7
BAB 2 TINJAUAN TEORITIS
2.1
Tinjauan Teoretis dan Perumusan Hipotesis
2.1.1. Audit Internal 1. Definisi dan Tujuan Audit Internal Definisi Audit Internal adalah “Audit internal adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan kontrol yang berbeda-beda dalam organisasi untuk menentukan apakah (1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) resiko yang dihadapi perusahaan telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti; (4) kriteria operasi yang memuaskan telah terpenuhi; (5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif. Semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.” (Sawyer et al., 2005: 10) “Internal Auditing adalah suatu fungsi penilaian yang independen dalam suatu organiasasi untuk menguji dan mengevaluasi kegiatan organisasi yang dilaksanakan.” (Tugiman, 2006:11) “Internal audit adakah aktivitas penilaian secara independen dalam suatu organisasi untuk meninjau secara kritis tindakan pembukuan keuangan dan tindakan lain sebagai dasar untuk memberikan bantuan bersifat proteksi (melindungi) dan konstruktif bagi pimpinan perusahaan.” (Tunggal, 2012:51) Tujuan Pengendalian Internal adalah “Meyakinkan keandalan (reliabilitas dan integritas) informasi; kesesuaian denganberbagai kebijaksanaan, rencana, prosedur, dan ketentuan perundang-undangan; perlindungan terhadap harta organisasi; penggunaan sumber daya yang ekonomis dan efisien, serta tercapainya berbagai tujuan dan sasaran yang telah ditetapkan”. (Tugiman, 2006:44) 7
8
Definisi ini tidak hanya mencakup peranan dan tujuan auditor internal, tetapi juga mengakomodasikan kesempatan dan tanggung jawab. Definisi tersebut juga memadukan persyaratan signifikan yang ada di standar dan menangkap lingkup yang luas dari auditor internal modern yang lebih menekankan pada penambahan nilai dan semua hal yang berkaitan dengan risiko, tata kelola, dan kontrol. Tujuan pelaksanaan audit intern adalah membantu para anggota organisasi agar mereka dapat melaksanakan tanggung jawabnya secara efektif. Untuk hal tersebut, auditor internal akan memberikan berbagai analisis, penilaian, rekomendasi, petunjuk dan informasi sehubungan dengan kegiatan yang diperiksa. Tujuan pemeriksaan mencakup usaha mengembangkan pengendalian yang efektif dengan biaya yang wajar. 2. Aktivitas Audit Internal Sawyer et al (2005:27) menunjukkan bahwa meskipun audit internal yang modern memiliki cakupan yang luas, tetapi bentuk praktik audit saat ini terbagi atas tiga kategori dasar, yaitu : a. Keuangan, analisis aktivitas ekonomi sebuah entitas yang diukur dan dilaporkan menggunakan metode akuntansi; b. Ketaatan, penelaahan atas kontrol keuangan dan operasi serta transaksi untuk melihat kesesuaiannya dengan aturan, standar, regulasi, dan prosedur yang berlaku: c. Operasional, telaah komprehensif atas fungsi yang bervariasi dalam perusahaan untuk menilai efisiensi dan ekonomi operasi serta efektivitas fungsi-fungsi tersebut dalam mencapai tujuannya.
9
Menurut Romney dan Steinbart (2004:389), garis besar daripada tanggung jawab auditor internal adalah : a. Melakukan tinjauan atas keandalan dan integritas informasi operasional dan keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi, dan dilaporkan; b. Menetapkan apakah sistim telah didesain untuk sesuai dengan kebijakan operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang berlaku; c. Melakukan tinjauan mengenai bagaimana aset dijaga dan memverifikasi keberadaan aset tersebut; d. Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan efisien mereka digunakan; e. Melakukan tinjauan atas operasional dan program perusahaan untuk menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah mereka dapat memenuhi tujuan-tujuan mereka. 3. Sifat Audit Internal Romney dan Steinbart (2004:389) menyatakan bahwa audit adalah sebuah proses sistematis untuk secara objektif mendapatkan dan mengevaluasi bukti mengenai pernyataan perihal tindakan dan transaksi bernilai ekonomi untuk memastikan tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan serta mengkomunikasikan hasil-hasilnya pada pemakai yang berkepentingan.
10
Audit membutuhkan pendekatan langkah per langkah yang dibentuk dengan perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati. Dalam membuat rekomendasi, auditor internal membuat kriteria-kriteria, seperti prinsip-prinsip manajemen dan pengendalian. 4. Cara Auditor Internal Melayani Kebutuhan Manajemen Menurut Agung (2014:9) Kontribusi auditor internal menjadi semakin penting seiring dengan berkembang dan makin kompleksnya sistem usaha dan peraturan. Sayangnya, beberapa manajer tidak menyadari manfaat yang menanti mereka. Kadang kala auditor sendiri tidak memberi pengetahuan ke manajemen tentang manfaat mereka. Beberapa peran auditor untuk membantu manajemen meliputi : a. Mengawasi kegiatan-kegiatan yang tidak dapat diawasi sendiri oleh manajemen puncak; b. Mengidentifikasi dan meminimalkan risiko; c. Memvalidasi laporan ke manajemen senior; d. Membantu manajemen pada bidang-bidang teknis; e. Membantu proses pengambilan keputusan; f. Menganalisis masa depan; g. Membantu manajer untuk mengelola perusahaan, dalam hal perencanaan, pengorganisasian, pengarahan, dan kontrol.
