Konsep Audit menurut Chris Davis dan Mardhani Restiawan

• Audit Menurut Chris Davis

      Mengamankan Sistem Anda Menggunakan Teknik Audit TI Terbaru Telah diperbarui sepenuhnya untuk mencakup alat dan teknologi terdepan, Audit TI: Menggunakan Kontrol untuk Melindungi Aset Informasi, Edisi Kedua, menjelaskan, selangkah demi selangkah, bagaimana menerapkan audit TI perusahaan yang sukses dan sukses. program. Bab baru dalam audit komputasi awan, operasi outsource, virtualisasi, dan penyimpanan disertakan. Panduan komprehensif ini menjelaskan bagaimana mengumpulkan tim audit TI yang efektif dan memaksimalkan nilai fungsi audit TI. Rincian mendalam tentang melakukan audit khusus disertai contoh dunia nyata, daftar periksa siap pakai, dan template berharga. Standar, kerangka kerja, peraturan, dan teknik manajemen risiko juga tercakup dalam sumber daya definitif ini. 

Membangun dan memelihara fungsi audit TI internal dengan efektivitas dan nilai maksimum Kontrol tingkat entitas audit, pusat data, dan pemulihan bencana Periksa switch, router, dan firewall Evaluasi sistem operasi Windows, UNIX, dan Linux Audit server dan aplikasi Web Menganalisis basis data dan penyimpanan solusi Menilai perangkat WLAN dan perangkat seluler Mengelola lingkungan virtual Mengevaluasi risiko yang terkait dengan komputasi awan dan operasi yang dioutsourcing Borkan ke aplikasi untuk menemukan kelemahan pengendalian potensial Gunakan standar dan kerangka kerja, seperti COBIT, ITIL, dan ISO Memahami peraturan, termasuk Sarbanes-Oxley, HIPAA, dan PCI Melaksanakan praktik manajemen risiko terbukti.

• Audit Menurut Mardhani Restiawan

    IT Audit and Control menggambarkan sebuah proses untuk meninjau dan memposisikan TI sebagai instrumen penting dalam mencapai bisnis / bisnis perusahaan. TI mengaudit dan mengendalikan proses yang sistematis, terencana, dan menggunakan keahlian IT untuk mengetahui tingkat kepatuhan, kinerja, nilai, dan risiko penerapan teknologi. Kemampuan untuk mengetahui pengetahuan dan keterampilan dalam Audit dan pengendalian TI serta menunjukkan tingkat profesional tertentu secara profesional, juga membuat seseorang akan menganalisa, merancang, membangun, menyebarkan, memantau dan pengembangan TIK yang berkelanjutan tidak hanya beroperasi tetapi juga mengikuti aturan industri dan standar internasional. Kursus dimaksudkan sebagian untuk mendorong peserta mata pelajaran memandang TI sebagai aset penting bagi organisasi dan perusahaan.

Kursus ini dirancang untuk menumbuhkan sikap kritis siswa dalam memahami permasalahan yang terkait dengan dampak teknologi informasi di bidang bisnis, sosial dan masyarakat. Memahami karakteristik dan lingkup audit & pengendalian TI. Memahami konsep, teknik dan alat dalam audit TI. Mampu menganalisis karakteristik, ruang lingkup dan teknik audit dibantu komputer termasuk memahami standar yang ada di industri dan institusi internasional. Mampu melakukan audit dengan bantuan komputer dan teknik komputasi tertentu f. Mampu dan memiliki pengetahuan dalam merancang, merancang, mengembangkan, menerapkan dan memantau serta terus berkembangnya ICT berorientasi jangka panjang.

KONSEP AUDIT SISTEM INFORMASI

• Terminologi Audit Sistem Informasi

Audit Sistem Informasi adalah proses pengumpulan dan pengevaluasian bukti-bukti untuk membuktikan dan menentukan apakah sistem aplikasi komputerisasi yang digunakan telah menetapkan dan menerapkan sistem pengendalian intern yang memadai, apakah aset organisasi sudah dilindungi dengan baik dan tidak disalah gunakan, apakah mampu menjaga integritas data, kehandalan serta efektifitas dan efisiensi penyelenggaraan sistem informasi berbasis komputer.
Jenis-jenis audit sistem informasi:

1. Audit laporan keuangan (financial Statement Audit)
2. Audit Operasional (Operational audit)
3. Audit terhadap aflikasi komputer
4. General audit

Yaitu evaluasi kinerja unit fungsional atau fungsi sistem informasi apakah sudah dikelola dengan baik.

