A.

AUDIT BERBASIS ISA

ISA (International Standards on Auditing) merupakan standar audit terbaru yang telah
diadopsi di Indonesia. Per 1 Januari 2013, Akuntan Publik di Indonesia wajib melakukan
audit atas laporan keuangan berdasarkan standar yang baru ini.
ISA adalah proses audit berbasis resiko. Artinya auditor harus menilai kemampuan
manajemen dalam mengukur, merespon dan melaporkan resiko. Apabila manajemen
memiliki pemahaman yang cukup mengenai resiko, maka auditor tidak harus
meningkatkan tingkat ketelitian yang akan menambah prosedur atau waktu analisa.
ISA sepenuhnya mengadopsi pendekatan Audit Berbasis Resiko, sehingga saat ini
penerapan Audit Berbasis Resiko bagi auditor di Indonesia menjadi hal wajib (mandatory).
Audit Berbasis Resiko atau Risk Based Audit (RBA) merupakan pendekatan audit yang
berkembang pesat sejak tahun 2000an. Pendekatan saat ini mendapatkan perhatian yang
luas dan dianggap sebagai pendekatan yang paling efektif karena terbukti paling cocok
diterapkan untuk kondisi lingkungan bisnis yang selalu berubah-ubah seperti sekarang ini.
Indonesia telah meratifikasi ketentuan untuk menerapkan International Standards on
Auditing (ISA) mulai awal tahun 2013.

B. PENGERTIAN AUDIT BERBASIS RISIKO

David M Griffiths, mendefinisikan: a risk is a set of circumstances that hinder the
achievement of objectives, (risiko adalah sebagai suatu keadaan yang dapat menghambat
organisasi dalam mencapai tujuan yang telah ditetapkan).
Dengan adanya keadaan yang dapat menghambat dituntut adanya suatu pendekatan
pengelolaan risiko (risk management) yang sesuai dengan perubahan lingkungan yang ada.
Agar dapat menetapkan pengelolaan risiko perlu dilakukan audit berbasis risiko.
Audit berbasis risiko (Risk-Based Auditing) adalah audit yang difokuskan dan
diprioritaskan pada risiko bisnis dan prosesnya serta pengendalian terhadap risiko yang
dapat terjadi. Dalam konsep audit berbasis risiko, semakin tinggi risiko suatu area, maka
harus semakin tinggi pula perhatian dalam audit area tersebut.
Indonesia telah meratifikasi ketentuan untuk menerapkan International Standards on
Auditing (ISA) mulai awal tahun 2013. ISA sepenuhnya mengadopsi pendekatan Audit
Berbasis Resiko, sehingga saat ini penerapan Audit Berbasis Resiko bagi auditor di
Indonesia menjadi hal wajib (mandatory).
Based Internal Audit (RBIA) atau Audit Berbasis Risiko merupakan metodologi yang
memastikan bahwa manajemen risiko sudah dilakukan sesuai dengan risk appetite yang
dimiliki organisasi. Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik
strategis, finansial, operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam
RBIA, risiko-risiko yang tinggi diaudit, sehingga kemudian manajemen bisa mengetahui
area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki.
Tujuannya adalah memberikan keyakinan kepada komite Audit Dewan Komisaris dan
Direksi bahwa Perusahaan telah memiliki proses manajemen risiko dan proses tersebut
telah dirancang dengan baik. Proses manajemen risiko telah diintegrasikan oleh
manajemen ke dalam semua tingkatan organisasi mulai tingkat korporasi divisi sampai
unit kerja terkecil dan telah berfungsi dengan baik. Kerangka kerja internal dan tata kelola
yang baik telah tersedia secara cukup dan berfungsi dengan baik guna mengendalikan
risiko.
Audit berbasis resiko lebih berupa perubahan pola pandang dari pada sebuah teknik.
Memakai kacamata audit berbasis resiko auditor harus menilai kemampuan manajemen
dalam mengukur resiko, merespon resiko dan melaporkan resiko. Apabila manajemen
memiliki kemampuan yang cukup dalam mengukur, merespon dan melaporkan resiko
dalam suatu area atau proses, maka resiko bawaan bisa diturunkan. Artinya auditor tidak
harus meningkatkan tingkat ketelitian, menambah prosedur atau menambahkan waktu
analisa. Sebaliknya kalau manajemen resiko klien buruk, maka auditor harus
meningkatkan keteliatian, menambah prosedur dan menambahkan waktu analisa.
Sehingga bobot atau score resiko di masing-masing area atau proses tersebut bisa dijadikan
sebagai salah satu dasar untuk penentuan prioritas audit oleh auditor.
Penentuan prioritas berdasarkan analisa resiko ini dianggap paling tepat dalam upaya
mengalokasikan waktu dan staff auditor yang terbatas. Audit menggunakan sampling, dan
selama ini metodologi audit mengatur bagaimana pengambilan sampling yang paling
efektif dan efisien. Efektif dalam arti sample yang diambil tersebut haruslah mampu
mewakili populasi yang akan diperiksa.
Audit Berbasis Risiko adalah metodologi pemeriksaan yang dipergunakan untuk
memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah
ditetapkan manajemen pada tingkatan korporasi.
Ada 2 hal utama yang harus dipahami oleh internal auditor:
1. Aspek pengendalian dari setiap proses bisnis yang terkait
2. Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran
perusahaan
C. MENGEVALUASI RISIKO
Dalam mengevaluasi risiko, ada dua (2) elemen dari risiko yang perlu dipertimbangkan,
yaitu:
1. Consequence atau dampak apabila risiko benar-benar terjadi.
2. Likelihood atau kemungkinan terjadi risiko.
Berikut ini contoh risiko dan bagaimana menganalisis risiko, apakah tinggi, sedang atau
rendah:

Dari penilaian tersebut di atas apa yang dapat dilakukan untuk mengelola risiko? Untuk
memberikan pedoman apakah risiko dapat diterima, memerlukan pengelolaan secukupnya
atau dikelola dengan pengawasan yang ketat dapat diilustrasikan pada tabel berikut:
 Catatan: Garis tebal hitam yaitu batas risk appetite yang sudah ditentukan oleh Dewan
Direksi atau Manajemen

D. TUJUAN AUDIT BERBASIS RISIKO

Tujuan audit berbasis risiko, yaitu:
1. Mengurangi risiko, dari audit risiko yang dilakukan dapat diungkap transaksi,
produk serta aktivitas perusahaan yang berisiko tinggi. Area yang berisiko tinggi
tersebut dapat dilihat apa yang menjadi penyebabnya. Sebab risiko tinggi bisa
terdapat pada proses, orang, sistem atau sebab dari luar. Dengan mengetahui
penyebab suatu area berisiko tinggi, manajemen dapat mengurangi risiko dengan
meniadakan/mengurangi risiko tersebut.
2. Antisipasi area dengan risiko potensial, audit berbasis risiko juga mengungkapkan
area mana yang berpotensi mempunyai risiko tinggi, yang mungkin belum disadari
oleh auditee yang bersangkutan.
3. Melindungi perusahaan, suatu kejadian yang menimbulkan kerugian bagi
perusahaan dapat terjadi secara mendadak dan perusahaan tidak siap
menghadapinya. Akibat yang ditimbulkan mempunyai pengaruh yang besar pada
perusahaan, sebaliknya apabila kemungkinan terjadinya suatu kejadian yang
merugikan sudah diperhitungkan sebelum terjadi, dampak yang ditimbulkan sudah
diperkirakan dan pengaruh negatifnya dapat diminimalisasi. Penerapan audit
berbasis risko lebih memungkinkan perusahaan bersiap menghadapi risiko sekaligus
dengan antisipasi melindungi diri dari kemungkinan kerugian yang akan dialami.

E. MANFAAT AUDIT BERBASIS RISIKO

1. Menjadi sistem check dan balance terhadap kontrol organisasi.
2. Meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan
keuangan.
3. Meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko.
4. Meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah
lainnya.
5. Mengungkap temuan mengenai kelemahan yang dimiliki manajemen.
6. Fleksibilitas waktu.
7. Upaya tim audit terfokus pada area kunci.
8. Prosedur audit terfokus pada risiko.
 9. Pemahaman atas pengendalian internal.
10. Komunikasi yang tepat waktu.

F. RUANG LINGKUP AUDIT BERBASIS RISIKO

1. Penilaian atas identifikasi risiko yang dilakukan oleh manajemen
termasuk risiko bisnis yang dapat menghalangi pencapaian tujuan perusahaan.
2. Mengetahui kadar dan dampak risiko yang menimpa perusahaan.
3. Mempercepat eskalasi risiko tinggi kepada manajemen puncak.
4. Kemampuan melakukan pemeriksaan manajemen risiko yang akan ditularkan kepada
seluruh anggota auditor maupun audit.

