AUDITOR, RISIKO EDI DAN E-COMMERCE
Auditor menganalisis dampak risiko e-commerce kepada organisasi berbasis e-commerce, evaluasi berkala pengendalian internal perusahaan terhadap e-commerce. Auditor wajib mengidentifikasi perubahan IT secara berkala, modifikasi e-commerce untuk memperbaiki kendali internal dan kinerja operasi e-commerce, biaya & maslahat modifikasi e-commerce, bingkai waktu modifikasi, probabilitas sukses modifikasi. Auditor harus mewaspadai perubahan operasi karena perubahan e-commerce yang melanda dunia atau perusahaannya, dengan cara mempelajari dan memahami sistem dan infrastruktur EC, terutama; front-end Web server, metode transmisi dan protokol, firewalls, gateways, back end, middleware, hubungan dengan back office system. Auditor wajib memahami elemen data, dampak program pada data, bagaimana distribusi program, lokasi, server, pihak lur dan proses terkait e-commerce, melakukan evaluasi pengendalian dan prosedur e-commerce, melakukan evaluasi pengendalian informasi-sensitive, misalnya nomor kartu kredit. Bila auditor lemah dalam keahlian e-commerce, perusahaan dapat mengundang pakar luar untuk melakukan evaluasi e-commerce. Mirip dengan e-commerce, pada dunia perkapalan, EDI Risk pada dasarnya adalah computer to computer online communication, auditor memeriksa komunikasi baku, informasi baku, format informasi baku, data base & information centre baku, jaringan komunkasi mantap atau tidak mantap, menengarai risiko kegagalan sistem EDI pada inisiasi, transmisi dan destinasi.METODE ANALISIS RISIKO AUDIT
Flowcharting
- Mampu melihat sebuah operasi secara menyeluruh.
- Dapat diberi tanda (1) wilayah operasi paling penting, wilayah kritis, (2) wilayah paling rentan & penuh risiko, padat KKN, (3) wilayah paling sering melanggar aturan, (4) wilayah bottleneck, (4) prosedur melompat, tak berurut
Internal Control Questionnaires
- Open-end questionnaire, membutuhkan jawaban naratif, maka waktu bagi juru-jawab dan juru-ringkas-hasil-kuesioner, kesimpulan umum agak sulit dirumuskan.
- Kuesioner kepatuhan dapat menggunakan pilihan jawaban ya (patuh) atau tidak (menyimpang), ditambah kuesioner sebab penyimpangan (pilihan jawaban) atau kolom komentar (naratif penjelasan alasan).
Matrix Analysis
- EDP audit, Computer Control and Audit.
- Mempertemukan sebuah control dengan sebuah risiko, menggunakan sebuah sarana pengendalian (control) untuk beberapa risiko
Risk Evaluation Systems
- Sistem evaluasi risiko dibangun berdasar jawaban kuesioner & analisis jawaban.
- Sistem mengakomodasi risiko terbesar, agar terevaluasi secara tepat.
- Nilai harus ditentukan secara baik, agar kesimpulan nilai keseluruhan menggambarkan situasi nyata.
- Pengungkapan risiko terkait probabilitas menggunakan konsensus, misalnya:
Range
Remote – chance is slight 0 – 15%
Reasonably Possible – more than remote, less than likely 20– 50%
Probable – likely to occur 50 – 90%
Pengungkapan risiko berbasis kelompok penting risiko, jenis risiko atau kelompok jenis risiko.
BUKTI AUDIT
- Risiko perikatan asuransi di mitigasi dengan bukti yang cukup (kuantitas & kualitas)
- Perencanaan pengumpulan bukti berkualitas
- Pelaksanaan pengumpulan bukti amat efektif
- Prosedur pengumpulan bukti amat efisien
- Prosedur tersepakati pengumpulan bukti amat efisien & efektif
- Surat representasi, pernyataan bahwa seluruh bukti terbuka/tersedia bagi auditor
- Risiko salah saji material laporan-keuangan ter-mitigasi dengan baik
SKEPTISME PROFESIONAL
Skeptisme profesional sebagai kepribadian auditor mencakupi kehati-hatian, kewaspadaan, tidak langsung percaya saja, critical assesment (penilaian kritis), mempertanyakan validitas bukti, tingkat handal bukti, mewaspadai bukti kontradiktif, keaslian bukti, rekayasa bukti, mencurigai hal-hal mencurigakan, menilai hasil obervasi yang tidak di-samarata-kan, melakukan evaluasi cermat dan membuat kesimpulan nan konservatif
KECUKUPAN DAN KETEPATAN BUKTI
Kecukupan bukti audit mencakupi kuantitas cukup, sampel pengujian mewakili populasi bukti, cukup utk mitigasi risiko salah saji laporan keuangan & risiko pernyataan asurans (risiko opini audit), sehingga bukti didapat berkualitas (handal terpercaya) dan berkuantitas cukup memadai untuk kesimpulan audit, bukti tepat atau relevan dengan tugas audit tersebut.