• Tujuan Audit Sistem Informasi

Tujuan Audit Sistem Informasi menurut Ron Weber yaitu:

• Meningkatkan keamanan aset-aset perusahaan.
• Meningkatkan data dan menjaga integritasi data.
• Meningkatkan efektifitas sistem
• Meningkatkan efisiensi sistem
• Ekonomis

Dua aspek utama tujuan audit sistem informasi yaitu:

• Conformance (Kesesuaian) Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kesesuaian seperti kerahasiaan, Integritas, Ketersediaan, Kepatuhan.

• Performance (Kinerja) Yaitu audit sistem informasi difokuskan untuk memperoleh kesimpulan atas aspek kenerja seperti Efektifitas, Efisiensi, Kehandalan.

Tujuan audit sistem informasi secara teknis yaitu:

• Evaluasi atas kesesuaian antara rencana strategis dengan rencana tahunan organisasi,rencana tahunan dan rencana proyek.
• Evaluasi atas kelayakan struktur organisasi yaitu termasuk pemisahan fungsi dan kelayakan pelimpahan wewennang dan otoritas.
• Evaluasi atas pengelolahan personil yaitu termasuk perencanaan kebutuhan, rekrutmen dan seleksi, pelatihan dan pendidikan, promosi,mutasi, serta terminasi personil.
• Evaluasi atas pengembangan yaitu termasuk analisis kebutuhan, perancangan, pengembangan, pengujian, implementasi, migrasi, pelatihan dan dokumentasi, serta manajemen perubahan.
• Evaluasi atas kegiatan operasional yaitu termasuk pengelolaan keamanan dan kenerja pengelolaan pusat data, pengelolaan keamanan dan kenerja jaringan data, pengelolaan masalah dan insiden serta dukungan pengguna.
• Evaluasi atas kontinuitas layanan yaitu termasuk pengelolaan backup dan recovery, pengelolaan prosedure darurat, pengelolaan rencana pemulihan layanan, serta pengujian rencana kontijensi operasional.
• Evaluasi atas kualitas pengendalian aplikasi yaitu termasuk pengendalian input, pengendalian proses dan pengendalian output.
• Evaluasi atas kualitas data/informasi yaitu termasuk pengujian atas kelengkapan dan akurasi data yang dimasukkan, diproses, dan dihasilkan oleh sistem informasi.

PROSES AUDIT

Proses Audit dalam konteks teknologi informasi adalah memeriksa apakah sistem informasi berjalan semestinya. Tujuh langkah proses audit sistem informasi yaitu:

• Implementasikan sebuah strategi audit berbasis manajemen resiko serta control practice yang dapat disepakati oleh semua piha.
• Internal Control
• Menentukan apa yang harus di aduit
• Tahapan Audit
• Standar
• Rinkasan audit
• Tetapkan langkah-langkah audit yang rinci
• Gunakan fakta atau bahan bukti yang cukup, handal, relevan, serta bermanfaat
• Buat laporan beserta kesimpulan berdasarkan fakta yang dikumpulkan
• Telaah apakah tujuan audit tercapai
• Sampaikan laporan kepada pihak yang berkepentingan
• Pastikan bahwa organisasi mengimplementasikan managemen resiko serta control practice.
• Perencanaan sebelum menjalankan proses audit dengan metodologi audit yaitu:
• Audit subject
• Audit objective
• Audit Scope
• Preaudit planning
• Audit procedures and Steps for data gathering
• Evaluasi hasil pengujian dan pemeriksaan
• Audit report preparation

Berikut struktur isi laporan audit secara umumnya(tidak baku):

• Pendahuluan
• Kesimpulan umum auditor
• Hasil audit
• Rekomendasi
• Exit interview

TEKNIK AUDIT

Teknik audit adalah cara-cara yang ditempuh auditor untuk memperoleh pembuktian dalam membandingkan keadaan yang sebenarnya dengan keadaan yang seharusnya.

