Tugas Individu
AUDIT INTERNAL BAB III : PENENTUAN RISIKO
Nama
: MUTMAINNA
Nim
: A31114001 A31114001
JURUSAN AKUNTANSI FAKULT AKULTAS EKONOMI EK ONOMI DAN BISNIS UNIVERSITAS HASANUDDIN MAKASSAR 2017
FILOSOFI COSO
Penentuan resiko (risk assessment) merupakan hal penting bagi manajemen dan auditor internal. Hukum federal mensyaratkan penentuan risiko tahunan untuk bank-bank tertentu, dan prinsip-prinsip manajemen yang baik mendorong penerapannya di industry dan sector-sektor lain. Auditor internal harus memasukkan hsil penentuan risiko ke dalam program audit untuk memastikan bahwa control-kontrol yang dibutuhkan memang diterapkan untuk mengurangi risiko. Penentuan risiko merupakan tanggungjawab yang tidak terpisahkan dan terusmenerus dari manajemen. ikatakan integral karena manajemen tidak dapat menetapkan tujuan dan dengan mudah mengansumsikan bahwa tujuan tersebut akan tercapai. !anyak hambatan yang muncul akan meng-halangi perjalanan mencapai tujuan. !eberapa hambatan atau risiko akan datang. "ebagai contoh#
"uatu hukum atau peraturan baru mengalihkan sumber daya dari operasi yang dibutuhkan untuk mencapai tujuan
"ebuah perusahaan pesaing memperkenalkan produk atau jasa
baru yang
membutuhkan tindakan segera dan menciptakan tujuan baru dengan menurunkan prioritas tujuan sebelumnya
"ebuah terobosan teknologi membuat satu atau lebih tujuan menjadi usang
"eorang manajer yang tidak kompeten mengabaikan tujuan organisasi yang telah ditetapkan.
. Siaa !a"# M$ma"%aa&'a" P$"$"&(a" Ri)i'* +
$anajemen menggunakan penentuan risiko sebagai bagian dari proses untuk memastikan kesuksesan suatu entitas. $anajemen juga menggunakan penentuan risiko sebagai alat yang penting dalam merancang sistem-sistem baru. "istem baru tersebut, baik manual atau komputerisasi, dibuat untuk memenuhi tujuan yang telah ditetapkan. !agian penting dalam perancangan dan pengembangan proses adalah identifikasi dari semua kejadian dan tindakan yang mungkin mencegah sistem dari mencapai tujuannya.
Auditor internal terlibat dalam penentuan risiko sejak awal profesi berdiri. %esalahan yang bisa terjadi dilakukan dengan pengidentifikasian kesalahan atau ketidakwajaran yang potensial merupakan persyaratan mutlak untuk menentukan prosedur kontrol yang harus diterapkan.
M$,$"-a"a'a" P$"$"&(a" Ri)i'* .a" E')*)(,
&encana audit harus dirancang untuk memasukkan pertimbangan tentang risiko dan eksposur organisasi. Practice Ad'isory *-, +$enghubungkan rencana audit dengan risiko dan eksposur, menyatakan bahwa rencana strategis organisasi harus mempertimbangkan risiko dan eksposur. &encana audit harus menilai tingkat strategis terhadap elemen-elemen prioritas risiko dan eksposur.
M$m$,/(a) A(.i& B$,a)i) Ri)i'*
%onsep audit berbasis risiko secara tradisional bermula dari obser'asi dan analisis control, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi, dan akhirnya ke pennetuan apakah akti'itas ini sesuai dengan tujuan-tujuan organisasi. Para penulis merekomendasikan sebuah pendekatan yang mempertimbangkan $emperluas Audit !erbasis &isiko terlebih dahulu tujuan organisasi yang ditetapkan dan kemudian menentukan risiko melalui identifikasi, pengukuran dan penempatan prioritas dan akhirnya melakukan manajemen risiko dengan cara# a. $engendalikan dan menerima risiko b. $enghindari atau mendi'ersifikasi risiko c. $embagi mentransfer bagian-bagian risiko ke unit-unitnya %onsep manajemen risiko ini telah semakin diterima karena risiko tidak dapat dihindarkan disemua jenis operasi dan adanya kebutuhan untuk mengakomodikasikannya melalui berbagai pilihan akti'itas pilihan-pilihan tersebut mencakup #
ontrol akti'itas organisasional untuk mengurangi elemen-elemen risiko baik dari segi besaran maupun jumlah
Penerimaan risiko dengan memperbolehkan risiko kehati-hatian yang diperlukan untuk kemajuan dan keuntungan
Penghindaran risiko yang melibatkan perancangan ulang proses bisnis untuk mengubah pola risiko.