TINGKAT HANDAL BUKTI AUDIT
Sebagai pengurang risiko audit, sumber bukti harus kompeten, obyektif baik bukti luar (mis.konfirmasi) & bukti internal (mis.pembukuan). Bukti luar diasumsikan lebih kompeten, namun setelah penilaian cermat akan sumber bukti luar dan kualitas bukti. Bukti internal berbasis kendali internal nan-handal juga kompeten sebagai bukti audit, bukti tangan pertama / langsung & bukti tangan kedua/indirect evidence dipertimbangkan dengan seksama. Jenis / sifat bukti misalnya asli vs fotocopy & faksimili, lisan vs tertulis, tertulis, tertulis bertanda tangan, tertulis bertanda tangan & bermeterai, keterangan lisan vs Keterangan Dibawah Sumpah.
Kondisi saat bukti diperoleh mencakupi bukti diperoleh sebelum penerbitan laporan audit vs setelah penerbitan laporan audit, bukti periode perjalan vs bukti setelah tanggal laporan keuangan (mis.post balance sheet event dll), bukti mewakili populasi atau tidak (metode sampling), bahwa generalisasi berbasis bukti dimungkinkan sehingga random sampling berjumlah cukup untuk mewakili populasi data teraudit adalah upaya terbaik penekanan risiko audit. Judgmental sampling pada wilayah kendali internal nan lemah (mis. Periode amat sibuk), adalah baik, pilihan sampling berbasis kemudahan (convenience sampling) sebaiknya dihindari.
RISIKO PERIKATAN AUDIT
Risiko kesimpulan audit tidak tepat secara material tentang hal pokok yang diaudit. Auditor berupaya menekan risiko ke-tingkat serendah mungkin ssebagai risiko dapat diterima auditor, sepanjang masuk akal. Risiko audit dengan keyakinan terbatas lebih besar dari risiko keyakinan memadai. Keyakinan terbatas minimum adalah berbentuk kesimpulan negatif dari auditor berdasar sifat/jenis bukti,saat pemerolehan bukti, dan luas prosedur pengumpulan bukti asuransi.
Risiko perikatan hukum (kontrak) audit diproksi oleh risiko salah saji material (yaitu risiko inheren, rentan risiko karena kendali internal tidak ada dan risiko pengendalian yang selalu ada karena risiko inheren) dan risiko deteksi, yaitu risiko salah saji material laporan keuangan tak terdeteksi auditor. Jenis / sifat bukti, saat perolehan bukti, dan luas prosedur pengumpulan bukti audit untuk setiap perikatan adalah unik & berbeda. Tugas auditor adalah melakukan komunikasi secara baik berbagai aspek perikatan, agar tidak masuk ke dalam risiko perikatan.
Hindari biaya audit yang lebih besar dibanding penurunan risiko asurans melalui pengujian selektif dan mewakili populasi untuk hal pokok yang diaudit, audit terhadap wilayah lemah kendali internal.Waspadai tanda tanda manajemen bereputasi buruk, entitas LK berisiko bangkrut dan LK perpotensi sesat saji dengan strategi menghindari kontrak audit berisiko audit atau lakukan mitigasi risiko tiap kontrak dgn prosedur tambahan
Untuk audit laporan keuangan, analisislah GCG calon klien yaitu integritas manajemen, indipendensi Audit Komite, kualitas kendal internal, SOP, teknologi kerja, sejarah kinerja kepatuhan kepada hokum, kualitas integritas pemegang saham utama dan partisipasi pemegang saham utama dalam laporan keuangan, hubungan keuangan pemegang saham utama dengan perusahaan teraudit, transaksi pihak berelasi, kondisi kurang modal, tak ada perumusan strategis jangka panjang atau masa depan, posisi sebagai emiten atau entitas privat, standar akuntansi yang digunakan, ketergantungan pada produk/jasa tertentu, daur hidup (life cycle) dan pengaruhnya pada going concern, ketergantungan pada R&D dan perkembangan teknologi dunia, pola bisnis, pola arus kas, stabilitas arus kas, kepastian usaha, sejarah penyimpangan/pelanggaran standar akuntansi, rating, misalnya blue chip company.
