Seperti yang telah kita ketahui, sejak tanggal 1 Januari 2013 Indonesia secara resmi mengadopsi standar audit internasional yaitu ISA (International Standards on Auditing), sehingga dengan demikian audit atas laporan keuangan yang dilakukan oleh auditor independen harus berpedoman kepada standar audit tersebut.
ISA adalah merupakan standar audit yang berbasis risiko. Teknik audit berbasis risiko (risk-based auditing) mendasarkan pelaksanaan prosedur audit sesuai dengan penilaian risiko (risk assessment) yang dilakukan oleh auditor untuk dapat mendeteksi apakah laporan keuangan yang disajikan oleh pihak manajemen perusahaan yang diaudit mengandung salah saji material atau tidak.
Theodorus M. Tuanakotta dalam bukunya "Audit Berbasis ISA" menjelaskan bahwa yang dimaksud dengan risiko audit (audit risk) adalah risiko yang dihadapi oleh auditor karena memberikan opini audit yang tidak tepat atas laporan keuangan yang disalahsajikan secara material. Tujuan dilakukannya audit adalah untuk menekan risiko ini ke tingkat rendah yang dapat diterima oleh auditor.
Standar Audit (SA) 200 menjelaskan mengenai risiko audit sebagai risiko bahwa auditor menyatakan suatu opini audit yang tidak tepat ketika laporan keuangan mengandung kesalahan penyajian material. Risiko audit merupakan suatu fungsi risiko kesalahan penyajian material dan risiko deteksi.
Dari penjelasan di atas dapat diperoleh gambaran bahwa ada dua unsur utama dari risiko audit yang dihadapi auditor dalam pelaksanaan audit atas laporan keuangan perusahaan. Yang pertama berupa risiko kesalahan penyajian material yaitu risiko bahwa laporan keuangan mengandung kesalahan penyajian material sebelum dilakukan audit. Risiko ini terdiri dari dua komponen, yaitu :
- risiko inheren (risiko bawaan)/ inherent risk
- risiko pengendalian/ control risk
SA 200 lebih lanjut menjelaskan bahwa risiko inheren adalah kerentanan suatu asersi tentang suatu golongan transaksi, saldo akun, atau pengungkapan terhadap suatu kesalahan penyajian yang mungkin material, baik secara individual maupun secara kolektif ketika digabungkan dengan kesalahan penyajian lainnya, sebelum mempertimbangkan pengendalian internal yang terkait. Sedangkan risiko pengendalian adalah risiko bahwa suatu kesalahan penyajian yang mungkin terjadi dalam suatu asersi tentang suatu golongan transaksi, saldo akun, atau pengungkapan yang mungkin material, baik secara individual maupun secara kolektif ketika digabungkan dengan kesalahan penyajian lainnya, tidak akan dapat dicegah, atau dideteksi dan dikoreksi, secara tepat waktu oleh pengendalian internal perusahaan.
Jadi, risiko inheren dan risiko pengendalian berkaitan dengan perusahaan dan lingkungannya secara keseluruhan, dimana kedua risiko tersebut merupakan komponen dari risiko kesalahan penyajian yang material seperti yang dijelaskan di atas, yang sudah terkandung dalam laporan keuangan yang dipersiapkan oleh pihak manajemen perusahaan sebelum auditor independen melakukan prosedur auditnya.
Unsur kedua dari risiko audit berbasis ISA adalah berupa risiko deteksi, yaitu risiko bahwa prosedur audit yang dilaksanakan oleh auditor untuk menurunkan risiko audit ke tingkat rendah yang dapat diterima tidak akan mendeteksi suatu kesalahan penyajian yang ada dan yang mungkin material, baik secara individual maupun secara kolektif ketika digabungkan dengan kesalahan penyajian lainnya.
Jadi, risiko deteksi yang dihadapi auditor merupakan risiko yang timbul selama berlangsungnya pelaksanaan audit (dengan pelaksanaan prosedur-prosedur audit), dimana ada kemungkinan bahwa prosedur audit yang dirancang oleh auditor sendiri akan gagal untuk mendeteksi kesalahan penyajian material dari laporan keuangan yang diaudit.
Secara garis besar, ada 3 tahapan dalam melakukan audit berbasis risiko (risk-based audit) seperti yang dijabarkan dalam SA 200, sebagai berikut :
- mengidentifikasi dan menilai risiko kesalahan penyajian material, baik yang disebabkan oleh kecurangan maupun kesalahan, berdasarkan suatu pemahaman atas entitas dan lingkungannya, termasuk pengendalian internal entitas/ risk assessment
- memperoleh bukti audit yang cukup dan tepat tentang apakah terdapat kesalahan penyajian material, melalui perancangan dan penerapan respons yang tepat terhadap risiko yang dinilai/ risk response
- merumuskan suatu opini atas laporan keuangan berdasarkan kesimpulan yang ditarik dari bukti audit yang diperoleh/ reporting
Opini audit yang diberikan oleh auditor independen adalah berdasarkan hasil evaluasi dari bukti audit yang cukup dan tepat yang diperoleh dari hasil pelaksanaan risk assessment dan risk response. Demikian gambaran konsep audit berbasis risiko sesuai dengan ISA (HRD) **