Audit Berbasis Risiko (Risk Based Audit)

1 Pengertian Audit Berbasis Risiko

(Tujuan sub-bab ini adalah memahami apa yang dimaksud audit berbasis risiko)
Audit Berbasis Risiko (Risk Based Audit) adalah metodologi pemeriksaan yang
dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan
risiko yang telah ditetapkan manajemen pada tingkatan korporasi.
Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis,
finansial, operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam Audit
berbasis risiko, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa
mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Risk-Based Audit memastikan bahwa seluruh tanggung jawab manajemen telah
dilakukan secara efektif. Tanggung jawab manajemen yang utama termasuk memastikan
internal control telah memadai dan manajemen risiko telah dilakukan dengan tepat, diikuti
oleh berbagai fungsi dan unit kerja di perusahaan. Peran Risk-Based Audit dalam
peningkatan Internal Control dan Proses Manajemen Risiko sangat menyeluruh dan
strategis. Oleh karena itu apabila Risk Based Auditdiimplementasikan dengan konsisten,
maka efektivitas Internal Control dan Proses Manajemen Risiko perusahaan akan
meningkat.

2 Tujuan Audit Berbasis Risiko

Tujuannya audit berbasis risiko adalah memberikan keyakinan kepada Komite Audit,
Dewan Komisaris dan Direksi bahwa:
1. Perusahaan telah memiliki proses manajemen risiko, dan proses tersebut telah dirancang
dengan baik.
2. Proses manajemen risiko telah diintegrasikan oleh manajemen ke dalam semua tingkatan
organisasi mulai tingkat korporasi, divisi sampai unit kerja terkecil dan telah berfungsi
dengan baik.
3. Kerangka kerja internal dan tata kelola yang baik telah tersedia secara cukup dan berfungsi
dengan baik guna mengendalikan risiko.

3 Manfaat Audit Berbasis Risiko

Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah
sebagai berikut:

1. menjadi sistem check dan balance terhadap kontrol organisasi

2. meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan
3. meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko
4. meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya
5. mengungkap temuan mengenai kelemahan yang dimiliki manajemen
 4 Ruang Lingkup Audit Berbasis Risiko

1. Penilaian atas identifikasi risiko yang dilakukan oleh manajemen

termasuk risiko bisnis yang dapat menghalangi pencapaian tujuan perusahaan.
2. Mengetahui kadar dan dampak risiko yang menimpa perusahaan.
3. Mempercepat eskalasi risiko tinggi kepada manajemen puncak.
4. Kemampuan melakukan pemeriksaan manajemen risiko yang akan ditularkan kepada
seluruh anggota auditor maupun auditee.

5 Peran Audit Berbasis Risiko

1. Dengan analisis risiko yang berkesinambungan, Internal Audit akan memiliki Early
Warning Signals, sehingga penanganan risiko dapat dilakukan lebih proaktif dan dini.
2. Mengomunikasikan visi, misi, strategi kebijakan direksi dan mekanisme pelaporan
yang berkaitan dengan manajemen risiko perusahaan ke seluruh jajaran perusahaan.
3. Mengidentifikasi KPI (Key Performance Index) dan CSA ( Control Self-Assessment)
yang berkaitan dengan risiko.
4. Mengikutsertakan stakeholders utama dan komunitas investasi dalam kegiatan dan
perkembangan manajemen risiko perusahaan.

6 Aspek yang Harus Diperhatikan

Adapun Aspek-aspek yang perlu diperhatikan auditor dalam melakukan pendekatan

audit berbasis risiko:
1. Dalam menerapkan ABR, auditor perlu mengidentifikasi wilayah/area yang memiliki risiko
yang menghambat pencapaian tujuan manajemen. Misalnya dalam audit keuangan, risiko
salah saji yang besar/tinggi pada penyajian laporan keuangan. Wilayah/area yang memiliki
tingkat risiko yang tinggi tersebut akan memerlukan pengujian yang lebih mendalam.
2. Auditor dapat mengalokasikan sumber daya auditnya berdasarkan hasil identifikasi atas
kemungkinan dan dampak terjadinya risiko. Wilayah berisiko rendah menjadi prioritas akhir
alokasi sumber daya audit.
Oleh karena itu, dalam ABR, auditor harus melakukan analisis dan penaksiran risiko
yang dihadapi auditi. Dalam melakukan analisis dan penaksiran risiko (risk assessment),
auditor perlu memerhatikan hal-hal sebagai berikut.