PENGUJIAN RISIKO AWAL AUDIT
Contoh pertanyaan bagi manajemen
- Risiko Industri
- Bagaimana perubahan industri 5 tahun terakhir, ramalan 5 tahun yang akan datang?
- Bagaimana situasi persaingan, siapa pesaing utama?
- Apa keunggulan bersaing entitas? Pesaing? Kesinambungan usaha?
- Apakah pertumbuhan industri sesuai harapan?
- Apakah pertumbuhan usaha & perusahaan sesuai harapan?
- Proses berisiko paling besar/tinggi, dan bagaimana strategi mitigasi risiko tersebut?
- Apa risiko keuangan, sistem keuangan, LK, dan kendali internal, dan bagaimana strategi mitigasi risiko tersebut?
- Apakah ada cabang, kegiatan, dll tidak diaudit, apakah ada risiko materialitas dll?
- Apa hasil penilaian risiko (risk assessment)?
- Apakah terdapat sistem informasi risiko?
- Apakah ditemukan kekurangan kendali internal, sistem keuangan dan sistem pelaporan LK?
- Bagaimana sistem evaluasi terhadap integritas sistem keuangan?
- Bagaimana IA mengaudit kendali internal dan meneukan defisiensi kendali internal? Usulan perbaikan kendali internal dan tindak lanjut oleh manajemen?
- Apakah ada suborganisasi & petugas khusus untuk memantau risiko hukum & mitigasi risiko hukum?
- Apa saja risiko ketidakpatuhan hukum terbesar, bagaimana mitigasi risiko tersebut?
- Apakah ada kode etika resmi, apakah berjalan efektif, apakah ada evaluasi etika dan imbalan berbasis etika, apakah ada laporan aspek etika dari manajemen fungsional.
- Apakah produk utama, jasa utama, kegiatan utama tidak melanggar etika?
- Apakah sistem, prosedur, SOP dirangkai terjalin etika, apakah setiap keputusan disaptikan memenuhi tolok ukur etika ?
- Apakah ada catatan konflik berdimensi etika, apakah ada catatan resolusi konflik?
- Apakah ada sistem whistle blower, sistem pengaduan atasan yang melanggar etika?
- Apakah pengadu dilindungi oleh sistem perlindungan pengaduan?
- Apakah audit internal melakukan audit etika?
- Apakah Dewan audit, Komite Audit dan/atau Komite Etika melakukan evaluasi praktik manajemen etika?
- Evaluasi perubahan berbagai asumsi, perubahan kebijakan akuntansi & estimasi akuntansi
- Evaluasi trend dan nisbah keuangan, neraca, laba rugi, arus kas dll utk menengarai ketidakwajaran LK
- Perbandingan dgn LK industri sejenis
- Perbandingan LK dan LK proforma berbasis perencanaan anggaran
- Daftar pos atau akun berisiko tinggi rekayasa akuntansi, salah catat, salah saji dan kurang pengungkapan
Larangan dalam Sarbane-Oxley Act adalah bahwa KAP teregister petugas audit LK perusahaan publik dilarang melakukan layanan
- Pembukuan klien audit LK
- Desain sistem informasi keuangan klien auditan
- Konsultan implementasi sistem informasi keuangan klien auditan
- Jasa penilai atau jasa valuasi
- Jasa aktuarial
- Menjadi auditor internal klien auditan
- Menjadi manajemen (mis. Direktur) klien auditan
- Memberi layanan upah-duta-niaga (broker), jasa investasi, jasa penasihatan klien auditan
- Layanan hukum (legal service), layanan pakar diluar auditing
- Layanan pajak bagi manajemen puncak, tax planning untuk korporasi
Terjadi penurunan minat untuk menjadi auditor, karena risiko audit dan konsekuensi hukum makin terasa berat.
Jakarta, November 2013.
Dr. Jan Hoesada, Pemerhati Manajemen Risiko
(Anggota Dewan Audit Otoritas Jasa Keungan)