BAB I PENDAHULUAN A. Latar Belakang Risiko telah menjadi bagian yang tidak terpisahkan dari kehidupan manusia begitu juga dengan perusahaan, namun keberadaan risiko tersebut perlu ditangani dengan baik sehingga kerugian yang dapat ditimbulkannya bisa kita minimalisasi atau bahkan kita hindari. Manusia memang selalu dihadapkan dengan risiko sehingga risiko menjadi bagian dari keseharian manusia. Akibatnya, kita harus menanggung kerugian jika risiko-risiko tersebut tidak kita antisipasi dari awal. Risiko, khususnya di dalam bisnis, tidaklah selalu mencerminkan hal yang buruk. Kenyataannya, risiko bisa mengandung suatu peluang yang sangat besar bagi mereka yang mampu mengelola dengan baik. Kesadaran akan memahami risiko dengan baik sebagai suatu bagian yang tidak terpisahkan dari upaya untuk mengoptimalkan keuntungan inilah yang menjadi dasar terbentuknya konsep manajemen risiko yang akhir-akhir ini semakin mengemuka didalam dunia bisnis. Semua organisasi baik profit oriented maupun social oriented didirikan dengan maksud untuk mencapai tujuan. Tujuan tersebut diarahkan kepada seluruh pemangku kepentingan (stakeholders) agar dengan tujuan tersebut memberikan suatu nilai tambah (value added). Namun dalam rangka pencapaian tujuan tak bisa dipungkiri bahwa organisasi menyadari akan adanya berbagai ketidakpastian.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
BAB I
PENDAHULUAN
A. Latar Belakang
Risiko telah menjadi bagian yang tidak terpisahkan dari kehidupan manusia begitu juga
dengan perusahaan, namun keberadaan risiko tersebut perlu ditangani dengan baik sehingga
kerugian yang dapat ditimbulkannya bisa kita minimalisasi atau bahkan kita hindari.
Manusia memang selalu dihadapkan dengan risiko sehingga risiko menjadi bagian dari
keseharian manusia. Akibatnya, kita harus menanggung kerugian jika risiko-risiko tersebut tidak
kita antisipasi dari awal. Risiko, khususnya di dalam bisnis, tidaklah selalu mencerminkan hal
yang buruk. Kenyataannya, risiko bisa mengandung suatu peluang yang sangat besar bagi
mereka yang mampu mengelola dengan baik. Kesadaran akan memahami risiko dengan baik
sebagai suatu bagian yang tidak terpisahkan dari upaya untuk mengoptimalkan keuntungan inilah
yang menjadi dasar terbentuknya konsep manajemen risiko yang akhir-akhir ini semakin
mengemuka didalam dunia bisnis.
Semua organisasi baik profit oriented maupun social oriented didirikan dengan maksud
untuk mencapai tujuan. Tujuan tersebut diarahkan kepada seluruh pemangku kepentingan
(stakeholders) agar dengan tujuan tersebut memberikan suatu nilai tambah (value added). Namun
dalam rangka pencapaian tujuan tak bisa dipungkiri bahwa organisasi menyadari akan adanya
berbagai ketidakpastian. Makin kompleks aktivitas suatu organisasi maka makin tinggi pula
tingkat ketidakpastiannya dalam pencapain tujuan.
Ketidakpastian tersebut mengandung unsur risiko yang berpotensi mengurangi peluang
organisasi dalam mencapai tujuannya bahkan dapat menggerogoti nilai yang telah ada.
Ketidakmampuan perusahaan dalam menangani berbagai risiko yang dihadapi pun dapat
berakibat fatal. Beberapa perusahaan terpaksa gulung tikar karena tidak sanggup menangani
resiko yang tak terduga. Manajemen risiko oleh perusahaan dapat meningkatkan nilai perusahaan
sekaligus mendukung pertumbuhan ekonomi dengan menurunkan biaya modal serta mengurangi
ketidakpastian aktivitas sosial. Manajemen risiko bertujuan mengidentifikasi, mengukur dan
mengatasi risiko perusahaan pada level toleransi tertentu. Menurut Risk Management Standar
(4360:2004), manajemen risiko adalah kultur, proses, dan struktur yang diarahkan untuk
merealisasikan peluang potensial dan sekaligus mengelola dampak yang merugikan.
Manajemen risiko merupakan tanggung jawab utama manajemen senior dan
Dewan. Untuk mencapai tujuan usahanya, manajemen harus memastikan bahwa proses
manajemen risiko telah ada dan berjalan sebagaimana mestinya. Sementara itu, Dewan memiliki
peran pengawasan terhadap efektivitas proses manajemen risiko tersebut. Untuk menjalankan
perannya itu, Dewan dapat mengarahkan aktivitas audit internal untuk membantu mereka melalui
pemeriksaan, evaluasi, pelaporan, dan/atau rekomendasi perbaikan atas kecukupan dan
efektivitas proses manajemen risiko.
Walaupun manajemen dan Dewan bertanggung jawab atas proses manajemen risiko dan
pengendalian pada organisasi mereka, namun auditor internal yang bertindak dalam peran
konsultasi dapat membantu organisasi dalam mengidentifikasi, mengevaluasi, dan menerapkan
metodologi manajemen risiko dan pengendalian yang relevan.
Berdasarkan hal tersebut, maka penulis tertarik untuk membuat suatu makalah dengan
judul Risk Management ( Pengelolaan Resiko ).
B. Rumusan Masalah
Berdasarkan latar belakang di atas maka perumusan masalah yang hendak di bahas adalah
sebagai berikut:
1. Apa penentuan risiko itu?
2. Apa saja risiko audit dan komponen-komponennya pada audit laporan keuangan?
3. Apakah risiko perdagangan elektronik, risiko EDI dan risiko kecurangan manajemen?
4. Bagaimana pengelolaan risiko?
5. Apa saja metode-metode analisis yang digunaakan dalam mengidentifikasi risiko?
C. Tujuan
Berdasarkan rumusan masalah di atas maka tujuan yang hendak di bahas adalah sebagai
berikut:
1. Untuk mengetahui penentuan risiko.
2. Untuk mengetahui risiko audit dan komponen-komponennya pada audit laporan keuangan.
3. Untuk memahami risiko perdagangan elektronik, risiko EDI dan risiko kecurangan
manajemen.
4. Untuk memahami pengelolaan risiko.
5. Untuk memahami metode-metode analisis yang digunaakan dalam mengidentifikasi risiko.
D. Metode Penulisan
Penyusunan makalah ini menggunakan referensi-referensi dari beberapa media atau literatur
yang diedit dan diunduh secara lansung.
E. Sistematika Penulisan
Penyusun menggunakan sistematika berupa pendahuluan yang berisi, latar belakang,
perumusan masalah, tujuan penulisan, metode penulisan, dan sistematika penulisan, yang
diikuti oleh bab pembahasan, dan terakhir penutup berupa kesimpulan.
BAB II
PEMBAHASAN
A. Penentuan Risiko
Penentuan risiko (risk assessment) merupakan hal penting bagi manajemen dan auditor
internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu, dan prinsip-
prinsip manajemen yang baik mendorong penerapannya di industri dan sektor-sektor lain.
