Risiko Audit (Audit Risk) dan Contoh

Terapannya
oleh Mr. JAK
Salah satu pertanyaan yang sering muncul di seputaran auditing adalah: apa sih itu risiko audit
atau audit risk (AR)? Bagaimana caranya menghitung dan bagaimana contoh terapannya?
Pertanyaan yang sangat bagus. Saya katakan bagus sebab, bagaimanapun juga, risiko audit
sifatnya fundamental di wilayah auditing. Dalam artian, auditor yang tidak menghitung risiko
sebelum menajalankan proses audit namanya bunuh diri.
Reputasi KAP, tempat kerja auditor, bisa rusak bila belakangan ternyata ada skandal hebat yang
sedang berlangsung di dalam perusahaan klien yang baru saja diberikan opini wajar tanpa
pengecualian (WTP). Bahkan, salah-salah, bisa ikut terseret kasus pidana jika kasusnya bergulir
ke ranah hukum.
Kerja audit itu berisiko, apalagi audit terhadap klien kakap, thus harus benar-benar
diperhitungkan sebelum merancang prosedur audit, sehingga nantinya benar-benar aman. Dalam
artian, opini yang disampaikan bisa dipertanggungjawabkan secara profesi maupun legal.
Masalah yang paling mendasar dari audit:
Adalah tidak mungkin bagi auditor untuk memeriksa transaksi per transaksi, klas transaksi per
klas transaksi, akun per akun, satu per satu. Tidak cukup waktu.
Oleh sebab itu maka auditor wajib mengukur dan memetakan risiko audit terlebih dahulu
sebelum mulai menjalankan proses pemeriksaan.
So, apa itu risiko audit atau audit risk?

Apa itu Risiko Audit (Audit Risk)?

Risiko Audit atau Audit Risk (AR) adalah kemungkinan risiko salahsaji bersifat material
dan/atau penggelapan (fraud) yang bisa lolos dari proses audit jika auditor tidak melakukan
tugasnya secara cermat.
Mengingat risiko itu maka, auditor harus melakuka pemeriksaan risiko (risk assessment) sebelum
menjalankan proses audit, tepatnya pada fase perencanaan audit (audit planning).
Tujuannya: Untuk mengukur dan memetakan risiko audit yang mungkin timbul thus bisa
menentukan dimana proses pemeriksaan dilaksanakan secara ketat dan dimana agak longgar,
dimana audit penuh (full audit) dan dimana secara acak (random audit).

Jenis-Jenis Risiko Audit

Ada 3 jenis risiko audit yang wajib diuji dan dipertimbangkan oleh seorang auditor sebelum
menjalankan proses audit, yaitu: (1) risiko inherent (inherent risk), (2) risiko pengendalian
(control risk) dan (c) risiko deteksi (detection risk).
Audit Risk (AR) terdiri dari Inherent Risk (IR), Control Risk (CR) dan Detection Risk (DR)
Click To Tweet
Untuk lebih jelasnya kita lihat satu per satu:
1. Risiko Inherent Atau Inherent Risk (IR) adalah risiko yang mungkin timbul akibat
karakter bawaan dari suatu transaksi, entah karena: (a) kompleksitas transaksi dan klas transaksi;
atau (b) kompleksitas perhitungan; atau (c) aset yg mudah tercuri/digelapkan; atau (d) ketiadaan
informasi yang sifatnya obyektif. Sudah menjadi pemahaman publik bahwa inherent risk adalah
diluar jangkauan auditor dalam melakukan pencegahan. Bahkan, juga diluar kendali pihak
auditee sendiri. Dengan kata lain, auditor hanya bisa menemukan tetapi tidak bisa melakukan
apa-apa. Beberapa ciri IR yg tinggi, antara lain:

Terjadi profitabilitas (dan indikator kinerja kunci lainnya) yang terus menurun;

Terjadi kekurangan modal kerja; dan

Tingginya asset menganggur (tidak menghasilkan)

Contoh Pemeriksaan IR: Saat memeriksa Pendapatan, sebagai seorang auditor anda melihat
4 faktor penting berikut ini dalam mengukur Risiko Inherent (Inherent Risk):

Usaha Sejenis Pertimbangkan persaingan di lingkungan usaha sejenis yang mungkin

mempengaruhi pendapatan dan aliran kas auditee. Misalnya: faktor persaingan
(mungkinkah auditee kalah dalam persaingan sehingga revenue nya menurun?)