Teknik audit erat hubungannya dengan prosedur audit, dimana teknik-teknik audit digunakan
dalam suatu prosedur audit untuk mencapai tujuan audit.
    Auditing Data Centers and Disaster Recovery
    Auditing Switches, Routers, and Firewalls
    Auditing Windows Operating Systems
    Auditing Unix and Linux Operating Systems
    Auditing Web Servers and Web Applications
    Auditing Databases
    Auditing Storage 

    CAATs

REGULASI AUDIT

Uji kepatutan (compliance test) dilakukan dengan menguji kepatutan Prooses TI dengan melihat kepatutan proses yang berlangsung terhadap standard dan regulasi yang berlaku. Kepatutan tersebut dapat diketahui dari hasil pengumpulan bukti. Adapun langkah-langkah yang dilakukan dalam uji tersebut antara lain akan dipaparkan sebagaimana berikut :

• Tahapan Pengidentifikasian

Objek yang Diaudit Tujuan dari langkah ini agar pengaudit mengenal lebih jauh terkait dengan hal-hal yang harus dipenuhi dalam objektif kontrol yang membawa kepada penugasan kepada pihak-pihak yang bertanggung jawab. Aktivitas yang berlangsung juga termasuk pengidentifikasian perihal pengelolaan aktivitas yang didukung TI memenuhi objektif kontrol terkait. 

• Tahapan Evaluasi audit

Tujuan dari tahapan ini adalah untuk mendapatkan prosedur tertulis dan memperkirakan jika prosedur yang ada telah menghasilkan struktur kontrol yang efektif. Uji kepatutan yang dilakukan pada tahapan ini yaitu mengevaluasi pemisahan tanggung jawab yang terkait dengan pengelolaan SI/TI. Dari hasil evaluasi ditemukan terdapat pemisahan terhadap tugas dan tanggung jawab yang harus dilakukan oleh masing-masing pihak yang bersangkutan.

 

Dampak Regulatory terhadap Audit TI Peraturan dampak terhadap audit TI berkembang saat bisnis beradaptasi dengan kompleks- Ini sesuai dengan beberapa otoritas. Selama dekade terakhir, pemerintah A.S. telah melewati banyak tindakan privasi khusus industri dan peraturan lainnya. Masing-masing telah disahkan dengan maksud melindungi konsumen bisnis. Akibatnya, internal dan kelompok audit eksternal ditugaskan untuk meninjau proses dan prosedur bisnis pastikan kontrol yang tepat ada yang melindungi kepentingan bisnis dan konsumen.

STANDART & KERANGKA KERJA

Kerangka, dan Standarm Pada tahun 1970an, kekhawatiran akan meningkatnya kebangkrutan perusahaan dan keruntuhan keuangan menjadi meningkatkan permintaan akan lebih banyak akuntabilitas dan transparansi di kalangan publik perusahaan. Itu Foreign Corrupt Practices Act tahun 1977 (FCPA) mengkriminalkan penyuapan untuk-negara-negara pinggiran dan merupakan peraturan pertama yang mewajibkan perusahaan untuk menerapkan strategi antar-program pengendalian nal untuk menyimpan catatan transaksi yang ekstensif untuk tujuan pengungkapan.Ketika industri simpan pinjam ambruk pada pertengahan tahun 1980an, ada tangisan untuknya pengawasan pemerintah terhadap standar akuntansi dan profesi auditing. Dalam sebuah ef-Benteng untuk mencegah intervensi pemerintah, sebuah inisiatif sektor swasta independen, kemudian yang disebut Komite Organisasi Sponsoring (COSO), dimulai pada tahun 1985 sampai sebagai bagaimana cara terbaik untuk meningkatkan kualitas pelaporan keuangan. COSO meresmikan concepts dari kontrol internal dan kerangka pada tahun 1992 ketika menerbitkan publikasi penting Kerangka Pengendalian Terpadu Internal

.
Audit TI: Menggunakan Kontrol untuk Melindungi Aset Informasi, Edisi Kedua Sejak saat itu, asosiasi profesional lainnya terus mengembangkan addi- kerangka kerja dan standar untuk memberikan panduan dan praktik terbaik untuk con- stituen dan komunitas TI pada umumnya. Bagian berikut menyoroti COSO dan beberapa kerangka kerja dan standar TI paling menonjol yang digunakan saat ini.

