BAB 2 TINJAUAN TEORETIS. pemeriksaannya akan memberikan pendapat mengenai kewajaran posisi. Menurut Agoes (2004:3) pengertian auditing adalah:

Transkripsi

1 BAB 2 TINJAUAN TEORETIS 2.1 Tinjauan Teoretis Auditing Auditing memberikan nilai tambah bagi laporan keuangan perusahaan, karena akuntan publik sebagai pihak yang ahli dan independen pada akhir pemeriksaannya akan memberikan pendapat mengenai kewajaran posisi keuangan, hasil usaha, perubahan ekuitas dan laporan arus kas (Agoes, 2004:1) Menurut Agoes (2004:3) pengertian auditing adalah: Suatu pemeriksaan yang dilakukan secara kritis dan sistematis, oleh pihak yang independen, terhadap laporan keuangan yang telah disusun oleh manajemen, beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya, dengan tujuan untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan tersebut. Ada beberapa hal yang penting dari pengertian tersebut, yang perlu dibahas lebih lanjut. Pertama, yang diperiksa adalah laporan keuangan yang telah disusun oleh manajemen beserta catatan-catatan pembukuan dan bukti-bukti pendukungnya. Laporan keuangan yang harus diperiksa terdiri dari Neraca, Laporan Laba Rugi, Laporan Perubahan Ekuitas, dan Laporan Arus Kas. Catatan-catatan pembukuan terdiri dari buku harian (Buku Kas/Bank, Buku Penjualan, Buku Pembelian, Buku Serba-Serbi), buku besar, sub buku besar (Piutang, Utang, Aktiva Tetap, Kartu 6

2 7 Persediaan). Bukti-bukti pendukung antara lain bukti penerimaan dan pengeluaran kas/bank, faktur penjualan, journal voucher, dan lain-lain. Dokumen lain yang perlu diperiksa adalah notulen rapat direksi dan pemegang saham, akte pendirian, kontrak, perjanjian kredit, dan lain-lain. Kedua, pemeriksaan dilakukan secara kritis dan sistematis. Dalam melakukan pemeriksaannya, akuntan publik berpedoman pada Standar Profesional Akuntan Publik (di USA: generally accepted auditing standards), mentaati Kode Etik IAI dan Aturan Etika IAI Kompartemen Akuntan Publik serta mematuhi Standar Pengendalian Mutu. Agar pemeriksaan dapat dilakukan secara sistematis, akuntan publik harus merencanakan pemeriksaannya sebelum proses pemeriksaan dimulai, dengan membuat apa yang disebut audit plan (rencana pemeriksaan). Dalam audit plan antara lain dicantumkan kapan pemeriksaan dimulai, berapa lama jangka waktu pemeriksaan diperkirakan, kapan laporan harus selesai, berapa orang audit staff yang ditugaskan, masalah-masalah yang diperkirakan akan dihadapi di bidang auditing, akuntansi (accounting), perpajakan, dan lain-lain. Selain itu dalam audit plan, akuntan publik harus menetapkan batas materialitas dan memperhitungkan risiko audit. Ketiga, pemeriksaan dilakukan oleh pihak yang independen, yaitu akuntan publik. Akuntan Publik harus independen, dalam arti, sebagai pihak di luar perusahaan yang diperiksa, tidak boleh mempunyai kepentingan tertentu di dalam perusahaan tersebut (misal, sebagai pemegang saham, direksi atau dewan komisaris), atau mempunyai hubungan khusus (misal keluarga dari pemegang saham, direksi atau dewan komisaris). Akuntan Publik harus independen, baik in-

3 8 fact maupun in-appearance karena sebagai orang kepercayaan masyarakat, harus bekerja secara objective, tidak memihak ke pihak manapun dan melaporkan apa adanya. Keempat, tujuan dari pemeriksaan akuntan adalah untuk dapat memberikan pendapat mengenai kewajaran laporan keuangan yang diperiksa Audit Internal 1.Definisi dan Tujuan Audit Internal Institute of Internal Auditor (IIA) dalam Sawyer et. Al (2003:8) mendefinisikan audit internal sebagai suatu fungsi penilai independen yang ada dalam organisasi untuk memeriksa dan mengevaluasi aktivitas organisasi sebagai pemberian jasa kepada organisasi. Audit internal melakukan aktivitas pemberian keyakinan serta konsultasi yang independen dan obyektif, yang dirancang untuk menambah nilai dan memperbaiki operasi organisasi. Sedangkan Yayasan Pendidikan Internal Auditor / YPIA (2004:5) mendefinisikan audit internal sebagai kegiatan assurance dan konsultasi yang independen dan obyektif, yang dirancang untuk memberikan nilai tambah dan meningkatkan kegiatan operasi organisasi. Audit internal membantu organisasi untuk mencapai tujuannya, melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi dan meningkatkan efektivitas pengelolaan risiko, pengendalian, dan proses governance (Andayani, 2008: 2). Sawyer et. al (2003:9-10) mendefinisikan audit internal sebagai sebuah penilaian yang sistematis dan obyektif. Auditor internal melakukan penilaian

4 9 terhadap operasi dan kontrol yang berbeda-beda dalam organisasi untuk menentukan: a. Keakuratan dan keandalan informasi keuangan dan operasi b. Identifikasi dan meminimalkan risiko yang dihadapi perusahaan c. Kepatuhan dan mengikuti peraturan eksternal serta kebijakan dan prosedur internal. d. Kriteria operasi yang memuaskan telah dipenuhi. e. Sumber daya telah digunakan secara efisien dan ekonomis f. Tujuan organisasi telah dicapai secara efektif dan dikonsultasikan dengan manajemen. Tujuan organisasi membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif (Andayani, 2008: 3-4). 2. Aktivitas Audit Internal Meskipun audit internal yang modern memiliki cakupan yang luas, tetapi bentuk praktek audit saat ini terdiri dari tiga kategori dasar yaitu keuangan, ketaatan dan operasional. Masing-masing kategori bisa memiliki perbedaan dalam penekanannya di organisasi dan negara yang berbeda serta struktur praktek yang berbeda. Audit keuangan merupakan analisis aktivitas ekonomi sebuah entitas yang diukur dan dilaporkan dengan menggunakan metode akuntansi. Audit ketaatan merupakan penelaahan atas pengendalian keuangan dan operasi serta transaksi untuk melihat kesesuaiannya dengan aturan, standar, regulasi dan prosedur yang berlaku.