Kompleksitas Pengakuan Pendapatan Periksa metode pengakuan pendapatannya,

apakah mengandung kompleksitas yang berpotensi menjadi risiko? Contoh pengakuan
pendapatan dengan perhitungan kompleks dan berpotensi mengandung risiko bawaan
adalah metode persentase penyelesaian yang biasa digunakan oleh jenis usaha real
estate atau developer ATAU metode pengakuan pendapatan atas kontrak lainnya yang
lamanya melewati satu tahun buku.

Kesulitan dalam Menakar Akurasi Perhitungan Revenue Periksa besarnya nilai

revenue dipengaruhi oleh perhitungan yang akurasinya sulit diukur? Misal: menggunakan
Cadangan Bad Debt dan yang angka persentasenya menggunakan estimasi (termasuk
write off nya).

Salah Saji Pada Audit Sebelumnya Anda juga dapat menggunakan laporan hasil audit
priode sebelumnya sebagai tambahan bahan pertimbangan; akun-akun yang kerap
mengandung salah saji pada periode-periode sebelumnya besar kemungkinannya
mengandung risiko inherent.

Catatan Penting: 2 (dua) faktor berikut ikut menentukan tingginya tingkat IR

Penugasan audit pertama kalinya untuk klien yang sama oleh auditor dihitung sebagai
faktor IR yang penting. Misalnya PT JAK baru IPO tanggal 1 Juni 2015, maka audit yang
diselenggarakan pertama kali (untuk Laporan Keuang Per 31 Desember 2015)
diasumsikan mengandung IR yang tinggi, sebab auditor tidak memiliki informasi valid
mengenai kondisi keuangan PT JAK yang bisa dipercaya.

Perusahaan yang memiliki anak/cabang dalam jumlah banyak dan melibatkan banyak
mata uang asing, diasumsikan mengandung IR yang tinggi. Sebab model perusahaan
seperti ini cenderung menghasilkan laporan keuangan yang kompleks dan besar
kemungkinan terjadi banyak kesalahan dalam proses konsolidasi laporan yang
disebabkan oleh kompleksitas data transaksi yang terlibat di dalamnya.

2. Risiko Pengendalian Atau Control Risk (CR) adalah risiko yang bisa timbul akibat
kelemahan sistim pengendalian intern (SPI) auditee, entah karena desainnya yang lemah atau
pelaksanaanya yang tidak sesuai desainthus tidak mampu mencegah potensi salahsaji bersifat
material dan/atau penggelapan (fraud). CR tidak bisa dikendalikan oleh auditor akan tetapi bisa
dikendalikan oleh auditee jika mereka mau. Karakter perusahaan ber CR tinggi, antara lain:

Struktur Organisasi (SO), tidak jelas dengan pembagian tugas yang juga tidak jelas. Jika
ini terjadi maka bisa dipastikan CR nya tinggi;

Lemahnya pengawasan manajemen (para manager) terhadap operasional perusahaan (ciri

ini bisa dilihat dari beberapa hal, misal: tidak ada level otorisasi transaksi yang jelas,
semua orang bisa mengakses semua data/informasi, tidak ada aktivitas supervisi, tidak
pernah ada audit fisik, tidak ada performance review, tidak ada budgeted financial
statement). Kalau ini yang terjadi maka angka persentase CR sudah pasti tinggi.

Tidak memiliki auditor internal dan komite audit. Jika ini yang tejadi maka bisa
dipastikan angka CR juga tinggi.

Sistim Pengendalian Internal lemah atau tidak efektif (semua aspek SPI perlu diperiksa
terlebih dahulu untuk menentukan faktor ini, perhatikan contoh dibawah.

Contoh Pemeriksaan SPI: Yang paling klasik, anda memeriksa faktor Pemisahan Tugas pada
departemen-departemen yang berpotensi terjadi Asset Fraud. Dua jenis asset dimana kerap
terjadi fraud adalah wilayah Persediaan dan Kas. Katakanlah anda sedang memeriksa
Persediaan. Di sini anda memeriksa apakah ada 2 pekerjaan terkait atau lebih dirangkap oleh satu
orang petugas? Misal:

Pegawai Purchasing merangkap sebagai petugas yang penerima barang atau pekerjaan
gudang persediaan lainnya (ini buruk); atau Pegawai Shipping merangkap sebagai
petugas gudang yang mengurus persediaan barang jadi (ini juga buruk).

