AUDIT INTERNAL BERBASIS RISIKO Profitability, growth, and safeguards against existential risks are crucial to strengthening a company’s long- term prospects. But if these three factors constitute a company’s ‘hard power,’ firms also need ‘soft power’: public trust and acceptance, won by fulfilling a company's social responsibility. Klaus Martin Schwab Founder & Chairman of World Economic Forum Dipindai dengan CamScannerEa AUDIT INTERNAL BERBASI: RISIKO. Pengantar Dalam masa ini, semua audit internal adalah audit ae atau risk-based internal audit (disingkat "RBIA’ Ds ae Ri (IIA) tidak menggunakan “risk-based internal aut i u MIA yang dimaksud ialah: = u mee Disebut atau tidak, audit internal masa kini, senantiasa berbasis ristko, Bahkan, buku IIA tersebut tidak membahas audit internal berbasis ose Pa khusus an, ; s dalam salah satu dari 18 babnya. Buku itu membangun konsep-konsep AIBR dalam setiap babnya. Dalam buku ini, internal di Bab 1. Bab ini diambil Internal Auditors. * Dekat judul bab ini ada kutipan d: penting untuk bisnis pada umumnya, 1 berbasis risiko (disingkat“AIppe) in the Institute of Internal Auditor, dul buku. Judul buku terbitay ices (Fourth Edition) i | secara umum tentang audit IBR dibahas sesudah Pembaca mengenal seca g i | dari terbitan IIA perwakilan Inggris, Chartered Institute oy lari Klaus M. Schwab. Kutipan ini terdiri atas dua pesan dan audit internal khususnya: a) Tingkat keuntungan, pertumbuhan, dan perlindungan terhadap risiko yang ada, sangat penting untuk: memperkuat | prospek jangka panjang suatu perusahaan; b) Ketiga faktor tadi merupakan “hard power; Namun, perusahaan juga membutuhkan “soft power’, yakni kepercayaan dan penerimaan oleh publik, yang diperoleh lewat CSR (company’s social responsibility). Latar Belakang Selama beberapa tahun terakhir, kebutuhan untuk mengelola risiko diakui sebagai bagian | yang sangat penting dari praktik tata kelola korporasi yang baik (good corporate governance practice). Ini mendorong banyak organisasi merasa perlu untuk mengidentifikasi semua risiko bisnis yang dihadapinya dan menjelaskan kepada para pemangku kepentingannya (stakeholder) bagaimana risiko-risiko tadi ditangani atau dikelolanya. Dalam kenyataannya, kegiatan-kegiatan berkenaan dengan pengelolaan risiko diakui | memainkan peran penting dalam mengadakan sistem pengendalian internal yang memadai (maintaining a sound system of internal control). Tanggung jawab untuk menentukan (identifying) dan mengelola (managing) risikoadadi | tangan manajemen. Dan, salah satu peran kunci audit internal adalah memberikan assuran¢® | bahwa risiko-risiko tadi dikelola dengan benar. [Catatan: a) Istilah assurance berarti keyakinan. Dalam sudah masuk kosa-kata bahasa Indonesia; b) Perhatikan menjadi tanggung jawab manajemen dan apa yang menja audit internal; ¢) Butir b) merupakan kunci jawaban atas sal: Kemenag di Lampiran 1 Bab 1.] Kegiatan audit internal yang profesional da tata kelola, dengan memosisikan tugasnya dala ‘management framework) dari organisasinya. konteks auditing, istilah asura's Penegasan mengenai apa ya" di tanggung jawab manajeme" lah satu pertanyaan dalam kas’ pat mencapai misinya sebagai penentua"™ m konteks kerangka pengelotaan risiko (" Dipindai dengan CamScannerBADE AULIE EER Definisi AIBR 7 ssatton’t definisikan RBIA sebagai a methodology that links internal auditing to an organisatio. amen Il risk management framework. (Terjemahan bebas: AIBR adalah metodologi yang oveitkan kegiatan audit internal dengan kerangka pengelolaan risiko secara menyeluruh ment dari organisasi tersebut.] ‘AIBR memungkinkan audit internal memberikan asurans kepada board (Dewan) bahwa proses manajemen risiko telah berjalan