11 ............ Part 2 AUDITOR, RISIKO EDI DAN E
advertisement
............ Part 2 AUDITOR, RISIKO EDI DAN E-COMMERCE Auditor menganalisis dampak risiko e-commerce kepada organisasi berbasis ecommerce, evaluasi berkala pengendalian internal perusahaan terhadap e-commerce. Auditor wajib mengidentifikasi perubahan IT secara berkala, modifikasi e-commerce untuk memperbaiki kendali internal dan kinerja operasi e-commerce, biaya & maslahat modifikasi e-commerce, bingkai waktu modifikasi, probabilitas sukses modifikasi. Auditor harus mewaspadai perubahan operasi karena perubahan e-commerce yang melanda dunia atau perusahaannya, dengan cara mempelajari dan memahami sistem dan infrastruktur EC, terutama; front-end Web server, metode transmisi dan protokol, firewalls, gateways, back end, middleware, hubungan dengan back office system. Auditor wajib memahami elemen data, dampak program pada data, bagaimana distribusi program, lokasi, server, pihak lur dan proses terkait e-commerce, melakukan evaluasi pengendalian dan prosedur e-commerce, melakukan evaluasi pengendalian informasisensitive, misalnya nomor kartu kredit. Bila auditor lemah dalam keahlian e-commerce, perusahaan dapat mengundang pakar luar untuk melakukan evaluasi e-commerce. Mirip dengan e-commerce, pada dunia perkapalan, EDI Risk pada dasarnya adalah computer to computer online communication, auditor memeriksa komunikasi baku, informasi baku, format informasi baku, data base & information centre baku, jaringan komunkasi mantap atau tidak mantap, menengarai risiko kegagalan sistem EDI pada inisiasi, transmisi dan destinasi. METODE ANALISIS RISIKO AUDIT • Flowcharting Mampu melihat sebuah operasi secara menyeluruh. Dapat diberi tanda (1) wilayah operasi paling penting, wilayah kritis, (2) wilayah paling rentan & penuh risiko, padat KKN, (3) wilayah paling sering melanggar aturan, (4) wilayah bottleneck, (4) prosedur melompat, tak berurut 11 • Internal Control Questionnaires - Open-end questionnaire, membutuhkan jawaban naratif, maka waktu bagi jurujawab dan juru-ringkas-hasil-kuesioner, kesimpulan umum agak sulit dirumuskan. - Kuesioner kepatuhan dapat menggunakan pilihan jawaban ya (patuh) atau tidak (menyimpang), ditambah kuesioner sebab penyimpangan (pilihan jawaban) atau kolom komentar (naratif penjelasan alasan). • Matrix Analysis EDP audit, Computer Control and Audit. Mempertemukan sebuah control dengan sebuah risiko, menggunakan sebuah sarana pengendalian (control) untuk beberapa risiko Risk Evaluation Systems Sistem evaluasi risiko dibangun berdasar jawaban kuesioner & analisis jawaban. Sistem mengakomodasi risiko terbesar, agar terevaluasi secara tepat. Nilai harus ditentukan secara baik, agar kesimpulan nilai keseluruhan menggambarkan situasi nyata. Pengungkapan risiko terkait probabilitas menggunakan konsensus, misalnya: Range Remote – chance is slight 0 – 15% Reasonably Possible – more than remote, less than likely 20– 50% Probable – likely to occur 50 – 90% Pengungkapan risiko berbasis kelompok penting risiko, jenis risiko atau kelompok jenis risiko. BUKTI AUDIT Risiko perikatan asurans di mitigasi dengan bukti yang cukup (kuantitas & kualitas) Perencanaan pengumpulan bukti berkualitas Pelaksanaan pengumpulan bukti amat efektif Prosedur pengumpulan bukti amat efisien 12 Prosedur tersepakati pengumpulan bukti amat efisien & efektif Surat representasi, pernyataan bahwa seluruh bukti terbuka/tersedia bagi auditor Risiko