1 / 25

RESIKO AUDIT

RESIKO AUDIT. Pengertian Risiko. Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya.

Download Presentation

RESIKO AUDIT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. RESIKO AUDIT

  2. Pengertian Risiko • Menurut Peltier dalam Gondodiyoto (2007 : 110), risiko adalah sesuatu yang dapat menciptakan atau menimbulkan bahaya. • MenurutPeltier (2005: 325), “Risk is the probability that a particular critical infrastructure’s vulnerability is being exploited by a particular threat weighted by the impact of that exploitation.” Yang diterjemahkan “Risikoadalahkemungkinanadanya kelemehan infrastruktur yang kemudian dimanfaatkan oleh ancaman tertentu yang dipengaruhi eksploitasi tersebut.”

  3. Jenis Risiko • Menurut Gondodiyoto (2007 : 112), dari berbagai sudut pandang, risiko dapat dibedakan dalam beberapa jenis, diantaranya : • Risiko Bisnis (Business Risk) Risiko bisnis adalah risiko yang dapat disebabkan oleh faktor-faktor intern maupun ekstern yang berakibat kemungkinan tidak tercapainya tujuan organisasi (business goal objectives). • Risiko Bawaan (Inherent Risk) Risiko bawaan ialah potensi kesalahan atau penyalahgunaan yang melekat pada suatu kegiatan jika tidak ada pengendalian internal. • Risiko Pengendalian (Control Risk) Dalam suatu organisasi yang baik seharusnya sudah ada risk assessment, dan dirancang pengendalian internal secara optimal terhadap setiap potensi risiko. Risiko pengendalian ialah masih adanya risiko meskipun sudah ada pengendalian.

  4. Jenis Risiko • Risiko Deteksi (Detection Risk) Risiko deteksi adalah risiko yang terjadi karena prosedur audit yang dilakukan mungkin tidak dapat mendeteksi adanya error yang cukup matrealitas atau adanya kemungkinan fraud. • Risiko Audit (Audit Risk) Risiko audit sebenarnya adalah kombinasi dari inherent risk, control risk, dan detection risk. Risiko audit adalah risiko bahwa pemeriksaan auditor ternyata belum dapat mencerminkan keadaan yang sesungguhnya.

  5. Penetapan Penilaian Risiko dan Pengendalian • Menurut Gondodiyoto (2007 : 559), penilaian risiko dan pengendalian internal dapat dilakukan dengan menggunakan : • Matriks Penilaian Risiko • Matriks Penilaian Pengendalian

  6. Matriks Penilaian Risiko • Matriks penilaian risiko adalah metoda analisis dengan menghitung aspek risiko (dampak) dan tingkat keterjadian risiko tersebut, dengan nilai : L (Low) nilai -1, M (Medium) nilai -2, H (High) nilai -3. • Teknik perhitungan nilai risiko menggunakan rasio antara dampak dengan keterjadian : • Risiko kecil (Low) nilainya berkisar antara -1 dan -2, • Risiko sedang (Medium) nilainya antara -3 dan -4, • Risiko tinggi (High) nilainya antara -6 dan -9

  7. Risiko kecil (Low) • Jika dampak Low (-1) dan keterjadian Low (-1), maka nilai risiko adalah -1. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. • Jika dampak Low (-1) dan keterjadian Medium (-2), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil. • Jika dampak Medium (-2) dan keterjadian Low (-1), maka nilai risiko adalah -2. Artinya nilai risiko dari dampak dan keterjadian adalah kecil.

  8. Risiko sedang (Medium) • Jika dampak Low (-1) dan keterjadian High (-3), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. • Jika dampak Low (-2) dan keterjadian Medium (-2), maka nilai risiko adalah -4. Artinya nilai risiko dari dampak dan keterjadian adalah sedang. • Jika dampak High (-3) dan keterjadian Low (-1), maka nilai risiko adalah -3. Artinya nilai risiko dari dampak dan keterjadian adalah sedang.

  9. Risiko tinggi (High) • Jika dampak Medium (-2) dan keterjadian High (-3), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. • Jika dampak High (-3) dan keterjadian Medium (-2), maka nilai risiko adalah -6. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi. • Jika dampak High (-3) dan keterjadian High (-3), maka nilai risiko adalah -9. Artinya nilai risiko dari dampak dan keterjadian adalah tinggi.

  10. Matriks Penilaian Pengendalian • Matrik penilaian pengendalian adalah metoda analisis desain (rancangan) dan tingkat efektifitas pengendalian internal. Besarnya tingkatan efektifitas dan desain (rancangan) dinyatakan dengan : L (Low) nilai 1, M (Medium) nilai 2, H (High) nilai 3. • Teknik perhitungan dalam matriks penilaian pengendalian menggunakan fungsi perkalian anatara efektifitas dengan desain (rancangan). Kriteria penilaian dalam matriks pengendalian terdiri dari : • Pengendalian kecil (Low) nilainya berkisar antara -1 • Pengendalian sedang (Medium) nilainya antara 3 dan 4, • Pengendalian tinggi (High) nilainya antara 6 dan 9,

  11. Pengendalian kecil (Low) • Jika efektifitas Low (1) dan desain Low (1), maka nilai pengendalian adalah 1. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. • Jika efektifitas Low (1) dan desain Medium (2), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil. • Jika efektifitas Medium (2) dan desain Low (1), maka nilai pengendalian adalah 2. Artinya nilai pengendalian dari efektifitas dan desain adalah kecil.