Foreman di bagian produksi (yang biasa request persediaan untuk keperluan produksi)
diijinkan bebas keluar-masuk gudang persediaan bahan baku atau bahan penolong (ini
buruk).

Pegawai admin yang input Receipt of Goods (ROG) memiliki kemampuan akses ke
dalam data-data accounting terkait seperti Accounts Payable (Utang)

Pegawai admin yang input picking sheet di Shipping memiliki kemampuan akses ke
dalam data-data accounting terkait seperti Accounts Receivable (Piutang).

Selain aspek pemisahan tugas anda juga memeriksa akurasi saldo Persediaan yang disajikan pada
Laporan Posisi Keuangan (Neraca.) Ada 2 hal yang bisa anda lakukan di sini, yaitu:

Menelusuri dokumen penerimaan barang masuk-dan-keluar gudang untuk tanggaltanggal yang mendekati tanggal tutup buku (jika tutup buku dilakukan tanggal 31
Desember misalnya, maka periksa dokumen barang masuk-dan-keluar tanggal 30 hingga
31). Dari hasil pemeriksaan ini mungkin anda menemukan barang persediaan yang
harusnya tidak diperhitungkan sebagai penambah saldo (atau pengurang saldo) akan
tetapi diikutkan oleh aduitee, atau sebaliknya.

Melakukan perhitungan fisik secara acak (random physical counts). Hasil penghitungan
ini kemudian dibandingkan dengan hasil perhitungan yang dilakukan oleh auditee,
apakah sama? Jika beda, maka uji dengan physical count terus dilakukan.

Jika auditee menggunakan peralatan teknologi dalam mengelola persediaan misalnya

Self-alarming antitheft tags atau Electronic Cash Register (ECR), maka anda perlu
memeriksa apakah peralatan tersebut berfungsi dengan baik atau rusak atau tidak
konsisten?

Catatan:
Kombinasi IR dengan CR disebut Risiko Salahsaji Bersifat Material (material misstatement
risk)
Click To Tweet
Baik IR dan CR bisa diuji secara bersamaan atau terpisah.
3. Risiko Deteksi Atau Detection Risk (DR), adalah risiko yang bisa timbul akibat kegagalan
auditor dalam menedeteksi adanya salahsaji bersifat material dan/atau penggelapan (fraud). DR
ada dalam kendali auditor. Karena DR sepenuhnya ada pada kendali auditor, maka sudah pasti
mereka harus berupaya untuk menekan risiko ini hingga ke tingkatakan yang paling minimal
(tidak mungkin menghilangkan risiko ini sepenuhnya). Ada 4 faktor yang berpotensi
menghasilkan DR yang tinggi, yaitu:

Salah Mengaplikasikan Prosedur Audit Contoh kesalahan fatal, misalnya: anda

menggunakan rasio untuk mengukur tingkat akurasi angka saldo, dan ternyata anda
menggunakan rasio yang salah.

Salah Menginterpretasikan Hasil Audit Contoh (lanjutan yang tadi): mungkin sudah
menggunakan rasio yang benar, namun anda salah dalam menginterpretasikan hasil
perhitungan (misal: anda menyatakan inventory sudah disajikan dengan semestinya
padahal sebenarnya mengandung salahsaji bersifat material).

Salah Memilih Metod Uji Setiap saldo akun yang disajikan pada Laporan Keuangan
seharusnya diuji dengan menggunakan metode yang paling sesuai dengan nature nya
masing-masing. Anda ingin memastikan apakah suatu penjualan memang seharusnya
diakui (atau tidak diakui), maka anda mengujinya dengan melihat tanggal transaksi yang
kemudian disandingkan dengan periodisasi pelaporan (bukan dengan menguji hitungan
matematisnya)

Pengujian CR Yang Kurang Intensive DR juga meningkat bila pengujian terhadap DR

kurang intensif (beberapa wilayah pengendalian lemah namun lolos dari pengujian karena
anda tidak tahu wilayah tersebut ternyata lemah), sehingga ada salahsaji atau fraud yang
tidak terdeteksi selama proses pengujian anda jalankan.