Auditor internal harus memiliki pemahaman mengenai proses penentuan risiko dan saran yang
digunakan untuk melakukannya. Auditor internal harus memasukkan basil penentuan risiko ke
dalam program audit untuk memastikan bahwa kontrol-kontrol yang dibutuhkan memang
diterapkan untuk mengurangi resiko.
Studi yang dilakukan COSO, Kontrol Internal-Kerangka Kerja Terintegrasi, mengawali
pembahasan tentang penentuan risiko dengan ringkasan berikut ini:
Setiap entitas menghadapi berbagai risiko baik dari luar maupun dari dalam yang harus
ditentukan. Persyaratan awal untuk penentuan risiko adalah adanya penetapan tujuan, yang
dihubungkan pada tingkat-tingkat yang berbeda dan konsisten di dalam organisasi. Penentuan
risiko adalah identifikasi dan analisis risiko-risiko yang relevan untuk mencapai tujuan (entitas),
yang membentuk suatu dasar untuk menentukan cara pengelolaan risiko. Karena kondisi
ekonomi, industri, peraturan dan operasi akan terus berubah, maka dibutuhkan mekanisme untuk
mengidentifikasi dan menangani risiko-risiko khusus yang berhubungan dengan perubahan.
Penentuan risiko merupakan tanggung jawab yang tidak terpisahkan (integral) dan terus-
menerus dari manajemen. Dikatakan integral karena manajemen tidak dapat menetapkan tujuan
dan dengan mudah mengasumsikan bahwa tujuan tersebut akan tercapai. Banyak hambatan yang
muncul akan menghalangi perjalanan mencapai tujuan. Beberapa hambatan, atau risiko, akan
datang dari luar entitas; sedangkan yang lainnya dari dalam. Sebagai contoh:
Suatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang dibutuhkan
untuk mencapai tujuan.
Sebuah perusahaan pesaing memperkenalkan produk atau jasa bare yang membutuhkan
tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan
sebelumnya.
Sebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang.
Seorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah
ditetapkan.
Daftar risiko kelihatannya tidak hanya sampai di sini. Tujuan penentuan risiko adalah
untuk membuat karyawan sadar akan beragam risiko yang ada serta prioritas, dan keterbatasan
dari daftar risiko tersebut. Sejumlah risiko tidaklah statis; selalu ada risiko-risiko baru yang
muncul setiap waktu. Oleh karena itu, penentuan risiko merupakan fungsi yang berkelanjutan
dalam proses manajemen; yang harus dilakukan secara terorganisasi dan berurutan. Jadi, proses
penentuan risiko itu sendiri merupakan hal penting bagi audit.
B. Siapa yang Memanfaatkan Penentuan Risiko?
Manajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan
kesuksesan suatu entitas; hal ini telah dibahas dengan jelas pada studi COSO. Manajemen juga
menggunakan penentuan risiko sebagai alat yang penting dalam merancang sistem-sistem baru.
Sistem baru tersebut, baik manual atau terkomputerisasi, dibuat untuk memenuhi tujuan yang
telah ditetapkan. Bagian penting dalam perancangan dan pengembangan proses adalah
identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai
tujuannya.
Akuntan publik harus membuat penentuan risiko untuk mematuhi standar mereka.
Statement on Auditing Standards (SAS) No. 55 dari American Institute of Certified Public
Accountants (AICPA) menguraikan tanggung jawab akuntan untuk mendapatkan pemahaman
atas sistem kontrol. Akuntan publik juga melakukan penentuan risiko dalam merencanakan audit
mereka. Apa saja risiko-risiko kegagalan yang bisa mengancam pencapaian tujuan audit?
Pengujian audit mana yang seharusnya digunakan untuk memastikan bahwa tujuan audit
tercapai? Satu risiko yang bisa muncul adalah memilih metode pengujian yang tidak tepat, yang
lainnya adalah penggunaan rencana dan teknik pengambilan sampel yang tidak tepat, dan lain
sebagainya.
Tidak diragukan lagi bahwa auditor internal telah terlibat dalam penentuan risiko sejak
awal profesi ini berdiri. Auditor internal selalu bertanya, "Kesalahan apa yang bisa terjadi?"
Pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan persyaratan mutlak
untuk menentukan prosedur kontrol yang harus diterapkan. Bagaimanapun juga, akankah ada
kontrol jika tidak ada risiko? Bagaimana auditor menentukan bahwa suatu kontrol merupakan
kontrol yang efektif-kontrol yang tepat-dalam suatu kondisi tanpa mengidentifikasi dan
mengevaluasi risiko? Sehubungan dengan pertanyaan ini, IIA mengeluarkan Statement on
Internal Auditing Standards No. 9 tentang Penentuan Risiko pada tahun 1991. Saat ini hal
tersebut dimasukkan dalam Standar 2210.A1 dan dijelaskan lebih lanjut di Practice Advisory
2210.A1-1.
Pada kebanyakan entitas, departemen audit internal akan menjadi pernain utama dalam
penentuan risiko yang mengarahkan laporan tahunan manajemen unttik mengemukakan kondisi
sistem kontrol. Pekerjaan auditor internal yang berkelanjutan harus dipertimbangkan dalam
membuat laporan tersebut. Audit khusus mungkin dibutuhkan di bebetapa entitas untuk
memastikan bahwa kelemahan yang ditemukan selama tahun tersebut telah diperbaiki pada
tanggal laporan akhir tahun.
C. Memperluas Audit Berbasis Risiko
Konsep audit berbasis risiko (risk-based auditing) secara tradisional bermula dari
observasi dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan
operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi.
McNamee dan Selim menyatakan pendekatan ini tidak tepat karena adanya kebutuhan untuk
memenuhi tujuan terlebih seharusnya-berorientasi ke masa depan. Para penulis tersebut
merekomendasikan sebuah pendekatan yang mempertimbangkan terlebih dahulu tujuan
organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran,
dan penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara:
1. Mengendalikan dan menerima risiko, atau
2. Menghindari atau mendiversifkasi risiko, atau
3. Membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya.
Konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat
dihindarkan di semua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui
berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup:
Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi
besaran maupun jumlah;
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk
kemajuan dan keuntungan;
Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah
pola risiko;
PendiversifIkasian risiko dengan menyebarkan total risiko ke operasi-operasi yang
terpisah. Misalnya: menggunakan berbagai pemasok untuk bahan baku yang penting; dan
Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan
pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.
Adanya perhatian ke masa depan merupakan perluasan dari pengakuan risiko ke
manajemen risiko. Hal ini merupakan contoh audit internal menuju bidang yang memberikan
unsur bernilai tambah terhadap fungsi yang bernilai waktu, yang berkaitan dengan risiko dan
penggunaan audit berbasis risiko.
D. Risiko Audit dan Komponen-komponennya pada Audit Laporan Keuangan
Auditor dan manajemen terus mempertanyakan luas dan probabilitas risiko. Luas risiko
adalah jumlah yang berpotensi terkena risiko; probabilitas adalah kemungkinan terjadinya risiko.