5 10 Audit operasional merupakan telaah komprehensif atas fungsi yang bervariasi dalam perusahaan untuk menilai efisiensi dan keekonomisan operasi serta efektivitas fungsi-fungsi tersebut dalam mencapai tujuannya (Andayani, 2008:20). Menurut Akmal (2007:14) Lingkup pekerjaan pemeriksa intern antara lain: a. Keandalan informasi: pemeriksa intern harus memeriksa keandalan informasi keuangan dan operasi serta cara-cara yang digunakan untuk mengidentifikasi, mengukur, mengklasifikasikan, dan melaporkannya. b. Kesesuaian dengan kebijakan, rencana, prosedur, peraturan dan undangundang: pemeriksa intern harus memeriksa sistem yang telah ditetapkan untuk meyakinkan apakah sistem tersebut telah sesuai dengan kebijaksanaan, rencana, prosedur, peraturan, dan undang undang, dan harus menentukan apakah organisasi telah mematuhi hal-hal tersebut di atas. c. Perlindungan terhadap aktiva: pemeriksa intern harus memeriksa alat atau cara yang dipergunakan untuk melindungi harta dan jika perlu lakukan pemeriksaan fisik mengenai keberadaan aktiva tersebut. d. Penggunaan sumber daya secara ekonomis dan efisien: pemeriksa intern harus menilai keekonomisan dan keefisienan pengguna sumber daya. e. Pencapaian tujuan: pemeriksa intern harus menilai pekerjaan, operasi, dan program untuk menentukan apakah hasil yang dicapai telah sesuai dengan tujuan dan sasaran semula serta apakah telah dilaksanakan secara tepat dan sesuai rencana.

6 11 3. Bukti Audit Menurut Arens et al (2008:224), yang dimaksud dengan bukti audit adalah setiap informasi yang digunakan oleh auditor untuk menentukan apakah informasi yang diaudit telah sesuai dengan kriteria yang ditetapkan. Keputusan penting yang dihadapi para auditor adalah menentukan jenis dan jumlah bukti audit yang tepat, yang diperlukan untuk memenuhi keyakinan bahwa komponen laporan keuangan klien dan keseluruhan laporan telah disajikan secara wajar, dan bahwa klien menyelenggarakan pengendalian internal yang efektif atas pelaporan keuangan. (Arens et al. 2008:224) Ada empat keputusan mengenai bukti apa yang harus dikumpulkan dan berapa banyak, yaitu : a. Prosedur audit apakah yang akan digunakan Prosedur audit adalah: rincian instruksi yang menjelaskan bukti audit yang harus diperoleh selama audit. Perumusan prosedur tersebut dalam istilah yang cukup spesifik agar auditor dapat mengikuti instruksi-instruksi ini selama audit merupakan hal yang sudah umum. Sebagai contoh, berikut ini adalah prosedur audit untuk verifikasi pengeluaran kas : mengambil jurnal pengeluaran kas dan membandingkan nama payee, jumlah dan tanggal pada cek yang dibatalkan dengan jurnal pengeluaran kas. b. Berapa ukuran sampel yang akan dipilih untuk prosedur tersebut Dalam suatu prosedur audit untuk memverifikasi pengeluaran kas, anggaplah cek telah tercatat dalam jurnal pengeluaran kas, auditor dapat memilih ukuran sampel sebesar 50 cek untuk dibandingkan dengan jurnal pengeluaran

7 12 kas. Keputusan tentang berapa banyak item yang akan diuji harus dibuat oleh auditor pada setiap prosedur audit. Ukuran sampel bagi setiap prosedur tertentu, mungkin akan berbeda antara satu audit dengan audit lainnya c. Item manakah yang akan dipilih dari populasi Setelah menentukan ukuran sampel untuk suatu prosedur audit, auditor harus memutuskan item-item mana dalam populasi yang akan diuji. Sebagai contoh, jika auditor memutuskan memilih 50 cek yang dibatalkan dari populasi sebesar untuk dibandingkan dengan jurnal pengeluaran kas, beberapa metode yang berbeda dapat digunakan untuk memilih cek-cek tertentu yang akan diperiksa. Auditor dapat : memilih suatu minggu dan memeriksa 50 cek pertama; atau memilih 50 cek yang bernilai terbesar; atau memilih cek-cek tersebut secara acak; atau memilih cek-cek yang menurut auditor paling mungkin mengandung kekeliruan. Atau dapat menggunakan kombinasi dari berbagai metode tersebut. d. Kapan melaksanakan prosedur tersebut Audit atas laporan keuangan umumnya mencakup suatu periode seperti satu tahun. Biasanya, suatu audit baru dianggap selesai setelah beberapa minggu atau beberapa bulan setelah berakhirnya suatu periode. Oleh karena itu, waktu pelaksanaan prosedur audit dapat bervariasi dari awal periode akuntansi hingga berakhirnya periode akuntansi itu. Keputusan penetapan waktu audit, sebagian, dipengaruhi oleh kapan klien menginginkan audit itu diselesaikan

8 13 Prosedur audit seringkali memasukkan ukuran sampel, item-item yang dipilih dan penetapan waktu ke dalam prosedur itu. Berikut ini adalah suatu modifikasi atas prosedur audit yang sebelumnya digunakan untuk menyertakan keempat keputusan bukti audit. (Huruf tebal mengidentifikasi keputusan penetapan waktu, item-item yang dipilih, dan ukuran sampel) : Mengambil jurnal pengeluaran kas bulan Oktober dan membandingkan nama payee, jumlah uang, dan tanggal cek yang dibatalkan dengan jurnal pengeluaran kas untuk suatu sampel yang dipilih secara acak dari 40 nomor cek. Program Audit berisi daftar prosedur audit untuk bidang audit tertentu atau untuk keseluruhan audit. Program audit selalu memuat daftar prosedur audit, dan biasanya mencakup ukuran sampel, item-item yang dipilih, dan penetapan waktu pengujian. Umumnya, ada suatu program audit, termasuk beberapa prosedur audit, untuk setiap komponen audit. Karena itu, akan ada program audit untuk piutang usaha, penjualan, dan seterusnya. (Arens et al. 2008: ) Menurut Arens et al (2008: ), reliabilitas bukti mengacu pada tingkat dimana bukti tersebut dianggap dapat dipercaya atau layak dipercaya. Ada enam karakteristik bukti yang dapat diandalkan berikut : a. Independensi penyedia bukti Bukti yang diperoleh dari sumber luar entitas lebih dapat diandalkan ketimbang yang diperoleh dari dalam entitas

9 14 b. Efektivitas pengendalian internal klien Jika pengendalian internal klien berjalan efektif, bukti audit yang diperoleh lebih dapat diandalkan ketimbang jika pengendalian internalnya lemah. Sebagai contoh, jika pengendalian internal atas penjualan dan penagihan efektif, auditor dapat memperoleh lebih banyak bukti yang dapat diandalkan dari faktur penjualan dan dokumen pengiriman ketimbang jika pengendaliannya tidak memadai. c. Pengetahuan langsung auditor Bukti audit yang diperoleh langsung oleh auditor melalui pemeriksaan fisik, observasi, penghitungan ulang dan inspeksi akan lebih dapat diandalkan ketimbang informasi yang diperoleh secara tidak langsung. Sebagai contoh, jika auditor menghitung marjin kotor sebagai persentase dari penjualan dan membandingkannya dengan periode sebelumnya, bukti tersebut lebih dapat diandalkan ketimbang jika auditor mengandalkan pada perhitungan kontroler perusahaan. d. Kualifikasi individu yang menyediakan informasi Meskipun sumber informasi bersifat independen, bukti audit tidak akan dapat diandalkan, kecuali individu yang menyediakan informasi tersebut memenuhi kualifikasi untuk itu. Sebagai contoh, pemeriksaan atas persediaan permata oleh auditor yang tidak terlatih untuk membedakan antara permata dan kaca, bukan merupakan bukti audit yang dapat diandalkan bagi eksistensi permata itu.