11
5. Tahap-tahap Audit Internal Pada dasarnya, tahap-tahap pada audit internal tidak jauh berbeda dengan audit pada umumnya. Perbedaanya hanya terletak dari pada program audit itu sendiri yang menjadi pedoman dalam pelaksanaannya nanti. Tahap-tahap ini meliputi : a. Pendahuluan. Pada tahap ini, auditor internal melakukan survei sekaligus mempelajari beberapa hal dasar yang ada di dalam suatu organisasi atau fungsi yang merupakan rujukan dan pedoman bagi anggota organisasi maupun anggota fungsional. Beberapa hal dasar tersebut di antaranya struktur
organisasi,
kebijakan
akuntansi,
kebijakan
operasional,
pengendalian internal, file permanen, dan lain-lainnya. Prosedur audit yang digunakan biasanyaadalah observasi, inspeksi, wawancara; b. Pelaksanaan. Setelah memperoleh gambaran umum serta mengasumsikan beberapa hal yang berpotensi menjadi risiko dan masalah ketika dilaksanakannya audit, auditor internal kemudian melakukan pengujian atas asumsi yang didapatnya pada tahap pendahuluan. Hal ini sekaligus berupaya
untuk
mengembangkan
hasil
asumsi
yang
telah
didokumentasikan pada tahap pendahuluan. Prosedur audit yang dilakukan adalah berupa verifikasi, prosedur analitis, konfirmasi, inspeksi, dan wawancara; c. Pelaporan. Pada tahap ini, auditor menyerahkan hasil audit nya kepada manajemen perihal temuan audit, risiko dan potensi jika temuan tersebut terjadi, serta rekomendasi untuk mengeliminasi atau meminimalisasinya;
12
d. Evaluasi.
Sehubungan
dengan
diserahkannya
hasil
audit
kepada
manajemen, maka auditor internal tetap harus melakukan pengawalan dan pengawasan atas hasil auditnya tersebut terlepas manajemen menanggapi secara lisan maupun tertulis perihal laporan hasil audit yang diterimanya. Hal ini dilakukan mengingat salah satu prinsip yang mendasari bahwa audit akan lebih efektif jika dilakukan secara komprehensif dan berkesinambungan. Berkesinambungan di sini, termasuk di dalamnya adalah sebagai representasi dari tahap evaluasi itu sendiri.
2.1.2
Siklus Aktivitas Bisnis
1. Definisi dan Jenis Siklus Aktivitas Bisnis Romney dan Steinbart (2004:472) menunjukkan bahwa siklus aktivitas bisnis adalah sekelompok proses bisnis yang saling berhubungan di mana di dalamnya terdapat lima siklus aktivitas bisnis utama, yaitu pendapatan, pembelian dan pengendalian sediaan, produksi, personalia, dan keuangan. 2. Aktivitas Bisnis Siklus Pendapatan Siklus pendapatan merupakan rangkaian aktivitas bisnis berulang dan pemrosesan informasi terkait, yang berhubungan dengan menyediakan barang dan pelayanan ke pelanggan dan menagih uang pembayaran untuk penjualan tersebut Romney dan Steinbart (2004:472). Empat aktivitas dasar bisnis yang sering dilakukan pada siklus pendapatan yakni :
13
a. Penerimaan pesanan dari para pelanggan 1) Mengambil pesanan pelanggan; 2) Persetujuan kredit; 3) Memeriksa ketersediaan persediaan; 4) Menjawab permintaan pelanggan; b. Pengiriman Barang; 1) Ambil dan mengepak pesanan; 2) Kirim pesanan. c. Penagihan dan piutang usaha 1) Penagihan; 2) Pemeliharaan data piutang usaha; 3) Pengecualian (penyesuaian rekening dan penghapusan). d. Penagihan kas 1) Menangani kiriman uang pelanggan; 2) Menyimpannya ke bank. Menurut Romney dan Steinbart (2004:7), tahap-tahap aktivitas bisnis dasar dalam siklus pendapatan, yaitu : a. Entri Pesanan Penjualan Siklus pendapatan dimulai dari penerimaan pesanan dari para pelanggan. Departemen bagian pesanan penjualan, melakukan proses memasukkan pesanan penjualan. Dokumen yang dibuat dalam proses memasukkan pesanan penjualan (sales order). Proses memasukkan pesanan penjualan mencakup tiga tahap :
14
1) Mengambil pesanan untuk pelanggan; 2) Memeriksa dan menyetujui kredit dari pelanggan; 3) Serta memeriksa ketersediaan persediaan. b. Pengiriman 1) Pengambilan dan pengepakan barang Kartu pengambilan barang yang dicetak sesuai dengan entri pesanan penjualan akan memicu proses pengambilan dan pengepakan. 2) Pengiriman Pesanan Departemen pengiriman membandingkan perhitungan fisik persediaan dengan jumlah yang ditentukan dalam pesanan penjualanyang dikirim secara langsung ke bagian pengiriman dari entri pesanan penjualan. c. Penagihan dan piutang usaha 1) Dokumen dasar yang dibuat dalam proses penagihan adalah faktur penjualan yang memberitahukan pelanggan mengenai jumlah yang harus dibayar dan kemana harus mengirimkan pembayaran. 2) Pemeliharaan data piutang usaha Fungsi piutang usaha yaitu menggunakan informasi dalam faktur penjualan untuk mendebit rekening pelanggan dan mengkredit rekening tersebut ketika pembayaran diterima. d. Penagihan kas Langkah terakhir dari siklus pendapatan adalah menerima pembayaran. Yang melakukan aktivitas ini adalah kasir. Tujuan utama dari siklus pendapatan adalah untuk menyediakan produk yang tepat di tempat dan
15
waktu yang tepat dengan harga yang sesuai. Guna mencapai tujuan, manajemen harus membuat beberapa keputusan penting berikut ini : 1) Sejauh apakah produk dapat dan harus disesuaikan dengan tiap kebutuhan dan keinginan pelanggan; 2) Seberapa banyak sediaan yang harus dimiliki, dan di manakah sediaan tersebut ditempatkan; 3) Bagaimana seharusnya barang dagangan dikirim kepada para pelanggan? Haruskah perusahaan melakukan fungsi pengiriman sendiri atau menggunakan pihak ketiga yang mengkhususkan diri dalam pengiriman; 4) Berapakah harga optimum untuk setiap produk atau jasa; 5) Haruskah kredit ditawarkan kepada pelanggan; 6) Berapa banyak kredit yang seharusnya diberikan kepada tiap pelanggan; 7) Apa syarat-syarat kredit yang seharusnya diberikan; 8) Bagaimana pembayaran pelanggan diproses memaksimalkan arus kas.