Pendi'ersifikasian risiko dengan menyebarkan total risiko ke operasi-operasi yang terpisah
Pembagian dan pemindahan risiko dengan melibatkan perjanjian kontraktual dengan pihak ketiga untuk menerima sebagian atau semua risiko.
O,#a"i)ai Ta"a P,*)$) Ma"a$m$" Ri)i'*
Ad'isory ini merekomendasikan auditor internal untuk # *. $embantu organisasi dalam mengidentifikasi, menge'aluasi dan menerapkan manajemen risiko
dan
perhatian dewan
serta menentukan penyelesaiannya
menggunakan operasi dan control manajemen risiko. . $engidentifikasi kesadaran manajemen dan dewan komisaris akan risiko dan menentukan penyelesaian melalui proses manajemen risiko /. $emberitahukan manajemen kekurangan yang ada pada proses manajemen risiko dan memberikan saran untuk melaksanakan proses seperti itu.
Ri)i'* A(.i& .a" K*m*"$"'*m*"$""!a a.a A(.i& La*,a" K$(a"#a"
Pada tingkat laporan keuangan - risiko audit adalah +risiko bahwa auditor mungkin secara tidak sengaja gagal memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah saji secara material. Auditor diharap-kan untuk merencanakan audit sehingga risiko audit dibatasi pada apa yang dipertimbangkan auditor sebagai tingkat rendah. alam menentukan risiko audit pada tingkat laporan keuangan, standar audit (A0 /*1) menyatakan bahwa seorang auditor harus mempertimbangkan karakteristik manajemen, karakteristik operasi dan industri serta karakteristik penugasan.
Ka,a'&$,i)&i' Ma"a$m$"
a. %ebijakan manajemen didominasi hanya satu orang b. $anajemen memiliki perilaku yang sangat agresif terhadap pelaporan keuangan c. Perputaran manajemen tinggi d. $anajemen yang sangat berlebihan dalam menekankan pencapaian proyeksi laba e. $anajemen memiliki reputasi yang buruk dalam komunikasi bisnis
Ka,a'&$,i)&i' O$,a)i .a" I".()&,i
a. Profitabilitas entitas dibandingkan dengan industrinya ternyata tidak memadai atau tidak konsisiten b. Hasil-hasil operasi entitas sensitif terhadap faktor-faktor ekonomi c. 2ntitas berada pada industri yang menurun d. 3rganisasi entitas bersifat desentralisasi tanpa pengawasan akti'itas yang memadai e. 2ntitas diragukan kelangsungan hidupnya
Ka,a'&$,i)&i' P$"(#a)a"
a. 4erdapat banyak perdebatan dan5atau masalah-masalah akuntansi yang sulit b. 4erdapat tansaksi-transaksi dengan pihak-pihak yang memiliki hubungan istimewa dalam jumlah yang signifikan dan tidak biasa c. "ebelumnya terdapat salah saji signifikan yang dideteksi selama audit atau tidak tersedia data mengenai hal tersebut. "A" memberikan contoh faktor-faktor berikut yang harus dipertimbangkan auditor dalam menge'aluasi risiko audit pada tingkat saldo atau kelompok transaksi# a. ampak faktor-faktor risiko yang diidentifikasi pada tingkat laporan keuangan b. $asalah-masalah akuntansi yang rumit dan mengandung perdebatan c. 4ransaksi-transaksi yang sering terjadi atau susah untuk diaudit d. "alah saji signifikan yang mungkin terjadi, berdasarkan informasi yang diperoleh dari audit sebelumnya e. %erentanan akti'a untuk disalahgunakan f. %ompetensi dan pengalaman karyawan yang memproses data mengenai ran'angan dan operasi kebijakan dan prosedur yang layak untuk membenarkan penetapan tersebut.