10 15 e. Tingkat objektivitas Bukti yang objektif akan lebih dapat diandalkan ketimbang bukti yang membutuhkan pertimbangan tertentu untuk menentukan apakah bukti tersebut benar. Contoh-contoh bukti yang objektif meliputi konfirmasi piutang usaha dan saldo bank, perhitungan fisik sekuritas dan kas, serta penjumlahan saldo utang usaha untuk menentukan apakah data tersebut sesuai dengan saldo pada buku besar. Contoh-contoh bukti yang subjektif termasuk surat yang ditulis oleh pengacara klien yang membahas hasil yang mungkin akan diperoleh dari gugatan hukum yang sedang dihadapi oleh klien, observasi atas persediaan yang usang selama pemeriksaan fisik, serta tanya jawab dengan manajer kredit tentang ketertagihan piutang usaha tidak lancar. Apabila reliabilitas bukti yang subjektif sedang dievaluasi, penting bagi auditor untuk menilai kualifikasi orang yang menyediakan bukti tersebut. f. Ketepatan waktu Ketepatan waktu bukti audit dapat merujuk pada kapan bukti itu dikumpulkan maupun pada periode yang tercakup oleh audit itu. Bukti ini biasanya lebih dapat diandalkan untuk akun-akun neraca apabila diperoleh sedekat mungkin dengan tanggal neraca.. Sebagai contoh, perhitungan auditor atas sekuritas pada tanggal neraca akan lebih dapat diandalkan ketimbang jika perhitungan itu dilakukan 2 bulan sebelumnya. Untuk akun-akun laporan laba-rugi, bukti yang diperoleh akan lebih dapat diandalkan jika ada sampel dari keseluruhan periode yang diaudit, seperti sampel acak transaksi

11 16 penjualan dari setahun penuh, bukan hanya dari sebagian periode, seperti sampel yang terbatas pada 6 bulan pertama saja. Jenis-jenis Bukti Audit Untuk memutuskan prosedur audit yang akan digunakan, dapat memilih dari ke delapan jenis bukti 1. Pemeriksaan fisik (physical examination) Pemeriksaan fisik adalah inspeksi atau perhitungan yang dilakukan oleh auditor atas aktiva yang berwujud (tangible asset) Jika objek yang diperiksa, seperti faktur penjualan, tidak memiliki nilai inheren, bukti itu disebut sebagai dokumentasi. Sebagai contoh, sebelum cek ditandatangani, cek tersebut adalah sebuah dokumen; setelah cek itu ditandatangani, cek tersebut berubah menjadi aktiva; dan ketika cek tersebut dibatalkan, cek itu kembali berubah menjadi dokumen. Untuk terminologi auditing yang benar, pemeriksaan fisik atas cek hanya dapat terjadi jika cek tersebut merupakan aktiva. Pemeriksaan fisik adalah cara langsung untuk memverifikasi apakah suatu aktiva benar-benar ada (tujuan eksistensi), dan pada tingkat tertentu apakah aktiva yang ada itu telah dicatat (tujuan kelengkapan). Pemeriksaan fisik dianggap sebagai salah satu jenis bukti audit yang paling dapat diandalkan dan berguna. Dalam beberapa kasus, hal itu juga merupakan metode yang berguna untuk mengevaluasi kondisi atau kualitas aktiva. Akan tetapi, pemeriksaan fisik bukan merupakan bukti yang mencukupi untuk memverifikasi bahwa aktiva

12 17 yang ada memang dimiliki oleh klien (tujuan hak dan kewajiban), dan dalam banyak kasus, auditor tidak memiliki kualifikasi untuk menilai faktor-faktor kualitatif seperti keusangan atau otentisitas aktiva (tujuan nilai yang dapat direalisasi). Selain itu, penilaian yang tepat untuk tujuan laporan keuangan biasanya juga tidak dapat ditentukan oleh pengujian fisik (tujuan keakuratan) 2. Konfirmasi (confirmation) Konfirmasi menggambarkan penerimaan respons tertulis atau lisan dari pihak ketiga yang independen yang memverifikasi keakuratan informasi yang diajukan oleh auditor. Permintaan ini ditujukan kepada klien, dan klien meminta pihak ketiga yang independen untuk meresponsnya secara langsung kepada auditor. Karena konfirmasi berasal dari sumber yang independen terhadap klien, jenis bukti audit ini sangat dipercaya dan merupakan jenis bukti yang sering digunakan. Standar auditing mengidentifikasi dua jenis permintaan konfirmasi yang umum : konfirmasi positif dan konfirmasi negatif. Konfirmasi positif meminta si penerima untuk memberikan respons dalam semua situasi. Apabila auditor tidak menerima respons atas konfirmasi positif, biasanya auditor akan mengirimkan permintaan kedua atau ketiga dan, dalam beberapa kasus, bahkan meminta klien untuk menghubungi pihak ketiga yang independen dan memintanya untuk memberikan respons kepada auditor. Jika semua upaya itu gagal atau dianggap terlalu mahal, auditor akan melaksanakan prosedur alternatif untuk menguji saldo piutang apabila tidak ada respons yang diterima.

13 18 Sebaliknya, dengan konfirmasi negatif, penerima diminta untuk merespons hanya bila informasinya tidak benar dan tidak ada pengujian tambahan yang dilaksanakan bila respons tidak diterima. Akibatnya, konfirmasi negatif memberikan bukti yang kurang dapat diandalkan ketimbang konfirmasi positif. 3. Dokumentasi (documentation) Dokumentasi adalah inspeksi oleh auditor atas dokumen dan catatan klien untuk mendukung informasi yang tersaji, atau seharusnya tersaji dalam laporan keuangan. Dokumen dapat dengan mudah diklasifikasikan sebagai dokumen internal dan eksternal. Dokumen internal adalah dokumen yang disiapkan dan digunakan dalam organisasi klien, dan disimpan tanpa pernah disampaikan kepada pihak luar Dokumen internal mencakup salinan faktur penjualan, laporan jam kerja karyawan, dan laporan penerimaan persediaan. Dokumen eksternal adalah dokumen yang ditangani oleh seseorang di luar organisasi klien yang merupakan pihak yang melakukan transaksi, tetapi dokumen tersebut saat ini berada di tangan klien atau dengan segera dapat diakses oleh klien. Dalam beberapa kasus, dokumen eksternal berasal dari luar organisasi klien dan berakhir di tangan klien. Contoh-contoh dokumen eksternal adalah faktur dari pemasok, wesel bayar yang dibatalkan, dan polis asuransi. Beberapa dokumen, seperti cek yang dibatalkan, diterbitkan oleh klien, dikirimkan ke pihak luar, dan akhirnya kembali lagi ke tangan klien.