Gambar 1 Siklus Pendapatan Sumber: Mulyadi (2008)
16
Siklus pendapatan terdiri dari transaksi penjualan barang atau jasa, baik secara kredit maupun tunai, retur penjualan, pencadangan kerugian piutang, dan penghapusan piutang. Dalam transaksi penjualan kredit, jika pesanan dari pelanggan telah dipenuhi dengan pengiriman barang atau penyerahan jasa, untuk jangka waktu tertentu perusahaan memiliki piutang kepada pelanggan yang bersangkutan. Transaksi penjualan kredit dilakukan melalui sistem penjualan kredit. Dalam transaksi penjualan tunai, barang diserahkan oleh fungsi pengiriman kepada pelanggan atau jasa baru diserahkan jika fungsi penerimaan kas setelah menerima uang dari pelanggan. Transaksi ini dilakukan melalui sistem penjualan tunai. Pendapatan perusahaan dapat berkurang karena barang yang dijual dikembalikan oleh pelanggan ke penjual dan pencadangan kerugian akibat tidak tertagihnya piutang usaha. Piutang yang dimiliki oleh perusahaan dapat berkurang karena debitur tidak mampu melunasi utangnya. Transaksi penghapusan piutang ini dilakukan melalui sistem penghapusan piutang (Mulyadi, 2008:36). 3. Risiko dan Pengendalian dalam Siklus Pendapatan Romney dan Steinbart (2004:30) menyatakan bahwa di dalam siklus pendapatan, sistem dan prosedur yang didesain dengan baik harus menyediakan pengendalian yang memadai untuk memastikan bahwa tujuantujuan berikut ini tercapai : a. Semua transaksi telah diotorisasi dengan benar; b. Semua transaksi yang dicatat adalah valid (benar-benar terjadi); c. Semua transaksi yang valid dan disahkan, telah dicatat;
17
d. Semua transaksi dicatat dengan akurat; e. Aset (kas, sediaan, dan data) dijaga dari kehilangan, ataupun pencurian; f. Aktivitas bisnis dilaksanakan secara efektif dan efisien. Mengenai risiko dan pengendalian yang ada dalam siklus pendapatan, akan dijelaskan ke dalam tabel berikut :
18
Tabel 1 Daftar Risiko pada Siklus Pendapatan Prosedur Pengendalian yang Dapat Proses atau aktivitas
Risiko Diterapkan
Entri pesanan Penjualn
1 Pesanan pelanggan yang tidak lengkap atau tidak akurat 2 Penjualan secara kredit ke pelanggan yang memiliki catatan kredit buruk 3 Legitimasi pesanan
4 Habisnya sediaan, biaya penggudangan, dan
1 Pemeriksaan edit entri data
2 Persetujuan kredit oleh manajer bagian kredit; bukan oleh fungsi penjualan; catatan yang akurat atas saldo rekening pelanggan 3 Tanda tangan di atas dokumen kertas; tanda tangan digital dan sertifikat digital untuk e- Business 4 Sistem pengendalian sediaan
pengurangan harga Pengiriman
Penagihan dan piutang usaha
1 Kesalahan pengiriman, barang dagangan yang salah, Jumlah yang salah, Alamat yang salah 1 Kegagalan untuk menagih pelanggan
Penagihan kas
2 Kesalahan dalam penagihan 3 Kesalahan dalam memasukkan data ketika memperbarui piutang usaha 1 Pencurian kas
Sumber: Romney dan Steinbart (2004)
1 Rekonsiliasi pesanan penjualan dengan kartu pengambilan dan slip pengepakan, pemindai kode garis, pengendalian entri data 1 Pemisahan fungsi pengiriman dan penagihan, pemberian nomor terlebih dahulu ke semua dokumen pengiriman dan rekonsiliasi faktur secara periodik, rekonsiliasi kartu pengambilan dan dokumen pengiriman dengan pesanan penjualan 2 Pengendalian edit entri data daftar harga 3 Rekonsiliasi buku pembantu piutang usaha dengan buku besar, laporan bulanan ke pelanggan 1 Pemisahan fungsi, minimalisasi penanganan kas, kesepakatan lockbox , konfirmasikan pengesahan dan penyimpanan semua penerimaan, rekonsiliasi periodik laporan bank dengan catatan seseorang yang tidak terlibat dalam pemrosesan penerimaan kas
19
2.1.3.