secara efektif sehubungan dengan risk appetite. [Catatan: a) Dalam banyak publikasi yang digunakan sebagai acuan buku ini, digunakan istilah the board yang kami terjemahkan sebagai Dewan. Dalam AIBR, Dewan yang dimaksud adalah oversight board atau lembaga tertinggi dalam organisasi yang bertanggung. jawab — pengawasan secara menyeluruh, Di dalam sistem dua dewan atau two-board system seperti Indonesia, board yang dimaksud adalah Dewan Komisaris atau Dekom, dan bukan Direksi; b) Lihat penjelasan tentang risk appetite di Bab 6.] Apakah organisasi siap melaksanakan AIBR? Setiap organisasi berbeda satu sama lain, masing-masing mempunyai sikap yang berbeda dalam menanggapi risiko, struktur berbeda, proses berbeda, bahkan istilah-istilah yang berbeda. Para auditor internal yang berpengalaman harus memahami dan menyesuaikan diri dengan dengan struktur, proses dan bahasa organisasi mereka, ketika menerapkan AIBR. Pada setiap tahapnya, AIBR berupaya memperkuat tanggung jawab Direksi, Dewan Komisaris, dan manajemen untuk mengelola risiko. Jika kerangka manajemen risiko tidak kuat atau tidak berfungsi, organisasi itu belum siap untuk AIBR. Dan yang lebih penting lagi, itu berarti bahwa sistem pengendalian internal masih lemah. Dalam organisasi semacam itu, para auditor internal seyogianya mendorong memajukan praktik-praktik manajemen risiko untuk memperbaiki dan memperkuat sistem pengendalian internal. Ketika AIBR merupakan barang baru dalam suatu organisasi, pimpinan audit internal harus bekerja keras memasarkan gagasan AIBR itu kepada manajemen dan memperoleh dukungan mereka sepenuhnya. Khususnya, karena bagi manajemen itu mungkin berarti perubahan dalam cara mereka berpikir mengenai risiko. AIBR - Perkembangan yang Dinamis AIBR berada di ujung tombak praktik audit internal. Inilah bidang yang berkembang dengan pesat. Namun, masih belum banyak kesepakatan tentang cara terbaik menerapkannya. Lebih sukar menerapkan AIBR dibandingkan dengan cara-cara yang lazim dikenal atau metodologi tradisional. Proses pemantauan AIBR terhadap rencana tahunan (yang terus-menerus berubah) merupakan suatu tantangan tersendiri. Menetapkan target-target dan melakukan penilaian ‘ethadap karyawan menjadi lebih rumit. Tetapi keuntungan dan keunggulan AIBR jauh lebih besar metodologi tradisional., Dipindai dengan CamScannersi AUDIT INTERNAL BERBASIS RISIKO [BR tungan dan Keunggulan Al oes internal diharapkan dapat menyimpulkan bahwa: Dengan melaksanakan AIBR, audit roa omessed) can menaneeeP (FSPondep 1. Manajemen telah meneidene i isiko-risiko di di bawah risk appetite. / vencemanertdeprii dah efektiftetapi tidak berlebihan, dalam mengelola risika 2. Tanggapan terhadap risiko su sag risk appetite. (Ingat Tinsip cos, yang melekat (inherent risks) dalam ambang se cbandingkan manta yr, benefit, biaya yang dikeluarkan untuk menangani diperoleh.] / / 3. Dalam hal risiko yang masih ada atau risiko residual (residual} risks) oe dengan " risk appetite, ada tindakan yang diambil untuk memperbaiki situasi tersel nut 4, Proses manajemen risiko, termasuk efektifnya tanggapan dan tuntasnya tindak lanjut, dipantau oleh manajemen untuk memastikan proses tersebut berjalan secara efektif, 5. Risiko, tanggapan dan tindak lanjutnya dikelompokkan dan dilaporkan dengan tepat, Dengan demikian, audit internal dapat memberikan keyakinan kepada Direksi dan Dewan Komisaris mengenai tiga hal sebagai berikut. . Proses manajemen risiko, baik desain atau rancangannya maupun implementasi dari rancangan tersebut. XN Pengelolaan risiko-risiko yang dianggap "kunci, termasuk efektifnya pengendalian dan tanggapan lain terhadap pengendalian tersebut. Pelaporan dan pengelompokan risiko secara lengkap, akurat, dan