Setelah "membahas" *kenapa pake tanda kutip? karena saya sendiri tidak yakin tulisan saya layak disebut pembahasan, hhe* konsep dasar penilaian risiko, risk apptite dan risk tolerance, serta macam-macam respon terhadap risiko, sekarang, mari kita coba selesaikan "pembahasan" trilogi risiko ini. Di sekuel terakhir ini, saya akan paparkan 'sedikit' *karena memang hanya sedikit yang saya tahu* tentang macam risiko dalam audit.
Ada empat --atau lima-- macam risiko dalam audit, yaitu inherent risk (risiko inheren/awal), control risk (risiko pengendalian), detection risk (risiko deteksi), dan --normal-- audit risk (risiko audit). Satu lagi risiko yang baru-baru ini saya tahu: auditor risk (risiko auditor). Sedangkan istilah residual risk (risiko tersisa) digunakan sebagai lawan dari inherent risk.
Inherent risk merupakan risiko yang belum diapa-apakan. Langkah pertama dalam manajemen risiko adalah identifikasi dan penilaian risiko. Inherent risk merupakan risiko yang berhasil diidentifikasi dan kemudian dinilai. Belum dilakukan treatment apapun terhadap inherent risk. Kebalikan dari inherent risk, residual risk merupakan risiko yang sudah diapa-apakan, dilakukan treatment. Dalam petunjuk teknis audit di tempat saya bekerja, auditor harus melakukan pemahaman entitas (auditee) --yang salah satu tujuannya-- sebagai dasar penilaian inherent risk ini. Pada perusahaan yang telah menerapkan manajemen risiko, inherent risk telah dilakukan secara mandiri. Namun, dhi. (dalam hal ini) bukan berarti auditor lalu boleh meninggalkan langkah pemahaman entitas.
Inherent risk tidak dibiarkan begitu saja, seperti yang sudah dibahas kemarin, jika tingkat inherent risk ini di atas risk tolerance, maka perusahaan dhi. akan melakukan --salah satunya-- mitigasi atau pengendalian risiko. Mitigasi risiko ini dapat dilakukan dengan menerapkan sistem pengendalian internal/SPI (internal control system) pada aktivitas-aktivitas perusahaan --terutama yang berrisiko tinggi. Tidak semua risiko dapat ditekan dengan diterapkannya SPI sampai pada titik nol. Risiko yang masih tersisa (residual risk) setelah diterapkannya SPI inilah yang disebut control risk. Dalam petunjuk teknis audit di tempat saya bekerja, auditor harus melakukan pemahaman dan penilaian SPI (test of control) --yang salah satu tujuannya-- sebagai dasar penilaian control risk.
Audit tidak bisa lepas dari teknik sampling. Karena waktu dan tenaga yang sangat terbatas, audit tidak mungkin dilakukan atas seluruh transaksi (populasi). Oleh karena itu, auditor menggunakan teknik uji petik (sampling) pada pengujian substantif (substantive test) dengan harapan sample yang diambil dapat mewakili populasi. Di luar harapan, sangat mungkin sample yang diambil "salah". Transaksi yang dijadikan sample baik-baik saja, sedangkan transaksi yang bermasalah justru luput dari sampling misalnya. Risiko yang masih tersisa (residual risk) dari transaksi yang bermasalah yang luput dari sampling audit sehingga tidak terdeteksi oleh auditor inilah yang disebut dengan detection risk.
Detection risk ini pada akhirnya akan menjadi audit risk atau normal audit risk jika auditor telah melaksanakan langkah-langkah audit sesuai standar audit (dapat dipertanggungjawabkan) yang antara lain dibuktikan dengan kertas kerja audit. Sedangkan jika audit dilaksanakan tidak sesuai standar audit dengan alasan yang tidak dapat diterima --entah itu karena error (unsur ketidaksengajaan) ataupun fraud (unsur kesengajaan), detection risk akan menjadi auditor risk.
Sekian. O ya, maaf untuk tidak dapat lagi menampilkan Bunga (bukan nama sebenarnya) sebagai permisalan.
risiko dalam audit |
Comments
Post a Comment