Agar hal itu tidak terjadi, maka auditorpada fase perencanaan audit (audit planning)
memperkirakan besaran angka DR yang akan dihadapi untuk kemudian diantisipasi dengan
prosedur, teknik dan mote audit yang akan diterapkan. Untuk lebih jelasnya, lanjut ke paragraf
berikut ini

Model Perhitungan Risiko Audit

Model Risiko Audit (audit risk) yang paling lumrah digunakan (dan diajarkan) adalah:
AR = IR x CR x DR
Dimana:
AR = Audit Risk
IR = Inherent Risk
CR = Control Risk
DR = Detection Risk
Model Risiko Audit ini bisa diterapkan dengan 3 langkah berikut ini:
Pertama, Kantor Akuntan Publik (KAP) biasanya sudah mematok besaran angka persentase
Audit Risk (AR) yang bisa diterima (biasanya tak boleh lebih dari 10%).
Kedua, menentukan IR dan CR. Inherent risk (IR) diukur dengan mempertimbangkan faktor
eksternal dan internal seperti yang sudah saya jelaskan di atas. Sedangkan CR diukur dengan
menilai desain dan implementasi sistim pengendalian internal yang dimiliki oleh auditee seperti
yang sudah saya jelaskan di atas.
Ketiga, menentukan DR dengan menggunakan persamaan di atas, sehingga menjadi:
DR = AR/(IR x CR)
Nah, besaran DR inilah yang nantinya akan dijadikan sebagai bahan pertimbangan dalam
merancang prosedur audit, substantive test dan rencana audit secara keseluruhan.
Contoh kasus terapan (sederhana):
Kantor Akuntan Publik JAK dan Rekan menerima penugasan untuk mengaudit PT. ABC Tbk,
untuk pertama kalinya sejak IPO. Engagement Manager, pada fase persiapan audit,
menyampaikan informasi berikut terkait PT ABC Tbk:

Ini adalah sesi audit eksternal pertama kalinya untuk PT ABC Tbk

PT. ABC adalah perusahaan kontraktor yang memiliki banyak cabang di Singapura,
Malaysia, India, Dubai, Jepang dan Australia.

Tim internal Audit PT ABC baru dibentuk 2 bulan lalu;

Komite Audit PT ABC terdiri dari Board of Director member yang tidak satupun
memiliki latar belakang bidang akuntansi dan keuangan.

Sementara itu KAP JAK dan Rekan mematok angka 10% sebagai accepted audit risk level.
Dari informasi tersebut, tim audit KAP JAK & Rekan menghitung besaran angka DR yang
harus diantisipasi dengan prosedur dan metode audit yang paling efektif:
Inherent Risk (IR) diperkirakan mencapai 60%, mengingat: (a) klien adalah usaha kontraktor
yang besar kemungkinannya menerapkan metode pengakuan pendapatan bertahap melalui
beberapa periode akuntansi (kompleksitas pengakuan transaksi); (b) ini adalah audit eksternal
pertamakalinya (minim informasi obyektif); dan (c) klien memiliki tingkat kompleksitas
pelporan yang tergolong tinggi dengan adanya banyak perusahaan cabang di luar negeri dengan
mata uang asing yang berbeda-beda pula.
Control Risk (CR) juga diperkirakan mencapai 60%, mengingat: (a) tim internal auditnya PT
ABC Tbk tergolong baru; (b) anggota audit komite nya terdiri dari orang-orang yang tidak
berlatarbelakang akuntansi dan keuanganthus besar kemungkinanya tidak melakukan tugas
pengawasan yang prudent terhadap proses pencatatan dan pelaporan transkasi keuangan PT ABC
Tbk.
Dari simpulan itu, maka sudah bisa ditentukan berapa besarnya angka DR yang harus
diantisipasi oleh auditor, dengan menggunakan persamaan di atas:
AR = IR x CR x DR
10% = 60% x 60% x DR
0.10 = 0.60 x 0.60 x DR
0.10 = 0.36 x DR
DR = 0.10/0.36
DR = 0.278 (dibulatkan)
DR = 0.28 (pembulatan ke atas)
DR = 28%
DR = 28% inilah yang harus diantisipasi dengan prosedur pemeriksaan yang dirancang
sedemikian rupa oleh auditor, sehingga bisa ditekan ke tingkatan yang paling minimal.
Sampai di sini pengenalan tentang risiko audit (audit risk) saya rasa sudah cukup. Di topik
audit berikutnya mungkin kita akan bahas mengenai substantif testing. Sampai ketemu.