14 19 Apabila auditor menggunakan dokumentasi untuk mendukung pencatatan transaksi atau jumlah, prosesnya sering kali disebut sebagai vouching. 4. Prosedur analitis (analytical procedures) Prosedur analitis menggunakan berbagai perbandingan dan hubungan untuk menilai apakah saldo akun atau data lainnya tampak wajar dibandingkan dengan harapan auditor. Sebagai contoh, auditor dapat membandingkan persentase marjin kotor tahun berjalan dengan tahun sebelumnya. Prosedur analitis telah digunakan secara luas dalam praktik, dan penggunaannya semakin meningkat dengan tersedianya komputer untuk melakukan perhitungan. 5. Wawancara dengan klien (inquiries of the client) Wawancara dengan klien adalah upaya untuk memperoleh informasi secara lisan maupun tertulis dari klien sebagai respons atas pertanyaan yang diajukan oleh auditor. Bukti ini biasanya tidak dapat dianggap sebagai bukti yang meyakinkan karena bukan dari sumber yang independen dan mungkin mendukung pihak klien. Karena itu, apabila auditor memperoleh bukti melalui tanya jawab, biasanya auditor juga perlu memperoleh bukti pendukung melalui prosedur lainnya (bukti pendukung adalah bukti tambahan untuk mendukung bukti awal atau asli). 6. Rekalkulasi (recalculation) Rekalkulasi melibatkan pengecekan ulang atas sampel kalkulasi yang dilakukan oleh klien. Pengecekan ulang kalkulasi klien ini terdiri dari pengujian atas keakuratan perhitungan klien dan mencakup prosedur seperti

15 20 perkalian faktur penjualan dan persediaan, penjumlahan jurnal dan buku tambahan, serta pengecekan kalkulasi beban penyusutan dan beban dibayar di muka. Sebagian besar rekalkulasi auditor dilakukan oleh perangkat lunak audit dengan bantuan komputer. 7. Pelaksanaan Ulang (reperformance) Pelaksanaan ulang adalah pengujian independen yang dilakukan auditor atas prosedur dan pengendalian akuntansi klien, yang semula dilakukan sebagai bagian dari sistem akuntansi dan pengendalian internal klien. Jika rekalkulasi melibatkan pengecekan ulang atas suatu perhitungan, pelaksanaan ulang melibatkan pengecekan atas prosedur lain. Sebagai contoh, auditor dapat membandingkan harga yang tertera pada suatu faktur dengan daftar harga yang resmi, atau dapat melaksanakan kembali penentuan umur piutang usaha. 8. Observasi (observation) Observasi adalah penggunaan indera untuk menilai aktivitas klien. Auditor dapat mengunjungi lokasi pabrik untuk memperoleh kesan umum atas fasilitas klien, atau mengamati para individu yang melaksanakan tugastugas akuntansi untuk menentukan apakah orang yang diserahi tanggung jawab telah melaksanakan tugasnya dengan baik. Observasi kurang dapat diandalkan karena risiko personil klien akan mengubah perilakunya akibat kehadiran auditor. Mereka mungkin melaksanakan tanggung jawabnya sesuai dengan kebijakan perusahaan di hadapan auditor, tetapi kembali melakukan hal yang biasa dilakukan setelah

16 21 auditor tidak ada. Karena itu, perlu untuk menindaklanjuti kesan pertama yang diperoleh dengan jenis bukti pendukung lainnya. Namun demikian, observasi berguna dalam pelaksanaan sebagian besar audit. (Arens et al : ) Biaya jenis-jenis bukti Bukti audit yang paling mahal biayanya : pemeriksaan fisik dan konfirmasi. Pemeriksaan fisik mahal karena umumnya mewajibkan kehadiran auditor saat klien melakukan perhitungan aktiva yang seringkali dilakukan pada tanggal neraca. Konfirmasi membutuhkan biaya besar karena auditor harus mengikuti prosedur dengan seksama dalam penyiapan, pengiriman, dan penerimaan konfirmasi, serta menindaklanjuti konfirmasi yang tidak menerima respons atau pengecualian Bukti audit yang biayanya tidak begitu mahal : dokumentasi, prosedur analitis, dan pelaksanaan-ulang. Jika karyawannya telah menyusun dengan baik pada suatu lokasi yang mudah ditemukan auditor, biasanya dokumentasi hanya memerlukan biaya yang cukup rendah. Namun, apabila auditor harus menemukan dokumen itu sendiri, dokumentasi dapat membutuhkan biaya yang sangat tinggi. Sebagai contoh, akan jauh lebih murah menghitung dan mereview rasio penjualan dan piutang usaha ketimbang mengonfirmasi piutang usaha. Jika dimungkinkan untuk mengurangi atau mengganti konfirmasi dengan

17 22 melaksanakan prosedur analitis, penghematan biaya yang besar dapat dicapai. Namun prosedur analitis mengharuskan auditor untuk memutuskan prosedur analitis mana yang akan digunakan, melakukan kalkulasi, dan mengevaluasi hasilnya. Bukti audit yang paling rendah biayanya : observasi, tanya-jawab dengan klien, dan rekalkulasi. Observasi biasanya dilakukan bersamam dengan prosedur audit lainnya. Tanya jawab dengan klien dilakukan secara ekstensif dalam setiap audit dan umumnya memerlukan biaya yang rendah, meskipun beberapa di antaranya mungkin cukup mahal, seperti memperoleh pernyataan tertulis dari klien yang mendokumentasikan diskusi selama audit berlangsung. Rekalkulasi biasanya memerlukan biaya rendah, karena hanya melibatkan perhitungan dan penelusuran yang sederhana, yang dapat dilakukan sesuai dengan keperluan auditor. Sering kali, perangkat lunak komputer auditor digunakan untuk melakukan berbagai jenis pengujian tersebut. (Arens et al. 2008: ) 4. Tahap-tahap Audit Internal Menurut Kumaat (2010:51-52) ada 4 tahapan besar Audit Internal, yang penulis sebut sebagai Audit P-E-D-E, yaitu : Plan : Rencana Audit (Audit Plan ) merupakan upaya menerjemahkan Strategi Korporasi/Bisnis serta umpan balik (feedback) yang diterima dari berbagai pihak ke dalam perspektif Internal Audit, yaitu berupa

18 23 Pemetaan Risiko dan pengendalian, penetapan Strategi Audit, hingga penyusunan Program Audit. Do : Pelaksanaan Audit (Audit Execution ) merupakan implementasi dari Rencana Audit, baik secara teratur (Regular Audit) maupun berdasarkan investigasi khusus atau permintaan pihak tertentu (Special Audit). Keduanya dijalankan secara sinergis antara pengawasan tidak langsung (Audit on Desk) maupun pengawasan langsung (Audit on Site). Mengingat aktivitas yang bersifat continuous audit, maka pengembangan Audit Database juga menjadi bagian yang penting dari tahap ini. Check: Penyajian Hasil Audit (Audit Deliverables ) merupakan penyampaian konfirmasi temuan (finding confirmation) kepada pihak klien/teraudit (auditee) hingga penyajian Laporan Hasil Audit (audit report) ke auditee dan pihak-pihak yang berkepentingan. Baik Konfirmasi Temuan maupun Laporan Hasil Audit perlu ditanggapi oleh pihak auditee sebagai fungsi rechecking. Act : Peninjauan Kembali Hasil Audit (Audit Evaluation ) merupakan aktivitas evaluasi (review) yang terdiri dari 2 aspek: Pertama, evaluasi terhadap tindak lanjut hasil audit yang harus dijalankan oleh auditee. Kedua, evaluasi secara integral mengenai kecukupan pengelolaan risiko dan pengendalian internal seluruh grup korporasi serta review internal terhadap kinerja audit sepanjang tahun. Hasil review sepenuhnya akan dipakai untuk tahap Perencanaan Audit ke depan.