G. PENDEKATAN AUDIT BERBASIS RISIKO

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar
yaitu:
1. Asesmen Risiko
Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit
dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar
keterbatasan sumber daya yang kita miliki dapat diarahkan ke area dengan bobot risiko
tinggi. Tahap ini dapat ditiadakan bilamana profil risiko yang dihasilkan oleh unit
Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini keandalannya
2. Penyusunan Program Audit Internal
Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai
akhirnya menggunakan faktor risiko seperti:
a. Audit Assurance: Melihat relevansi hasil kajian audit periode sebelumnya atas area
yang memiliki risiko dengan rating tinggi.
b. Materialistis: Mengkaji area yang memiliki dampak risiko tinggi dengan
menggunakan parameter keuangan maupun non keuangan.
c. Residual Risk: Nilai risiko yang telah memperhitungkan faktor positif yang
dimiliki perusahaan seperti pengendalian internal.
d. Audit Judgement: Pertimbangan auditor atas perubahan sistem dan prosedur,
restrukturisasi organisasi yang mempunyai dampak kepada area tertentu.
3. Pelaksanaan Program Audit Internal
a. Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan
tujuan perusahaan.
 b. Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan
batasan risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan
dan prosedur di dalam perusahaan.
c. Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya
berdasarkan kerangka kerja yang telah ditetapkan.
d. Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap
pengendalian.
e. Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam
rangka memastikan pencapaian tujuan perusahaan.

H. PROSES AUDIT BERBASIS RISIKO (AUDITING BERBASIS ISA)

Proses audit ini didasarkan ISA atau International Standards on Auditing. ISA
menekankan berbagai kewajiban entitas dan manajemen, berbagai kewajiban entitas dapat
disebut pihak-pihak berkepentingan atau TCWG “Those charged with governance”. Tiga
proses audit berbasis risiko yaitu :
1. Tahap Penjelasan Risk Assessment
Penilaian risiko untuk mengidentifikasi dan menilai risiko salah saji material dalam
laporan keuangan, merancang dan melaksanakan prosedur audit selanjutnya untuk
menanggapi risiko salah saji.
a. Partner dan tim inti audit terlibat aktif dalam audit plan.
b. Skeptisisme profesional dalam upaya mencapai asurans yang layak
c. Rencanakan auditnya mencakup waktu dalam audit plan akan memastikan tujuan
audit dipenuhi.
d. Diskusi tim audit dan komunikasi berkelanjutan
e. Fokus identifikasi risiko yang relevan
f. Evaluasi cerdas tanggapan manajemen atas risiko
g. Professional Judgement dalam penerimaan klien, develop audit strategy,
materiality, develop analytic procedure, dan pertimbangan audit khusus yang
diperlukan.
2. Risk Response
Merancang dan melaksanakan prosedur audit selanjutnya untuk menanggapi risiko
salah saji material pada tingkat laporan keuangan dan asersi.
a. Uji Pengendalian/ test of controls
b. Prosedur Analitikal Substantif
 c. Pendadakan/ Upredictable examination
d. Management Override
e. Significant Risks
3. Reporting
Merumuskan pendapat berdasarkan bukti yang diperoleh: membuat dan menerbitkan
laporan yang tepat sesuai kesimpulan audit. Jika semua prosedur sudah dilaksanakan
dan kesimpulan dicapai, maka temuan audit dilaporkan kepada manajemen dan
TCWG Opini audit dirumuskan dan keputusan mengenai redaksi yang tepat untuk
laporan auditor dibuat.
Prosedur Analisa dan Analisis Data
a. ABR menggunakan prosedur analisa dan analisis data pada beberapa tingkat yang
berbeda (tingkat laporan keuangan,rekening, dan transaksi) dalam audit untuk
mendapatkan bukti-bukti audit
b. Bisa memberikan pembuktian audit yang meyakinkan (significant audit
assurance)
c. Bisa untuk mengidentifikasi area-area mana yang perlu pemeriksaan lebih lanjut.
d. Kerjasama tim sangat membantu dalam menghasilkan audit yang efektif dan
efisien.
e. Kerjasama tim berkontribusi pada anggota tim untuk dapat mencapai prestasi
tertinggi.
f. Pembangunan ide-ide dan value yaitu melihat pada resiko bisnis untuk
mengurangi resiko audit dan pada saat yang sama, ABR memungkinkan untuk
memberikan nilai tambah kepada klien dengan mengidentifikasi usulan-usulan
untuk memperbaiki manajemen resiko bisinis.
g. keputusan mengenai redaksi yang tepat untuk laporan auditor dibuat.