COSO
Pada pertengahan 1980an, Komisi Nasional Penipuan Pelaporan Keuangan itu terbentuk sebagai respons terhadap krisis keuangan A.S. yang semakin meningkat dan teriakan pemerintah yang over melihat praktik akuntansi dan audit. Konsorsium sektor swasta independen ini lebih sering disebut sebagai Komisi Tapak karena dipimpin oleh James C. Treadway, Jr., wakil presiden eksekutif dan penasihat umum di Paine Webber Incorporated dan mantan komisaris dari A.S. Securities and Exchange Commission. Dalam laporan awal tahun 1987, kelompok tersebut merekomendasikan agar organisasi mensponsori Dengan kerja sama komisi untuk mengembangkan pedoman komprehensif untuk internal kontrol. Oleh karena itu COSO dibentuk oleh lima asosiasi profesional utama di Indonesia Amerika Serikat:

• American Institute of Certified Public Accountants (AICPA)
• American Accounting Association (AAA)
• Lembaga Eksekutif Keuangan (FEI)
• Lembaga Auditor Internal (IIA)
• Institut Akuntan Manajemen (IMA)

MANAJEMEN RESIKO

FALSAFAH COSO

 

Makalah ini terfokus pada risiko auditor internal dan eksternal umumnya, audit laporan keuangan (LK) khususnya, dan lebih khususnya lagi pada risiko akuntan publik.

Bagi COSO, pengukuran-penetapan risiko adalah kegiatan penting bagi manajemen dan auditor internal korporasi, sehingga auditor internal harus paham proses dan sarana untuk identifikasi, penilaian, pengukuran dan penetapan tingkat risiko (risk assessment) sebagai dasar menyusun prosedur audit internal. COSO menyatakan bahwa setiap entitas menghadapi risiko internal dari luar, bahwa risiko-risiko tersebut harus didentifikasi dan dinilai-diukur terfokus pada pengamanan sasaran strategis korporasi.

 

Perubahan sosial-politik-ekonomi-industri-hukum dan perubahan kondisi operasional perusahaan teraudit mengandung risiko, manajemen perusahaan harus membentuk mekanisme untuk mengenali & menghadapi perubahan tersebut. Basis utama manajemen risiko adalah asesmen risiko. Untuk keberlangsungan usaha, asesmen risiko merupakan tanggungjawab manajemen yang bersifat integral dan terus menerus, karena manajemen tak dapat memformulasikan sasaran dengan asumsi sasaran akan tercapai tanpa risiko atau hambatan.

Contoh risiko, bahaya, ancaman, atau hambatan mencapai sasaran korporasi adalah :

• Pesaing meluncurkan produk baru
• Perubahan teknologi menyebabkan jasa atau produk tidak laku
• Manajer andalan tiba-tiba mengundurkan diri sebagai karyawan
• Formula rahasia dicuri dan dijual oleh karyawan kepada pesaing
• KKN menggerus laba dan membuat perusahaan keropos

PENGGUNA HASIL PENILAIAN-PENETAPAN RISIKO
Analisis risiko digunakan untuk mengurangi risiko, makin kecil risiko maka makin besar kemungkinan meraih sasaran korporasi. Berbagai yurisdiksi hukum meminta setiap bank melakukan penilaian-risiko dan mengumumkan kondisi pengendalian internal kepada publik, auditor eksternal diwajibkan membuat atestasi tentang pernyataan bank tersebut & kondisi pengendalian internal bank, untuk melindungi deposito publik. Otoritas Pasar Modal AS (SEC) meminta semua emiten membuat Laporan Penilaian Risiko sejak 1979 untuk melindungi kepentingan  investor. SAS 55 AICPA menyatakan bahwa auditor eksternal bertanggungjawab untuk memperoleh & memahami sistem pengendalian audit laporan keuangan. Akuntan publik juga membuat asessmen risiko terkait perencanaan audit LK, untuk mendeteksi risiko kegagalan auditor mencapai sasaran audit, untuk menentukan metode pengujian yang tepat menuju sasaran audit, antara lain perencanaan sampling dan penggunaan teknik audit secara tepat. Auditor internal harus selalu bertanya “Hal-hal apa saja yang mungkin tidak berjalan sesuai rencana?”, mengidentifikasi potensi kesalahan, menengarai gejala ketidakwajaran segala sesuatu yang memberi tanda-tanda bahaya atau tanda-tanda risiko. Auditor internal melakukan asesmen risiko untuk meyakini bahwa sarana-pengendalian tertentu masih berfungsi efektif.