Audit Berbasis Risiko (Risk Based Audit)
1. Pengertian Audit Berbasis Risiko Audit berbasis risiko adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi. Menurut Tunggal (2012:215) audit berbasis risiko adalah audit yang difokuskan dan diprioritaskan pada risiko bisnis dan prosesnya serta pengendalian terhadap risiko yang dapat terjadi. Dalam konsep audit berbasis risiko, semakin tinggi risiko suatu area, maka harus semakin tinggi pula perhatian dalam audit area tersebut. Untuk mengidentifikasi suatu risiko bisnis, auditor harus memahami aspek pengendalian dari bisnis yang bersangkutan. Pemahaman terhadap proses bisnis termasuk memahami risiko dan pengendalian dari sistem dalam mencapai sasaran atau tujuan organisasi. 2. Tujuan Pelaksanaan Audit Berbasis Risiko Tujuan secara umum adalah dalam rangka ; a. Mengurangi risiko, Dari audit risiko yang dilakukan dapat diungkapkan transaksi, produk sertaaktivitas perusahaan yang berisiko tinggi. Area yang berisiko tinggi tersebut dapat dilihat apa yang menjadi penyebabnya. Sebab risiko tinggi bisa terdapat pada proses, orang, sistem atau sebab dari luar. Dengan mengetahui penyebab suatu area berisiko tinggi, manajemen dapat mengurangi risiko dengan meniadakan atau mengurangi risiko tersebut.
20
b. Mengantisipasi risiko potensial yang dapat merugikan operasi perusahaan, Audit berbasis risiko juga mengungkapkan area mana yang berpotensi mempunyai risiko tinggi, yang mungkin belum disadari oleh auditee yang bersangkutan c. Melindungi perusahaan dari kejadian tak terduga yang diantisipasi sebelum kejadian tersebut benar-benar terjadi. Suatu kejadian yang menimbulkan kerugian bagi perusahaan dapat terjadi secara mendadak dan perusahaan tidak siap menghadapinya. Akibat yang ditimbulkan mempunyai pengaruh yang besar pada perusahaan. Sebaliknya, apabila kemungkinan terjadinya suatu kejadian yang merugikan perusahaan telah diperhitungkan sebelum terjadi, dampak yang ditimbulkan sudah diperkirakan dan pengaruh negatifnya dapat diminimalisasi. Penerapan audit berbasis risiko, lebih memungkinkan perusahaan bersiap menghadapi risiko sekaligus antisipasi melindungi diri dari kemungkinan kerugian yang akan dialami (Tunggal, 2012:215-216) Perbedaan pendekatan audit berpeduli risiko dengan pendekatan audit konvensional adalah pada metodologi yang digunakan dimana auditor mengurangi perhatian pada pengujian transaksi individual dan lebih berfokus pada pengujian atas sistem dan proses bagaimana manajemen mengatasi hambatan pencapaian tujuan, serta berusaha untuk membantu manajemen mengatasi (mengalihkan) hambatan yang dikarenakan faktor risiko dalam pengambilan keputusan.
21
Menurut Tuanakotta (2013:198) menunjukkan bahwa dalam audit berbasis risiko, ada beberapa hal yang perlu diperhatikan sebagai pedoman dalam melakukan audit ini. Aspek-aspek yang perlu dipahami auditor dalam melakukan pendekatan berbasis risiko adalah sebagai berikut: a. Kecukupan pengendalian, yang meliputi pemisahan fungsi, otorisasi dan sistem pencatatan, sumber daya manusia yang kompeten, praktik yang sehat
(observasi,
verifikasi,
penomoran
dokumen
dan
laporan,
pengarsipan dokumen-dokumen perusahaan, sistem rotasi pegawai yang berada pada satu siklus aktivitas bisnis, dan pengadaan cuti); b. Kepatuhan terhadap sistem dan prosedur; c. Sasaran daripada audit itu sendiri. Selain itu, auditor juga harus dituntut untuk memiliki karakter atau hal dasar selama pemeriksaan dengan berpegang pada beberapa hal, meliputi : a. Professional judgement, yaitu sikap dasar yang diperlukan oleh seorangauditor dalam menanggapi temuan dan potensi risiko yang ada selama pemeriksaan. Bentuk daripada pertimbangannya berupa modifikasi prosedur audit, penambahan atau pengurangan bukti audit, perluasan lingkup audit, penentuan materialitas temuan audit. Professional judgement muncul ketika seorang auditor, di antaranya sudah mempunyai jam terbang yang cukup tinggi dan telah memahami seluk beluk objek dan sasaran audit beserta permasalahannya;
22
b. Skeptisisme profesional, yaitu ketidakmudahan untuk mempercayai apa yang telah ditemukan, meliputi bukti audit, informasi dari stakeholders, kepatuhan para personil terhadap sistem dan prosedur. Skeptisisme professional berbeda dengan kecurigaan. Perbedaan yang mendasar di antara dua sikap di atas adalah ada atau tidaknya landasan yang menyertai, di antaranya karakter, kejadian, motif dari sesuatu yang diamati dan terjadi sebelum atau bersamaan dengan objek audit yang sedang diperika; c. Principle based, yang merupakan pilihan lain selain penggunaan rules based.Konsep dasar daripada principle based ini adalah fleksibilitas dalam menanggapi temuan audit yang ada, di samping mempertimbangkan konsep rules based. Di samping itu, konsep dasar principle based juga berguna dalammengenmbangkan standar, prosedur baku yang telah ditetapkan dalam pedoman audit yang merupakan wujud dari konsep rules based. 3. Konsep Audit Berbasis Risiko Konsep audit berbasis risiko secara tradisional bermula dari observasi dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi, dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan-tujuan organisasi. Beberapa ahli menyatakan bahwa pendekatan ini tidak tepat karena adanya kebutuhan untuk memenuhi tujuan terlebih dahulu, tujuan merupakan dasar operasi dan tidak selalu berbentuk nyata, bisa bersifat fleksibel
dan
berorientasi
ke
masa
depan.