Masih terdapat hal-hal lain yang harus dipertimbangkan pada saat menentukan dampak risiko.
Pendapat tentang kuantifikasi risiko yang diutarakan oleh Robert Courtney disajikan pada bagian
selanjutnya.
AICPA telah memberikan pedoman mengenai hal ini melalui beberapa Statement on
Auditing Standards terbaru (No. 47, No. 53, dan No. 55). Risiko audit terdiri atas dua tingkatan-
tingkat laporan keuangan dan saldo akun (atau tingkat kelompok transaksi). Pada tingkat laporan
keuangan, risiko audit adalah -risiko bahwa auditor mungkin secara tidak sengaja gagal
memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material."
Seorang auditor diharapkan untuk merencanakan audit sehingga risiko audit dibatasi pada apa
yang dipertimbangkan auditor sebagai tingkat yang rendah. Dalam menentukan risiko audit pada
tingkat laporan keuangan, standar audit (AU 316) menyatakan bahwa seorang auditor harus
mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri, dan karakteristik
penugasan. Faktor-faktor yang disebutkan berikut ini bisa menunjukkan situasi yang
meningkatkan risiko audit:
Karakteristik Manajemen
Kebijakan manajemen didominasi hanya oleh satu orang.
Manajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan.
Perputaran manajemen tinggi.
Manajemen sangat berlebihan dalam menekankan pencapaian proyeksi laba.
Manajemen memiliki reputasi yang buruk dalam komunitas bisnis.
Karakteristik Operasi dan Industri
Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak
konsisten.
Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi.
Entitas berada pada industri yang menurun.
Organisasi entitas bersifat desentralistis tanpa pengawasan aktivitas yang memadai.
Entitas diragukan kelangsungan hidupnya.
Karakteristik Penugasan
Terdapat banyak perdebatan dan/atau masalah-masalah akuntansi yang sulit.
Terdapat transaksi-transaksi atau saldo-saldo yang signifikan yang sulit diaudit.
Terdapat transaksi dengan pihak-pihak yang memiliki hubungan istimewa dalam jumlah
yang signifikan dan tidak biasa.
Sebelumnya terdapat salah saji signifkan yang dideteksi selama audit atau tidak tersedia
data mengenai hal tersebut.
Faktor-faktor seperti ini tidak bisa dipertimbangkan secara terpisah. Sebagai contoh,
ukuran, kompleksitas, dan kepemilikan entitas akan meningkatkan atau mengurangi faktor-faktor
ini.
Kesimpulan auditor mengenai risiko audit pada tingkat laporan keuangan akan
berdampak pada: (1) penugasan staf; (2) pengawasan yang dibutuhkan; (3) keseluruhan strategi
audit; dan (4) tingkat skeptisme profesional. Sebagai contoh, pada situasi yang dirasakan auditor
memiliki risiko audit yang meningkat, auditor bisa menugaskan lebih banyak staf berpengalaman
dan menerapkan lebih banyak prosedur substantif selama audit interim dan akhir tahun.
Dalam mempertimbangkan risiko audit pada tingkat saldo akun atau kelompok transaksi,
seorang auditor harus mempertimbangkan asersi-asersi laporan keuangan. Asersi adalah
representasi manajemen yang terdapat dalam saldo akun, kelompok transaksi dan pengungkapan.
SAS mengidentifikasi lima asersi umum manajemen (atau asersi laporan keuangan)-keterjadian
atau keberadaan, kelengkapan, hak dan kewajiban, penilaian atau alokasi, serta penyajian dan
pengungkapan. Misalnya, manajemen menyatakan bahwa utang usaha untuk sebuah divisi pada
tanggal 30 Juni sejumlah $85.000 merupakan pernyataan bahwa:
Utang usaha memang ada pada tanggal neraca (keberadaan).
Semua utang usaha telah tercakup (kelengkapan).
Utang usaha merupakan kewajiban hukum (kewajiban).
Utang usaha dinilai dengan layak (penilaian atau alokasi).
Semua utang usaha diungkapkan dengan layak (penyajian dan pengungkapan).
Pada tingkat saldo akun atau kelompok transaksi, risiko audit terdiri atas (a) risiko bahwa
saldo atau kelompok dan asersi terkait mengandung salah saji baik oleh dirihya sendiri atau
dengan yang lainnya yang bisa berdampak material terhadap laporan keuangan, (disebut risiko
bawaan dan risiko kontrol) dan (b) risiko bahwa auditor tidak akan mendeteksi salak'saji tersebut
jika' memang terjadi (disebut risiko deteksi). Jadi risiko audit pada tingkat saldo atau kelompok
memiliki. tiga komponen-risiko bawaan, risiko kontrol, dan risiko deteksi. Seorang auditor
diharapkan untuk merencanakan audit sehingga risiko audit pada tingkat saldo atau kelompok
transaksi dibatasi sehingga memuhgkinkan auditor memberikan opini pada risiko audit yang
rendah pada tingkat laporan keuangan.
SAS memberikan contoh faktor-faktor berikut ini yang harus dipertimbangkan auditor
dalam mengevaluasi risiko audit pada tingkat saldo, atau kelompok transaksi:
Dampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan.
Masalah-masalah akuntansi yang rumit dan mengandung perdebatan.
Transaksi-transaksi yang sering terjadi atau susah untuk diaudit.
Salah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari
audit sebelumnya.
Kerentanan aktiva untuk disalahgunakan.
Kompetensi dan pengalaman karyawan yang memproses data.
Tingkat pertimbangan dalam menentukan saldo akun atau transaksi.
Ukuran dan volume hal-hal yang tercakup dalam saldo akun atau kelas transaksi.
Kompleksitas perhitungan.
Substansi dari faktor-faktor yang telah diidentifikasi SAS merupakan suatu kontribusi
yang besar bagi literatur audit. Hal ini dengan jelas mendefinisikan cara menentukan pekerjaan
audit yang dibutuhkan untuk memenuhi tanggung jawab audit.
1. Risiko Bawaan
Risiko bawaan/inheren (inherent risk) adalah kerentanan suatu asersi atas terjadinya salah
saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur
kontrol internal terkait yang ditetapkan. Risiko bawaan adalah risiko yang bersifat intrinsik
terhadap usaha entitas. Risiko dari salah saji seperti ini lebih besar untuk beberapa asersi dan
saldo atau kelompok transaksi dibandingkan yang lain. Sebagai contoh:
Asersi penilaian dan keberadaan sehubungan dengan piutang usaha lebih cenderung
dilanggar daripada asersi kelengkapan pada saat auditor mempertimbangkan
kelangsungan hidup entitas.
Perhitungan biaya pensiun lebih cenderung salah saji dibandingkan perhitungan biaya
depresiasi menggunakan metode garis lurus (perhitungan rumit dibandingkan dengan
perhitungan sederhana).
Kas lebih rawan dicuri dibandingkan persediaan bate kapur (jumlah yang lebih mudah
dicuri dan memiliki nilai tinggi dibandingkan dengan barang yang sulit dicuri dan
memiliki nilai yang rendah).