tepat. ~ Implementasi AIBR Implementasi dan kegiatan AIBR berlangsung dalam tiga tahap: Dapatkan gambaran menyeluruh tenta agaimana Det nentukal ing bi j a a ig bagai Dewan dan manajemen me w ptiilaec ‘ihe risiko. Gambaran ini akan memberikan petunjuk apakah ‘sk register) dapat dipercaya untuk tujuan perencanaan audit. Secara berkala, umumnya setahun sekali, te ii oe rentukan penu, m an asan a i n oie memberi prioritas kepada hal-hat di mea poenare a y lasuk asurai ina Dewan mbut kunci (key risks), d ns atas proses-proses Manajemen risik a isiko ey risks), dan Pencatatan dan Pelaporan risik po penselolnan risikai 0, Dipindai dengan CamScannerBAN 2 AUDITINTTRMAL BERHASIS HISD guhap 3:Melaksanakan tugas audit aksanakan tugas-tugas audit yang sudah direncanakan dal jpuransdalam kerangka manajemen ristko, fertentw atau sekelompok ristko, Jam tahap 2, untuk membertkan termasuk pencegahan atau mitigast suatu risike ketiga tahap pelaksanaan AIBR disajikan bagan Penjelasan Gambar 2.1 ketiga tahap pelaksanaan menghasilkan output tertentu, Dalam Tahap 1 (Assess Risk Maturity) output nyaadalah dokumen yang menggambarkan dan menjelaskan strat menyeluruh (Overall Audit Strategy) yang,tentunya herbasis risike y, arus pada Gambar 2.1 yiaudit internal secara ang, dihadapi perusahaan. Dalam Tahap 2 (Periodic Audit Planning) output-nya adalah dokumen bi erisi rencan (audit plan). Dalam Tahap 3 (Individual Audit Assignment) audit internal melaksanakan ti secara individual sesuai dengan rencana dalam . Output dari penugasan audit m. masing adalah dokumen hasil audit yang berisi temuan dan saran-saran. Gambar 2.1. Tiga Tahap Pelaksanaan AIBR Vom of mt ete > Sante shane proto — vemved mat tages | en ry « Cron) Dipindai dengan CamScannerAUDIT INTERNAL BERBASIS RISIKO- er jk memberika, ' engantar untul n lam bab ini hanya Te bab tentang perencanaan konsulting, makna audit interna Penutup Penjelasan singkat tentang AIBR da gambaran menyeluruh, Dalam bab-bab m pelaksanaan, dan komunikasi penugasal berbasis risiko akan lebih jelas terlihat. spcuibat konsep dan 3th yg i ngkumi . i nh Gambar 2.2, menyajikan AIBR nan Sead disebutkan di atas—audit universe, lalam bab-! digunakan, yang akan kita pelajari d me risk dendfication, riskassessment,riskevaluation dalam ERM (enterp , dan heat map. jengenai GRC, n asurans dan Gambar 2.2 Pendekatan AIBR - Suatu Contoh Risk Based Auditing: Approach | Identification of Audit Universe 2. Breaking Audit universe Into auditable units. 3. Risk Identification 4, Risk Assessment & evaluation 5. Risk Scoring/ Heat Risk Map dentition | 6. RBIA Plan 7. \ 7 (ss Tugas & Pertanyaan 1. Lihat buku teks Auditin ig, yang membah; i dengan ISA (Internatitional Standaras a in leh autor en atau audit berbasis risiko ( luditing), Lih; ‘ABR) dalam Is; } Lihat pembahasan risk-based audi 2. Apa petbedaan konsep da na in Penerapan ABI R dalam audit eksternal dan audit internal? a es Catatan Akhir Catatan Akhir 1. Chartered Institute of Internal Uuditors, isk-based Internal Auditi fh Auditors, pj 1 Aud 1 Auditors, Rj. a luditing, 8 Oktob , Dipindai dengan CamScannerAneka Ragam Risiko Bisnis Pengantar sebagian dari judul buku ini adalah Audit Internal Berbasis Risiko, terjemahan dari Risk- posed Internal Audit atau Risk-Based Internal Auditing. Audit Internal dibahas dalam Bab 1, dan Audit Internal Berbasis Risiko, di Bab 2. Risiko merupakan pokok bahasan yang sangat luas. Karena itu berbagai aspek risiko tidak dibahas pada Bab 2, melainkan dalam Lampiran 1 bab ini. Risiko ada pada segala upaya manusia, baik upaya yang terorganisasi maupun tidak terorganisasi. Pembahasan di sini dibatasi pada risiko bisnis (business risks atau enterprise risks) Pentingnya