Ri)i'* Baaa" i"5$,$"
&isiko bawaan adalah kerentanan suatu asersi atas terjadinya salah saji yang material, dengan mengasumsikan bahwa tidak ada kebijakan atau prosedur struktur kontrol internal terkait yang ditetapkan.
Ri)i'* K*"&,*/
&isiko control adalah risiko bahwa salah saji material yang terjadi pada suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh struktur, kebijakan, atau prosedur kontrol internal suatu entitas.
Ri)i'* D$&$')i
&isiko deteksi adalah risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat pada suatu asersi. H(("#a" A"&a, Ri)i'*
"eorang auditor dapat menge'aluasi risiko-risiko ini baik secara kuantitatif maupun kualitatif. "A" memberikan rumus berikut ini # &isiko Audit 6 &isiko !awaan 7 &isiko %ontrol7 risiko deteksi %etika menggunakan rumus ini auditor bisa menilai risiko audit yang direncanakan untuk sebuah asersi, risiko bawannya dan risiko controlnya untuk menentukan risiko penentuan yang direncanakan dengan menentukan risiko deteksi. &isiko eteksi 6 risiko audit5(risiko bawaan 7 risiko control) "eoramg auditor akan memilih prosedur-prosedur audit yang menurutnya akan mengurangi risiko deteksi dibawah risiko penemuan yang direncanakan. S(a&( P$,)$.iaa" Ri)i'*
epartemen auditor internal Allstate mengembangkan suatu persediaan risiko usaha untuk membantu dalam #
$emberikan kerangka kerja untuk mengidentifikasikan risiko-risiko yang paling mengancam perusahaan sehingga risiko-risiko ini harus dipertimbangkan dalam perencanaan
$emfasilitasi pembahasan tentang risiko usaha
$eningkatkan keahlian para staf audit dibidang risiko.
Pengembangan persediaan risiko mencakup proses yang terdiri dari empat tahap *. 8dentifikasi risiko-risiko puncak . $engonsolidasikan dan mengorganisasikan risiko-risiko tersebut9 /. $embuat model persediaan risiko dan daftar risiko :. $engelola persediaan risiko tersebut Persediaan risiko disusun dalam dua bagian dasar. &isiko-risiko ekternal mencakup #
;ingkungan
!encana
Pasar keuangan
Peringkat
&isiko-risiko internal mencakup
"umber daya manusia
8ntegritas
8nformasi dan teknologi
Akuntansi dan pelaporan
%euangan.
P$,&a"!aa"P$,&a"!aa" Da)a, T$"&a"# Ri)i'*
Apakah terdapat temuan-temuan signifikan pada audit-audit sebelumnya <
!agaimana lingkup audit sebelumnya <
%apan audit terakhir dilakukan <
!erapa nilai dolar transaksi-transaksi melalui entitas <
Ri)i'* K$-(,a"#a" Ma"a$m$"
Artike terbaru mengenai risiko yang terkait dengan kecurangan atau penipuan yang dilakukan oleh manajemen membahas model risiko kecurangan yang dapat digunakan oleh auditor internal. Para penulisnya menganjurkan penggunaan prosedur analitis # *. $embuat ekspektasi kauntitatif untuk saldo akun . $embuat risiko in'estigati'e dan saldo materialitas kuantitatif /. $embandingkan saldo akun actual dengan ekspektasi auditor. M$m(a& R$"-a"a P$"$"&(a" R$)i'*
Pembahasan penentuan risiko oleh 3"3 menyatakan bahwa tujuan organisasi, sistem kontrol, dan penentuan risiko tidak dapat dipisahkan satu sama lain. 4idak mungkin untuk menentukan risiko jika seseorang tidak mengetahui bahayanya.begitu risiko telah diidentifikasi, langkah logis selanjutnya adalah membuat sarana untuk mengendalikan risiko tersebut. %ontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi entitas, manajemen dan karyawan lainnya, yang dirancang untuk memberikan keyakinan yang wajar mengenai pencapaian tujuan pada kategori-kategori berikut ini#
2fekti'itas dan efisiensi operasi %eandalan pelaporan keuangan %etaatan terhadap hukum dan regulasi yang berlaku
alam pembahasannya mengenai penentuan risiko, studi 3"3 menyatakan # $eskipun terdapat beragam tujuan, kategori-kategori umum tertentu dapat ditetapkan #
4ujuan 3perasioanl = Hal ini berkaitan dengan efekti'itas dan efisiensi operasi entitas, termasuk kinerja dan tujuan profitabilitas dan pengamanan sumber daya terhadap kerugian. 4ujuan-tujuan tersebut ber'ariasi berdasarkan pilihan manajemen
mengenai struktur dan kinerja. 4ujuan Pelaporan %euangan = Hal ini berkaitan dengan penyajian laporan keuangan yang andal, termasuk pencegahan pelaporan keuangan publik yang mengandung kecurangan. 4ujuan-tujuan tersebut terutama diarahkan oleh persyaratan-persyaratan
eksternal. 4ujuan-tujuan %etaatan = 4ujuan-tujuan ini berkaitan dengan ketaatan terhadap hukum dan peraturan yang berlaku bagi entitas. 4ujuan-tujuan tersebut tergantung pada faktor-faktor eksternal, seperti peraturan lingkungan, dan cenderung serupa untuk semua entitas dalam beberapa kasus dan dalam beberapa industri.