Faktor-faktor eksternal terhadap entitas seperti perubahan teknologi yang mungkin
membuat persediaan tertentu menjadi usang dan dinilai terlalu tinggi.
Faktor-faktor yang diidentifikasi pada tingkat laporan keuangan dapat berdampak pada
risiko bawaan di tingkat saldo atau kelompok transaksi. Sebagai contoh, keraguan atas
kelangsungan hidup yang ditemukan pada tingkat laporan keuangan dapat menyebabkan risiko
bawaan untuk penilaian persediaan menjadi meningkat.
Contoh-contoh berikut ini akan membantu dalam memahami pandangan AICPA
mengenal risiko bawaan:
Pada perusahaan sekuritas, perhitungan bunga yang sederhana tidak serumit perhitungan
berdasarkan metode bungs efektif.
Di bank, kecurangan terhadap kredit lebih cenderung terjadi pada rekening tabungan atau
pembayaran cicilan pinjaman dibandingkan rekening giro.
Di toko serba ada, saldo piutang usaha lebih cenderung disajikan secars realistic
dibandingkan saldo akun penyisihan piutang tak tertagih.
Di toko grosir, peningkatan permintaan alas kontrol persediaan menyebabkan daftar kas
sederhans dan pencatatan/perhitungan persediaan secara manual menjadi usang bila
digunakan kode batang (bar code) pada terminal penjualan.
Pada organisasi yang terdiversifikasi, penekanan pada pemerolehan dana melalui kredit
bank, bukan peningkatan modal, memberikan tekanan pada laba jika tingkat bunga
meningkat yang mungkin mengarah pada harga jual marginal dan/atau kredit yang Iebih
berisiko terhadap pencapaian laba yang lebih tinggi.
Auditor mampu mengevaluasi risiko bawaan yang ada pada klien dengan memerhatikan
industri secara keseluruhan. Bank menghadapi seperangkat risiko bawaan karena bergerak di
usaha pengelolaan uang dan kredit. Sebuah organisasi pembuatan mobil menghadapi
sekelompok risiko bawaan yang terdapat pada usaha pabrikasi maupun permobilan.
Juga terdapat risiko bawaan pada suatu organisasi akibat budaya perusahaan yang
diterapkan. Sebuah organisasi bisa dikelola secara ketat oleh suatu kelompoW kecil yang
memiliki filosofi: 'Kami ingin bebas dari kebijakan dan prosedur tertulis yang mengikat agar bisa
menanggapi suatu kejadian secara langsung dan segera.
Risiko-risiko yang berorientasi pada budaya perusahaan merupakan risiko-risiko yang
melekat pada gaya manejemen.
Jika risiko-risiko bawaan dalam suatu organisasi telah diperhitungkan, langkah
selanjutnya adalah menilai tindakan untuk mencegah dan mendeteksi kejadian-kejadian akibat
risiko-risiko tersebut Pertimbangan-pertimbangan ini melibatkin risiko kontrol.
Faktor-Faktor yang harus ditelaah dalam menetapkan risiko bawaan, yaitu:
Sifat bidang klien
Akan lebih besar kemungkinan keusangan persediaan pada pabrik komputer daripada
pabrik besi. Atau piutang pinjamna yang diberikan oleh lembaga keuangan kecil akan
lebih rendah kolektibilitasnya daripada pinjaman oleh bank.
Motivasi klien
Motivasi manjemen dalam menyajikan laporan keuangan dapat termotivasi oleh
beberapa hal salah satunya yaitu dari perolehan bonus dair presentase laba bagi manajer.
Mungkin manajemen cenderung akan melakukan mark up laba bersih. Selain itu ada pula
motivasi bagi manajemen dalam mengurangi pajak yang harus dibayar. Maka jika
manajemen tidak memiliki integrasi tinggi motivasi seperti itu tentunya dapat mendorong
untuk mensalah sajikan laporan keuangan.
2. Risiko Kontrol
Risiko kontrol (control risk) adalah risiko bahwa salah saji material yang bisa terjadi pada
suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau
prosedur kontrol internal suatu entitas.
Beberapa risiko kontrol akan tetap ada karena adanya keterbatasan yang melekat pada
struktur kontrol internal.
Seorang auditor bisa menilai risiko kontrol path tingkat maksimurn apabila kebijakan
maupun prosedur tidak efektif atau menghabiskan banyak biaya untuk mengevaluasi
efektivitasnya. Jika auditor menetapkan risiko kontrol di bawah maksimum, auditor tersebut
diharapkan memperoleh bahan bukti mengenai rancangan dan operasi kebijakan dan prosedur
yang layak untuk membenarkan penetapan tersebut.
3. Risiko Deteksi
Risiko deteksi (detection risk) adalah risiko bahwa auditor tidak dapat mendeteksi salah
saji material yang terdapat pada suatu asersi. Risiko deteksi dapat terjadi karena seorang auditor
memutuskan tidak memeriksa 100 persen saldo atau transaksi atau karena ketidakpastian lainnya.
Termasuk dalam ketidakpastian Iainnya ini adalah pemilihan prosedur audit yang tidak layak,
salah penerapan prosedur audit, atau salah interpretasi hasil-hasil prosedur audit. Ketidakpastian
Iainnya harus dikurangi sampai ke tingkat yang bisa diterima melalui perencanaan dan
pengawasan audit yang sesuai.
4. Hubungan Antar-risiko
Seorang auditor dapat mengevaluasi risiko-risiko ini baik secara kuantitatif maupun
kualitatif. SAS memberikan rumus berikut ini:
Risiko Audit = Risiko Bawaan x Risiko Kontrol x Risiko Deteksi
Ketika menggunakan rumus ini, seorang auditor bisa menilai risko audit yang
direncanakan untuk sebuah asersi, risiko bawaannya dan risiko kontrolnya untuk menentukan
risiko penemuan yang direncanakan dengan meneniukan risiko deteksi.
Risiko Deteksi = Risiko Audit/(Risiko Bawaan x Risiko Kontrol)
Seorang auditor akan memilih prosedur-prosedur audit yang menurutnya akan
mengurangi risiko deteksi di bawah risiko penemuan yang direncanakan. Hal ini menekankan
konsep bahwa risiko bawaan dan risiko kontrol terpisah dari audit. Sebagai tambahan, perubahan
dalam struktur kontrol internal yang direkomendasikan dan direncanakan setelah periode audit
tidak akan mengubah penilaian auditor atas risiko kontrol untuk periode sekarang. Oleh karena
itu, untuk suatu tingkat risiko audit yang direncanakan, risiko bawaan dan risiko kontrol
berhubungan terbalik dengan risiko deteksi. Makin besar risiko bawaan dan risiko kontrol terkait
dengan suatu asersi, makin rendah risiko deteksi yang dapat diterima dan makin banyak bukti
audit yang harus dikumpulkan. Seorang auditor harus melaksanakan beberapa pengujian
substantif jika terdapat salah saji material. Dalam beberapa kasus auditor tidak dapat hanya
mengandalkan penentuan risiko kontrol dan risiko bawaan untuk menjadi pembenaran atas tidak
dilaksanakannya pengujian substantif.
