Audit Berbasis Risiko, Antisipasi Risiko Sejak Dini (1) Jumat, 23 Juli 2010 13:30 WIB Oleh: Rinella Putri (managementfile

± Risk) ± Manajemen risiko merupakan aktivitas yang perlu dilakukan oleh tiap organisasi, dalam rangka meminimalisir risiko-risiko yang dapat mengakibatkan dampak buruk di masa depan. Penting bagi organisasi untuk memastikan bahwa manajemen risiko berjalan dengan efektif, salah satunya adalah dengan melakukan risk based internal audit (RBIA) atau audit berbasis risiko. Evolusi Internal Audit Internal audit telah mengalami evolusi yang pesat hingga saat ini. Hal ini dipicu oleh berbagai event risiko baik kecil maupun besar yang terjadi secara global, mulai dari kasus Enron dan Worldcom, hingga yang terbaru yakni krisis keuangan global, yang semakin memperkuat pentingnya fungsi internal audit. Risiko yang bervariasi, dan juga semakin kompleks seiring berkembangnya sistem keuangan saat ini, menjadikan peran internal audit yang kuat semakin diperlukan. Sehingga, ini memicu internal audit untuk terus mengalami evolusi hingga saat ini. Jika awalnya internal audit hanya berfokus dalam mengidentifikasi pelanggaran semata serta menekankan compliance terhadap regulasi, hingga kemudian punya pemahaman yang menyeluruh mengenai risiko, kini sudah sampai berkembang risk-based audit atau audit berbasis risiko. Berikut ini adalah evolusi yang terjadi pada internal audit. Pendekatan audit awalnya dulu hanya berupa shotgun approach, yakni merupakan pendekatan audit tradisional post the facts, dimana audit hanya bertujuan untuk mengungkap temuan, mencari-cari dan mengidentifikasi kesalahan maupun pelanggaran baik dalam aktivitas, kebijakan maupun laporan perusahaan. Selanjutnya berkembang menjadi compliance-based approach, yakni merupakan pendekatan audit dimana dilakukan pengecekan terhadap keselarasan antara kebijakan dan prosedur yang dilakukan dengan ketetapan regulasi. Hanya saja, kekurangannya adalah jika terdapat aktivitas yang tidak comply padahal sebenarnya itu merupakan inovasi, sementara aturan yang ditetapkan sudah out of date. Jika auditor tidak bisa memahami perspektif yang diaudit, maka pendekatan ini bisa jadi kontraproduktif karena membatasi kreativitas. Kemudian ada lagi control-based approach, yang mirip dengan compliance-based approach, namun bedanya disini auditor menggunakan kontrol internal yang merupakan best practice. Tim auditor punya checklist dan framework tersendiri mengenai aktivitas mana saja yang perlu dikontrol. Kelemahan dari pendekatan ini adalah seringkali terlalu menekankan kontrol, sehingga seringkali melupakan pertimbangan faktor praktis maupun cost-benefit dalam implementasi kontrol tersebut. Kini, trend nternal audit yang berkembang saat ini sudah mengarah kepada risk-based audit, dimana auditor pertama-tama harus memahami dulu bagaimana visi, misi, tujuan, target, dan strategi dari perusahaan, baru kemudian mengidentifikasi dan menganalisa risiko yang berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah kontrol sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko.

Untuk melakukan risk-based audit ini. finansial. seharusnya kemudian dapat dievaluasi mengenai bagaimana pemahaman organisasi mengenai risiko dan cara mengelolanya.Pertama-tama. maka dengan risk-based audit kini bisa melakukan anticipation before the facts. perusahaan bukan hanya sekadar punya pemahaman yang menyeluruh mengenai risiko. untuk bisa mengukur risk maturity organisasi Anda harus bertemu dengan para manajer senior dan dewan direksi. Dari sini. Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis. untuk mengetahui proses-proses apa saja yang telah dilakukan dalam rangka meningkatkan risk maturity selama ini. antisipasi sebelum kesalahan benar-benar terjadi. (vibizmanagement ± Risk). Jika dulunya internal audit sekedar post the facts atau mengungkap fakta atau temuan kesalahan.Pada metodologi risk-based audit. mengukur risk maturity dari organisasi. antara lain adalah sebagai berikut: ‡ menjadi sistem check and balance terhadap kontrol organisasi ‡ meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan ‡ meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko ‡ meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya ‡ mengungkap temuan mengenai kelemahan yang dimiliki manajemen (bersambung) RP/RP/berbagai sumber Audit Berbasis Risiko. 25 Juli 2010 22:00 WIB Oleh: Rinella Putri Implementasi Implementasi RBIA terdiri dari 3 tahap. Kumpulkan berbagai informasi yang terkait dengan risiko. sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan area mana yang kontrolnya harus diperbaiki. seperti tujuan organisasi. operasional. fungsi risiko dari suatu organisasi harus bekerjasama dengan fungsi internal audit supaya risiko bisa terus menerus dimonitor dan dikelola secara proaktif sebelum benarbenar terjadi dan membahayakan pencapaian tujuan organisasi. antara lain: Tahap pertama. workshop. risiko-risiko yang tinggi diaudit. regulasi dan lainnya yang dihadapi oleh organisasi. Antisipasi Risiko Sejak Dini (2) Minggu. Contoh prosesnya antara lain training. Definisi Audit berbasis risiko merupakan metodologi yang memastikan bahwa manajemen risiko sudah dilakukan sesuai dengan risk appetite yang dimiliki organisasi. proses . Manfaat RBIA Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi. Dalam RBIA. kuesioner maupun interview dengan risk manager. melainkan juga mengontrol pengelolaannya dan memastikan bahwa kontrol berjalan secara efektif.

