A.
Penilaian Risiko oleh Entitas
Risiko bawaan
adalah risiko yang mungkin timbul akibat karakter bawaan dari suatu transaksi,
yang bisa disebabkan oleh kompleksitas transaksi dan klasifikasi transaksi;
kompleksitas perhitungan; aset yg mudah tercuri/digelapkan dan ketiadaan
informasi yang sifatnya obyektif. Dalam entitas yag lebih kecil, proses penilaian risiko
bersifat informative dan tidak terstuktur.
Resiko dalam entitas lebih kecil sering kali diakui secara implisit dan bukan
eksplisit. Manajemen mungkin tidak menyadari resiko yang berhubungan dengan
pelaporan keuangan melalui langsung pegawai dan pihak – pihak luar. Oleh karena
itu, auditor harus menanyakan (make inquiries) kepada manajemen mengenai
bagaimana manajemen mengidentifikasi dan mengelola risiko. Penilaian
risiko oleh entitas merupakan salah satu dari lima komponen dalam pengendalian
internal yang harus ditangani oleh manajemen. Ketika manajemen memahami proses
penilaian risiko yang lebih formal, manajemen mungkin memutuskan untuk
mengembangkan, mengimplementasi dan mendokumentasikan prosesnya sendiri. Jika
ini terjadi, audior akan mengevaluasi:
1.
Pengendalian
yang ada terhadap proses manajemen ini.
2.
Lengkapnya
identifikasi risiko bisnis dan risiko kecurangan.
3.
Penilaian
manajemen terhadap besaran risiko atau dampak moneter dan peluang terjadinya.
4.
Tanggapan
manajemen terhadap risiko yang dinilai yang merupakan hasil dari proses
penilaian risiko
Jika manajemen gagal
mengidentifikasi risiko-risiko utama, auditor sebaiknya mempertimbangkan apakah
ada kelemahan yang signifikan dalam proses penilaian risiko. Yang menjadi acuan dalam menilai resiko
bawaan adalah ISA 240 dan ISA 315. Berikut ini terjemahan alinea dari kedua ISA
tersebut.
ISA 240. 25 Sesuai dengan
ISA 315, auditor wajib mengidentifikasi dan menilai risiko salah saji material
karena kecurangan pada tingkat laporan keuangan dan pada tingkat asersi untuk
jenis transaksi, saldo akun, dan pengungkapan.
ISA 240. 26 Ketika mengidentifikasi dan menilai risiko
salah saji material karena kecurangan, auditor wajib berdasarkan dugaan adanya
risiko kecurangan dalam pengakuan pendapatan, mengevaluasi jenis pendapatan,
transaksi pendapatan atau asersi apa saja yang menimbulkan risiko tersebut.
Alinea 47 memerinci dokumentasi yang diperlukan jika auditor menyimpulkan
dugaan itu tidak beralasan dan karenanya ia tidak mengidentifkasi pengakuan
pendapatan sebagai risiko salah saji material karena kecurangan. (lihat alinea
A28 – A30)
ISA 240.27 Auditor wajib memperlakukan risiko yang dinilai
mengenai salah saji material karena kecurangan sebagai risiko yang signifikan
dan karenanya, jika belum dilakukan, auditor wajib memperoleh pemahaman
mengenai pengendalian entitas yang terkait, termasuk kegiatan pengendalian,
yang berkenaan dengan risiko tersebut. (lihat alinea A31 – A32)
ISA 315. 25Auditor wajib mengidentifikasi dan menilai
resiko salah saji material karena kecurangan pada
1. Tingkat laporan keuangan dan (lihat alinea A105
– A108)
2. tingkat asersi untu jenis transaksi, saldo akun
dan pengungkapan (liahat alinea A109 – A113)
3.
Sebagai
dasar untuk merancang dan melaksanakan prosedur audit selanjutnya.
ISA 315. 26 Auditor wajib :
1.
Mengidentifikasi
resiko melalui pemahaman terhadap pengendalian
(lihat alinea A114 – A115).
2. Menilai dan mengevaluasi resiko apakah
berhubungan dengan laporan Keuangan secara keseluruhan.
3. Menghubungkan resiko pada tingkat asersi (lihat
alinea A116 – A118).
4.
Mempertimbangkan
kemungkinan salah saji, apakah termasuk salah saji ganda dan mengakibatkan
salah saji material.