salah saji material laporan-keuangan ter-mitigasi dengan baik SKEPTISME PROFESIONAL Skeptisme profesional sebagai kepribadian auditor mencakupi kehati-hatian, kewaspadaan, tidak langsung percaya saja, critical assesment (penilaian kritis), mempertanyakan validitas bukti, tingkat handal bukti, mewaspadai bukti kontradiktif, keaslian bukti, rekayasa bukti, mencurigai hal-hal mencurigakan, menilai hasil obervasi yang tidak di-samarata-kan, melakukan evaluasi cermat dan membuat kesimpulan nan konservatif KECUKUPAN DAN KETEPATAN BUKTI Kecukupan bukti audit mencakupi kuantitas cukup, sampel pengujian mewakili populasi bukti, cukup utk mitigasi risiko salah saji laporan keuangan & risiko pernyataan asurans (risiko opini audit), sehingga bukti didapat berkualitas (handal terpercaya) dan berkuantitas cukup memadai untuk kesimpulan audit, bukti tepat atau relevan dengan tugas audit tersebut. TINGKAT HANDAL BUKTI AUDIT Sebagai pengurang risiko audit, sumber bukti harus kompeten, obyektif baik bukti luar (mis.konfirmasi) & bukti internal (mis.pembukuan). Bukti luar diasumsikan lebih kompeten, namun setelah penilaian cermat akan sumber bukti luar dan kualitas bukti. Bukti internal berbasis kendali internal nan-handal juga kompeten sebagai bukti audit, bukti tangan pertama / langsung & bukti tangan kedua/indirect evidence dipertimbangkan dengan seksama. Jenis / sifat bukti misalnya asli vs fotocopy & faksimili, lisan vs tertulis, tertulis, tertulis bertanda tangan, tertulis bertanda tangan & bermeterai, keterangan lisan vs Keterangan Dibawah Sumpah. Kondisi saat bukti diperoleh mencakupi bukti diperoleh sebelum penerbitan laporan audit vs setelah penerbitan laporan audit, bukti periode perjalan vs bukti setelah tanggal laporan keuangan (mis.post balance sheet event dll), bukti mewakili populasi atau tidak (metode sampling), bahwa generalisasi berbasis bukti 13 dimungkinkan sehingga random sampling berjumlah cukup untuk mewakili populasi data teraudit adalah upaya terbaik penekanan risiko audit. Judgmental sampling pada wilayah kendali internal nan lemah (mis. Periode amat sibuk), adalah baik, pilihan sampling berbasis kemudahan (convenience sampling) sebaiknya dihindari. RISIKO PERIKATAN AUDIT Risiko kesimpulan audit tidak tepat secara material tentang hal pokok yang diaudit. Auditor berupaya menekan risiko ke-tingkat serendah mungkin ssebagai risiko dapat diterima auditor, sepanjang masuk akal. Risiko audit dengan keyakinan terbatas lebih besar dari risiko keyakinan memadai. Keyakinan terbatas minimum adalah berbentuk kesimpulan negatif dari auditor berdasar sifat/jenis bukti,saat pemerolehan bukti, dan luas prosedur pengumpulan bukti asurans Risiko perikatan hukum (kontrak) audit diproksi oleh risiko salah saji material (yaitu risiko inheren, rentan risiko karena kendali internal tidak ada dan risiko pengendalian yang selalu ada karena risiko inheren) dan risiko deteksi, yaitu risiko salah saji material laporan keuangan tak terdeteksi auditor. Jenis / sifat bukti, saat perolehan bukti, dan luas prosedur pengumpulan bukti audit untuk setiap perikatan adalah unik & berbeda. Tugas auditor adalah melakukan komunikasi secara baik berbagai aspek perikatan, agar tidak masuk ke dalam risiko perikatan. Hindari biaya audit yang lebih besar dibanding penurunan risiko asurans melalui pengujian selektif dan mewakili populasi untuk hal pokok yang diaudit, audit terhadap wilayah lemah kendali internal. Waspadai