 

PERENCANAAN ASESMEN RISIKO

Perencanaan audit internal harus berbasis pengetahuan akan risiko kegagalan organisasi dalam mencapai tujuan. Perencanaan strategis perusahaan mencakupi pertimbangan risiko kegagalan organisasi. Manajemen risiko berpengaruh pada perencanaan audit. Auditor melakukan evaluasi kendali internal sebagai sarana penghindaran risiko.

 

PERLUASAN AUDIT BERBASIS RISIKO

Pada awalnya, kegiatan audit dimulai dengan observasi terhadap control (pengendalian), analisis pengendalian, disusul kegiatan analisis risiko tiap jenis operasi korporasi tersebut dan analisis keselarasan aktivitas dengan sasaran korporasi.

Perluasan Audit Berbasis Risiko mencakupi kegiatan identifikasi, pengukuran dan analisis risiko, lalu memilih aktivitas strategis terkait manajemen risiko sbb:

1. Mengendalikan risiko, aktivitas pengurangan risiko, besar risiko, jumlah  risiko atau frekuensi terjadinya risiko
2. Menerima risiko dan/atau risiko residual (setelah segala upaya mitigasi risiko dilakukan)
3. Menghindari risiko, merancang ulang proses bisnis yang tak berkonsekuensi risiko tertentu
4. Pembagian risiko, pembelahan risiko, memikul risiko beramai-ramai (risk sharing) atau transfer risiko ke unit organisasi lain (bagian lain) atau pihak ketiga (di luar korporasi) yang lebih mampu mengelola-mengendalikan risiko tersebut

AUDIT INTERNAL DAN MANAJEMEN RISIKO
Tugas auditor internal antara lain adalah meng-audit risiko; melakukan evaluasi risiko, mengusulkan pendirian manajemen risiko sambil menjelaskan manfaat manajemen risiko, atau menyatakan dukungan atas program manajemen risiko. Auditor internal menerima instruksi & bagian peran audit internal dalam manajemen risiko dari Dewan Audit atau Komite Audit, agar secara independen auditor mengevaluasi manajemen risiko dan program memerangi risiko. Auditor internal pada umumnya bersikap abstain untuk manajemen risiko departemen auditor internal sendiri, kecuali diminta Dewan Audit untuk melakukan self-assessment.

 

RISIKO AUDIT LAPORAN KEUANGAN

Persoalan auditor eksternal sebagai berikut berlaku bagi auditor internal yang mengaudit Laporan Keuangan; bahwa risiko auditor terbesar adalah tak mengetahui (gagal untuk mengetahui) hal-hal yang seharusnya mengubah opini auditor terhadap Laporan Keuangan yang mengandung salah-saji secara material. Auditor harus memertimbangkan sifat & kualitas manajemen, sifat industri, sifat operasi, dan bentuk atau sifat penugasan auditor eksternal.

Sebagai contoh, sifat dan kualitas manajemen yang mengandung risiko audit adalah

• Keputusan manajemen ditangan satu orang, misalnya CEO merangkap PS utama
• Manajemen bersikap amat agresif terhadap pelaporan LK (laporan keuangan, misalnya perusahaan publik dan bank butuh opini WTP dari Audit Eksternal)
• Mutasi manajemen amat tinggi
• Manajemen amat berkepentingan utk mencapai proyeksi laba
• Reputasi buruk manajemen di mata publik

Sebagai contoh, sifat Industri dan operasi yang mengandung risiko audit adalah

• Kemampulabaan entitas dibawah rerata kemampulabaan industri sejenis
• Laba tidak konsisten
• Kinerja amat dipengaruhi faktor eksternal
• Entitas berada dalam industri turun-daun
• Desentralisasi kekuasaan tidak dilengkapi penguatan pengendalian
• Entitas kelihatannya tidak akan going concern

Sebagai contoh, sifat penugasan audit yang mengandung risiko audit laporan keuangan adalah

• Banyak perkecualian, banyak isu akuntansi
• Banyak transaksi atau saldo sulit di audit
• Banyak transaksi hubungan istimewa yang tidak lazim
• Sejarah salah saji, sejarah temuan audit jenis-kesalahan-berulang.