19 Kegiatan Arus Penjualan 1. Langkah-langkah Proses Penjualan Menurut Hall (2001: ) langkah-langkah dalam proses penjualan: a. Proses penjualan dimulai dari pelanggan menghubungi departemen penjualan. Bentuk hubungan itu dapat melalui telepon, surat, atau datang secara langsung. Departemen penjualan akan menangkap seluruh detail informasi dari kejadian tersebut dan mencatatnya pada pesanan penjualan. Informasi ini akan menyebabkan terjadinya beberapa kegiatan lainnya. b. Langkah pertama dari proses penjualan adalah melakukan pengesahan transaksi dengan melalui proses persetujuan kredit untuk pelanggan atau melalui penjualan tunai c. Saat kredit tersebut sudah disetujui, informasi penjualan akan diteruskan ke departemen penagihan, pergudangan, dan pengiriman. Sedang untuk penjualan tunai langsung diteruskan ke departemen pergudangan dan pengiriman. d. Langkah selanjutnya adalah mengirimkan barang dagangan, yang harus dilakukan segera. Jika proses kredit berjalan terlalu lama, pelanggan kemungkinan akan membatalkan pesanan dan mencari pemasok lainnya. Proses pengiriman akan merekonsiliasi barang yang diterima dari gudang dengan informasi penjualan yang sudah diterima terlebih dahulu. Langkah ini digunakan untuk memastikan bahwa perusahaan mengirimkan barang yang tepat ke pelanggan. Apabila ditemukan kesalahan, seperti salah dalam pengambilan barang atau salah dalam kuantitas barang dari gudang, hal

20 25 tersebut sudah seharusnya dapat diidentifikasikan pada langkah ini. Diasumsikan bahwa semua kondisi sudah sesuai dengan pesanan, maka barang dagangan akan dikemas dan dikirimkan melalui perusahaan angkutan umum ke pelanggan. Kemudian informasi pengiriman akan diteruskan ke proses penagihan (untuk penjualan kredit). e. Proses penagihan akan mengumpulkan dokumen-dokumen yang relevan dengan transaksi tersebut (produk, harga, biaya pengurusan, angkutan, pajak, dan syarat-syarat potongan harga) dan menagihkannya ke palnggan. Informasi ini kemudian akan diteruskan ke proses piutang dan proses pengendalian persediaan. f. Bagian piutang menerima informasi penagihan dan mencatatnya ke dalam catatan/laporan pelanggan. g. Demikian juga, bagian pengendalian persediaan menggunakan informasi dari bagian penagihan untuk menyesuaikan data persediaan untuk menggambarkan penurunan persediaan. h. Secara berkala(setiap batch, harian, mingguan, bulanan, dan seterusnya) proses penagihan, piutang dan pengendalian persediaan melakukan perhitungan rekapitulasi dan meneruskan informasi ini ke proses buku besar umum. Rekapitulasi ini termasuk (1) total penjualan tunai dan penjualan dari penagihan, (2) total kenaikan jumlah piutang, dan (3) total penurunan persediaan. Berdasarkan informasi tersebut, buku besar umum melakukan proses ke setaip rekening yang dipengaruhi oleh transaksi penjualan selama periode berjalan. Sebagai tambahan, proses rekonsiliasi perhitungan-

21 26 perhitungan rekapitulasi ini dilakukan secara independen untuk dapat mengidentifikasikan kesalahan pencatatan data. Sebagai contoh, apabila aktivitas penagihan gagal untuk menagih ke pelanggan atau bagian piutang mencatat jumlah yang salah, ketidaksesuaian perhitungan rekapitulasi yang mereka lakukan dapat ditemukan dalam proses buku besar umum. Namun, bila saldo rekapitulasi cocok, maka secara keseluruhan proses diasumsikan berjalan dengan lancar. Arens et al (2008: 4-5) menyebutkan bahwa tujuan keseluruhan dari audit siklus penjualan dan penagihan adalah untuk mengevaluasi apakah saldo akun yang dipengaruhi oleh siklus tersebut telah disajikan secara wajar sesuai dengan prinsip-prinsip akuntansi yang diterima umum.

22 27

23 28 Sumber : Hall, James A (2001:183) Gambar 1 Diagram Arus Data Sistem Pemrosesan Pesananan Penjualan

24 29 Sumber : Arens et al (2008) Gambar 2 Akun dan Siklus Penjualan dan Penagihan Gambar 2 menunjukkan akun-akun umum yang tercakup dalam siklus penjualan dan penagihan dengan menggunakan akun T. Tentu saja, sifat akun-akun tersebut dapat bervariasi tergantung pada industri dan klien yang terlibat. Ada perbedaan sifat dan judul akun bagi suatu industri jasa, perusahaan ritel, dan perusahaan asuransi, tetapi konsep kuncinya tetap sama. Untuk menyediakan kerangka

25 30 referensi guna memahami materi yang ada, asumsi kita berhadapan dengan sebuah perusahaan barang dagang grosir. Gambar 2 menunjukkan cara informasi akuntansi mengalir melalui berbagai akun dalam siklus penjualan dan penagihan. Gambar ini menunjukkan bahwa ada lima kelas transaksi dalam siklus penjualan dan penagihan (classes of transactions in the sales and collection cycle) : 1. Penjualan (penjualan tunai dan kredit) 2. Penerimaan Kas 3. Retur dan Pengurangan penjualan 4. Penghapusan Piutang tak tertagih 5. Estimasi beban piutang tak tertagih Gambar 2 juga menunjukkan bahwa, kecuali penjualan tunai, setiap transaksi dan jumlah yang dihasilkan pada akhirnya akan dimasukkan dalam salah satu dari dua akun neraca, yaitu akun piutang usaha atau penyisihan untuk piutang tak tertagih. Untuk mudahnya, kita mengasumsikan bahwa ada pengendalian internal yang sama, baik untuk penjualan tunai maupun penjualan kredit Risiko dan Pengendalian dalam Siklus Pendapatan Romney dan Steinbart (2004:30) menyatakan bahwa di dalam siklus pendapatan, sistim dan prosedur yang didesain dengan baik harus menyediakan pengendalian yang memadai untuk memastikan bahwa tujuan-tujuan berikut ini tercapai:

26 31 a. Semua transaksi telah diotorisasi dengan benar; b. Semua transaksi yang dicatat adalah valid (benar-benar terjadi); c. Semua transaksi yang valid, dan disahkan, telah dicatat; d. Semua transaksi dicatat dengan akurat; e. Aset (kas, sediaan, dan data) dijaga dari kehilangan, ataupun pencurian; f. Aktivitas bisnis dilaksanakan secara efektif dan efisien. Mengenai risiko dan pengendalian yang ada dalam siklus pendapatan, akan dijelaskan ke dalam tabel berikut: Tabel 1 Daftar Risiko dan Pengendalian pada Siklus Pendapatan Proses atau Aktivitas Entri pesanan penjualan Pengiriman Risiko 1 Pesanan pelanggan yang tidak lengkap atau tidak akurat 2 Penjualan secara kredit ke pelanggan yang memiliki catatan kredit buruk Prosedur Pengendalian yang Dapat Diterapkan 1 Pemeriksaan edit entri data 2 Persetujuan kredit oleh manajer bagian kredit; bukan oleh fungsi penjualan; catatan yang akurat atas saldo rekening pelanggan 3 Legitimasi pesanan 3 Tanda tangan di atas dokumen kertas; tanda tangan digital dan sertifikat digital untuk e-business 4 Habisnya sediaan, biaya penggudangan, dan pengurangan harga 1 Kesalahan pengiriman, Barang dagangan yang salah, Jumlah yang salah, Alamat yang salah 4 Sistim pengendalian sediaan 1 Rekonsiliasi pesanan penjualan dengan kartu pengambilan dan slip pengepakan, pemindai kode garis, pengendalian entri data

27 32 Proses atau Aktivitas Penagihan dan piutang usaha Penagihan kas Masalah-masalah pengendalian umum Risiko 1 Kegagalan untuk menagih pelanggan Prosedur Pengendalian yang Dapat Diterapkan 1 Pemisahan fungsi pengiriman dan penagihan, pemberian nomor terlebih dahulu ke semua dokumen pengiriman dan rekonsiliasi faktur secara periodik, rekonsiliasi kartu pengambilan dan dokumen pengiriman dengan pesanan penjualan 2 Pengendalian edit entri data daftar harga 3 Rekonsiliasi buku pembantu piutang usaha dengan buku besar, laporan bulanan ke pelanggan 2 Kesalahan dalam penagihan 3 Kesalahan dalam memasukkan data ketika memperbarui piutang usaha 1 Pencurian kas 1 Pemisahan fungsi, minimalisasi penanganan kas, kesepakatan lockbox, konfirmasikan pengesahan dan penyimpanan semua penerimaan, rekonsiliasi periodik laporan bank dengan catatan seseorang yang tidak terlibat dalam pemrosesan penerimaan kas 1 Kehilangan data 1 Prosedur cadangan dan pemulihan dari bencana, pengendalian akses (secara fisik dan logis) 2 Kinerja yang buruk 2 Tinjauan laporan kinerja Sumber: Marshall, B. Romney dan Paul J. Steinbart (2004) Audit Berbasis Risiko ( Risk Based Audit ) 1.Pengertian Pendekatan Audit Berbasis Risiko Menurut Tunggal (2012: 215), audit berbasis risiko adalah audit yang difokuskan dan diprioritaskan pada risiko bisnis dan prosesnya serta pengendalian terhadap risiko yang dapat terjadi. Dalam konsep audit berbasis risiko, semakin tinggi risiko suatu area, maka harus semakin tinggi pula perhatian dalam audit area tersebut. Untuk mengidentifikasi suatu risiko bisnis, auditor harus memahami

28 33 aspek pengendalian dari bisnis yang bersangkutan. Pemahaman terhadap proses bisnis termasuk memahami risiko dan pengendalian dari sistem dalam mencapai sasaran atau tujuan organisasi. 2. Tujuan Pelaksanaan Audit Berbasis Risiko Tujuan secara umum adalah dalam rangka ; a. Mengurangi risiko, Dari audit risiko yang dilakukan dapat diungkapkan transaksi, produk serta aktivitas perusahaan yang berisiko tinggi. Area yang berisiko tinggi tersebut dapat dilihat apa yang menjadi penyebabnya. Sebab risiko tinggi bisa terdapat pada proses, orang, sistem atau sebab dari luar. Dengan mengetahui penyebab suatu area berisiko tinggi, manajemen dapat mengurangi risiko dengan meniadakan/mengurangi risiko tersebut. b. Mengantisipasi risiko potensial yang dapat merugikan operasi perusahaan, Audit berbasis risiko juga mengungkapkan area mana yang berpotensi mempunyai risiko tinggi, yang mungkin belum disadari oleh auditee yang bersangkutan c. Melindungi perusahaan dari kejadian tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi. Suatu kejadian yang menimbulkan kerugian bagi perusahaan dapat terjadi secara mendadak dan perusahaan tidak siap menghadapinya. Akibat yang ditimbulkan mempunyai pengaruh yang besar pada perusahaan. Sebaliknya, apabila kemungkinan terjadinya suatu kejadian yang merugikan perusahaan telah diperhitungkan sebelum terjadi, dampak yang ditimbulkan sudah

29 34 diperkirakan dan pengaruh negatifnya dapat diminimalisasi. Penerapan audit berbasis risiko, lebih memungkinkan perusahaan bersiap menghadapi risiko sekaligus antisipasi melindungi diri dari kemungkinan kerugian yang akan dialami.(tunggal, 2012: ) Badan Pengawas Keuangan dan Pembangunan (2007:7-9) menyatakan bahwa pendekatan audit berpeduli risiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern yang sudah berjalan selama ini. Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor internal dalam pelaksanaan penugasan auditnya melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan. Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistim dan proses bagaimana manajemen mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang dikarenakan faktor risiko dalam pengambilan keputusan. Aspek-aspek yang perlu dipahami auditor dalam melakukan pendekatan berbasis risiko adalah sebagai berikut: a. Dalam menerapkan audit berbasis risiko, auditor perlu mengidentifikasi wilayah atau area yang memiliki risiko yang menghambat pencapaian tujuan manajemen. Misalnya dalam audit keuangan, risiko salah saji yang

30 35 besar atau tinggi pada penyajian laporan keuangan. Wilayah atau area yang memiliki tingkat risiko yang tinggi tersebut akan memerlukan pengujian yang lebih mendalam; b. Auditor dapat mengalokasikan sumber daya auditnya berdasarkan hasil identifikasi atas kemungkinan dan dampak terjadinya risiko. Wilayah berisiko rendah menjadi prioritas akhir alokasi sumber daya audit. 3. Perubahan Paradigma dalam Pendekatan Audit Berbasis Risiko Tunggal (2012: ) menyebutkan, perubahan pendekatan ke audit internal berbasis risiko adalah perubahan yang fundamental sehingga memerlukan perubahan paradigma secara total dari para pelakunya. Secara umum perubahan tersebut yaitu : a. Perencanaan audit berbasis risiko dirancang untuk menggunakan waktu audit lebih banyak pada area yang berisiko tinggi dan merupakan sasaran perusahaan yang paling penting. b. Adanya perubahan alokasi waktu dalam melakukan proses audit berbasis risiko dengan lebih banyak melakukan evaluasi terhadap kecukupan dan efektivitas internal control perusahaan, tata kelola yang baik (governance) dan sistem informasi yang meliputi : 1) Efektivitas dan efisiensi operasi perusahaan 2) Kehandalan dan integritas dari informasi keuangan dan operasi 3) Perlindungan terhadap aset perusahaan 4) Kepatuhan terhadap sistem dan prosedur, regulasi dan hukum.