tanda tanda manajemen bereputasi buruk, entitas LK berisiko bangkrut dan LK perpotensi sesat saji dengan strategi menghindari kontrak audit berisiko audit atau lakukan mitigasi risiko tiap kontrak dgn prosedur tambahan Untuk audit laporan keuangan, analisislah GCG calon klien yaitu integritas manajemen, indipendensi Audit Komite, kualitas kendal internal, SOP, teknologi kerja, sejarah kinerja kepatuhan kepada hokum, kualitas integritas pemegang saham utama dan partisipasi 14 pemegang saham utama dalam laporan keuangan, hubungan keuangan pemegang saham utama dengan perusahaan teraudit, transaksi pihak berelasi, kondisi kurang modal, tak ada perumusan strategis jangka panjang atau masa depan, posisi sebagai emiten atau entitas privat, standar akuntansi yang digunakan, ketergantungan pada produk/jasa tertentu, daur hidup (life cycle) dan pengaruhnya pada going concern, ketergantungan pada R&D dan perkembangan teknologi dunia, pola bisnis, pola arus kas, stabilitas arus kas, kepastian usaha, sejarah penyimpangan/pelanggaran standar akuntansi, rating, misalnya blue chip company. PENGUJIAN RISIKO AWAL AUDIT Contoh pertanyaan bagi manajemen • Risiko Industri 1. Bagaimana perubahan industri 5 tahun terakhir, ramalan 5 tahun yang akan datang? 2. Bagaimana situasi persaingan, siapa pesaing utama? 3. Apa keunggulan bersaing entitas? Pesaing? Kesinambungan usaha? 4. Apakah pertumbuhan industri sesuai harapan? 5. Apakah pertumbuhan usaha & perusahaan sesuai harapan? • Risiko Keuangan Dll 1. Proses berisiko paling besar/tinggi, dan bagaimana strategi mitigasi risiko tersebut? 2. Apa risiko keuangan, sistem keuangan, LK, dan kendali internal, dan bagaimana strategi mitigasi risiko tersebut? 3. Apakah ada cabang, kegiatan, dll tidak diaudit, apakah ada risiko materialitas dll? • Risiko Pengendalian 1. Apa hasil penilaian risiko (risk assessment)? 2. Apakah terdapat sistem informasi risiko? 3. Apakah ditemukan kekurangan kendali internal, sistem keuangan dan sistem pelaporan LK? 15 4. Bagaimana sistem evaluasi terhadap integritas sistem keuangan? 5. Bagaimana IA mengaudit kendali internal dan meneukan defisiensi kendali internal? Usulan perbaikan kendali internal dan tindak lanjut oleh manajemen? • Risiko Hukum 1. Apakah ada suborganisasi & petugas khusus utk memantau risiko hukum & mitigasi risiko hukum? 2. Apa saja risiko ketidakpatuhan hukum terbesar, bagaimana mitigasi risiko tersebut? • Risiko Etika 1. Apakah ada kode etika resmi, apakah berjalan efektif, apakah ada evaluasi etika dan imbalan berbasis etika, apakah ada laporan aspek etika dari manajemen fungsional. 2. Apakah produk utama, jasa utama, kegiatan utama tidak melanggar etika? 3. Apakah sistem, prosedur, SOP dirangkai terjalin etika, apakah setiap keputusan disaptikan memenuhi tolok ukur etika ? 4. Apakah ada catatan konflik berdimensi etika, apakah ada catatan resolusi konflik? 5. Apakah ada sistem whistle blower, sistem pengaduan atasan yang melanggar etika? 6. Apakah pengadu dilindungi oleh sistem perlindungan pengaduan? 7. Apakah audit internal melakukan audit etika? 