Seorang auditor akan memodifikasi sifat, waktu, dan luas prosedur audit yang
direncanakan, penugasan staf, dan supervisi yang dibutuhkan dalam mempertimbangkan reaksi
terhadap perubahan dalam risiko deteksi.
Konsep risiko bawaan adalah salah satu risiko yang harus diperhatikan auditor internal
Sifat usaha atau aktivitas organisasi dan gaya manajemen menciptakan suatu atmosfer yang
berdampak besar terhadap risiko bawaan entitas. Dua organisasi pemerintahan bisa memiliki
risiko bawaan yang sama karena sama-sama merupakan organisasi publik. Akan tetapi, keduanya
bisa memiliki tingkat risiko yang berbeda karena yang satu memiliki walikota yang kuat dan
struktur dewan yang lemah sementara yang satu lagi memiliki walikota yang lemah dan struktur
dewan yang kuat. Risiko bisa lebih berbeda jika salah satu pernerintahan memiliki kepentingan
umum yang kuat dan pemerintahan yang terbuka sementara yang lain memiliki publik yang
apatis dan orang yang sangat berkuasa secara politis.
Setiap entitas memiliki risiko inheren sendiri-sendiri dan auditor internal harus
mengidentifikasikannya untuk menetapkan risiko. Posisi auditor internal sebagai bagian dari
organisasi membuka peluang untuk mengamati risiko bawaan untuk periode waktu yang
panjang. Auditor internal harus memerhatikan risiko bawaan yang berbeda pada bagian
organisasi yang berbeda. Risiko bawaan di perusahaan pabrikasi .berbeda dari perusahaan jasa
keuangan. Risiko pada operasi produksi pakaian akan berbeda dari risiko yang terdapat pada
perusahaan yang memproduksi bahan-bahan kimia.
Identifikasi risiko pada suatu organisasi bermula dari Yisiko bawaan yang terkait dengan
usaha dan gaya manajemennya. Risiko-risiko tersebut dihadapi dengan membuat sistem kontrol.
Karena tidak ada cara untuk mengurangi risiko sampai nol, maka masih terdapat risiko meskipun
kontrol terbaik telah diterapkan. Tingkat risiko ini merupakan risiko kontrol. Konsep keyakirian
yang wajar mulai dlterapkan pada tahap ini. Keyakinan yang wajar adalah tingkat kontrol yang
dicapal pada scat terjadi keseimliangan antara biaya kontrol dan eksposur dengan'manfaat yang
dijerima. Hal ini dapat dipandang sebagai titik ketika risiko kontrol dan biaya kontrol berada
pada ekuilibrium.
E. Auditor Internal dan Risiko Perdagangan Elektronik
Kepentingan auditor atas hal ini adalah untuk menentukan dampak fungsi perdagangan
elektronik (electronic commerce-EC) terhadap risiko organisasi. Dengan asumsi risiko-risiko ini
dapat diidentifikasi, auditor seharusnya, terkadang dengan bantuan ahli teknologi informasi (TI),
menentukan dan menggambarkan ukuran-ukuran yang bisa diambil untuk mengurangi risiko-
risiko tersebut ke tingkat yang dapat diterima. Ukuran-ukuran yang direkomendasikan ini
mencakup:
Risiko dan dampaknya terhadap organisasi.
Modifikasi atau aktivitas terkait yang direkomendaikan.
Dampak modifikasi risiko terhadap operasi.
Tingkat pengurangan risiko yang akan dicapai.
Eksposur keuangan yang terkait dengan operasi.
Biaya modifikasi yang dilakukan.
Elemen-elemen waktu.
Kemungkinan sukses.
Rekomendasi jika terdapat lebih dari satu ukuran.
Karena dinamika yang terdapat pada fungsi perdagangan elektronik, penelaahan analisis
risiko ini harus sering dilakukan. Auditor internal atau ahli TI terkait, atau keduanya, harus
memahami perkembangan baru di bidang ini terutama mengenai:
Perubahan teknologi TI yang baru.
Situasi yang diberitakan baru-baru ini.
Perubahan dalam operasi organisasi.
Dalam sebuah monograf yang dipublikasikan oleh The Institute of Internal Auditors,
Xenia Lee Parker menekankan pekerjaan auditor internal dalam mengevaluasi perdagangan
elektronik relatif terhadap risiko yang dihadapi proses bisnis. Parker menyatakan bahwa aktivitas
audit internal berbasis TI perlu melakukan hal-hal berikut ini agar dapat membuat asersi
mengenai risiko pemrosesan perdagangan elektronik:
"Pemahaman atas sistem dan infrastruktur:
o Front-end Web severs;
o Metode transmisi dan protokol;
o Firewalls;
o Gateways;
o Back end;
o Middleware; dan
o Kemungkinan koneksi dengan sistem perkantoran.
"Menentukan informasi apa yang penting, elemen data dan program yang memengaruhi
data, bagaimana program yang didistribusikan, lokasi, server, pihak-pihak eksternal, dan
proses yang terlibat.
"Pencatatan dan evaluasi kontrol serta prosedur yang menangani informasi penting dan
sensitif;
"Penilaian prosedur pengawasan;
"Memperoleh unifikasi eksternal yang mungkin, seperti keyakinan dari pihak ketiga."
Parker menyatakan bahwa, "sertifikasi dari pihak yang dapat dipercaya merupakan cara
lain menyediakan faktor-faktor yang dapat diverifikasi ke pihak-pihak yang berkepentingan." Ia
menyatakan bahwa, "Merupakan hal penting untuk mengetahui siapa yang melaksanakan
pekerjaan, keahlian dan kualifikasi mereka, dan kriteria yang digunakan dalam penelaahan:'
F. Risiko EDI
Pertukaran data elektronik (electronic data interchange-EDI) adalah sebuah sistem
komunikasi informasi komputer-ke-komputer yang saling terhubung untuk dokumen-dokumen
bisnis yang terstandardisasi di batas-batas organisasi. Komputer, database, dan pusat informasi
terhubung oleh jaringan komunikasi publik atau lainnya.
Meskipun aspek komputer dari audit internal lebih banyak dibahas pada Bab 13 sampai
Bab 16, patut diperkenalkan di sini beberapa informasi mengenai penentuan risiko dari area
operasi tersebut. Kerawanan sistem EDI adalah tinggi karena kegagalan sistem pada setiap tiga
tahapan-inisiasi, transmisi, dan tujuan akan mengganggu transaksi.
Terdapat enam area faktor risiko; faktor-faktor ini dan kontrol internal yang berkaitan
dirinci pada Tampilan di bawah ini. Enam area tersebut adalah:
1. Tercurinya akses informasi
2. Hilangnya integritas data
3. Kurang lengkapnya transaksi
4. Tidak tersedianya sistem EDI
5. Ketidakmampuan untuk mengirimkan transaksi
6. Kurangnya pedoman hukum
Adanya beberapa lapis kontrol memiliki dampak berlipat•untuk mengurangi risiko
kontrol. Risiko kontrol yang tiga lapis kontrol-kontrol aciministratif, kontiol fisik, dan perangkat
lunak-akan gagal, dihitung dengan persamaan ini:
CREDI = CRA * CRP' CRs
keterangan:
CREDI = Risiko Kontrol sistem EDI.