risiko tidak dapat dipungkiri, seperti tersirat dalam kutipan dari co-founder dan CEO Facebook (Mark Zuckerberg): “The biggest risk is not taking any risk... Ina world that changing really quickly, the only strategy that is guaranteed to fail is not taking risks.” Pembahasan dimulai dengan definisi tentang risiko. Kemudian kita akan melihat contoh- contoh risiko bisnis. Dari lampiran ini akan terlihat, para penulis dan pengamat berbeda dalam menyajikan contoh jenis risiko bisnis. Hal ini justru akan membantu kita berpikir tentang apa saja jenis risiko bisnis dan bagaimana mengantisipasi risiko yang “belum ada” pada saat ini, atau mungkin belum menjadi masalah, namun bisa menjadi masalah serius di kemudian hari. Beraneka ragamnya jenis risiko bisnis, memberikan pemahaman tentang: + hubungan antara risiko dengan industri atau jenis bisnis (perbankan, perkebunan, dan seterusnya) atau jenis produk (rokok, obat-obatan, makanan dan seterusnya); + hubungan antara risiko dengan tempat (konsumen dan/atau pemasok) di dalam atau di luar negeri (dengan budaya, kebiasaan, dan sistem hukum yang berbeda); + keterkaitan antara risiko dengan tujuan perusahaan yang ditetapkan pemiliknya dan ekspektasi pemangku kepentingan; dan lain-lain, Apa itu Risiko? The Economic Times menulis: Risk implies future uncertainty about deviation from expected earnings or expected outcome. Risk measures the uncertainty that an investor is willing to take ‘0 realize a gain from an investment. 37 Dipindai dengan CamScannersts RISIKO sn BE cornivrer yang datang tentang b kan ketidakP: stian di waktu yan akan dat: a i ian ¢ rata Risiko merupakan ukuran seberapa besar pay canakan. RIS! ( investasinya, Risiko meny' ae yang direncanaka eh keuntungan dari invest ya penghasilan atau's a ban untuk memper berapa hal: a) Adanya Ketidakpasy ine eae = kita dapat menyipul a Sesuatu itu bisa berupakey isi terse! il larirenc Dari definisi ters samenyimpang bit i ih suatu “peluang” nengesmas depart) Se unsur nega” dalam upaya meral ‘peluang” mgs : i iharapkan, atau hal lain; C) bawa berita-berita ekonomi. Oleh kare, Fane ei jines adalah harian yang memba The Economic Times isi i atau risiko bisnis, i atas langsung berbicara tentang risiko on atat itu, definisinya ot Economic Times menjelaskan: Risks are of different types and origin ‘aepot nations. We have liquidity risk, sovereign risk, insurance risk, business rig {from differen ; default risk, etc ‘Terjemahan bebas: ioe ‘Ada bermacam-macam jenis risiko dan risiko bisa berasal dari situasi-situasi yang berbeds ‘Ada risio likuditas, ristko yang berkenaan dengan kedaulatan suatu negara, risiko asurang risiko bisnis, risiko kebangkrutan, dan lain-lain, Definisi tentang risiko dari The Economic Times disertai dengan beberapa conte: menunjukkan ada banyak jenis risiko dan setiap jenis risiko terdiri atas beberapa risilo Jainnya. Ini dijelaskan di bawah, Jenis-Jenis Risiko Bisnis i Ketika berselancar di Google, kita akan mendapat beberapa jawaban, mulai tiga, empat, lim bahkan 20 jenis risiko, Mana yang kita pilih? Bagaimana proses Penentuannya? Salah ed ‘Satu pendekatan ‘yang umumnya dil, ii Pendapat dengan manajemey tu merle a dengan N senior, ats iskusi dan tukar menuk* isi val risiko perusahaan, Diskus\ ini au mereka yang melaksan: i ‘akan fungsi pengelola2* kategor risiko dan jenis risike peony dengan generic risk model yang menggambar jenis risiko dari 1A, BXin dihadapi organisasi, seperti dalam versienf” Salah satu versi generic ‘i i rn an tjenaie aie ae gan dary bentuk gambar yang diberi nama sebagai berikut o-Gambar 2.1.1 menunjukkan 10 run 1) Strategic/franchise risk 2) Legal/compliance risk 3) Financia reporting risk 4) Stofing