1. Risiko kegiatan dari auditi (the auditee business risk), yaitu risiko terjadinya suatu kejadian
yang dapat memengaruhi pencapaian tujuan dan sasaran manajemen. Risiko yang dimaksud
bukan hanya risiko atas salah saji laporan keuangan namun juga risiko tidak tercapainya
sasaran/tujuan yang telah ditetapkan.
2. Cara manajemen mengurangi atau meminimalisasi risiko.
3. Wilayah/area yang mengandung risiko dan belum diidentifikasi oleh manajemen secara
memadai atau bahkan tidak diketahui sama sekali oleh manajemen.

7 Metodologi Audit Berbasis Risiko

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan

besar yaitu:
 1 Asesmen Risiko

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit
dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan
sumber daya yang kita miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini
dapat ditiadakan bilamana profil risiko yang dihasilkan oleh unit Manajemen Risiko
Korporasi sudah tersedia dan dapat diyakini keandalannya
Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara
lain:
1. Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan
perusahaan
2. Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar
daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit.

2 Penyusunan Program Audit Internal

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai
akhirnya menggunakan faktor risiko seperti:
1. Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang
memiliki risiko dengan rating tinggi
2. Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan
parameter keuangan maupun non keuangan
3. Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki
perusahaan seperti pengendalian internal
4. Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur,
restrukturisasi organisasi yang mempunyai dampak kepada area tertentu

3 Pelaksanaan Program Audit Internal

1. Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan
perusahaan; Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan
secara efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi.
2. Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan
risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di
dalam perusahaan; Auditor Internal harus dapat memberikan keyakinan bahwa
manajemen bekerja dalam parameter risiko yang telah ditetapkan.
3. Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan
kerangka kerja yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap
proses implementasi kerangka kerja penerapan manajemen risiko yang telah
didokumentasikan dan diyakini dapat memfasilitasi perubahan dinamis perusahaan.
4. Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap
pengendalian; Auditor Internal harus memahami rancangan pengendalian dan ketepatannya
berhubungan dengan bagaimana suatu tindakan pengendalian tersebut dilakukan secara
konsisten sesuai dengan arah dan kebijakan perusahaan.

Risiko Audit
Risiko audit adalah risiko memberikan opini audit yang tidak tepat atas laporan
keuangan yang disalah sajikan secara material. Risiko audit terdiri dari 2 unsur utama :

1. Inherent risk ( risiko bawaan) dan control risk ( risiko pengendalian)

 Sifat : laporan keuangan mungkin/berpotensi mengandung salah saji yang material
Sumber : tujuan/operasi entitas dan rancangan/implementasi pengendalian internal oleh
manajemen.

2. Detection risk (risiko pendeteksian)

Sifat : auditor mungkin gagan mendeteksi salah saji yang material dalam laporan
keuangan
Sumber : sifat dan luasnya prosedur audit yang dilaksanaan auditor.

Pelaksanakan Audit Berbasis Risiko

Pelaksanaan audit berbasis risiko, terdapat 4 pokok bahasan :
1. Skeptisisme professional
Auditor wajib merencanakan dan melaksanakan suatu audit dengan Skekeptisi
professional dengan menyadari bahwa mungkin ada situasi yang menyebabkan laporan
keuangan disalah sajikan secara material.

2. Kearifan professional
Auditor wajib melaksanakan kearifan professional dalam merencanakan dan
melaksanakan suatu audit atas laporan keuangan.

3. Asurans yang layak

Untuk memperoleh asurans yang layak auditor memperoleh bukti auditor yang
cukup dan tepat untuk menekan risiko audit ketingkat rendah yang dapat diterima, dengan
demikian memungkinkan auditor menarik kesimpulan yang layak untuk digunakan sebagai
dasar pemberian pendapat auditor.

4. Gunakan tujuan sesuai ISAs yang relevan

Untuk mencapai tujuan seluruhnya auditor wajib menggunakan tujuan yang
dinyatakan dalam ISAs yang relevan dalam merencanakan dan melaksanakan audit tersebut
dengan memperhatikan keterkaitan diantara berbagai ISAs.