CRA = Risiko Kontrol gagalnya prosedur administratif.
CRP = Risiko Kontrol gagalnya mekanisme fisik.
CR6 = Risiko Kontrol gagalnya kontrol perangkat lunak.
Jadi, jika dibuat asumsi berikut ini:
Prosedur administratif 0,10
Mekanisme fisik 0,20
Kontrol perangkat lunak tidak mencegah akses pihak yang
tidak berkepentingan 0,05
Maka, kerawanan sistem dengan adanya tiga lapisan tersebut menjadi 0,001.
Acuan tersebut menyajikan contoh yang bagus mengenai situasi masalah potensial terkait
dengan risiko bawaan dapat mengakibatkan kerugian sebesar $555.493. Dan bahwa jika risiko
bawaan dikurangi menggunakan kontrol kelengkapan transaksi (dengan risiko dikurangi
$27.774) menjadi $527.718.
Acuan tersebut mengutip laporan COSO bahwa auditor internal harus membuat langkah-
langkah ini secara terpisah dari proses penilaian:
1. Menghitung signifikansi risiko dalam satuan uang.
2. Menentukan kemungkinan terjadinya risiko.
3. Menentukan cara untuk mengurangi dampak risiko sehingga eksposur dapat dikurangi
hingga ke tingkat yang dapat diterima.
Organisasi audit internal dapat menyumbangkan proses penentuan risiko EDI dengan
mengevaluasi baik risiko bawaan maupun risiko kontrol internal untuk menentukan apakah telah
terdapat aktivitas kontrol yang memadai dan efektif untuk mengelola risiko.
Tujuan-tujuan khusus ini digunakan untuk mengidentifikasi risiko-risiko yang akan
menghambat pencapaian tujuan unit tersebut. Dengan menggunakan dua tujuan sebagai contoh,
auditor menyiapkan daftar risiko sebagai berikut:
Tujuan: Untuk melindungi cek dari kemungkinan hilang atau disalahgunakan.
Risiko-risiko
Cek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke ruang
penerimaan surat.
Amplop-amplop berlsi pembayaran ungat rawan ketika dlidcntiflkasl dan disortir di
ruangan penyurtiran sebelum diberikan ke unit pemrosesan.
Cek cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank
disiapkan.
Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan.
Uang yang akan disetor bisa jadi hilang atau dicuri selams perjalanan dari area
pemrosesan ke bank.
Seorang karyawan bisa dirarnpok selama perjalanan ke bank pada saat menyetorkan.
Tujuan: Untuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga maksimum
Risiko-risiko
Surat-surat bisa jadi tidak diterima tepat waktu dari kantor pos.
Pembayaran mungkin tidak dipisahkan di ruing penyortiran dan diberikan ke unit
pemrosesan secara tepat waktu.
Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan ke
bank sebelum batas waktu jam 2 siang.
Hal-hal pengecualian bisa jadi membuat penyotoran ditunda sampai hari (-hari)
berikutnya.
Kegagalan peralatan dapat memperlambat pemrosesan.
Si auditor membuat daftar 'risiko dengan mengamati aktivitas dan menggunakan
pendekatan analitis, keahlian, dan imajinasi. Auditor menentukan spa yang bisa menjadi
hambatan dalam pencapaian tujuan. Begitu risiko telah diidentifikasi, auditor dapat menentukan
kontrol yang diterapkan perusahaan dan menentukan apakah kontrol-kontrol tersebut Iayak dan
memadai sehubungan dengan risiko yang ads. Jika terdapat risiko-risiko yang tidak tercakup
secara Iayak, auditor akan membuat rekomendasi atas kelemahan yang ditemukan. Auditor akan
mencari struktur kontrol yang optimal.
Optimal (optimum) artinva adalah struktur kontrol terbaik dalam suatu kondisi dan
memiliki pertimbangan mantaat dan biaya. Sisa bab Lm membanas .,araru-sauna yang tersedia
bagi auditor untuk mengidentifikasi dan mengevaluasi aktivitas tujuan, risiko, dan kontrol.
H. Pengelolaan Risiko (Risk Management)
COSO framework telah mengubah peta pengendalian internal tidak haya pada fakta yang
ada, tetapi juga lebih berbasis risiko. “Risiko” terkait erat dengan situasi ketidakpastian
(uncertaiunt) hasil atau dampak dari proses yang sedang berjalan atau sesuatu yang belum terjadi
atau situasi/kesempatan diwaktu mendatang, dimana ada probabilitas (probability) tidak sesuai
dengan yang diharapkan, merugikan, atau menimbulkan, masalah tersendiri. Hal itu disebabkan
kurangnya informasi (atau analisis terhadap informasi taua tindakan antisipasi berdasarkan hasil
analisis informasi) tentang apa yang akan terjadi.
Berdasarkan pengertian tersebut, Pengelola Risiko (Risk Management) dalam bisnis
secara sederhana dapat didefinisikan sebagai:
“Tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian dimasa
depan dengan cara mereduksi faktor-faktor yang memungkinkan terjadinya risiko, atau menekan
dampak dari risiko, berdasarkan identifikasi/observasi, pengukuran analisis, dan
penanganan/pengendalian atau faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.
Pengelolaan/manajemen risiko dalam bisnis awalnya hanya sering dijumpai pada industri
jasa keuangan saja (banking, multifinance, insurance, foreign,/stock,commodity exchange, fund
investmen, dan sebagainya), mengingat ukuran kerugian yang paling mudah adalah uang.
Singkatnya manajemen risiko juga dikenal pada bisnis tertentu dikaitkan dengan keselamatan
kerja (seperti mining exploration, construction project, building managenment) atau pencegahan
risiko pencemaran hasil produksi dan penaganan limbah beracun pada manufaktur. Belakangan,
para pebisnis diberbagai industri secara global semakin menyadari arti penting manajemen
risiko.
Tadinya para pebisnis lebih berfokus pada Business opportunity (melalui pembuatan
Business Plan/Strategy yang kemudian dituangkan kedalam Business Action/Execution). Sejalan
dengan berlalunya waktu, dinamika persaingan dan perubahan yang kian akrab menyertai dunia
bisnis telah mendorong dikedepankanya peranan pengelolahan/analisis informasi untuk
memastikan keseimbangan opputtinity dengan business risks.
Risiko dapat dilihat dari berbagai perspektif: kepentingan diri, kondisi sosial, lingkungan
dan sebagainya. Dalam konteks bisnis, semakin menyadari begitu luasnya dimensi dan cakupan
risiko yang “tersembunyi” di balik aktifitas bisnis, kita semakin memiliki prioritas yang
berimbang di antara pengelolaan business oppurtinity & business risk, sebagaimana pepatah
bisnis mengatakan: “high risk, high return; no risk no return.” Tabel dibawah ini menyajikan
gambaran tentang hal itu dari berbagai perspektif bisnis.
Perspektif Kategori
Lingkup Risiko Financial/Asset Risk, yaitu risiko yang dapat terukur secara
keuangan atau kalkulasi asset (yang disebut juga Tangible
Risk), seperti risiko yang ditunjukan oleh angka-angka
parameter/risio keuangan (likuiditas/turnover,
sulvabilitas/leverage, profitabilitas/rentabilitas, net present
value, dan sebagainya).
