material, dengan asumsi tidak ada pengendalian internal (terkait volume dan nature dari perusahaan/account) CR = control risk= risiko adanya salah saji yang tidak tercegah dan terdeteksi oleh pengendalian internal DR = detection risk = risiko auditor untuk tidak menemukan salah saji (yang sebenarnya ada) setelah melakukan prosedur audit
10 RISK MANAGEMENT Risk budaya, proses, dan struktur yang diarahkan
kepadaManagement: manajemen yang efektif mengenai peluang yang potensial dan pengaruh yang merugikan
11 APLIKASI RBA Auditor menganalisa INHERENT RISK in activities 3, 4 and 5 Auditor menganalisa CONTROL RISK in activities 6 & 7 Auditor menganalisa IR x CR (Combined Risk) in activity Auditor memutuskan prosedur audit in activity 8
12 TERIMAKASIH
Audit Berbasis Resiko atau Risk Based Audit (RBA) merupakan pendekatan audit yang berkembang pesat sejak tahun 2000an. Pendekatan ini saat ini mendapatkan perhatian yang luas dan dianggap sebagai pendekatan yang paling efektif karena terbukti paling cocok diterapkan untuk kondisi lingkungan bisnis yang selalu berubah-ubah seperti sekarang ini. Indonesia telah meratifikasi ketentuan untuk menerapkan International Standards on Auditing (ISA) mulai awal tahun 2013. ISA sepenuhnya mengadopsi pendekatan Audit Berbasis Resiko, sehingga saat ini penerapan Audit Berbasis Resiko bagi auditor di Indonesia menjadi hal wajib (mandatory).[5]
Based Internal Audit (RBIA) atau Audit Berbasis Risiko merupakan metodologi yang memastikan bahwa manajemen risiko sudah dilakukan sesuai dengan risk appetite yang dimiliki organisasi. Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik
strategis, finansial, operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam RBIA, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Tujuannya adalah memberikan keyakinan kepada komite Audit Dewan Komisaris dan Direksi bahwa Perusahaan telah memiliki proses manajemen risiko dan proses tersebut telah dirancang dengan baik. Proses manajemen risiko telah diintegrasikan oleh manajemen ke dalam semua tingkatan organisasi mulai tingkat korporasi divisi sampai unit kerja terkecil dan telah berfungsi dengan baik. Kerangka kerja internal dan tata kelola yang baik telah tersedia secara cukup dan berfungsi dengan baik guna mengendalikan risiko.
Audit berbasis resiko lebih berupa perubahan pola pandang dari pada sebuah teknik. Memakai kacamata audit berbasis resiko auditor harus menilai kemampuan manajemen dalam mengukur resiko, merespon resiko dan melaporkan resiko. Apabila manajemen memiliki kemampuan yang cukup dalam mengukur, merespon dan melaporkan resiko dalam suatu area atau proses, maka resiko bawaan bisa diturunkan. Artinya auditor tidak harus meningkatkan tingkat ketelitian, menambah prosedur atau menambahkan waktu analisa. Sebaliknya kalau manajemen resiko klien buruk, maka auditor harus meningkatkan keteliatian, menambah prosedur dan menambahkan waktu analisa. Sehingga bobot atau score resiko di masing-masing area atau proses tersebut bisa dijadikan sebagai salah satu dasar untuk penentuan prioritas audit oleh auditor.[6]
Penentuan prioritas berdasarkan analisa resiko ini dianggap paling tepat dalam upaya mengalokasikan waktu dan staff auditor yang terbatas. Audit menggunakan sampling, dan selama ini metodologi audit mengatur bagaimana pengambilan sampling yang paling efektif dan efisien. Efektif dalam arti sample yang diambil tersebut haruslah mampu mewakili populasi yang akan diperiksa.
Audit Berbasis Risiko adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi.