Risiko Inheren
(IR) mengukur penilaian auditor atas kemungkinan salah saji yang material,
sebelum memperhitungkan keefektifan pengendalian internal. Jika auditor
menyimpulkan kemungkinan besar terdapat salah saji dengan mengabaikan
pengendalian internal maka auditor akan menyimpulkan IR adalah tinggi. Pengendalian
internal diabaikan dalam perhitungan IR karena pengendalian internal
diperhitungkan secara terpisah sebagai CR.
Faktor – Faktor Risiko Bawaan Faktor-faktor yang
mempengaruhi resiko bawaan meliputi:
1.
Sifat
bisnis klien
2.
Hasil
audit sebelumnya
3.
Penugasan awal vs
penugasan berulang
4.
Pihak
terkait (Related Party)
5.
Transaksi
tidak rutin
6.
Kerentanan
terhadap fraud
7.
Perubahan
unsur-unsur populasi
8.
Pertimbangan yang
diperlukan untuk mencatat saldo akun dan transaksi dengan tepat
Tinjauan Umum Dalam mengidentifikasi risiko yang ada, auditor
dapat:
1.
Melaksanakan
prosedur penilaian risiko untuk mengidentiikasi sumber atau penyebab risiko
melalui pemahaman kondisi entitas.
2. Menentukan dampak yang mungkin ada, dari sumber
risiko yang diidentifikasi.
3.
Menghubungkan
dampak risiko dengan area laporan keuangan dan asersi yang dipengaruhi, atau
menentukan apakah risiko bersifat pervasif terhadap laporan keuangan secara
menyeluruh dan secara potensial memengaruhi banyak asersi.
Langkah berikutnya ialah menilai risiko yang
diidentifikasi dan menentukan seberapa pentingnya risiko tersebut untuk
mengaudit laporan keuangan. Penilaian atas risiko yang diidentifikasi mempertimbangkan
dua atribut mengenai risiko, yakni:
1.
Berapa
besar peluang terjadinya salah saji dalam laporan keuangan yang diakibatkan
oleh risiko tersebut? Auditor dapat mengevaluasi probabilitas dengan sederhana,
yakni apakah probabilitasnya tinggi, sedang atau rendah. Atau ia dapat memberi
skor dalam bentuk angka.
2.
Berapa
besar dampak moneternya (monetary impact) jika risiko itu menjadi
kenyataan ? Jika risiko itu memang terjadi, berapa besar
dampak moneternya? Pendapat mengenai hal ini harus dinilai terhadap suatu
jumlah tertentu sebagai acuan. Jika tidak, orang yang berbeda (dengan angka materialitas yang
berbeda dalam benaknya) bisa memiliki kesimpulan yang berbeda-beda pula dalam
menyimpulkan risiko tersebut. Untuk tujuan audit, angka yang ditetapkan berhubungan dengan apa
yang merupakan salah saji material dalam laporan keuangan secara menyeluruh.
Penilaian ini dievaluasi secara sederhana sebagai tinggi, sedang atau rendah.
B.
Dokumentasi Risiko yang Dinilai
Menilai faktor risiko memerlukan kearifan profesional.
Penilaian risiko salah saji material dilakukan pada dua tingkatan, yakni ditingkat
laporan keuangan dan ditingkat asersi untuk jenis transaksi, saldo akun dan
disclosures.
Dokumentasi bisa dalam bentuk memo (bentuk
cerita atau naratif) atau daftar risiko.
Tabel 1
|
Sumber Risiko
|
Implikasi Faktor Risiko
|
Asersi PCAEV
|
|
Imbalan bagian penjualan berupa komisi penjualan
|
Potensi penjualan fiktif,
pencatatan penjualan dalam periode yang salah, syarat penjualan dimainkan,
dan upaya lain untuk mencapai/melewati ambang batas bonus.
|
AE
|
|
Pelanggaran terhadap perjanjian kredit sengaja ditutup
– tutupi agar tidak diketahui/ditanya pihak bank.
|
Journal entris tanpa persetujuan untuk menunda
pembebenan biaya, bias manajemen dalam membuat estimasi akuntansi
|
P
|
|
Pegawai memasukkan penyuplai fiktif.
|
Entitas membayar harga mahal untuk barang/jasa ang
tidak diterima
|
AE
|
|
Hubungan istimewa dirahasiakan dari pemegang saham
pengendalian.
|
Pendapatan dan beban tidak dicatat dengan nilai pasar
wajar (fair market value)
|
P
|
|
Penjualan tunai spare parts dan servis tidak dicatat
dan tidak disetor.
|
Pendapatan dan aset dinyatakan terlalu rendah (understated)
|
CAE
|
Catatan untuk tabel
1 :
1.