Business/Operation Risk, yaitu risiko yang sulit di ukur
secara keuangan (Intangible Risk), tetapi tidak dapat
diterlusuri sumbernya dan diukur dampaknya secara
kuantitatif maupun kualitatif, seperti penurunan market-share
atau brand awareness di masyarakat; pencapaian berbagai
parameter bisnis,operasi dan pelayanan yang tidak sesuai
target pencapaian berbagai parameter bisnis, operasi dan
pelayanan yang tidak sesuai target (on-time delivery,damage
quality, zero accident,satisfaction level, dan sebagainya).
Sumber Risiko Inherrent Risk, yaitu risiko yang terkandung dalam institusi
bisnis, seperti akuisisi kepemilikan shareholder, financial
Planing/Forecasting yang tidak tepat, minggatnya sejumlah
star employee, penyelewengan tugas (discrepancy) oleh
karyawan, birokrasi yang terlalu ‘gemuk’ service level yang
rendah, dan sebagainya).
Environment Risk, yaitu risiko yang menjadi ancaman dari
luar institusi bisni, seperti pengaruh negatife dari globalisasi
(krisi energi/pangan, resersi), perubahan rezim politik atau
regulasi pemerintah terkait bisnis, bencana alam, pembajakan
Intellectual Property milik perusahaan, dan sebagainya.
Waktu Terjadinya
Risiko (dan
Dampak dari
Risiko)
Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau
dampak yang langgsung dirasakan, seperti kerugian investasi
(atau akibat perubahan currency rate), asset yang raib (uang,
persediaan, asset tetap, dan sebagainya), turnover penjualan
yang menurun, complain dari pelanggan, pencemaran limbah
yang merugikan masyarakat sekitar, dan sebagainya.
Potential/Hidden Risk, yaitu risiko yang mungkin saja
muncul(atau dampak risiko yang akan dihadapi) padawaktu
mendatang, seperti multiplier effect dari investasi di bidang
property karena adanya skandal subrime mortgage di US ,
stock level yang berlebihan berkurangnya jumlah customer
base perusahaan secara perlahan, risiko kerugian karena
musibah (force majeur), dan sebagainya.
Skala Risiko Manageable Risk, yaitu risiko yang belum terjadi, atau
dampaknya telah diukur sebagai tidak mampu ditanggung
(paling tidak untuk beberapa waktu ke depan ), sehingga
sedapat mungkin harus dihindari, seperti risiko small
business bersaing di jalur padat modal dengan bisnis berskala
besar, risiko terjun ke segmen pasar yang didominasi brand
ternama, dan risiko berinvestasi dalam bisnis yang belum
dikenal baik (tidak ada informasi yang cukup).
Unmanageable Risk, yaitu risiko yang tidak dapat dihindari,
baik karena sudah terjadi atau sangat mungkin terjadi,
sehingga harus ditangani untuk menekan tingkat
kemungkinan timbulnya risiko atau menekan besarnya
dampak negatif yang ditimbulkannya.
Dengan mengacu pada berbagai perspektif pemahaman di atas dapat disimpulkan secara
sederhana bahwa substansi dari pengelolaan risiko adalah berfokus pada tindakan
antisipasi/pencegahan (anticipativepreventive actions), dengan upaya mengenali risiko
yang mungkin terjadi (possibility of risk) sekaligus dampak yang mungkin
ditimbulkannya (possibility of risk impact). Tindakan pencegahan berupa:
Upaya memastikan tingkat kemungkinan terjadinya risiko dan tingkat kemampuan untuk menghadapai atau menghindari (Risk Detection).Misalnya, dengan membatasi dana yang akan diinvestasikan dalam bisnis baru, melakukan uji pasar (Market Test) terhadap produk baru, dan memantau kompetensi SDM selama masa probation.
Upaya menekan atau mengurangi tingkat terjadinya risiko (Risk Reduction, Risk Elimination) misalnya, dengan melakukan Hedging dan mengantisipasi fluktuasi Currency Rate, membangun pengendalian internal yang kuat, menempatkan SDM dengan prinsip “The Right Man on The Right Place”, dan menginvestasikan dana pada penanganan limbah produksi.
Upaya membagi atau mengalihkan dampak risiko yang mungkin timbul (Risk Sharing, Risk Outsourcing). Misalnya, dengan melakukan diversifikasi pada berbagai instrument investasi atau bisnis yang berbeda, menjalin kerja sama atau aliansi bisnis, menutup asuransi, mensubkontrakkan, sejumlah aktifitas bisnis/operasi, dan sebagainya.
Upaya mengurangi/menghentikan dampak negative (kerugian) yang sudah terjadi. Misalnya, menarik dana dari instrument investasi atau bisnis yang terus merugi, menerapkan restrukturisasi terhadap kinerja perusahaan yeng mengalami “bleeding” melakukan pendekatan kepada masyrakat terkait pencemaran limbah yang sudah terjadi.
RISK SHARING/
OUTSOURCING
RISK REDUCTION/
ELIMINATION
RISK MITIGATION
RISKDETECTION
Dari uraian tersebut dapat disimpulkan bahwa hampir tidak ada ruang sekecilpun dalam
bisnis yang bebas dari risiko dan tidak ada risiko bisnis yang tidak dapat ditelusuri, diukur, serta
ditangani. Dengan kata lain, semua risiko bisnis harus dikelola dengan baik. Sekali lagi, kunci
dari pengelolalaan risiko adalah tingkat kememadaian risiko (risk process cycle), yaitu:
1. Identifikasi jenis risiko yang mungkin dihadapi oleh bisnis serta PEMETAAN dampak
negatif yang ditimbulkan oleh setiap jenis resiko tersebut.
2. Pengumpulan, seleksi, dan ANALISIS informasi factual yang relevan dengan setiap jenis
risiko beserta dampaknya.
3. Pengembangan hasil analisis informasi berupa PERAMALAN (forecasting) terhadap
tingkat kemungkinan risiko ke depan.
4. Perencanan, eksekusi, dan Evaluasi PENGENDALIAN Sumber Risiko dan/atau Dampak
Risiko berdasarkan hasil Analisis (Pemetaan) Risiko.
Apa hubungan pengelolaan Risiko dengan pengendalian internal? Titik temu utamanya
adalah pada kepentingan untuk melakukan tindakan pencegahan (preventive action) atau
membangun system peringatan dini (early warning system or alert system or alert system) yang
efektif diperusahaan, dimana berbagai risiko yang mungkin terjadi beserta dampaknya dapat
diidentifikasi, diukur, dan akhirnya dapat diminimalkan sekecil mungkin (controllable risk).
Kalimat-kalaimat sederhana berikut ini memberi gambaran lain tentang hubungan keduanya:
Internal Control adalah alat untuk mendukung Risk management dalam pengumpulan
informasi lapangan, sekaligus sebagai response in action terhadap hasil Risk
Management.