31 36 Traditional Audit Process Risk Based audit Process Phase Time Allocation Phase Time Allocation Planning 10-15% Planning 10-15% Preeliminary Survey 10-15% Evaluation of Adequacy 40-50% Fieldwork 60-65% Evaluation Of 25-30% Effectiveness Reporting 10-15% Reporting 5-10% Berikut beberapa hal yang lebih spesifik mengenai perubahan pendekatan audit berbasis risiko: No Perubahan Pendekatanlama Pendekatanbaru 1 Audit Universe Lebih mengutamakan area financial dan kepatuhan kepada kebijakan dan prosedur internal. 2 Tujuan Audit Lebih kepada memastikan bahwa pengendalian internal bekerja secara efektif dan perannya untuk meningkatkan efisiensi tanpa melihat keberadaannya untuk mengendalikan risiko. 3 Rencana Audit Tahunan 4 Tugas Lapangan Siklus Audit ditetapkan secara berkala dan biasanya dilakukan secara mendadak (surprise audit) tanpa memperhatikan tingkat risiko. Dilakukan berdasarkan padaseperangkat rencana kerja (work plan) yang mungkin tanpa tujuan spesifik. 5 Pengujian Pengujian untuk mengkonfirmasi bekerjanya pengendalian tanpa mengurutkan menurut tingkat kepentinga dan lebih mengarah kepada penemuan kesalahan walaupun tidak material dengan akibat laporan yang tebal. 6 Pelaporan Lebih mengutamakan penyimpangan yang signifikan dengan tetap merekam semua penyimpangan yang tidak material tetapi jumlahnya banyak. 7 Rekomendasi Rekomendasi diberikan dalam kaitan dengan pengendalian agar diperkuat, memperhatikan cost benefit, efisiensi dan efektivitas. Sumber: Drs. Amin Widjaja Tunggal (2012) Semua aktivitas usaha, khususnya yang mengandung risiko usaha (business risk) perlu dipetakan. Lebih kepada memberikan kepastian (assurance) bahwa risiko yang diidentifikasi telah dikurangi ketingkat yang dapat diterima. Audit akan lebih diprioritaskan ke area yang berisiko tinggi. Tugas lapangan lebih kepada memastikan bahwa perusahaan telah mengidentifikasi, mengendalikan dan memantau semua risiko yang ada. Masih tetap menggunakan teknik pengujian yang sama, tapi lebih memastikan bahwa pengendalian utama (important risk control) berfungsi dengan baik untuk mengurangi risiko. Lebih kepada memberikan keyakinan bahwa semua risiko khususnya yang utama telah dikelola secara baik, dan melaporkan secara rinci risiko yang tidak dikurangi dengan baik. Rekomendasi akan diberikan dalam kaitan dengan manajemen risiko agar risiko dihindari, diakhiri, ditransfer, didiversifikasi atau diterima dan dikelola.

32 37 4. Hal-hal yang Perlu Diperhatikan pada Audit Berbasis Risiko Tuanakotta (2013:198) menunjukkan bahwa dalam audit berbasis risiko, ada beberapa hal yang perlu diperhatikan sebagai pedoman dalam melakukan audit ini. Beberapa hal tersebut di antaranya adalah: a. Kecukupan pengendalian; b. Kepatuhan terhadap sistim dan prosedur; c. Tujuan daripada audit itu sendiri. Selain itu, auditor juga harus dituntut untuk memiliki karakter atau hal dasar selama pemeriksaan dengan berpegang pada beberapa hal, meliputi : a. Professional judgement, yaitu sikap dasar yang diperlukan oleh seorang auditor dalam menanggapi temuan dan potensi risiko yang ada selama pemeriksaan. Bentuk daripada pertimbangannya berupa modifikasi prosedur audit, penambahan atau pengurangan bukti audit, perluasan lingkup audit, penentuan materialitas temuan audit. Professional judgement muncul ketika seorang auditor, di antaranya sudah mempunyai jam terbang yang cukup tinggi dan telah memahami seluk beluk objek dan sasaran audit beserta permasalahannya; b. Skeptisisme profesional, yaitu ketidakmudahan untuk mempercayai apa yang telah ditemukan, meliputi bukti audit, informasi dari stakeholders, kepatuhan para personil terhadap sistim dan prosedur. Skeptisisme professional berbeda dengan kecurigaan. Perbedaan yang mendasar di antara dua sikap di atas adalah ada atau tidaknya landasan yang menyertai,

33 38 di antaranya karakter, kejadian, motif dari sesuatu yang diamati dan terjadi sebelum atau bersamaan dengan objek audit yang sedang diperika; c. Principle based, yang merupakan pilihan lain selain penggunaan rules based. Konsep dasar daripada principle based ini adalah fleksibilitas dalam menanggapi temuan audit yang ada, di samping mempertimbangkankonsep rules based. Di samping itu, konsep dasar principle based juga berguna dalam mengenmbangkan standar, prosedur baku yang telah ditetapkan dalam pedoman audit yang merupakan wujud dari konsep rules based. 5. Manfaat Audit Berbasis Risiko Menurut Tuanakotta (2013: ), beberapa manfaat dari suatu audit berbasis risiko adalah sebagai berikut: a. Fleksibilitas waktu. Karena prosedur penilaian risiko tidak menguji transaksi dan saldo secara rinci, prosedur itu dapat dilaksanakan jauh sebelum akhir tahun (dengan asumsi, tidak ada perubahan operasional yang besar). Ini dapat menyeimbangkan beban kerja audit secara merata sepanjang tahun; b. Upaya tim audit terfokus pada area kunci. Dengan memahami di mana risiko salah saji material bisa terjadi dalam laporan keuangan, auditor dapat mengarahkan tin audit ke hal-hal berisiko tinggi dan mengurangi pekerjaan pada hal-hal yang berisiko rendah. Dengan demikian sumber daya atau staf audit dimanfaatkan sebaik-baiknya; c. Prosedur audit terfokus pada risiko. Prosedur audit selanjutnya dirancang untuk menanggapi risiko yang dinilai. Oleh karena itu, uji rincian yang

34 39 hanya menanggapi risiko secara umum, akan dapat dikurangi secara signifikan atau bahkan sama sekali dihilangkan; d. Pemahaman atas pengendalian internal. Pemahaman terhadap pengendalian internal yang tepat, untuk menguji atau tidak menguji efektifnya pengendalian internal. Uji pengendalian sering mengurangi banyak pekerjaan, dibandingkan dengan pelaksanaan uji rincian secara ekstensif; e. Komunikasi tepat waktu. Pemahaman terhadap pengendalian internal yang meningkat memungkinkan auditor mengidentifikasi kelemahan dalam pengendalian internal, yang sebelumnya tidak diketahui. Mengkomunikasikan kelemahan dalam pengendalian internal kepada manajemen secara tepat waktu memungkinkan entitas mengambil tindakan yang tepat, dan yang menguntunkan entitas. 6. Tahapan dalam Melakukan Audit Berbasis Risiko Menurut Tunggal (2012: ), tahapan dalam melakukan audit berbasis risiko adalah sebagai berikut: a. Memastikan bahwa risk register yang sudah dimiliki oleh unit usaha sudah tepat dijadikan sebagai dasar perencanaan audit. b. Membuat Risk Register. Sejak risiko harus diberi skor dan diurutkan sesuai dengan tingkat risikonya, data tersebut sebaiknya dimasukkan ke dalam sebuath database yang bisa dilakukan dengan menggunakan aplikasi spreadsheet (contoh: Ms. Excel. Proses dokumentasi dimulai dengan memasukkan pemetaan proses ke dalam database kemudian menentukan risiko yang mungkin terjadi dan