Auditor memulai pemeriksaan dengan mengidentifikasi tujuan operasional, keuangan dan ketaatan untuk operasi tersebut #
0ntuk menerima semua pembayaran secara tepat waktu (operasioanal) 0ntuk memastikan kebenaran dokumen yang akan diberikan ke sistem akuntansi
piutang usaha (keuangan) 0ntuk memastikan bahwa kemampuan untuk menegoisasikan jumlah yang tertera di
cek memang telah disetujui (operasional) 0ntuk mencegah cek dari kemungkinan hilang atau disalahgunakan (operasional) 0ntuk menyetor ke bank secara tepat waktu agar bisa mendapatkan pendapatan
bunga maksimum (operasional) 0ntuk memastikan informasi yang dicatat pada rekening pelanggan akan
menghasilkan catatan kredit yang akurat untuk umur piutang dan sejarah kredit
pelanggan (operasional dan ketaatan) 0ntuk menetapkan akuntabilitas bagi tindakan-tindakan sehubungan dengan penanganan cek untuk menghindari tidak adanya pihak yang bertanggung jawab
ketika terjadi kehilangan atau kecurangan (operasional dan ketaatan) 0ntuk menyediakan metode pengelolaan dan persetujuan hal-hal yang tidak sesuai
prosedur (operasional dan keuangan) 0ntuk memberikan pengukuran kinerja bagi unit dan karyawan di dalamnya untuk memberikan penghargaan bagi kinerja dengan kualitas yang tinggi dan untuk memperbaiki kinerja yang memiliki kualitas yang rendah dan tidak dapat diterima (operasional dan ketaatan).
4ujuan # 0ntuk melindungi cek dari kemungkinan hilang atau disala hgunakan.
&isiko-risiko #
ek bisa hilang, begitu pula surat-surat umum, dalam perjalanan dari kantor pos ke
ruang penerimaan surat. Amplop-amplop berisi pembayaran sangat rawan ketika diidentifikasi dan disortir di
ruangan penyortiran sebelum diberikan ke unit pemrosesan. ek-cek memiliki risiko pada saat berada di area pemrosesan sampai setoran bank
disiapkan. Hal-hal pengecualian bisa salah tempat, hilang, atau salah kelola selama pemrosesan 0ang yang akan disetor bisa jadi hilang atau dicuri selama perjalanan dari area pemrosesan ke bank. "eorang karyawan bisa dirampok selama perjalanan ke bank pada saat menyetorkan.
4ujuan # 0ntuk menyetorkan ke bank secara tepat waktu agar mendapatkan bunga. &isiko-risiko #
"urat-surat bisa jadi tidak diterima tepat waktu dari kantor pos. Pembayaran mungkin tidak dipisahkan diruang penyortiran dan diberikan ke unit
pemrosesan secara tepat waktu. Pembayaran harus diproses sebelum setoran disiapkan, atau setoran tidak disetorkan
ke bank sebelum batas waktu jam siang. Hal-hal pengecualian bisa jadi membuat penyetoran ditunda sampai hari (-hari) berikutnya. %egagalan peralatan dapat memperlambat pemrosesan.