Para
ahli
tersebut
merekomendasikan sebuah pendekatan yang mempertimbangkan terlebih
23
dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran, dan penempatan prioritas, dan akhirnya melakukan manajemen risiko dengan cara mengendalikan dan menerima risiko, menghindari atau mendiversifikasi risiko, atau membagi dan mentransfer bagian-bagian risiko ke unit-unit lainnya (Sawyer et al,2005:114). Sawyer et al (2005:114) juga menyatakan bahwa konsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat dihindarkan di semua jenis operasi dan adanya kebutuhan untuk mengakomodasikannya melalui berbagai pilihan aktivitas. Pilihan-pilihan tersebut mencakup : a. Kontrol aktivitas organisasional untuk mengurangi elemen-elemen risiko baik dari segi besaran maupun jumlah; b. Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk kemajuan dan keuntungan; c. Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah pola risiko; d. Pendiversifikasian risiko dengan menyebarkan total risiko ke operasioperasi yang terpisah. Contohnya adalah menggunakan berbagai pemasok untuk bahan baku yang penting; e. Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan pihak ketiga untuk menerima sebagian atau semua risiko. Contohnya adalah asuransi.
24
Menurut Tuanakotta (2013: 101-102), beberapa manfaat dari suatu auditberbasis risiko adalah sebagai berikut: a. Fleksibilitas waktu. Karena prosedur penilaian risiko tidak menguji transaksi dan saldo secara rinci, prosedur itu dapat dilaksanakan jauh sebelum akhir tahun (dengan asumsi, tidak ada perubahan operasional yang besar). Ini dapat menyeimbangkan beban kerja audit secara merata sepanjang tahun; b. Upaya tim audit terfokus pada area kunci. Dengan memahami di mana risiko salah saji material bisa terjadi dalam laporan keuangan, auditor dapat mengarahkan tin audit ke hal-hal berisiko tinggi dan mengurangi pekerjaan pada hal-hal yang berisiko rendah. Dengan demikian sumber daya atau staf audit dimanfaatkan sebaik-baiknya; c. Prosedur audit terfokus pada risiko. Prosedur audit selanjutnya dirancang untuk menanggapi risiko yang dinilai. Oleh karena itu, uji rincian yang hanya menanggapi risiko secara umum, akan dapat dikurangi secara signifikan atau bahkan sama sekali dihilangkan; d. Pemahaman
atas
pengendalian
internal.
Pemahaman
terhadap
pengendalian internal yang tepat, untuk menguji atau tidak menguji efektifnya pengendalian internal. Uji pengendalian sering mengurangi banyak pekerjaan, dibandingkan dengan pelaksanaan uji rincian secara ekstensif;
25
e. Komunikasi tepat waktu. Pemahaman terhadap pengendalian internal yang meningkat memungkinkan auditor mengidentifikasi kelemahan dalam pengendalian internal, yang sebelumnya tidak diketahui. 4. Pendekatan dan Tahapan Audit Berbasis Risiko Menurut Romney dan Steinbart (2004:394) terdapat empat tahap untuk evaluasi pengendalian internal, yang disebut juga pendekatan audit berbasis risiko,yaitu : a. Tentukan ancaman-ancaman (kesalahan dan ketidakberaturan) yang dihadapi sistem informasi akuntansi; b. Identifikasi prosedur pengendalian yang diimplementasikan untuk meminimalkan setiap ancaman dengan mencegah atau mendeteksi kesalahan dan ketidakberaturan; c. Evaluasi prosedur pengendalian. Meninjau dokumentasi sistem dan wawancara dengan personil yang tepat untuk menetapkan prosedur yangdibutuhkan ada atau tidak, disebut pula sebagai tinjauan sistem. Kemudian, uji pengendalian dilaksanakan untuk menetapkan apakah prosedur-prosedur tersebut telah diikuti dengan baik. Uji ini terdiri dari berbagai kegiatan seperti mengamati operasional sistem, memeriksa dokumen, catatan, dan laporan; memeriksa beberapa sampel input dan output sistem; serta menelusuri transaksi di sepanjang sistem; d. Evaluasi kelemahan (kesalahan dan ketidakberaturan yang tidak terungkap oleh prosedur pengendalian) untuk menetapkan pengaruhnya atas sifat atau keluasan prosedur audit dan saran pada klien. Langkah ini berfokus
26
pada risiko pengendalian dan apakah sistem pengendalian secara keseluruhan menangani hal-hal tersebut atau tidak. Apabila kekurangan pengendalian teridentifikasi, auditor menanyakan tentang pengendalian pengimbang atau prosedur-prosedur yang mengimbangi kekurangan tersebut. Kelemahan pengendalian di sebuah area mungkin dapat diterima apabila kelemahan tersebut diimbangi dengan kelebihan pengendalian di area lainnya. Hanafi (2009:10) menyatakan bahwa adapun tahapan dalam audit berbasis risiko tersebut adalah : a. Pendahuluan Pada tahap ini, auditor melakukan beberapa tahapan kerja di antaranya : 1) Menyusun tujuan audit, objek audit, dan sasaran audit. Tujuan audit menjadi pedoman dalam melakukan pekerjaan lapangan dan juga dengan prosedur audit yang akan digunakan; 2) Melakukan survei atas sistem dan prosedur beserta pengendalian intern yang berlaku; 3) Melakukan wawancara terhadap pihak-pihak yang berkepentingan dan bertanggungjawab terkait dengan objek dan sasaran audit yang telah ditetapkan. b. Pelaksanaan Identifikasi dilakukan guna mempelajari kemungkinan-kemungkinan risiko yang dapat terjadi dengan melihat pengendalian internal dan faktor risiko.Beberapa teknik yang dapat digunakan untuk mengidentifikasi risiko
27
adalah metode laporan keuangan, analisis flow chart dan operasional perusahaan, analisis kontrak, dan wawancara kepada pemangku kepentingan (stakeholders), terutama yang berkaitan dengan manajemen risiko. Setelah melakukan tahap identifikasi risiko, maka tahap selanjutnya adalah membuat program audit di mana pada tahap ini auditor mempersiapkan prosedur-prosedur audit yang spesifik untuk audit yang akan dilakukan dan dilanjutkan dengan tahap pekerjaan lapangan (field work). Hasil daripada tahap pekerjaan lapangan ini akan didokumentasikan ke dalam laporan hasil audit yang isinya berupa temuan audit, kriteria atau standar prosedur yang seharusnya, dampak yang ditimbulkan, serta rekomendasi atas temuan tersebut guna meminimalisasi risiko serta dampak yang akan ditimbulkannya. Setelah identifikasi risiko dilakukan, auditor mengadakan pengukuran risiko (sesuai dengan program audit yang telah dirancang sebelumnya) yang pada dasarnya menganalisis seberapa besar kemungkinan terjadinya (likelihood) risiko tersebut dan besarnya dampak yang ditimbulkan jika risiko tersebut terjadi. Kemungkinan terjadinya risiko dipengaruhi oleh kecukupan pengendalian internal dan ada atau tidaknya kepatuhan terhadap sistem dan prosedur, terutama yang berkaitan dengan management override. Teknik-teknik dalam mengukur risiko sebetulnya bervariasi tergantung jenis risikonya. Teknik yang sebagian besar digunakan dan paling lazim digunakan adalah matriks frekuensi dan signifikansi (Hanafi, 2009: 57).