Dua
kolom pertama (sumber risiko dan implikasi faktor risiko) diselesaikan sebagai
bagian dari langkah identifikasi risiko (risk identification)
2. Kolom asersi merupakan penilaian terhadap :
a.
Asersi
spesifik (specific assertions) yang berkaitan dengan area laporan keuangan (jenis
transaksi atau saldo akun) atau pengungkapan (disclosure) yang dipengaruhi oleh
risiko tersebut.
b.
Risiko
pervasiv (pervasive risk) yang berdampak terhadap banyak, kebanyakan, atau
semua asersi, dan berpengaruh atas penilaian risiko pada tingkat laporan
keuangan.
c.
Singkatan
asersi : P (Pervasive), C (Complinetess), A (Accuracy), E (Existance), dan V
(Valuation).
3. Risiko yang dinilai adalah risiko bawaan
(inherent risk), bukan risiko pengendalian (control risk).
4.
Penilaian
mengenai peluang terjadinya risiko dan dampak moneter menggunakan skala angka
dimana skor 1 berarti peluang terjadinya risiko / dampak moneter adalah rendah
dan skor 5 berarti peluang terjadinya risiko/dampak moneter adalah tinggi. Skor
ini dapat dikalikan untuk menghitung skor gabungan. Alternatifnya ialah
mendokumentasikan risiko yang dinilai sebagai T (tinggi), S (sedang), dan R
(rendah).
Dalam mendukumentasikan faktor risiko, pertimbangkan
bagaimana informasi ini dimutakhirkan dan digunakan di waktu yang akan datang.
Mencatat informasi ini di satu tempat dan dalam format yang terstruktur
(seperti tabel 1) mungkin akan memakan waktu pada awalnya, tetapi akan lebih
mudah dan menghemat waktu di saat dimutakhirkan. Suatu format terstruktur juga
membantu memastikan:
1. Berbagai risiko tidak ditangani berulang kali, yang sering terjadi dalam
hal informasinya tersebar dimana – mana.
2.
Setiap risiko dinilai
dengan cara yang sama dan konsisten.
3.
Setiap risiko yang
signifikan akan teridentifikasi.
4.
Review menjadi mudah,
kertas kerja dan elektronis memungkinkan risiko (yang diberi skor angka)
disortir menurut skor gabungan atau menurut peluang terjadi atau besaran risiko
(dampak moneter).
5.
Daftra risiko (risk
lising) dapat dibagi dengan klien untuk memperoleh masukan, atau auditor
meminta klien membuat daftar faktor risiko untuk direview.
C.
Menilai Risiko Signifikan
Yang menjadi acuan adalah
ISA 240, 315, dan 330. Berikut ini adalah terjemahan dari ISAs tersebut.
ISA 240. 26 Ketika mengidentifikasi
dan menilai risiko salah saji material karena kecurangan, auditor wajib berdasarkan dugaan adanya risiko kecurangan dalam pengakuan pendapatan,
mengevaluasi jenis pendapatan, transaksi pendapatan atau asersi apa saja yang
menimbulkan risiko tersebut. Alinea 47 memerinci dokumentasi yang diperlukan
jika auditor menyimpulkan dugaan itu tidak beralasan dan karenanya ia tidak
mengidentifkasi pengakuan pendapatan sebagai risiko salah saji material karena
kecurangan. (lihat alinea
A28 – A30)
ISA 315. 4 Untuk tujuan ISAs, Istilah
berikut mempunyai makna seperti dijelaskan di bawah. (e) Signifikan Risk (Risiko signifikan)__Risiko salah saji material yang
diidentifikasi dan dinilai yang menurut pendapat auditor, memerlukan
pertimbangan khusus.
ISA 315. 25 Auditor wajib
mengidentifikasi dan menilai risiko salah saji material karena kecurangan pada tingkat laporan keuangan; (lihat alinea
A105 – A108) dan tingkat asersi untuk jenis transaksi, saldo
akun, dan pengungkapan (lihat alinea
A109 – A113)
ISA 315. 27 Sebagai bagian dari
penilaian risiko seperti dijelaskan dalam alenia 25, auditor wajib menentukan
apakah risiko yang diidentifikasi, menurut auditor, adalah risiko signifikan.