organization risk 5) Credit risk Dipindai dengan CamScannerBAB 2 AUDITINTERNAL BERBASIS RiSiKO —_—_—aa 6) Insurance risk 7) sovereign /r0ss border risk 8) Market risk 4) operational risk 10) system/technology risk Gambar2.1.1. Risk Families—10 Rumpun Risiko eae Peed cis os Pint) Staffing) organization cis feet Insurance in Berikut ini akan disajikan tiga versi model risiko, yakni empat, lima dan 20 jenis risiko. Empat Jenis Risiko Bisnis ' Ini adalah versi IIA yang terdiri atas Strategic Risk, Compliance Risk, Reporting Risk, dan Operations Risk. Strategic Risk, Compliance Risk, dan Reporting Risk dibagi ke dalam risiko akibat putusan internal perusahaan dan risiko akibat faktor eksternal. Sedangkan Operations Risk dikelompokkan lebih lanjut ke dalam risiko yang berhubungan dengan proses, manusia, dan masalah keuangan. Strategic Risk (SSE eceral ERT rar] Change in laws and regulations Reputation Competition Strategic focus Change in market dynamics Customer satisfaction Industry Governance Technology Dipindai dengan CamScanner| AUDIT INTERNAL BERBASIS RISIKO Compliance Risk Accounting and financial reporting Budgeting Ethics Contractual a Regulatory ‘Fraud and ilegal acts Litigation Permits Reporting Risk Taxation Performance measures Internal control and regulatory reporting Operations Risk Supply chain capacity Manpower supply Interest rates Process execution Leadership/key employ-ees Foreign currency exchange Health and human safety Performance incentives Capacity Business continuity Empowerment Default j Gjcle time Change readiness Concentration Catastrophic events Communications Capital availability Lack of product innovat-ion Commodity pricing Duration Lima Jenis Risiko Bisnis? Salah satu tulisan di Google berisi |i bisnis tersebut adalah: isi lima risiko bisnis dengan contoh kasus, Ke lima risit? * Strategic Risk * Compliance Risk * Operational Risk * Financial Risk * Reputational risk Dipindai dengan CamScannerBAB2 AUDIT INTERNAL BERBASIS RISIKO Strategic Risk (Risiko Strategis) Halini mungkin disebabkan karena perubahan teknologi, masuknya pesaing baru yang sangat kuat ke pasar, pergeseran dalam permintaan atau preferensi pelanggan, melonjaknya harga bahan baku secara luar biasa, atau sejumlah perubahan lainnya berskala besar. Contoh dari perubahan besar dalam teknologi, misalnya standar telekomunikasi 5G (5" Generation), yang berdampak terhadap hubungan ekonomi dan pasar perdagangan bebas antar negara, Pencetusnya mungkin teknologi, tetapi mungkin juga teknologi dan politik perdagangan. Contoh klasik, misalnya Kodak. Perus: pasar film pemotretan (film photography m menemukan kamera digital pada tahun 197 model bisnis intinya. Kodak gagal mengembangkan pasar dengan teknologi baru. Mudah mengritik Kodak atas kegagalannya, sesudah terjadi, Namun,jika Kodak menganalisis Tisiko strategisnya secara lebih berhati-hati, Kodak mungkin akan menyimpulkan bahwa jika bukan Kodak, akhirnya kamera digital akan diproduksi oleh saingannya, dan lebih baik Kodak yang memangsa (cannibalize) produknya sendiri, daripada orang lain yang melakukannya, Menghadapi risiko strategis tidak berarti harus berakhir hancur-hancuran seperti Kodak. Ambilcontoh Xerox, yang namanya sinonim dengan satu produk yang sukses besar, yakni Xerox Photocopier. Pengembangan laser printing merupakan risiko strategis yang diambil Xerox, Namun, berbeda dari Kodak, Xerox mengubah model bisnisnya dengan mengadopsi teknologi baru, Laser printing menjadi bisnis miliaran dollar ‘bagi Xerox, yang berhasil menyelamatkan diri dari strategic risk ini. ‘ahaan ini mempunyai posisi dominan dalam ‘arket) yang ketika seorang insinyurnya sendiri 5, Kodak melihatnya sebagai ancaman