28
c. Pelaporan Setelah melakukan tahap field work dan mendokumentasikannya, maka temuan-temuan dan hasil pengujian-pengujian terhadap risiko-risiko yang telah dilakukan pada tahap pelaksanaan, dikomunikasikan kepada manajemen. Dari hasil komunikasi dengan manajemen tersebut, auditor berharap adanya evaluasi secara berkala berupa pengelolaan risiko sebagai syarat untuk melengkapi
prinsip
audit
yang
efekfif,
yaitu
komprehensif
dan
berkesinambungan. Sebagai wujud dari hasil komunikasi dengan manajemen akan melahirkan pilihan dalam menanggapi risiko yang terjadi, yaitu menghindari risiko, menahan atau menerima risiko, mendiversifikasikan risiko, melakukan transfer risiko, dan mengendalikan risiko (Hanafi,2009: 12). Penjelasan pemahaman diatas hal tersebut memberikan dasar yang kuat untuk mengembangkan rekoendasi pada pihak manajemen mengenai bagaimana system pengendalian pada system informasi akuntansi harus ditingkatkan. Setelah tahap pengukuran risiko dilakukan, kemudian auditor internal melakukan mapping (pemetaan) berdasarkan hasil penilaian risiko ke dalam kategori yang dikehendaki oleh auditor internal yang bisa berupa kategori rendah, sedang, dan tinggi. Pemasangan kategori tersebut dipengaruhi oleh professional judgement, corporate life cycle, skeptisisme, dan principle based.Beberapa risiko yang menempati posisi rawan, akan dijadikan CriticalProblem Area. Dan risiko-risiko yang masuk ke dalam kategori Critical Problem Area tersebut menjadi prioritas dalam pengelolaan risiko nantinya.
29
5. Jenis Risiko Tuanakotta (2013: 312) menyatakan ada dua klasifikasi utama mengenai risiko, yakni risiko bisnis (business risk) dan risiko kecurangan (fraud risk). Dalam kedua risiko ada kemungkinan salah saji yang material. Perbedaannya ialah, risiko kecurangan mengandung unsur kesengajaan. Untuk tujuan pembahasan, kerentanan terhadap risiko (risk exposure) dikelompokkan menjadi risiko rendah (low risk), risiko sedang (moderate risk), dan risiko tinggi (high risk). Berikut adalah jenis risiko yang dibagi menjadi dua, yaitu: a. Risiko Bisinis Istilah risiko bisnis, tidak merupakan sekedar risiko salah saji yang material dalam laporan keuangan. Risiko bisnis berasal dari kondisi, peristiwa, situasi, tindakan, bahkan “tidak mengambil tindakan” (inactions)
yang dapat
perusahaan
mencapai
berdampak
tujuannya
negatif
dalam
terhadap
kemampuan
melaksanakan
strateginya.
Termasuk di dalamnya, penetapan tujuan dan strategi yang tidak tepat. Risiko bisnis juga meliputi peristiwa yang timbul akibat perubahan, kompleksitas, atau gagal melihat kebutuhan untuk berubah. b. Risiko Kecurangan Risiko kecurangan berhubungan dengan peristiwa atau kondisi yang berindikasi adanya insentif atau tekanan untuk melakukan kecurangan atau adanya peluang untuk melakukan kecurangan.
30
Tuanakotta (2013: 320) menyatakan segitiga kecurangan atau fraud triangle menjelaskan tiga kondisi yang dapat memberi petunjuk mengenai adanya kecurangan, yakni: a. Tekanan (pressure) Ini sering didorong oleh kebutuhan yang (sangat) mendesak, termasuk kebutuhan untuk “sejajar” dengan tetangganya atau rekan sekerja di perusahaan atau kantor. b. Peluang (opportunity) Peluang ini berhubungan dengan budaya korporasi dan pengendalian internal yang tidak mencegah, mendeteksi, dan mengoreksi keadaan. c. Pembenaran (rationalization). Pembenaran adalah cara pelaku “menentramkan diri”, misalnya “semua orang juga korupsi” atau”nanti juga saya kembalikan (jarahan saya)”. 6. Sumber-sumber Risiko Bisnis Menurut Tuanakotta (2013:315) lingkup pemahaman yang diperlukan auditor untuk mengidentifikasi risiko, dicakup dalam enam area inti atau enam sumber risiko, yaitu : a. Faktor eksternal, yang berkaitan dengan sifat industri, aturan perundangan dan regulator, dan kerangka pelaporan keuangan. b. Sifat entitas, yang berkaitan dengan pegawai operasional dan pegawai inti, kepemilikan dan tata kelola (governance), investasi, struktur, dan pembelanjaan.