  12. Pengendalian sedang (Medium) • Jika efektifitas Low (-1) dan desain High (-3), maka nilai pengendalian adalah -3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. • Jika efektifitas Low (2) dan desain Medium (2), maka nilai pengendalian adalah 4. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang. • Jika efektifitas High (3) dan desain Low (1), maka nilai pengendalian adalah 3. Artinya nilai pengendalian dari efektifitas dan desain adalah sedang.

  13. Pengendalian tinggi (High) • Jika efektifitas Medium (2) dan desain High (3), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. • Jika efektifitas High (3) dan desain Medium (2), maka nilai pengendalian adalah 6. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi. • Jika efektifitas High (3) dan desain High (3), maka nilai pengendalian adalah 9. Artinya nilai pengendalian dari efektifitas dan desain adalah tinggi.

  14. Penilaian Risiko • Penetapan tingkat efektifitas antara risiko dan pengendalian adalah sebagai berikut : • Jika jumlah penilaian risiko dan pengendalian 0, maka tingkat pengendalian dan risiko adalah standar, artinya setiap risiko yang terjadi dapat ditanggulangi oleh pengendalian yang ada. • Jika jumlah penilaian risiko dan pengendalian positif, maka pengendalian baik. Tetapi jika nilai pengendalian terlalu tinggi dibanding risiko, maka kemungkinan akan terjadi kelebihan pengendalian (over control) yang menyebabkan terjadinya pemborosan dalam operasional. • Jika jumlah penilaian risiko dan pengendalian negatif, maka pengendalian adalah buruk. Sehingga perlu dilakukan peningkatan terhadap pengendalian karena risiko yang dihadapi besar.

  15. TeknikPenilaianRisikodanPengendalian • Menurut Griffiths, David M (2007: 18), setelah memperoleh bukti audit yang cukup beserta temuannya dengan menggunkan instrumen pengumpulan bukti, audit dilanjutkan dengan menggunakan matriks penilaian risiko guna merumuskan dan mempertajam analisa terhadap bukti evaluasi dan temuan agar dapat merumuskan dan menyimpulkan opini dengan melakukan perbandingan dan penilaian terhadap tingkat risiko dan pengendalian yang ada. • Matriks penilaian risiko adalah suatu cara untuk menganalisa seberapa besar risiko yang ada dari suatu temuan audit. Hal ini dilakukan dengan cara menganalisa risiko yang ada (inherent rsik) dan risiko setelah adanya pengendalian (residual risk).

  16. Upaya Penanggulangan Risiko (1) • Menurut Djojosoedarso (2005, hal. 4) upaya-upaya untuk menanggulangi risiko harus selalu dilakukan, sehingga kerugian dapat dihindari atau diminimumkan. Sesuai dengan sifat dan objek yang terkena risiko, ada beberapa cara yang dapat dilakukan (perusahaan) untuk meminimumkan risiko kerugian, antara lain: • Melakukan pencegahan dan pengurangan terhadap kemungkinan terjadinya peristiwa yang menimbulkan kerugian, misalnya membangun gedung dengan bahan-bahan yang antiterbakar untuk mencegah bahaya kebakaran,memagari mesin-masin untuk menghindari kecelakaan kerja, melakukan pemeliharaan dan penyimpanan yang baik terhadap bahan dan hasil produksi untuk menghindari risiko kecurian dan kerusakan, mengadakan pendekatan kemanusiaan untuk mencegah terjadinya pemogokan, sabotase dan pengacauan. • Melakukan retensi, artinya mentolerir membiarkan terjadinya kerugian, dan untuk mencegah terganggunya operasi perusahaan akibat kerugian tersebut disediakan sejumlah dana untuk menaggulanginya (contoh: pos biaya lain-lain atau tak terduga dalam anggaran perusahaan).

  17. Upaya Penanggulangan Risiko (2) • Melakukan pengendalian terhadap risiko, contohnya melakukan hedging (perdagangan berjangka) untuk menanggulangi risiko kelangkaan dan fluktasi harga bahan baku pembantu yang diperlukan, • Mengalihkan/memindahkan risiko kepada pihak lain, yaitu dengan cara mengadakan kontrak pertanggungan (asuransi) dengan perusahaan asuransi terhadap risiko tertentu, dengan membayar sejumlah premi asuransi yang telah ditetapkan, sehingga perusahaan asuransi akan mengganti kerugian bila betul-betul terjadi kerugian yang sesuai dengan perjanjian. • Tugas dari seorang manajer risiko adalah berkaitan erat dengan upaya memilih dan menentukan cara-cara/metode yang paling efisien dalam penanggulangan risiko yang dihadapi perusahaan.