ISA 315. 28 Dalam menentukan risiko
mana yang merupakan risiko signifikan, auditor wajib
mempertimbangkan setidak-tidaknya :
1.
apakah risiko itu
merupakan risiko kecurangan
2.
apakah risiko itu
berkaitan dengan perkembangan ekonomi akhir-akhir ini
3.
kompleksitas transaksi
4.
apakah risiko itu
melibatkan transaksi signifikan dengan pihak terkait
5.
tingkat subjektivitas
dalam pengukuran informasi keuangan terkait dengan risiko tersebut.
6.
apakah risiko itu
melibatkan transaksi signifikan diluar jalur bisnis entitas atau yang terlihat
aneh (lihat alinea A119 – A123)
ISA 315. 29 Jika auditor sudah
menentukan bahwa risiko signifikan memang ada, auditor wajib memperoleh
pemahaman mengenai pengendalian entitas, termasuk kegiatan pengendalian yang
relevan (untuk menangkal) risiko tersebut. (lihat alinea
A124 – A126)
ISA 330. 21 Jika auditor sudah
menentukan bahwa risiko salah saji material yang dinilai, pada tingkat asersi
merupakan risiko signifikan, auditor wajib melaksanakan prosedur subtantif yang
khusus menanggapi risiko tersebut. dalam hal pendekatan terhadap risiko
signifikan itu hanya terdiri atas prosedur substantif, prosedur wajib uji rincian. (lihat alinea A53)
ISA 550. 18 Auditor wajib
mengidentifikasi dan menilai risiko salah saji yang terkait dengan hubungan
pihak terkait dan transaksi pihak terkait menentukan apakah risiko tersebut
merupakan risiko signifikan. Dalam hal ini auditor wajib memperlakukan
transaksi pihak terkait yang signifikan diluar jalur bisnis yang normal,
sebagai risiko signifikan
ISA 550. 19 Jika auditor
mengidentifikasi faktor risiko kecurangan (termasuk situasi terkait dengan
pengaruh dominan) ketika melaksanakan prosedur penilaian risiko dan kegiatan
terkait, sehubungan dengan pihak terkait, auditor wajib mempertimbangkan
informasi tersebut ketika mengidentifikasi dan menilai risiko salah saji
material karena kecurangan, sesuai ISA 240 (lihat alinea
A6, A29 – A30)
Tinjauan Umum
Sesudah risiko bisnis dan
kecurangan diidentifikasi dan dinilai, auditor
mempertimbangkan kemungkinan adanya risiko signifikan. Risiko signifikan adalah
risiko alah saji yang material yang dinilai begitu besarnya, yang menurut pendapat
auditor akan memerlukan pendapat audit khusus. Risiko signifikan dinilai
sebelum (atau dengan tidak) mempertimbangkan pengendalian yang dapat
menanggulangi (mitigating controls) risiko tersebut. Risiko signifikan
didasarkan atas risiko bawaan (inherent risk), dan bukan risiko gabungan
(combined risk) antara risiko bawaan dan risiko pengendalian intern. Sebagai
contoh perusahaan dengan persediaan intan yang banyak mempunyai risiko
pencurian (risiko bawaan) yang tinggi. Tanggung jawab manajemen ialah mengadakan
sistem, sarana, dan SDM pengaman yang kuat. Jika fasilitas pengamanan kuat,
risiko gabungan berupa salah saji yang material, adalah minimal. Namun, risiko
kerugian (sebelum mempertimbangkan pengendalian intern) adalah tinggi dan
besarannya akan berdampak material terhadap laporan keuangan, risiko ini
merupakan risiko signifikan. Berikut ini merupakan contoh-contoh sumber risiko
signifikan:
1.
Kegiatan
yang berisiko tinggi. Contoh resiko signifikan, Peristiwa/operasi di mana salah saji material mudah terjadi:
a.
Toko perhiasan dengan banyak
persediaan emas dan logam mulia.
b.
Sistem akuntansi baru, rumit, dengan
pengolahan data electronis, mulai dikenalkan perusahaan.
2. Transaksi
nonrutin (ukuran dan sifat). Contoh Risiko Signifikan: Transaksi
hubungan istimewa di luar jalur bisnis yang normal. Transaksinya tidak sering
terjadi, tapi nilai transaksi besar. Sebagai contoh adalah sebagai berikut :
a.
Transaksi
rutin dalam volume yang sangat besar dengan pihak terkait;
b.
Penjualan
besar (kontrak besar) dibandingkan dengan seluruh penjualan entitas.
c.
Jual/beli
aset utama (misalnya pabrik penghasil produk terpenting) atau segmen bisnis
penting.
d.