Pelaporan/Reporting
Kutipan dari ISA 700.6 mengenai tujuan auditor dalam proses audit tahap 3:
“Tujuan auditor adalah:
§ Merumuskan opini mengenailaporan keuangan berdasarkan evaluasi atau kesimpulan yang
ditarik atas bukti audit yang diperoleh dan
§ Memberikan opini dengan jelas, melalui laporan tertulis, yang juga menjelaskan dasar (untuk
memberikan) pendapat tersebut”

Tahap terakhir dalam audit adalah menilai bukti audit yag diperlukan dan menentukan
apakah bukti audit itu cukup dan tepat untuk menekan risiko audit ke tingkat rendah yang
dapat diterima.
Dalam tahap ini sangatlah penting untuk menentukan:
· Setiap perubahan dalam tingkat risiko yang sinilai;
· Apakah kesimpulan yang ditarik dari pekerjaan audit, sudah tepat;
· Apakah ada situasi mencurigakan yang dialami; dan
· Risiko tambahan (yang sebelumnya tidak teridentifikasi) sudah dinilai dengan tepat dan
prosedur audit selanjutnya, sudah dilaksanakan sebagaimana diwajibkan (ISAs)

Jika semua prosedur sudah dilaksanakan dan kesimpulan dicapai, maka :

· Temuan audit dilaporkan kepada manajemen
· Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk laporan auditor,
harus dibuat.

Suatu audit berbasis risiko mengandung tiga langkah kunci :

1. Risk assessment (menilai risiko)
Melaksanakan prosedur penilaian risiko untuk mengindentifikasi risiko salah saji
yang material dalam laporan keuangan.

2. Risk response ( menanggapi risiko)

Merancan dan melaksanakan prosedur audit selanjutnya yang menganggapi risiko
salah saji yang material yang telah diidentifikasi dan nilai, pada tingkat laporan keuangan
dan arsersi.

3. Reporting (pelaporan)
Tahap melaporkan meliputi
a. Merumuskan bukti audit yang diperoleh
b. Membuat dan menerbitkan laporan yang tepat, sesuai kesimpulan yang ditarik

SPI (SISTEM PENGENDALIAN INTERN)

B. Pengertian SPI

Sistem pengendalian intern merupakan suatu perencanaan yang meliputi struktur organisasi
dan semua metode dan alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan
dengan tujuan untuk menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan
kebenaran data akuntansi, mendorong efisiensi, dan membantu mendorong dipatuhinya
kebijakan manajemen yang telah ditetapkan.

C. Tujuan SPI

1. Menjaga kekayaan organisasi.

2. Memeriksa ketelitian dan kebenaran data akuntansi.
3. Mendorong efisiensi.
4. Mendorong dipatuhinya kebijakan manajemen.

D. Jenis SPI

1. Pengendalian Intern Akuntansi (Preventive Controls)

Pengendalian Intern Akuntansi dibuat untuk mencegah terjadinya inefisiensi yang tujuannya
adalah menjaga kekayaan perusahaan dan memeriksa keakuratan data akuntansi. Contoh :
adanya pemisahan fungsi dan tanggung jawab antar unit organisasi.
2. Pengendalian Intern Administratif (Feedback Controls).

Pengendalian Administratif dibuat untuk mendorong dilakukannya efisiensi dan mendorong

dipatuhinya kebijakkan manajemen.(dikerjakan setelah adanya pengendalian akuntansi)
Contoh : pemeriksaan laporan untuk mencari penyimpangan yang ada, untuk kemudian
diambil tindakan.

E. Peran Penting SPI

1. Membantu manajemen dalam mengendalikan dan memastikan keberhasilan

kegiatan organisasi.
2. Menciptakan pengawasan melekat, menutupi nkelemahan dan keterbatasan
personel, serta mengurangi kemungkinan terjadinya kesalahan dan kecurangan.
3. Membantu auditor dalam menentukan ukuran sampel dan pendekatan audit yang
akan diterapkan.
4. Membantu auditor dalam memastikan efektifitas
5. audit, dengan keterbatasan waktu dan biaya audit

F. Keterbatasan SPI

1. Kekeliruan pengoperasian sistem (mistake in judgement) karena terbatasnya

informasi dan waktu, karena tekanan lingkungan, atau karena terbatasnya
kemampuan, meskipun SPI sudah dilengkapi dengan pedoman penyelesaian
masalah.
2. Pelanggaran sistem (breakdowns), baik disengaja atau tidak, misalnya karena
kesalahan interpretasi, kecerobohan, gangguan lingkungan, perubahan personalia,
atau perubahan sistem dan prosedur.
3. Kolusi, atau kerjasama negatif sekelompok orang.
4. Pelanggaran dengan sengaja oleh manajemen (management override)
5. Dilema biaya-manfaat (costs versus benefits)

G. Penanggungjawab SPI

1. COSO (committee of sponsoring organizations), suatu organisasi yang anggotannya terdiri

dari AAA (the American Accounting Association), AICPA, IIA (the Institute of Internal
Auditors), IMA (the Institute of Management Accountants), dan FEI (the Financial Executive
Institute), menyatakan bahwa setiap personel dalam suatu organisasi memiliki
tanggungjawab dan merupakan bagian dari struktur pengendalian interen organisasi.