Untuk mengurangi risiko, auditor wajib mendapatkan asersi LK berupa pernyataan (semacam pernyataan jaminan) manajemen (management representation) tentang (1) eksistensi, (2) kelengkapan, (3) hak dan kewajiban, (4) evaluasi dan alokasi, (5) penyajian dan pengungkapan berbagai akun dan pos penting Laporan Keuangan.

Sebagai misal, risiko audit pada tataran saldo akun catatan akuntansi, pos laporan keuangan dan kelompok transaksi sejenis adalah

• Salah saji akun tersebut
• Salah saji akun tersebut dalam kaitan dengan akun lain (inherent risk atau control risk)
• Risiko bahwa auditor gagal menemukan salah buku dan atau salah saji yang ada (detection risk).

 Pada standar auditing, pertimbangan auditor dalam evaluasi risiko saldo akun dan jenis transaksi, misalnya adalah

• Dampak risiko-teridentifikasi pada laporan keuangan.
• Kerumitan isu akuntansi
• Frekuensi transaksi sulit-diaudit.
• Temuan salah-saji pada audit terdahulu.
• Kemungkinan salah apropriasi aset.
• Kualitas SDM proses-data.
• Unsur pertimbangan dalam penetapan saldo akun.
• Besar suatu pos dalam neraca.
• Kerumitan kalkulasi tertentu.

RISIKO INHEREN
Risiko salah saji laporan keuangan terkait risiko bawaan karena jenis bisnis, jenis industri, jenis operasi khas industri tersebut dan risiko salah saji karena pengendalian internal lemah atau tidak ada.

Sebagai contoh:

1. Valuasi piutang dagang, asersi keberadaan piutang dagang oleh manajemen, terkait kecemasan auditor tentang going concern.
2. Kalkulasi beban pensiun, metode penyusutan aset tetap dan kalkulasi beban penyusutan aset tetap
3. Kas lebih rentan pencurian dibanding persediaan.
4. Perubahan teknologi menyebabkan aset tetap padat teknologi harus di hapus-buku lebih cepat lantaran ketinggaalan teknologi.
5. Lapping banyak terjadi pada industri perbankan, dana pensiun, asuransi. KKN pada akun tabungan berjangka lebih banyak terjadi pada demand deposit.
6. Berbagai perusahaan memilih tak menggunakan pedoman sistem & prosedur (tertulis & kaku) untuk meningkatkan kreativitas dan layanan pelanggan.
7. Moral, standar etika, misalnya uang tip boleh diterima, itu rezeki anda, merupakan risiko budaya.

RISIKO PENGENDALIAN
Risiko peengendalian mencakupi risiko salah saji laporan keuangan tak tercegah atau tak tertemukan pada bingkai waktu tertentu oleh struktur pengendalian internal, kebijakan atau prosedur. Berbagai control risk selalu ada karena keterbatasan inheren dari struktur pengendalian internal. Bila kebijakan dan prosedur tak berjalan efektif, maka auditor melakukan penilaian control risk sebanyak mungkin, dengan catatan bahwa biaya pengendalian risiko harus lebih kecil dari manfaat pengendalian risiko. Pada umumnya, pengendalian inheren tak mampu membuat risiko menjadi 0%, diperangi atau dikurangi dengan strategi-sistem-prosedur terkait control risk. Control risk dirancang utk menekan risiko-residual tersebut sedapat-dapatnya, lalu sisa risiko selanjutnya menjadi tugas strategi deteksi, sistem-prosedur deteksi penyimpangan, KKN dan salah saji material.

 

RISIKO DETEKSI
Risiko deteksi berbentuk risiko auditor tak mampu mendeteksi salah-saji-material yang sebetulnya ada.
Risiko deteksi muncul karena

1. Auditor tak memeriksa 100% saldo akun-akun.
2. Ketidakpastian, kesalahan merancang prosedur audit, salah terap prosedur audit, salah tafsir terhadap hasil audit.

HUBUNGAN ANTAR RISIKO
Hubungan risiko terformula standar audit adalah bahwa audit risk = inherent risk X control risk X detection risk, dimana Detection Risk = Audit Risk/(Inherent Risk X Control Risk), dan Inherent risk dan control risk terjadi di luar kekuasaan auditor.