Penjualan
bisnis kepada pihak ketiga.
e.
Transaksi
rutin yang tidak kompleks dengan pemrosesan sistematis tidak merupakan transaksi
berisiko signifikan.
3. Perlu
judgement, ada intervensi manajemen dan rutinitas/kebosanan. Contoh risiko signifikan:
a.
Asumsi
dan kalkulasi yang digunakan manajemen dalam membuat estimasi penting.
b.
Kalkulasi
atau prinsip akuntansi yang kompleks
c.
Pengakuan
pendapatan dan multi tafsir.
d.
Pengumpulan
dan pengolahan data secara manual
e.
Intervensi
manajemen diperlukan untuk menentukan perlakuan akuntansi yang digunakan
4. Potensi
kecurangan. Contoh risiko signifikan: Risiko tidak mendeteksi salah saji material
karena kecurangan (dilakukan dengan sengaja dan ditutup-tutupi) lebih tinggi
dari risiko tidak mendeteksi salah saji material karena kesalahan. Dalam mengevaluasi apakah
risiko signifikan bisa terjadi dari faktor risiko kecurangan yang
diidentifikasi serta scenario kecurangan yang diidentifikasi dalam diskusi tim
audit. Pertimbangkan hal-hal berikut:
a.
Keterampilan melakukan
kecurangan dari calon pelaku.
b.
Jumlah rata-rata yang
dimanipulasi.
Jika risiko salah saji telah teridentifikasi dan dinilai, yang diperlukan ialah menelaah
temuan dan kemudian memilih (berdasarkan kearifan profsional) risiko-risiko yang signifikan.
D.
Menanggapi Risiko Signifikan
Ketika risiko digolongkan menjadi signifikan,
auditor harus memberikan tanggapan. Berikut ini merupakan langkah-langkah audit
dalam menanggapi risiko signifikan:
1. Evaluasi
pengendalian internal. Apakah
manajemen merancang dan mengimplementasi pengendalian intern yang menangkal
risiko signifikan? Lihat eksistensi pengendalian langsung seperti kegiatan
pengendalian dan pengendalian tidak langsung seperti pengendalian pervasive
yang dapat dimasukkan dalam pengendalian lingkungan, penilaian risiko, sistem
informasi, dan unsur pemantauan. Informasi tersebut diperlukan untuk mengembangkan
tanggapan audit yang efektif terhadap risiko yang diidentifikasi ketika hal-hal
non rutin signifikan atau hal-hal yang bersifat judgmental tidak diamankan
dengan pengendalian intern rutin (misalnya hal peristiwa yang terjadi sekali
setahun), auditor akan mengevaluasi kesadaran manajemen mengenai risiko
signifikan dan apakah tanggapan risiko signifikan itu tepat.
Ketika
auditor menentukan bahwa manajemen belum menanggapi risiko dengan tepat (dengan
mengimplementasi pengendalian intern atau risiko signifikan), ada kelemahan
signifikan dalam pengendalian intern entitas, yang akan dikomunikasikan
(secepatnya kepada TCWG (Those Charged With Governance).
2. Tanggapan audit
terhadap risiko signifikan. Apakah prosedur
audit selanjutnya (yang direncanakan) secara spesifik menanggapi risiko
signifikan? Prosedur ini dirancang untuk memperoleh bukti audit dengan
keandalan tinggi, dan dapat terdiri atas uji pengendalian.
3. Bukti yang
diperoleh tahun lalu. Dalam hal
auditor merencanakan menguji efektifnya operasi (untuk pengendalian yang
menangkal risiko signifikan, auditor tidak dapat mengandalkan bukti audit yang
diperoleh tahun lalu mengenai efektifnya pengendalian intern.
4.
Prosedur
analitikal substansif saja, tidak cukup. Penggunaan
prosedur analitikal substantive saja, tidaklah cukup untuk menanggapi risiko
signifikan. jika pendekatan terhadap risiko signifikan terdiri atas prosedur substantif
saja, prosedur audit dapat berupa : uji rincian saja atau kombinasi uji rincian
dan prosedur analitikal substantif.
Jika semua riiko
didokumentasikan di satu tempat, pendokumentasian risiko signifikan sekedar
perluasan dari informasi yang sudah didokumentaikan.
DAFTAR PUSTAKA
Tuanakotta, Theodorus M. 2014. Audit Berbasis ISA (International Standards On
Auditing). Salemba Empat. Jakarta.
Tidak ada komentar:
Posting Komentar