2. Fihak eksteren, seperti auditor independent serta lembaga otoritas yang lain,
dimungkinkan untuk memberikan kontribusi dalam perancangan struktur pengendalian
interen, tetapi mereka tidak bertanggungjawab terhadap efektifitas SPI dan bukan bagian
dari SPI

3. Kelompok berperan besar:

a. Manajemen,
b. Dewan komisaris dan komite audit,

c. Auditor interen,

d. Personel lain dalam organisasi,

e. Auditor independen,

f. Fihak luar lain, seperti lembaga-lembaga otoritas yang memiliki kewenangan untuk
mengatur jalannya organisasi

H. Lingkungan Pengendalian

Adalah kondisi lingkungan organisasi yang sehat untuk mendukung penerapan SPI, yang
komponennya terdiri dari:

1. Integritas dan nilai-nilai etika yang tertanam dalam budaya organisasi,

2. Komitmen terhadap kompetensi,
3. Peran dan pengaruh dewan komisaris serta komite audit,
4. Filosofi manajemen dan gaya operasi organisasi,
5. Struktur organisasi yang mampu memberikan kejelasan wewenang dan tanggung
jawab dengan baik,
6. Budaya dan aturan yang sehat dalam mekanisme penetapan otoritas dan
tanggungjawab,
7. Kebijakan dan praktik yang sehat di bidang sumber daya manusia.
8. Pengaruh faktor-faktor eksteren organisasi

I. Prosedur Pemahaman SPI

Pemahaman SPI mencakup:

1. Memahami lingkungan pengendalian.

2. Memahami disain kebijakan dan prosedur masing-masing komponen SPI
3. Mengevaluasi penerapan nkebijakan dan prosedur.

Pemahaman dilakukan dengan cara:

1. Review pengalaman dengan klien dalam penugasan audit sebelumnya.

2. Wawancara dengan manajemen, staff, serta personel pelaksana.
3. Inspeksi dokumen dan catatan.
4. Observasi aktivitas dan operasi perusahaan.

J. Elemen SPI

1. Lingkungan Pengendalian

Lingkungan Pengendalian dari suatu organisasi menekankan pada berbagai macam faktor
yang secara bersamaan mempengaruhi kebijakan dan prosedur pengendalian
2. Sistem Akuntansi

Sistem akuntansi tidak hanya digunakan untuk menghasilkan laporan keuangan saja, tetapi
juga menghasilkan pengendalian manajemen.

3. Prosedur Pengendalian

Prosedur pengendalian merupakan kebijakan dan aturan mengenai kelakuan karyawan yang
dibuat untuk menjamin bahwa tujuan pengendali-an manajemen dapat tercapai.

4. Penilaian Resiko (Risk Assesment)

Semua organisasi memiliki risiko, dalam kondisi apapun yang namanya risiko pasti ada
dalam suatu aktivitas, baik aktivitas yang berkaitan dengan bisnis (profit dan non profit)
maupun non bisnis. Suatu risiko yang telah di identifikasi dapat di analisis dan evaluasi
sehingga dapat di perkirakan intensitas dan tindakan yang dapat meminimalkannya.

5. Informasi dan komunikasi

Informasi dan komunikasi merupakan elemen-elemen yang penting dari pengendalian

intern perusahaan. Informasi tentang lingkungan pengendalian, penilaian risiko, prosedur
pengendalian dan monitoring diperlukan oleh manajemen Winnebago pedoman
operasional dan menjamin ketaatan dengan pelaporan hukum dan peraturan-peraturan
yang berlaku pada perusahaan.

Arti Penting SPI

Arti pentingnya SPI bagi manajemen dan auditor independen sudah lama diakui dalam
profesi akuntansi, dan pengakuan tersebut makin meluas dengan alasan :

1. Semakin luas lingkup dan ukuran perusahaan mengakibatkan di dalam banyak hal
manajemen tidak dapat melakukan pengendalian secara langsung atau secara
pribadi terhadap jalannya perusahaan.
2. Pengecekan dan review yang melekat pada sistem pengendalian intern yang baik
dapat akan pula melindungi dari kelemahan manusia dan mengurangi kekeliruan dan
penyimpangan yang akan terjadi
3. Di lain pihak, adalah tidak praktis bagi auditor untuk melakukan pengauditan secara
menyeluruh atau secara detail untuk hampir semu transaksi perusahaan dalam
waktu dan biaya terbatas.