Ma"a$m$" Ri)i'*
Auditor membantu manajemen untuk mengambil risiko-risiko yang menguntungkan dan berhati-hati dengan cara yang layak dan efisien. Auditor menge'aluasi langkah-langkah yang ditempuh manajemen untuk mencapai manfaat terbesar dari organisasi. Akan tetapi, di samping penentuan risiko dan bantuan kepada manajemen dalam mengubah risiko menjadi elemen pendapatan institusional, auditor harus memperluas bidang audit agar bisa mencakup kontrol risiko, pendanaan risiko, dan administrasi risiko. >adi # %ontrol risiko #
$endukung suatu program kontrol risiko dan kerugian secara proaktif. $emberikan insentif maksimum untuk peran serta dalam program kontrol risiko $emonitor efekti'itas akti'itas kontrol risiko.
Pendanaan risiko #
$empertimbangkan semua sumber keuangan yang tersedia $empertahankan proteksi terhadap kerusakan yang mungkin timbul $engalokasikan biaya pendanaan risiko diantara unit-unit operasi secara wajar.
Administrasi risiko #
$enciptakan dan mempertahankan komitmen manajemen terhadap manajemen risiko $enerapkan struktur manajemen risiko yang terdefinisi dengan baik. $engembangkan tujuan tahunan yang ditergetkan dengan jelas. $enjaga komunikasi yang baik dengan semua tingkat manajemen yang terpengaruh.
T((a"&((a" P,*)$) M"a$m$" Ri)i'*
alam
menge'aluasi
proses
manajemen
risiko,
auditor
internal
harus
memformulasikan suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian lima tujuan kunci yang tercantum pada +Practice Ad'isory **-*, +Penilaian %ecukupan Proses $anajemen &isiko. 4ujuan-tujuan ini adalah #
&isiko yang muncul dari strategi dan akti'itas usaha diidentifikasi dan diprioritaskan. $anajemen dan dewan komisaris telah menentukan tingkat risiko yang dapat diterima oleh organisasi, termasuk penerimaan risiko yang dirancang untuk mencapai
rencana strategis organisasi. Akti'itas penghindaran risiko dirancang dan diimplementasikan uantuk mengurangi, atau justru mengelola risiko pada tingkat yang ditentukan dapat diterima oleh
manajemen dan dewan komisaris. Akti'itas-akti'itas pengawasan yang berkelanjutan dilaksanankan untuk secara
periodik menilai ulang risiko dan efekti'itas kontrol untuk mengelola risiko. ewan komisaris dan manajemen menrima laporan periodik mengenai hasil periodik manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik tentang risiko, strategi risiko, dan kontrol untuk pihak-pihak yang berkepentingan.
M$&*.$m$&*.$ A"a/i&i)
8dentifikasi dan penggunaan risiko untuk mengembangkan sebuah struktur kontrol yang optimal menerapkan suatu metode analitis atau kombinasi dari beberapa metode. $etode-metode ini adalah #
Pembuatan bagan alir %uesioner kontrol internal Analisis matriks $etodologi ilustratif 3"3 $etode ourtney
P$m(a&a" Ba#a" A/i,
Pembuatan bagan alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol operasi. !agan alir adalah penyajian graf ik dua dimensi dari sebuah operasi dalam hal aliran akti'itas
melalui proses. !agan tersebut memungkinkan untuk melihat operasi,
mengidentifikasi ketidakefisienan, langkah-langkah yang terabaikan, dan kelemahankelemahan kontrol. K($)i*"$, K*"&,*/ I"&$,"a/
%uesioner merupakan sebuah sarana untuk mendapatkan informasi tentang fungsi yang akan disur'ei dan segera diaudit. 4erdapat kuesioner jenis lain yang biasa digunakan oleh auditor yang dikenal sebagai kuesioner kontrol internal (internal control ?uestionnaire8@) 8@ digunakan untuk e'aluasi berkelanjutan atas kontrol yang ada dan dapat digunakan dalam analisis risiko. 8@ merupakan uji ketaatan yang dimaksudkan untuk memastikan bahwa kontrol masih diterapkan dan bahwa risiko dapat die'aluasi. A"a/i)i) Ma&,i')
"uatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan risiko guna memastikan bahwa setiap risiko memiliki kontrol yang layak. $atriks kontrol juga mengakui bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari suatu risiko. K*"&,*/ P,$6$"&i% .a" D$&$'&i%
%ontrol pre'entif mencegah terjadinya kejadian yang tidak diinginkan. %ontrol detektif mendeteksinya sehingga tindakan korektif bisa dilakukan. "uatu kontrol pre'entif lebih disukai daripada kontroldetektif karena kontrol pre'entif lebih efisien dan kecil kemungkinan untuk bisa dikompromikan, atau diabaikan. M$&*.*/*#i I/()&,a&i% COSO
"tudi 3"3 mencakup satu 'olume berjudul +2'aluation 4ools. alam pendahuluan 'olume ini terdapat penrnyataan ini # Perangkat-perangkat ini disajikan hanya untuk kepentingan ilustrasi. Perangkat tersebut bukan merupakan bagian yang integral darikerangka kerja, dan penyajiannya disni tidaklah untuk menyarankan semua hal yang perlu dipertimbangkan dalam menge'aluasi suatu sistem kontrol internal, atau bahwa semua masalah harus disajikan dalam rangka untuk menyimpulkan bahwa suatu sistem adalah efektif. emikianpula, tidak terdapat saran bahwa perangkat-perangkat tersebut merupakan metode yang lebih disukai untuk dilakukan dan mendokumentasikan sebuah e'aluasi. "elanjutnya studi tersebut menyatakan # %ontrol internal memiliki lima komponen yang saling berkaitan, yaitu # *. . /. :. .
;ingkungan kontrol Penentuan risiko Akti'itas-akti'itas kontrol 8nformasi dan komunikasi Pengawasan
M$&*.$ C*(,&"$!
"uatu teknik penilaian yang menarik dan sederhana sehubungan dengan biaya kontrol dikembangkan oleh &obert ourtney saat ia bergabung dalam e'isi "istem %omunikasi 8!$. 4eknik tersebut melibatkan perhitungan yang menempatkan nilai uang (dolar, rupiah) ke risiko-risiko potensial, dan estimasi terbuat dari frekuensi yang bersama dengan risiko bisa menciptakan kesulitan. M$&*.$ Lai" P$m$,ia" Ni/ai
$etode pemberian nilai yang lain dan lebih sederhana hanya memasukkan estimasi kerugian, bukan risiko keterjadian. Hal ini disebut nilai yang diharapkan. Si)&$m E6a/(a)i Ri)i'*
0ntuk mengurangi risiko dan meningkatkan efisiensi, beberapa organisasi telah mengembangkan sistem e'aluasi risiko berdasarkan jawaban-jawaban atas pertanyaan pertanyaan yang dapat mereka simpulkan merupakan risiko penentu yang signifikan.
P$"&i"#"!a P$"#("'aa" Ri)i'*
Penulis menganalisis BA"! dan Ac"2 "3P C:-1 dalam memberikan deskripsi yang menarik bagi auditor internal. &isiko organisasional harus dibagi menjadi #
&isiko operasi &isiko estimasi &isiko konsentrasi
K$(&(5a" a'a" B$$,aa P$,a"#'a&
4idak ada suatu perangkat yang sempurna umtuk melaksanakan penentuan risiko atau mengukur efekti'itas kontrol.
"A" memberi auditor alat untuk menge'aluasi sifat risiko dan kontrol dalam suatu
entitas. Pembuatan bagan alir paling bernilai selama sur'ei pendahuluan jika auditor mendapatkan pemahaman akan proses yang ada. $emiliki gambaran tentang kontrol
dan penerapannya merupakan hal penting untuk pembuatan penentuan risiko. Alat e'aluasi 3"3 dapat bernilai untuk menilai risiko dalam struktur kontrol dan
menilai risiko dalam operasi. Analisis matriks merupakan alat berharga untuk langkah selanjutnya dalam penilaian. Analisis tersebut membadingkan risiko khusus dengan kontrol dan mengukur kedalaman cakupan kontrol.