oleh karena itu tahap pertama dalam RBIA adalah menentukan level risk maturity dari organisasi. Pertama-tama. dan melaporkan jika sebaliknya. risk appetite yang dianut perusahaan. juga ambil kesimpulan mengenai level risk maturity yang sekarang berlaku di organisasi. Tanpa identifikasi risiko (risk register) yang memadai. yang bisa dibagi antara lain berdasarkan tujuan. yang sebelumnya telah didefinisikan. maupun jenis. Dalam rencana audit tersebut juga disertakan informasi mengenai alokasi sumber daya audit. bakalan tergantung pada level risk maturity dari organisasi. maka dilakukan pendekatan assurance saja untuk memastikan bahwa risiko dikelola dengan baik. Jika sudah selesai. Risk defined. Sebelum mengimplementasikan RBIA. Audit dilakukan terhadap pengukuran risk maturity organisasi. Kemudian buat rencana audit tahunan. pengelolaan dan pengawasan risiko. berdasarkan control score dari risiko. pemilik risiko. hingga risk enabled merupakan level dimana pengelolaan risiko sudah cukup memadai. proses. level risk maturity organisasi minimal harus risk defined. risk managed. tetapkan jenis-jenis audit yang bakal dilakukan bagi risiko-risiko tersebut (audit universe). Ketiga. Lakukan perbandingan antara level tersebut dengan yang dilaporkan oleh manajemen. Apakah sudah risk enabled. Kedua. maka diperlukan pendekatan konsultasi untuk membantu manajemen dalam melakukan identifikasi. Selanjutnya. unit bisnis. jumlah karyawan yang diperlukan. risk defined. melakukan audit individual untuk menjamin bahwa manajemen risiko sudah berjalan dengan baik. yakni membuat rencana audit. Jika control score tinggi. mengumpulkan daftar risiko dan audit. Pendekatan dilakukan berdasarkan level risk maturity dari organisasi. lakukan filter terhadap risiko mana saja yang tidak memerlukan atau memungkinkan audit. maka tidak mungkin audit bisa dijalankan. dan detail lainnya. dari daftar risiko tersebut. risk managed. serta membuat rencana audit. lakukan risk register. atau identifikasi dan pendaftaran risiko bagi risiko-risiko yang berada di luar risk appetite. maka rencana audit bisa dipublikasikan. Selanjutnya. Risiko-risiko yang belum difilter inilah yang kemudian akan masuk dalam rencana audit. dan lainnya. Framework dari pendekatan manajemen risiko yang digunakan bakal menentukan pendekatan audit. bagaimana manajemen mempertimbangkan risiko. . jadi mereka yang di level risk naïve atau risk aware harus terlebih dulu memperbaiki level risk maturity-nya. sementara risk aware dan risk naïve belum.dalam mengukur risiko. Langkah selanjutnya. Sementara itu. pengukuran. seperti durasi audit. Tujuan dari dilakukannya audit individual adalah untuk memastikan bahwa risiko benar-benar dikelola dengan baik. Selanjutnya lakukan pengelompokan terhadap risiko. atau baru risk aware bahkan risk naïve. jika control risk rendah.

audit berbasis risiko mungkin bisa dilakukan. yakni opini mengenai apakah risiko dalam batasan yang ditentukan. Dengan melakukan audit berbasis risiko. dan sudah dikelola dengan memadai. Jika setiap perusahaan melakukan audit berbasis risiko ini. maka organisasi dapat memastikan bahwa kontrol internal yang dilakukannya berjalan dengan baik. tentunya kita harapkan krisis finansial tidak akan terulang kembali di kemudian hari. Ambil kesimpulan mengenai hasil audit berbasis risiko tersebut. maka diperlukan suatu audit yang mendetail supaya tidak ada risiko yang terlewatkan ataupun kontrol yang kurang memadai Jika level risk maturity merupakan risk defined. sehingga tujuan organisasi bisa tercapai. Pengelolaan risiko yang terjamin menjadikan organisasi menghindari risiko yang berlebihan. RP/RP/vbm . namun manajemen butuh training dan workshop terlebih dulu untuk bisa melakukan identifikasi risiko. Jika ada temuan baru. maka diskusikan dengan manajer untuk meng-update daftar risiko dan audit (risk & audit universe). Setelah audit dilakukan.Jika level risk maturity merupakan risk managed atau risk enabled. untuk memastikan bahwa tujuan organisasi dapat dicapai dengan baik. maka diperlukan audit yang memverifikasi bahwa proses manajemen risiko berjalan dengan efektif. kemudian diskusikan temuan-temuan yang diperoleh serta buat laporan audit. serta audit mendetail yang memastikan bahwa seluruh risiko telah teridentifikasi dan telah dilakukan pengujian terhadap kontrol Jika level risk maturity merupakan risk naïve atau risk aware.

Sign up to vote on this title
UsefulNot useful