I. PELAKSANAAN AUDIT BERBASIS RISIKO

Pelaksanaan audit berbasis risiko, terdapat 4 pokok bahasan :
1. Skeptisisme Professional
Auditor wajib merencanakan dan melaksanakan suatu audit dengan skeptisi
professional dengan menyadari bahwa mungkin ada situasi yang menyebabkan
laporan keuangan disalah sajikan secara material.
2. Kearifan Professional
 Auditor wajib melaksanakan kearifan professional dalam merencanakan dan
melaksanakan suatu audit atas laporan keuangan.
3. Asurans yang Layak
Untuk memperoleh asurans yang layak auditor memperoleh bukti auditor yang cukup
dan tepat untuk menekan risiko audit ketingkat rendah yang dapat diterima, dengan
demikian memungkinkan auditor menarik kesimpulan yang layak untuk digunakan
sebagai dasar pemberian pendapat auditor.
4. Gunakan Tujuan Sesuai ISAs yang Relevan
Untuk mencapai tujuan seluruhnya auditor wajib menggunakan tujuan yang
dinyatakan dalam ISAs yang relevan dalam merencanakan dan melaksanakan audit
tersebut dengan memperhatikan keterkaitan diantara berbagai ISAs.

J. TAHAPAN DALAM MELAKUKAN AUDIT BERBASIS RISIKO

Tahapan dalam melakukan audit berbasis risiko dapat dijelaskan dalam gambar berikut
ini:

1. Risk Register adalah proses dokumentasi dimulai dengan memasukan process map ke
dalam database kemudian menentukan risiko yang mungkin terjadi dan diberi skor dan
diurut sesuai dengan tingkat risikonya.
 2. Risk Maturity adalah tingkat dimana suatu organisasi mengetahui risiko yang ada dan
telah menjalankan risk management. Menurut The Intitute of Internal Auditor’s (IIA)
and Ireland publication on Risk Based Internal Auditing diketahui ada 5 tingkatan Risk
Maturity, yaitu:
3. Merencana audit berbasis risiko:
a. Menentukan risiko apa saja yang ada:
1) Review pendahuluan: mulai dari rencana kerja dan anggaran perusahaan,
laporan keuangan, dan kertas kerja audit yang lalu.
2) Mengidentifikasi risiko:
3) Menetapkan audit universe
4) Melakukan risk assessment termasuk melakukan wawancara dengan
manajemen unit.
5) Membahas risk assessment dengan manajemen unit untuk mendapatkan
validasi.
6) Menyusun rencana audit.
b. Menjalankan tugas audit, dengan tahapan:
1) Memecah sebuah satuan kerja menjadi satuan-satuan yang lebih kecil untuk
dapat dikelola. Satuan ini disebut dengan satuan layak audit (auditable units).
Auditable units adalah entitas terkecil dalam sebuah organisasi yang patut
dipertimbangkan untuk dilakukan risk assessment.
2) Menentukan auditable units.
3) Melaksanakan audit sesuai dengan rencana yang telah disusun.

K. CONTOH AUDIT BERBASIS RISIKO

PT Bank Perkreditan Rakyat Lancar Jaya adalah sebuah perusahaan yang bergerak dalam
bidang perbankan. PT BPR Lancar Jaya saat ini memiliki sistem informasi namun belum
menggunakan ERP system. Sistem informasi tersebut di develop oleh tim TI PT BPR
Lancar Jaya. Sistem informasi yang dimiliki oleh perusahaan sudah terintegrasi, namun
kemudian diperoleh informasi bahwa setiap program aplikasi menggunakan bahasa
program development yang berbeda. Program aplikasi untuk penghitungan gaji dan bonus
dibangun dengan menggunakan bahasa program Oracle, sedangkan untuk program
akuntansi menggunakan program aplikasi yang dibangun dengan Visual C. Data untuk
penghitungan insentif dan bonus tim marketing, di-entry, proses dan output-nya dikerjakan
oleh tim TI. Hasil penghitungan insentif dan bonus tersebut didistribusikan ke bagian
Akuntansi dan keuangan untuk dibayarkan kepada anggota tim. Menurut manajer TI,
perhitungan insentif dan bonus sudah pasti tanpa kesalahan karena merupakan output
komputer dan tidak memerlukan verifikasi. Server berada di kantor pusat yang berada di
Karawang sedangkan cabang tidak memiliki server langsung menggunakan WAN yang
dikoneksikan melalui satelit. Kepada anggota tim diberikan fasilitas untuk melakukan
transaksi menggunakan fasilitas internet. Perusahaan belum menyusun BCP. Namun
berdasarkan kebiasaan, data yang ada pada server di back up sebulan sekali dalam bentuk
softcopy dan hardcopy yang disimpan pada gudang kantor pusat. Program pada PT BPR
Lancar Jaya tidak menggunakan audit log dengan alasan membuat penuh memory pada
server. Password tingkat tertinggi pada program perusahaan dipegang oleh Manajer TI.