  18. Macam-Macam Risiko • Menurut Djojosoedarso (2005, p3), risiko dibedakan dengan berbagai macam cara, antara lain: • Menurut sifatnya risiko • Dapat tidaknya risiko tersebut dialihkan kepada pihak lain • Menurut sumber atau penyebab timbulnya

  19. Menurut sifatnya risiko • Risiko yang tidak disengaja (risiko murni) adalah risiko yang apabila terjadi tentu menimbulkan kerugian dan terjadinya tanpa disengaja, misalnya: risiko terjadinya kebakaran, bencana alam, pencurian, penggelapan, pengacauan, dan sebagainya. • Risiko yang disengaja (risiko spekulatif) adalah risiko yang sengaja ditimbulkan oleh yang bersangkutan, agar terjadinya ketidakpastian memberikan keuntungan kepadanya, misalnya: risiko utang-piutang, perjudian, perdagangan berjangka (hedging), dan sebagainya. • Risiko fundamental adalah risiko yang penyebabnya tidak dapat dilimpahkan kepada seseorang dan yang menderita tidak hanya satu atau beberapa orang saja, tetapi banyak orang, seperti: banjir, angin topan dan sebagainya. • Risiko khusus adalah risiko yang bersumber pada peristiwa yang mandiri dan umumnya mudah diketahui penyebabnya, seperti: kapal kandas, pesawat jatuh, tabrakan mobil, dan sebagainya. • Risiko dinamis adalah risiko yang timbul karena perkembangan dan kemajuan (dinamika) masyarakat dibidang ekonomi, ilmu dan teknologi, seperti: risiko keuangan, risiko penerbangan luar angkasa. Kebalikannya disebut risiko statis, seperti: risiko hari tua, risiko kematian dan sebagainya.

  20. Dapat tidaknya risiko tersebut dialihkan kepada pihak lain • Risiko yang dapat dialihkan kepada pihak lain, dengan mempertanggungkan suatu objek yang akan terkena risiko kepada perusahaan asuransi, dengan membayar sejumlah premi asuransi, sehingga semua kerugian menjadi tanggungan pihak perusahaan asuransi. • Risiko yang tidak dapat dialihkan kepada pihak lain (tidak dapat diasuransikan); umumnya meliputi semua jenis spekulatif.

  21. Risiko intern, yaitu risiko yang berasal dari dalam perusahaan itu sendiri, seperti: kerusakan aktiva karena ulah karyawan sendiri, kecelakaan kerja, kesalahan manajemen dan sebagainya. • Risiko ekstern, yaitu risiko yang berasal luar perusahaan, seperti: risiko pencurian, penipuan, persaingan, fluktuasi harga, perubahan kebijakan pemerintah, dan sebagainya.

  22. Kategori Risiko Tesknologi Informasi • Menurut Hughes (2006, p36), dalam penggunaan teknologi informasi berisiko terhadap kehilangan informasi dan pemulihannya yang tercakup dalam 6 kategori, yaitu: • Keamanan • Ketersediaan • Daya Pulih • Performa • Daya Skala • Ketaatan

  23. Kategori Risiko Tesknologi Informasi (1) • Keamanan Risiko yang informasinya diubah atau digunakan oleh orang yang tidak berwenang. Misalnya saja kejahatan komputer, kebocoran internal dan terorisme cyber. • Ketersediaan Risiko yang datanya tidak dapat diakses setelah kegagalan sistem, karena kesalahan manusia (human error), perubahan konfigurasi, dan kurangnya penggunaan arsitektur. • Daya Pulih Risiko dimana informasi yang diperlukan tidak dapat dipulihkan dalam waktu yang cukup, setelah terjadinya kegagalan dalam perangkat lunak atau keras,ancaman eksternal, atau bencana alam.

  24. Kategori Risiko Teknologi Informasi (2) • Performa Risikodimanainformasitidaktersediasaatdiperlukan, yang diakibatkanoleharsitekturterdistribusi, permintaan yang tinggidantopografiinformasiteknologi yang beragam. • DayaSkala Risiko yang perkembanganbisnis, pengaturanbottleneck, danbentukarsitekturnyamembuatnyatidakmungkinmenanganibanyakaplikasibarudanbiayabisnissecaraefektif. • Ketaatan Risiko yang manajemenataupenggunaaninformasinyamelanggarkeperluandaripihakpengatur. Yang dipersalahkandalamhalinimencakupaturanpemerintah, panduanpengaturanperusahaandankebijakan internal.

  25. Kelas-kelasRisikoTeknologiInformasi • Menurut Jordan & Silcock (2005, p49), risiko-risiko teknologi didefinisikan dalam 7 kelas, dimana pada setiap kasus, teknologi informasi dapat juga melakukan kesalahan, tetapi konsekuensi-konsekuensinya dapat berakibat negatif bagi bisnis. Kelas-kelas risiko yaitu : • Projects-failing to deliver • IT service continuity-when business operations go off the air • Information assets-failing to protect and preserve • Service providers and vendors-breaks in the IT value chain • Applications-flaky systems • Infrastructure-shaky foundations • Strategic and energent-disabled by IT

More Related