35 40 diberi skor sesuai dengan tingkat risikonya. Proses dokumentasi risiko tersebut dikenal dengan nama Risk Register. c. Memutuskan risiko yang dimiliki oleh manajemen untuk diberikan opini oleh audit internal. d. Menyusun Rencana Audit Tahunan (RAT) e. Melakukan individual audit ke setiap unit usaha (Risk-based Auditing) f. Menyampaikan laporan secara periodik ke manajemen. Sumber: BPKP 2007 Gambar 3 Tahapan Audit Berbasis Risiko

36 41 Menurut Tunggal (2012:470), menentukan Risk Maturity. Risk Maturity adalah tingkat dimana suatu organisasi mengetahui risiko yang ada dan telah menjalankan risk management. Menurut The IIA-UK and Ireland publication on Risk-Based Internal Auditing diketahui ada 5 (lima) tingkatan risk maturity, yaitu: a. Risk Enabled Risk management dan internal control sudah sepenuhnya diterapkan ke dalam operasional perusahaan. Pemahaman tentang risk management dan monitoring terhadap internal control dalam organisasi ini sudah sangat maju. b. Risk Managed Pendekatan terhadap risk management sudah dikembangkan dan dikomunikasikan. Hampir sama dengan risk enabled. Internal audit bertugas membantu manajemen dalam menindaklanjuti kelemahan yang ditemukan. c. Risk Defined Strategi dan kebijakan perusahaan sudah ada dan dikomunikasikan. Risk appetite sudah ditentukan. Hampir semua risiko sudah diidentifikasi, tetapi belum semuanya dipasang di dalam risk register. Internal Audit bertindak sebagai konsultan untuk membantu mengumpulkan risiko yang sudah berhasil diidentifikasi ke dalam risk register. d. Risk Aware Tidak ada risk register, hanya sedikit risiko yang sudah diidentifikasi. Internal audit bertindak sebagai konsultan untuk mengambil alih, menilai

37 42 risiko dan menentukan persyaratan yang diminta oleh manajemen sebagai bahan acuan untuk implementasi risk management. e. Risk Naive Tidak ada pendekatan resmi yang dikembangkan oleh perusahaan untuk menerapkan risk management. Menurut BPKP (2007:38-39), Audit universe adalah peta komprehensif tentang auditi dan berbagai variable terkait dengan auditi, menyangkut kepentingan audit yang dibangun oleh auditor (lembaganya) berkenaan dengan seluruh proses audit dan sesuai dengan tujuan audit. Audit universe memungkinkan auditor untuk melaksanakan perencanaan audit, strategi audit, pendekatan audit, penerapan teknik audit, perancangan output audit, pengendalian risiko audit, dan kepentingan audit lainnya. Daftar risiko dan peta komprehensif auditi berisi informasi tentang : a. Risiko-risiko yang telah diidentifikasi dan/atau diketahui oleh manajemen dan auditor intern beserta bobot risikonya; b. Proses penanganan, dan kemungkinan dampak terjadinya akibat ancaman risiko tersebut; c. Siapa pemilik risiko atau dimana risiko tersebut dapat terjadi; d. Simpulan audit yang dapat diberikan kepada pihak auditi terhadap setiap risiko yang telah teridentifikasi; e. Rincian dan simpulan hasil yang lalu dan kemungkinan yang diharapkan pada audit berikutnya; f. Rincian atas pelaksanaan pengendalian risiko.

38 43 Berdasarkan informasi tersebut dapat diperoleh laporan-laporan berikut : a. Data rencana audit yang akan dilaksanakan pada tahun/periode berjalan b. Risiko-risiko yang diproses berdasarkan urutan ancamannya, signifikansinya dan alternatif penanganan yang dapat ditempuh. c. Laporan lainnya termasuk komposisi sumber daya (tenaga, anggaran dan alokasi waktu) yang akan terlibat dalam penugasan audit. Menurut Tuanakotta (2013:12) menyatakan bahwa tahapan dalam melakukan audit berbasis risiko tidak jauh berbeda dengan tahapan audit internal. Letak perbedaannya hanya pada orientasi nya yang merujuk pada temuan-temuan yang sifatnya berpotensi risiko pada setiap tahap siklus aktivitas bisnis yang direpresentasikan oleh fungsi-fungsi yang ada dalam siklus aktivitas bisnis yang bersangkutan. Hanafi (2009:10) menyatakan bahwa adapun tahapan dalam audit berbasis risiko tersebut adalah: a. Pendahuluan Pada tahap ini, auditor menyusun rencana audit yang didasarkan pada penilaian risiko untuk mengidentifikasi risiko-risiko apa yang ada pada objek yang diaudit. Identifikasi dilakukan guna mempelajari kemungkinankemungkinan risiko yang dapat terjadi dengan melihat pengendalian internal dan faktor risiko. Beberapa teknik yang dapat digunakan untuk mengidentifikasi risiko adalah metode laporan keuangan, analisis flow chart dan operasional perusahaan, analisis kontrak, dan wawancara kepada pemangku kepentingan, terutama yang berkaitan dengan manajemen risiko.

39 44 Setelah melakukan tahap identifikasi risiko, maka tahap selanjutnya adalah membuat program audit di mana pada tahap ini auditor mempersiapkan prosedur-prosedur audit yang spesifik untuk audit yang akan dilakukan dan dilanjutkan dengan tahap pekerjaan lapangan (field work). Hasil daripada tahap pekerjaan lapangan ini akan didokumentasikan ke dalam laporan hasil audit yang isinya berupa temuan audit, kriteria atau standar prosedur yang seharusnya, dampak yang ditimbulkan, serta rekomendasi atas temuan tersebut guna meminimalisasi risiko serta dampak yang akan ditimbulkannya. b. Pelaksanaan Setelah identifikasi risiko dilakukan, auditor mengadakan pengukuran risiko (sesuai dengan program audit yang telah dirancang sebelumnya) yang pada dasarnya menganalisis seberapa besar kemungkinan terjadinya (likelihood) risiko tersebut dan besarnya dampak yang ditimbulkan jika risiko tersebut terjadi. Kemungkinan terjadinya risiko dipengaruhi oleh kecukupan pengendalian internal dan ada atau tidaknya kepatuhan terhadap sistim dan prosedur, terutama yang berkaitan dengan management override (pelanggaran oleh pihak manajemen melalui penyalahgunaan wewenang). Teknik-teknik dalam mengukur risiko sebetulnya bervariasi tergantung jenis risikonya. Teknik yang sebagian besar digunakan dan paling lazim digunakan adalah matriks frekuensi dan signifikansi (Hanafi, 2009:57). Setelah tahap pengukuran risiko dilakukan, kemudian auditor internal melakukan mapping (pemetaan) berdasarkan hasil penilaian risiko ke dalam