terhadap Compliance Risk (Risiko Kepatuhan) Apakah perusahaan kita taat hukum dan mematuhi peraturan peundang-undangan? Mudah- mudahan begitu. Namun, membaca keterlibatan pejabat-pejabat perusahaan dalam kasus Suap kepada penyelenggara negara (seperti Gubernur, Walikota, Bupati, anggota legislatif di DPR, DPRD, dan DPD, pimpinan BUMN, dan seterusnya) agaknya risiko kepatuhan ini relatif tinggi dibandingkan dengan apa yang kita baca dalam literatur. Dalam literatur, risiko kepatuhan umumnya disebabkan karena hukum dan undang- undang berubah, Sering kali, dengan bertambahnya ukuran perusahaan, uy pula risiko kepatuhan, karena adanya ketentuan perundang-undangan tambahan, atau bisn menghadapi otoritas dan regulator tambahan. Dipindai dengan CamScannera AUDIT INTERNAL BERBASIS RISIKO enjual produknya qj slumnya menjual Contoh, perusahaan perkebunan Indonesia yanB eat u ngekspor produ, ig dalam negeri, berhadapan dengan hukum Indonesia saja. SeB' adi negara pembeli (tujuan an, bukan saja : berhadapan dengan hukum dan perundang-undanga” vembeli 1 empunyai aturan tentang aki), tetapi juga di negara yang disinggabl: NEBr Pampa ke tangan pembel produk pertanian, tentang penyimpanan, tentang penanianturkan peringatan tertentu, verakhin-Termastik ketentuan tentang label yang narus ua rahi masa depan bisnis, dan juga ; ist memenga i Jkstrem, risiko kepatuhan juga tu terhadap perusahaan n et ast pa Misalnya, pembatasan atau larangan terten! menja ; , tembakau di banyak negara. (Risiko Operasional) elihat risiko-risiko yang ter) Namun, perusahaan itu sen ‘ko operasional merupakan kegagalan yang tidak terduga dalam hari Bisa berupa kegagalan teknis, seperti listrik padam, atau kerena sebab manusia (mogok kerja) atau proses (rusak atau berhentinya ban berjalan). Dalam beberapa hal, risiko operasional bisa terjadi karena lebih dari satu sebab. Contoh, seorang pegawai salah menulis cek, seharusnya Rp5.000.000 ditulisnya Rp50.000.000. Ini merupakan kesalahan "manusia’ dan sekaligus kesalahan “memproses” cek. Seharusnya dapat dicegah jika ada cara pembayaran yang lebih aman, misalnya, ada orang kedua yang memeriksa cek yang telah disiapkan, atau menggunakan sistem elektronik yang memberi tahu jika pembayaran “terlalu besar” (dari yang dibatasi dalam program). Operational Risk ‘Sedemikian jauh kita sudah m perusahaan (external events). ‘adi akibat peristiwa-peritiwa di luar diri juga merupakan sumber risiko, Operational risk atau ris kegiatan perusahaan sehari- Dalam hal lain, risiko operasional bisa terjadi oleh peristiwa di luar kendali perusahaan, seperti bencana alam, atau masalah dengan website yang digunakan. Apa pun yang menghalangi atau menghambat operasi bisnis merupakan risiko operasional. - Sontotconoh tadi sangat kecil dibandingkan dengan contoh risiko strategis yang gaa i ae risiko operasional pun bisa berdampak besar bagi perusahaan. 2 ade biaya untuk memperbaiki keadaan kembali ke normal, tetapi juga ada masalah operasional yang memperlambat pengiri pengiriman bi e i i Pendpaten an asaya reputapersahaan nae Yaneberakibat eines dari penda yang lazimnya diberi yang sinter nn "Kredit 60 hai. Dalam hal ini, pore pe tat satu pelanggan bes alasan apa pun, Pe tidak mampu merspan sah 248 Mempunyai risiko keuans™! el mbayar, atau menunda pembayaran unt pi masalah besar. Dipindai dengan CamScanner haan ini akan menghadaBAB2 AUDIT INTERNAL BERBASIS RISIKO a Mempunyai utang besar juga akan meningkatkan risiko keuangan, apalagi jika utang tersebut jatuh tempo dalam waktu dekat, Dan bagaimana jika tingkat bunga tiba-tiba meningkat, misalnya bunga pinjaman yang biasanya 10% meningkat hingga 17%? Itu tambahan biaya yang besar untuk perusahaan, dan merupakan