Auditor hanya dapat mengurangi detection risk, makin besar inherent risk dan control risk, makin besar bukti audit (audit sampling, observasi dll) harus dikumpulkan. Sebagai catatan pemakalah, program audit untuk deteksi salah saji material mirip dengan fraud auditing, prosedur dirancang berbasis kecurigaan salah saji, jumlah sample diperbanyak (sampai 100% atau full audit) pada wilayah kecurigaan tersebut.

Inherent risk terkait pada

• Jenis bisnis, jenis industri
• Jenis aktivitas, rantai nilai
• Gaya manajemen
• Iklim / atmosfer manajemen

Sebagai misal, bagi BPKP sebagai internal auditor NKRI :

• Dua Pemda pada dasarnya mempunyai inherent risk serupa, karena keduanya adalah daerah otonom sederajat.
• Inherent risk menjadi berbeda karena : Pemda A mempunyai Kepala Pemda yang kuat, bersih dan professional, mempunyai DPRD yang lemah, rakyat yang antusias memberi kritik dan membantu Pemda. Pemda B mempunyai Kepala Pemda yang lemah, DPRD yang kuat, dan rakyat yang apatis.

 RISK INVENTORY
Daftar risiko paripurna diperoleh dari konsolidasi pengorganisasian manajemen risiko sebagai kerangka dasar risiko bagi seluruh korporasi.

Sebagai contoh, external risk inventory mencakupi antara lain

• Risiko lingkungan
• Kemungkinan bencana alam
• Pasar uang
• Rating

Sebagai contoh, internal risk inventory antara lain adalah

• SDM
• Integritas
• IT
• Akuntansi dan pelaporan
• Keuangan

Auditor wajib membuat top minds of risks melalui rating risiko, pembuatan daftar risiko terbesar, ancaman terbesar yang harus dipertimbangkan pada penyusunan rencana strategis, diikuti pemutahiran risk inventory secara berkala. Auditor wajib membuat daftar pemicu risiko menjadi kenyataan-bencana. Direksi korporasi wajib memberi  fasilitas diskusi risiko bisnis, membangun infrastruktur pemantau risiko bisnis, membangun sistem identifikasi jenis baru risiko. Auditor internal harus bersikap proaktif terhadap risiko, jangan mengandalkan deteksi risiko telah (terlanjur) menjadi kenyataan, menjamin bahwa jumlah SDM pakar risiko harus seimbang dengan besar & kerumitan korporasi.

 

PERTANYAAN DASAR AUDITOR TENTANG RISIKO

• Apa temuan audit terdahulu?
• Berapa lama audit terdahulu terakhir dilakukan?
• Berapa sering audit terdahulu dilakukan?
• Perubahan mendasar apa saja yang terjadi pada sistem tata cara kerja?
• Perubahan mendasar apa saja terjadi pada manajemen SDM dan kualitas SDM korporasi?
• Perubahan mendasar produk/jasa utama yang mengubah risiko korporasi?
• Bagaimana perbandingan nilai rupiah biaya & sarana pengendalian internal dengan nilai rupiah aset yang dikendalikan?
• Berapa besar volume transaksi, frekuensi transaksi utama?
• Berapa likuid dan/atau luwes (fleksibel) seluruh aset korporasi?
• Bagaimana kesehatan pemisahan pekerjaan, tugas, dan tanggungjawab departemental dan individu?
• Berapa besar pengaruh manajemen informasi terhadap sukses kegagalan korporasi?
• Berapa besar tekanan pencapaian target penjualan, laba, dividen dan kewajiban pertumbuhan semua itu?
• Bagaimana ketat-longgar peraturan per UU berdampak pada korporasi?
• Berapa sering terjadi kasus pelanggaran etika?
• Berapa tinggi tingkat pengetahuan, keterampilan, pengalaman untuk setiap tugas strategis dalam korporasi, yang menyulitkan manajemen SDM?
• Siapa saja bertugas sebagai wakil perusahaan menghadapi pelanggan, pemasok, pemerintah & pengawas perusahaan?
• Berapa rumit dan canggih kegiatan operasional perusahaan?
• Berapa besar pengaruh LK Auditan terhadap sentimen harga saham, citra perusahaan dan pemangku kepentingan  kepada perusahaan.