Penyelesaian:
1. Risiko yang Ditemukan :
a. Setiap program aplikasi menggunakan bahasa program development yang
berbeda”. Jika kondisinya seperti ini sistem tidak terintegrasi secara keseluruhan.
Jadi akan terdapat proses atau interfensi manual dari user pada saat pemprosesan
data dari satu sistem dan outputnya digunakan sebagai source data untuk sistem
lain. Akan terjadi resiko data berubah saat terjadi interfensi user secara manual.
b. Perhitungan insentif yang dilakukan oleh IT sudah menyalahi aturan dari tugas
pokok departemen IT itu sendiri. Seharusnya tugas tersebut dilakukan oleh
departemen HR. Sedangkan IT dalam hal ini bisa membantu untuk menyediakan
data saja (data absensi) yang sudah ter-record dalam sistem.
c. Jika kantor cabang tidak memiliki akses terhadap server pusat melalui WAN, tetapi
hanya bisa melalui intenet maka vulnerability jaringan perusahaan akan lebih besar
jika dibandingkan menggunakan WAN. Selain itu kecepatan akses terhadap server
sangat tergantung dari internet yang dipakai. Jika internet bermasalah maka server
pusat tidak bisa diakses yang mengakibatkan proses bisnis jadi terhambat.
d. Yang paling beresiko tinggi dari studi kasus ini yaitu perusahaan tidak memiliki
BCP (Business Continuity Plan). Jika terjadi peristiwa - peristiwa yang dapat
mengganggu kesinambungan bisnis maka proses bisnis bisa terhenti dan ini akan
mengakibatkan kerugian finansial yang sangat besar bagi perusahaan.
e. Audit Log sangat diperlukan biasanya mencatat tentang kinerja suatu perangkat,
dan akan melaporkan hasilnya jika terjadi error/kesalahan agar dapat segera
diketahui mengapa kesalahan tersebut dapat terjadi. Jika Audit Log tidak
 diimplementasikan pada sebuah sistem maka jika terjadi kesalahan pada sistem
tersebut akan sangat sulit atau membutuhkan waktu yang lama untuk tracking.
2. Rekomendasi :
a. Penyempurnaan SOP setiap departemen di dalam perusahaan. Dimana setiap
departemen tidak melakukan tugas yang overlapping terhadap departemen lain.
b. Mengintegrasikan semua sistem yang dipakai meskipun sistem – sistem tersebut
dibuat menggunakan bahasa pemrograman yang berbeda tapi sangat
memungkinkan untuk diintegrasikan. Jika sistem – sistem tersebut dibuat oleh
beberapa vendor yang berbeda, maka harus mengundang semua vendor bagaimana
cara untuk mengintegrasikan sistem – sistem tersebut.
c. Akses dari cabang ke kantor pusat sebaiknya menggunakan jaringan internal
WAN. Dari sisi keamanan akan lebih baik, begitupun dari sisi kecepatan akses
data.
d. Penyusunan BCP harus dilakukan, karena jika terjadi hal –hal yang bisa
mengganggu proses bisnis, seperti bencana alam, kerusuhan. Perusahaan bisa
mempertahankan kelangsungan bisnisnya
e. Logging harus dipasang pada setiap sistem yang digunakan oleh perusahaan. Selain
bertujuan untuk kepentingan audit juga berguna saat terjadi kesalahan pada sistem.
Misalnya siapa dan kapan user login, mengubah, memproses data semua tercatat
di dalam Log Audit. Untuk mengantisipasi besarnya data Log Audit, bisa membuat
SOP bahwa Log Audit di archive per satuan waktu misalnya 1 bulan sekali.