Ada 2 hal utama yang harus dipahami oleh internal auditor: 1. Aspek pengendalian dari setiap proses bisnis yang terkait
2. Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan Peranan internal auditor dalam praktik audit berbasis risiko antara lain:[7]
1. MULAI dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses
manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
2. UNTUK berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf lini dalam memastikan efektivitas pengendalian internal
3. UNTUK memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
4. UNTUK melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan Komisaris, dan Komite Audit
Auditor sekarang dituntut tidak hanya memberikan keyakinan memadai terkait kewajaran laporan keuangan, tetapi juga memberikan penilaian terhadap keberlanjutan (going concern) perusahaan untuk paling tidak setahun kedepan. Pendekatan lama auditor yang hanya berbasis transaksi ataupun siklus saat ini dipandang tidak cukup untuk memberikan tingkat keyakinan memadai terhadap kewajaran laporang keuangan.
Sebagai contoh, ketika persaingan semakin ketat dan situasi ekonomi sedang krisis, disisi lain manajemen dituntut untuk terus meningkatkan performa maka dorongan untuk terjadinya kecurangan keuangan menjadi sangat besar. Sehingga resiko yang harus ditanggung auditor untuk terjadinya salah memberikan opini juga meningkat. Sehingga auditor perlu melakukan modifikasi-modifikasi terkait strategi audit maupun prosedur-prosedur yang dijalankan sehingga bisa meminimalisir terjadinya salah pemberian opini tersebut.
D. Proses Audit Berbasis Risiko ( Auditing berbasis ISA)[8]
Proses audit ini didasarkan ISA atau International Standards on Auditing. ISA menekankan berbagai kewajiban entitas dan manajemen, berbagai kewajiban entitas dapat disebut pihak-pihak berkepentingan atau TCWG “Those charged with governance”. Proses audit berbasis ISA merupakan proses audit berbasis risiko yang mengandung tiga langkah kunci yaitu Risk Assessment (Penialain Risiko), Risk Response (Merespon Risiko) dan Report (Pelaporan),[9] tiga langkah Audit Berbasis Risiko yaitu :[10]
1. Tahap Penjelasan Risk Assessment
Penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji material dalam laporan keuangan, merancang dan melaksanakan prosedur audit selanjutnya untuk menanggapi risiko salah saji.
a. Partner dan Tim inti audit terlibat aktif dalam audit plan.
b. Skeptisisme Profesional dalam upaya mencapai asurans yang layak
c. Rencanakan auditnya mencakup waktu dalam audit plan akan memastikan tujuan audit dipenuhi.
e. Fokus identifikasi risiko yang relevan
f. Evaluasi cerdas tanggapan manajemen atas risiko
g. Profesional Judgment dalam penerimaan klien, develop audit strategy, materiality, develop analytic procedure dan pertimbangan audit khusus yang diperlukan.
2. Risk Response
Merancang dan melaksanakan prosedur audit selanjutnya untuk menanggapi risiko salah saji material pada tingkat laporan keuangan dan asersi.
a. Uji Pengendalian/ test of controls b. Prosedur Analitikal Substantif
c. Pendadakan/ Upredictable examination d. Management Override
e. Significant Risks 3. Reporting
Merumuskan pendapat berdasarkan bukti yang diperoleh ; membuat dan menerbitkan laporan yang tepat sesuai kesimpulan audit. Jika semua prosedur sudah dilaksanakan dan kesimpulan dicapai, maka: Temuan audit dilaporkan kepada manajemen dan TCWG Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk laporan auditor dibuat. Prosedur Analisa dan Analisis Data
1. ABR menggunakan prosedur analisa dan analisis data pada beberapa tingkat yang berbeda (tingkat laporan keuangan,rekening, dan transaksi) dalam audit untuk mendapatkan bukti-bukti audit
2. Bisa memberikan pembuktian audit yang meyakinkan (significant audit assurance) 3. Bisa untuk mengidentifikasi area-area mana yang perlu pemeriksaan lebih lanjut. 4. Kerjasama tim sangat membantu dalam menghasilkan audit yang efektif dan efisien. 5. Kerjasama tim berkontribusi pada anggota tim untuk dapat mencapai prestasi tertinggi. 6. Pembangunan ide-ide dan value yaitu melihat pada resiko bisnis untuk mengurangi resiko
audit dan pada saat yang sama, ABR memungkinkan untuk memberikan nilai tambah kepada klien dengan mengidentifikasi usulan-usulan untuk memperbaiki manajemen resiko bisinis.