risiko keuangan, Risiko keuangan juga meningkat jika utang-utang harus dibayar dalam valuta asing yang berpotensi menguat terhadap rupiah, Atau sebaliknya, ketika valuta asing melemah terhadap rupiah dan perusahaan mempunyai banyak tagihan valas, Reputational Risk (Risiko Reputasi) Ada banyak jenis usaha, namun mereka semua mempunyai satu kesamaan. Apa pun industrinya, reputasi adalah Segala-galanya. [Meskipun kita banyak membaca di surat kabar, perusahaan yang tidak segan-segan mengorbankan reputasinya atau reputasi pemiliknya.] Jika reputasi perusahaan atau pemiliknya hancur, kerugian berupa hilangnya pendapatan terjadi, karena pelanggan menghindari berbisnis dengan perusahaan itu. Pada giliran berikutnya, para karyawan diliputi kekecewaan dan memutuskan untuk berhenti kerja, Perusahaan makin kesulitan mencari karyawan baru jika calon-calon pegawai mendengar berita buruk tentang reputasi Perusahaan. Begitu juga dengan Pemasok (supplier), yang mulai menawarkan syarat-syarat yang semakin tidak menarik. Pihak-pihak lain seperti perusahaan iklan, sponsor, dan Partner lain mulai meninggalkan kita. Risiko reputasi bisa disebabkan oleh Penarikan kembali produk dari peredaran k dengan cepat WhatsApp, Tweeter, dan semacamnya, mencapai puluhan juta manusia lewat 20 Jenis Risiko Bisnis* John Spacey mendefinisikan risiko bisnis (business risk) sebagai suatu kemungkinan di kemudian hari (a future possibility) yang dapat mencegah seseorang mencapai tujuan Ferusahaannya (business goal). Risiko yang dihadapi bisnis bervariasi mat dari dapat dikendalikan (seperti strategi) sampai hal-hal diluar kendali si pemimpin p Seperti keadaan perekonomian global. ‘Ada hubungan yang erat antara risiko dan hasil atau imbalan (reward). Secara umum ‘idaklah mungkin mencapai keuntungan dalam dunia usaha tanpa mengambil suatu atau Sejumlah risiko, Oleh Karena itu, tujuan dari manajemen risiko (risk management) bukanlah Sama sekali menghilangkan risiko. Dalam kebanyakan hal, manajemen risiko berupaya “engoptimalkan rasio antara risiko dan hasil dalam batas-batas risiko yang dapat ditolerir Oleh usaha tersebut, risiko yang erusahaan, Dipindai dengan CamScannerAUDIT INTERNAL HERBASIS RISIKO. Berikut ini 20 jenis ristko bist snis) | Competitive Risk | (Risiko Persaingan) | 2 Economic Risk Risiko Perekonomian) _ | Operational Risk | (Risiko Operasional) Legal Risk (Risiko Hukum) i risiko, fang bersangkutan a g bersangen punyal keunggulan te ghalangi kita mencap, g lebih murah, eb, ita mer jan sainganinimen i produksaingan YM Risiko bahwa 5 kita;keunggu! nis ks nto tujuan usaha. Cor aren epee a yeningkatkan biay,, Kemungkinan kondist perekonomian mm 91 jan : ha atau mengurangi tingkat penjus"2n-__ mates Kegagalan dalam operas sehar-ar, Sepert dain Potensi an. roses melayani pelanggs _ ia wungkinan peraturan baru mengancam bisnis, atay Irenimbulkan biaya tambahan, atau mendatangkan kerugian arena ada sengketa hukum (legal dispute). 5. | Compliance Risk (Risiko Kepatuhan) | 6. | Strategy Risk Kemungkinan perusahaan tidak patuh hukum atau melanggar ketentuan perundang-undangan. Dalam banyak hal perusahaan berniat melaksanakan hukum sepenuhnya, namun berakhir dengan melanggar ketentuan karena ceroboh atau kekeliruan, Risiko yang berhubungan suatu strategi tertentu. [Risiko Strategi) _ 7. | Reputational Risk Kemungkinan terjadinya kerugian karena menurunnya| (Risiko Reputasi) reputasi akibat praktik-praktik tidak sehat atau kecelakaan yang dipersepsikan sebagai tidak jujur, tidak menghormat, | atau tidak kompeten. Istilah ini umumnya digunakan untuk | menggambarkan risiko yang serius tentang hilangnya | kepercayaan dalam organisasi, dan bukan merosotnya reputasi | karena hal yang