Sebaliknya, Risk Management adalah acuan awal bagi seluruh aktivitas Internal
Control, sekaligus alat evaluasi yang efektif untuk mengukur kememandaian internal
Control yang sedang berjalan.
Internal Control dan Risk Management bagai “otak” dan “hati”, pikiran dan bijaksana, atau bagai
dua sisis mata uang yang tidak bisa terpisahkan. Keduanya merupakan integrated mission bagi
Satuan Kerja Audit Internal.
Artikel terbaru tentang risiko telah menyarankan auditor internal untuk membantu
manajemen dengan tidak hanya mengidentifikasi area-area risiko tetapi juga membantu
manajemen dalam mengendalikan risiko tersebut secara positif. Penulis menyatakan bahwa
risiko biasanya dipandang negatif, padahal risiko merupakan esensi usaha dan fungsi jenis usaha.
Fungsi-fungsi ini biasanya menggunakan kontrol untuk menetralkan risiko yang berlebihan dan
mencoba seperangkat parameter empat risiko ditempatkan pada tingkat di mana aspek positif
melebihi aspek negatifnya. Contoh sederhana adalah penetapan batas kredit atas penjualan: untuk
menetapkan batasan yang ketat dan menghilangkan risiko akan menghilangkan penjualan
marginal yang secara potensial akan dihapuskan dalam kondisi usaha yang normal.
Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan
berhatihati dengan cara-cara yang layak dan efisien. Auditor mengevaluasi langkah-langkah
yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Jadi, audit menjadi
suatu alat evaluasi kontrol yang positif yang membantu mengidentifikasi risiko-risiko yang harus
diambil dan kontrol terkait untuk meningkatkan operasi dari posisi pendapatan dan laba.
Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam
mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang
audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. Jadi:
Kontrol Risiko:
Mendukung suatu program kontrol risiko dan kerugian secara proaktif.
Memberikan insentif maksimum untuk peran serta dalam program kontrol risiko.
Memonitor efektivitas aktivitas kontrol risiko.
Pendanaan Risiko:
Mempertimbangkan semua sumber keuangan yang tersedia.
Mempertahankan proteksi terhadap kerusakan yang mungkin timbul.
Mengalokasikan biaya pendanaan risiko di antara unit-unit operasi secara wajar.
Administrasi:
Menciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko.
Menerapkan struktur manajemen risiko yang terdefinisi dengan baik.
Mengembangkan tujuan tahunan yang ditargetkan dengan jelas.
Menjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.
Jadi, auditor internal dalam proses evaluasi risiko juga memerhatikan aspek positif dari
manajemen risiko dan menyebabkan fungsi audit internal mengambil langkah positif untuk
memberi kontribusi bagi kebaikan manajemen
Tujuan-tujuan Proses Manajemen Risiko
Dalam mengevaluasi proses manajemen risiko, auditor internal harus memformulasikan
suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang
tercantum pada Practice Advisory 21'10-1, "Penilaian Kecukupan Proses Manajemen Risiko"
Tujuan-tujuan ini adalah:
Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan diprioritaskan.
Manajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima
oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai rencana
strategis organisasi.
Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau
justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh manajemen dan
dewan komisaris.
Aktivitas-aktivitas pengawasan yang berkelanjutan ailaksanakari untuk secara periodik
menilai ulang risiko dan efektivitas kontrol untuk mengelola risiko.
Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses
manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik
tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.
Metode-metode Analitis
Identifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang
optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. Metode-metode
ini adalah:
Pembuatan bagan alir
Kuesioner konntrol internal
Analisis matriks
1. Pembuatan Bagan Alir
Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol
operasi. Bagan alir adalah penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran
aktivitas melalui proses. Bagan tersebut memungkinkan untuk "melihat" operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahan-kelemahan
kontrol. Bagan alir merupakan sarana komunikasi yang bagus antara auditor dan karyawan
operasional; bagaikan sebuah peta jalan yang merupakan alat komunikasi yang, lebih baik
dibandingkan sebuah narasi berisi putaran dan lampu lalu lintas di jalan. Bagan alir juga
menawarkan peluang untuk menyajikan secara komparatif suatu gambar mengenai pendekatan
alternatif untuk suatu proses.
Pembuatan bagan alir merupakan sebuah metode yang tidak benar-benar digunakan di
masa lalu karena sangat menghabiskan waktu. Di masa lalu, bagan alir ditulis tangan di atas
kertas menggunakan pola plastik berisi rancangan simbol-simbol operasional. Bagan alir tulis
tangan yang final sering kali merupakan produk akhir dari proses sebelumnya yang banyak
mengandung kesalahan dan banyak dihapus. Bagan alir yang ditulis tangan tidak memudahkan
modifikasi. Meskipun merupakan alat yang efektif, pembuatan bagan alir tidak sepenuhnya
digunakan karena tidak efisien.
Penemuan komputer menimbulkan efisiensi dan efektivitas dalam pembuatan bagan alir.
Bagan alir dapat dengan mudah digambar, diubah, dan diperbarui tanpa memakan banyak
tenaga. Sebuah bagan alir yang dibuat menggunakan komputer untuk operasi pemrosesan
pembayaran tampak seperti ini:
Apakah nota
pembayran dan cek sesuai?
Periksa salinan
cek
Siapkan pengganti nota pembayaran, periksa yang
asli
Siapkan induk batch berisi total, kirim ke
EDP
Ya
Siapkan slip setoran bank, saldo untuk pembayaran
batch
Kirim surat ke pelanggan menjelaskan perbedaan dan langkah yang diambil
Cek asli
Ya
Tidak
Nota Pembayaran
Bandingkan aplikasisetoran
Cek Risiko– nota Pengganti bisa jadi untuk akun yang tidak sesuai
Piutang usaha diperbarui
Nota Pengganti
Supervisor harus mengetahui semuatransaksi-transaksi yang dikecualikan
Risiko – Tidak adakontrol untuk penerimaan kas yang tidak dapat diterapkan
Setorkan ke bank
Tampilan Proses Pembayaran yang Ditemukan Selama Audit
Pembayaran yang diterima di kotak pos
Risiko – Semua surat Kotak pos dikosongkan Kontrol tunggal untuk suratbisa jadi tidak diproses oleh kurir; dibawa ke dari kotak pos ke ruang
ruang penyortiran surat penyortirandalam kotak khusus.
Surat disortir, Tidak disiapkan total batchPembayaran ke kotak (Kelompok)
KhususRisiko – Semua penerimaankas bisa jadi tidak diproses pada jumlah yang sesuai Kotak dikirimkan ke unit
Pemrosesan
Risiko – nota pereimaan Amplop dibuka, cek Unit pemrosesan haruslah bisa jadi tidak sesuai dibandingkan dengan sebuah area yang aman
nota pembayaran
Catatan auditor berada di luar symbol-simbol bagan alir.
Auditor melakukan analisis awal tentang risiko dan menggunakan alternatif-alternatif
yang direkomendasikan oleh rekomendasi audit yang tertera pada bagan berikut.
Ya
Pembayaranhanyaditunjukankekotakposkhususpembayaran.Satukotakuntukpembayarandalamjumlahbesar: yang lainuntukjumlah