8. Apakah Dewan audit, Komite Audit dan/atau Komite Etika melakukan evaluasi praktik manajemen etika? Telaah LK Pra Audit Laporan Keuangan Lakukan mitigasi risiko pelaporan LK dengan: 1. Evaluasi perubahan berbagai asumsi, perubahan kebijakan akuntansi & estimasi akuntansi 2. Evaluasi trend dan nisbah keuangan, neraca, laba rugi, arus kas dll utk menengarai ketidakwajaran LK 16 3. Perbandingan dgn LK industri sejenis 4. Perbandingan LK dan LK proforma berbasis perencanaan anggaran 5. Daftar pos atau akun berisiko tinggi rekayasa akuntansi, salah catat, salah saji dan kurang pengungkapan PERKEMBANGAN TERAKHIR PROFESI AUDITING AKIBAT RISIKO Terjadi trend pemutahiran kontrak CPA Internasional, agar tak terjadi tuntutan hukum kepada local firm terafiliasi (KAP disuatu negara yg menjadi anggota KAP Internasional) dibebankan kepada KAP Internasional. Makin dicermati peraturan transmisi informasi tertentu dari local firm kepada KAP Internasional, anggota lain atau sebaliknya. Mitigasi kewajiban hukum dilakukan auditor dengan cara PPL tentang hukum, pelanggaran hukum AP dan KAP, kebijakan penjagaan indipendensi seperti pelatihan SDM KAP untuk menjaga indipendensi, telaah hubungan pribadi auditor incharge dengan klien, telaah kinerja skeptisme profesional dan obyektivitas dan pelarangan jasa tertentu pada tataran IAPI dan tataran KAP tertentu Mis: Larangan Sarbane-Oxley Act. Larangan dalam Sarbane-Oxley Act adalah bahwa KAP teregister petugas audit LK perusahaan publik dilarang melakukan layanan 1. Pembukuan klien audit LK 2. Desain sistem informasi keuangan klien auditan 3. Konsultan implementasi sistem informasi keuangan klien auditan 4. Jasa penilai atau jasa valuasi 5. Jasa aktuarial 6. Menjadi auditor internal klien auditan 7. Menjadi manajemen (mis. Direktur) klien auditan 8. Memberi layanan upah-duta-niaga (broker), jasa investasi, jasa penasihatan klien auditan 9. Layanan hukum (legal service), layanan pakar diluar auditing 10. Layanan pajak bagi manajemen puncak, tax planning untuk korporasi 17 AICPA Code Of Professional Conduct melarang akuntan publik mengotorisasi transaksi klien audit, melaksanakan transaksi klien audit, mengkonsumsi transaksi klien audit, membuat bukti transaksi klien audit, mlakukan layanan penyimpanan aset (kustodian) klien, menjadi supervisor dalam manajemen klien audit, memberi pelayanan pengiriman barang, juru catat, general councel (penasihat umum) atau jasa sejenis itu. Dampak berbagai tuntutan hukum kepada auditor menyebabkan trend penugasan audit berdasar kontrak berdasar hukum perikatan, terjadi trend kesadaran akan konsekuensi hukum untuk segala hal yang mengikat AP atau KAP, terjadi trend tuntutan hukum terhadap direksi berdasar berbagai temuan audit, mis. AT, piutang, persediaan tertentu, tidak ada, terjadi tendensi KAP menimbang SD & kekuatan diri, apakah mampu melaksanakan suatu tawaran audit, terjadi tendensi KAP melakukan dokumentasi kertas kerja audit lebih cermat siap maju ke meja hijau, terjadi perpindahan rekan KAP, dan tanggungjawab simpan atas kerja audit AP yang pindah tersebut, polis asuransi Professional Liability Insurance makin mendapat momentum pasar profesional, redefinisi tanggungjawab bersama, yang pada akhirnya jatuh pada KAP, apabila pihak lain tak mampu. Terjadi trend berbagai Otoritas Pasar Modal yang main mempertanyakan kecukupan standar audit dan program audit LK emiten pembuat LK. Terjadi trend kesehatan auditor, bahwa tanda tangan opini WTP membuat “sport jantung” KAP atau AP, bahwa subsequent event harus ditindak lanjuti secara tegas dan segera oleh auditor sebelum publik dirugikan LK auditan melakukan tuntutan hukum kepada auditor eksternal. Terjadi penurunan minat untuk menjadi auditor, karena risiko audit dan konsekuensi hukum makin terasa berat. Jakarta, November 2013. 18