sepele. & leeseeeam Riko yang bertubungan dengan suatu program bisnis aren lu program dari sekumpulan proyek. | | | Risiko Proyek) | (Risiko Penemuan) Country Risk (Risiko Negara) LL Risiko yang berhubungan dengan suatu proyek. Manajemeo risiko atas proyek meru i pakan suatu disiplin yang relat ‘matang (mature discipline), “_ Risiko yang ada dalam bidang-bidang penemuan cep rset untuk menemukan Ng penemuan, sepett Produk baru, Bidang-bidang ini pet’ haan b 1, mi Politik (kud eroperasi, misalnya pet esta atau nalknya presiden bar yang melarang impor '2U peristiwa ekonomi di ang " jomi di negara (visatnya utan er 19 luar negeri sangat tinggi 4" Menekan utang dengan pembatasan impo! Dipindai dengan CamScanner dari negara tertentu) at bersangkutan ada upaya uyBAB2 AUDITINTERNALBERDASIS Risiko | cs ity Risk Potensi atau kemungkinan perusahaan gagal memenuhi Qual » (Risiko Mutu) mutu yang diharapkan pelanggan atas produk, jasa, atau praktik bisnisnya. 73_| Credit Risk Risiko pelanggan atau pihak lain, tidak bisa membayar (Risiko Utang) utangnya. Untuk kebanyakan bisnis, risiko ini umumnya berhubungan dengan tidak dapat dibayarnya piutang dagang. Dalam dunia perbankan, risiko ini berhubungan dengan pinjaman yang diberikan bank. 14 _| Exchange Rate Risk Risiko perubahan kurs valuta asing yang bisa berdampak (Risiko Valuta Asing) tethadap nilai-nilai transaksi, aset, dan kewajiban. Ini banyak dihadapi bisnis global dengan paparan nilai tukar valuta asing (exchange rate exposure). 15 | Interest Rate Risk Risiko perubahan tingkat bunga bisa berdampak negatif (Risiko Tingkat Bunga) buat perusahaan. Tingkat bunga yang terus meningkat, akan meningkatkan biaya modal (cost of capital) yang memengaruhi business model dan tingkat keuntungan. 16 | Taxation Risk Potensi akan adanya undang-undang pajak yang baru atau {Risiko Perpajakan) tafsirnya (interpretations) yang akan menaikkan pajak-pajak. Dalam hal tertentu, undang-undang dan peraturan pajak menghancurkan atau sekurangnya berdampak negatif terhadap business model suatu jenis usaha (industry). 17 | Process Risk Risiko yang terkait dengan proses tertentu. Risiko ini sering (Risiko proses) menjadi perhatian utama dalam manajemen risiko, karena proses dalam bisnis inti (core business processes) dapat menekan biaya dan meningkatkan pendapatan. 18 | Resource Risk Kemungkinan gagal mencapai sasaran bisnis karena kurangnya {Risiko Sumber Daya) sumber daya, seperti dana atau tenaga kerja terampil. 19 | Political Risk Potensi untuk peristiwa-peristiwa politik yang berdampak (Risiko Politik) negatif terhadap perusahaan. 20 | Seasonal Risk Perusahaan yang mempunyai pendapatan yang terkonsentrasi (Risiko Musiman) pada suatu musim, berisiko terhadap turunnya permintaan di luar musim yang dilayani. Contoh, bisnis perhotelan yang ramai dikunjungi dalam musim libur, dan sebaliknya, sepi di luar musim tersebut. Risiko Bisnis dan Jenis Bisnis Penjelasan tentang jenis-jenis risiko di atas sekadar pengantar untuk pembaca audit internal. Pembaca mungkin mendapat tugas audit internal dalam organisasi yang mempunyai jenis Tisiko yang berbeda dari pembahasan di atas. Dipindai dengan CamScannerBor NAL BERBASIS RISIKO Risiko Bisnis dan Peraturan Pada lampiran buku ini ada dua contoh aturan yang masing-! Indonesia dan OJK (Otoritas Jasa Keuangan). Berikut ini ringkasannya. masing dikeluarkan Bany ie Catatan Akhir 1. IIA, Internal Auditing: Assurance and Advisory Services, edisi 4, Internal Audit Foundation 2017, Exhibit 5-7, hlm. 5-12. 2. Andrew Blackman, “The Main Types of Business Risk”, Artikel 8 Desember 2014. 3. John Spacey, 20 Types of Business Risk, 29 Agustus 2015, dimutakhirkan 6 April 2017, Dipindai dengan CamScanner