31
c. Kebijakan akuntasi, yang berkaitan dengan masalah pemilihan dan penerapannya, alasan untuk mengubah, tepatnya kebijakan untuk entitas. d. Tujuan dan strategi entitas, yang berkaitan dengan rencana dan strategi bisnis, implikasi dan risiko keuangan terkait. e. Pengukuran atau reviu kinerja keuangan, yang berkaitan dengan pertanyaan apa yang diukur dan siapa yang mereviu kinerja keuangan. f. Pengendalian internal, yang berkaitan dengan segala proses dan pengendalian yang relevan untuk memitigasi risiko di tingkat entitas dan di tingkat transaksi. 7. Pengukuran Risiko Operasional Menurut Hanafi (2009:198) salah satu teknik untuk mengukur risiko operasional adalah dengan menggunakan dua klasifikasi berikut ini: a. Frekuensi atau probabilitas terjadinya risiko. b. Tingkat keseriusan kerugian atau impact dari risiko tersebut. Dengan menggunakan dua dimensi tersebut, kita bisa membuat matriks frekuensi / tingkat keseriusan untuk risiko-risiko yang ada, termasuk risiko operasional. Berikut ini contoh aplikasi matriks tersebut untuk risiko gagal bayar (default) dan kesalahan pemrosesan transaksi. Dibawah ini menunjukkan matriks dengan dimensi frekuensi di sumbu horisontal dan dimensi severitypada sumbu vertikal.Risiko-risiko bisa diklasifikasikan berdasarkan dimensi-dimensi tersebut. Sebagai contoh, risiko gagal bayar dari debitur perusahaan biasanya jarang terjadi. Karena itu risiko tersebut diklasifikasikan sebagai risiko dengan frekuensi rendah. Tetapi jika
32
terjadi, kerugian yang timbul bisa sangat besar. Karena itu risiko tersebut diklasifikasikan dengan severity tinggi. Gabungan antara frekuensi rendah dengan severity tinggi terlihat pada titik C pada bagian di atas. Sebaliknya, kesalahan pemrsoesan atau kesalahan pencatatan transaksi akan sering terjadi (apalagi jika proses pencatatan masih secara manual). Tetapi tingkat severity dari kesalahan tersebut tidak terlalu tinggi. Karena itu risiko kesalahan pemrosesan berada pada titik A dengan proses semacam itu, kita bisa memperoleh gambaran mengenai frekuensi dan severity dari suatu risiko, yang selanjutnya mempunyai implikasi pada bagaimana mengelola risiko tersebut. Sebagai contoh, berikut ini strategi menghadapi risiko berdasarkan matriks severity (significance) / frekuensi (likelihood). Severity
C
Gagal Bayar Debitur Besar
A Kesalahan Pemrosesan
B
Rate Risk
Frequency
Gambar 2 Matriks Dengan Dimensi Frekuensi Sumber: Hanafi (2009:199)
33
Perhatikan bahwa matriks likelihood (frekuensi) dan signifikansi (severity) dikelompokkan ke dalam empat kuadran, yaitu: a. Signifikansi (severity) rendah dan likelihood (frekuensi) rendah b. Signifikansi (severity) tinggi dan likelihood (frekuensi) rendah c. Signifikansi (severity) rendah dan likelihood (frekuensi) tinggi d. Signifikansi (severity) tinggi dan likelihood (frekuensi) tinggi
Penentuan tinggi rendah severity atau frekuensi bisa dilakukan melalui berbagai cara. Sebagai contoh, severity atau frekuensi yang lebih besar dibandingkan median atau rata-rata dari risiko yang ada (dalam daftar) dikelompokkan ke dalam severity atau frekuensi tinggi, dan sebaliknya. Penentuan tinggi rendah tersebut bisa dilakukan melalui perhitungan angka
Low
Significance
High
absolute atau bisa melalui survey terhadap manajer-manajer perusahaan. 10 9 8 7 6 5 4 3 2 1
Quadrant II (Detect and Monitor)
Quadrant I (Prevent At Source)
Quadrant IV (Low Control)
Quadrant III (Monitor)
1
2 Low
3 Likelihood Gambar 3 Risk Map
Sumber: Hanafi (2009: 200)
4
5 High
34
Melalui pertanyaan-pertanyaan seperti itu teridentifikasi letak masingmasing risiko berdasarkan dimensi signifikan dan kemungkinan. Selanjutnya, strategi yang tepat bisa dirumuskan untuk mengelola risiko tersebut. a. Signifikansi (severity) rendah dan likelihood (frekuensi) rendah: low control Perusahaan bisa menerapkan pengawasan yang rendah terhadap risiko pada kategori ini. Pengawasan yang terlalu berlebihan pada jenis risiko ini menimbulkan biaya yang lebih besar dibandingkan manfaatnya, sehingga akan lebih optimal jika bank tidak perlu melakukan pengawasan yang berlebihan. b. Signifikansi (severity) tinggi dan likelihood (frekuensi) rendah: detect and monitor Tipe risiko seperti ini lebih “menantang” untuk dihadapi. Jika risiko seperti itu muncul, perusahaan bisa mengalami kerugian yang cukup besar, dan barangkali bisa mengakibatkan kebangkrutan. Tetapi frekuensi risiko tersebut relatif jarang, sehingga tidak mudah ditemui atau dikenali oleh bank. Karena itu risiko tipe ini sulit dipahami karakteristiknya, dan sulit diprediksi kapan datangnya. Sebagai contoh, Baring gagal melakukan pengawasan terhadap trading yang di luar batas oleh seorang trader-nya, kemudian terjadi kerugian yang mengakibatkan kebangkrutan bank tersebut. Frekuensi risiko semacam itu relatif jarang ditemui.
35
c. Signifikansi (severity) rendah dan likelihood (frekuensi) tinggi: monitor Tipe risiko semacam ini sering muncul tetapi besarnya kerugian relatif kecil. Biasanya risiko semacam ini muncul sebagai akibat perusahaan menjalankan bisnisnya. Dengan kata lain, risiko semacam ini merupakan konsekuensi perusahaan menjalankan bisnisnya. Sebagai contoh, untuk perusahaan supermarket, ada risiko pencurian oleh nasabah, pencurian oleh karyawan, barang dagangan rusak karena busuk atau karena botol pecah. Risiko semacam itu lebih mudah dikenal, dan perusahaan bsia menghitung risiko tersebut. Kemudian perusahaan bisa menganggapnya sebagai biaya dari kegiatan bisnis (cost of doing business), dan perusahaan bisa memasukkannya ke dalam komponen harga. d. Signifikansi (severity) tinggi dan likelihood (frekuensi) tinggi: monitor Tipe risiko ini praktis tidak relevan lagi dibicarakan, karena jika situasi semacam ini terjadi, berarti perusahaan tidak lagi bisa mengendalikan risiko, dan bisa berakibat pada kebangkrutan. Sebagai contoh, jika suatu perusahaan tidak bisa mengendalikan risiko penggelapan uang dalam jumlah besar oleh karyawannya (tipe risiko ini berada dalam kuadran frekuensi rendah/signifikan tinggi), maka ada kemungkinan risiko ini berubah menjadi kuadran frekuensi tinggi/signifikansi tinggi. Jika hal tersebut terjadi, maka perusahaan praktis akan bangkrut dalam waktu singkat. Dengan perspektif semacam itu, maka tugas manajemen risiko adalah mencegah migrasinya risiko-risiko yang ada ke dalam kuadran frekueni tinggi/signifikansi tinggi.
Tinggi
36
Severity
Wilayah 1 Wilayah 2
Rendah
Wilayah 3 Wilayah 4
Dampak atas risiko (consequences)
Gambar 4 Frekuensi Sumber: Hanafi (2009: 202)
Strategi untuk menghadapi risiko untuk wilayah-wilayah tersebut adalah seperti berikut ini: Wilayah 1. Severity tinggi dan frekuensi tinggi: immediate action Untuk wilayah ini, perusahaan harus melakukan penanganan yang agresif dan segera (immediate action) Wilayah 2. Severity tinggi dan frekuensi agak tinggi: immediate attention Untuk wilayah ini, perusahaan harus segera mengawasi risiko ini (immediate attention) Wilayah 3. Severity agaktinggi dan frekuensi agak tinggi: periodic attention Untuk wilayah ini, perusahaan bisa melakuakan pengawasan secara berkala (periodic attention) Wilayah 4. Severity rendah dan frekuensi rendah: annual evaluation Untuk wilayah ini, perusahaan bisa lebih longgar, yaitu melakukan pengawasan dengan jangka waktu panjang, missal tahunan.
37
2.1.4. Penelitian Terdahulu Terdapat penelitian terdahulu yang menghasilkan penelitian yang relevan dengan penulis yang kerjakan saat ini. Retno (2014) melakukan penelitian dengan judul “Risk Based Audit Siklus Pengeluran pada PT. X dan dan Lusy (2014) dengan judul “Risk Based Audit atas Penjualan Pada PT. “X”.dari penelitian tersebut diketahui metode yang digunakan adalah metode penelitian kualitatif deskriptif. Hasil penelitian ini dapat disimpulkan masih adanya temuan audit pada proses double check atas diterima atau tidaknya PO (purchase order) dari pembeli oleh supervisor marketing dan marketing, surat jalan yang tercetak setelah adanya nota jual, transaksi penjualan masih bisa berjalan meskipun saldo barang di laporan sediaan sudah menunjukkan angka 0 (nol), jarang dilakukannya konfirmasi tentang kebenaran identitas sekaligus eksistensinya, kecukupan saldo sediaan tidak dilakukan di awal sebelum diterbitkannya sales order, beberapa nota jual yang belum diberi cap LUNAS, dan uang hasil penjualan tunai via head office diterima oleh admin gudang. Kondisi-kondisi tersebut memungkinkan terjadinya risiko terhadap keamanan aset (piutang usaha, kas dan setara kas) serta efisiensi dan efektifitas fungsional (fungsi penjualan, fungsi gudang, fungsi keuangan).
38
2.2.
Rerangka Pemikiran Rerangka pemikiran disusun sebagai dasar tinjauan teoretis, untuk kemudian melakukan analisis dan pemecahan masalah yang dikemukakan di dalam penelitian.Berikut adalah rerangka pemikiran dari penelitian yang dilakukan oleh peneliti.
Risk Based Audit atas Siklus Pendapatan pada PT. Supranusa Indogita
Siklus Pendapatan ResikoBisnis Bisnis Risiko
Audit Berbasis Resiko
-
Pendahuluan : Pendahuluan : Menyusun rencana kerja; Menyusun rencana kerja; Survei terhadap sistem dan prosedur; Survei terhadap sistem dan; Wawancara terhadap stakeholders. Wawancara terhadap sta
-
Pelaksanaan : Identifikasi Risiko; Mengukur Risiko; Pelaksanaan : Mapping Risiko; - Identifikasi Risiko; Usulan pengelolaan risiko.
Pelaporan Pelaporan (Penyusunan Management Letter) (Penyusunan Management Letter) Gambar 5 Rerangka Pemikiran Sumber : Penulis