Bab 7
AUDIT INTERNAL BERBASIS RISIKO
7.1 Pendahuluan
Risk Based Internal audit (RBIA) atau Audit Internal Berbasis Risiko adalah sebuah
metodologi yang menghubungkan audit internal kepada kerangka kerja manajemen
risiko di dalam sebuah perusahaan secara menyeluruh dan komprehensif. Menerapkan
RBIA memungkinkan audit internal untuk memberikan masukan kepada dewan direksi
bahwa apakah proses penerapan manajemen risiko telah berjalan secara efektif.
Setiap perusahaan memiliki karakteristik tersendiri dan memiliki perbedaan satu
sama lainya dalam proses menerapkan manajemen risiko. Perbedaan juga dalam
struktur organisasi dan budaya perusahaan serta dalam menentukan kriteria dan
Kategori yang digunakan. Auditor internal harus mampu menyesuaikan dengan
pemikiran dan masukan perubahan struktur organisasi perusahaan dan proses bisnis
perusahaan dalam rangka untuk melaksanakan audit internal berbasis risiko.
Audit internal berbasis risiko bertujuan untuk memperkuat tanggung jawab dewan
direksi dalam mengetola risiko pada setiap tahapannya dan menentukan kinerja fungsi/
unit dalam melaksanakan penerapan manajemen risiko. Mengukur kinerja fungsi/unit
dalam menerapkan manajemen risiko dengan Key Performance Indicator (KPI).130 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
—_
Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang
dilakukan oleh auditor internal lebih memfokuskan terhadap masalah parameter
penilaian risiko (risk assessment) yang diformulasikan pada risk based audit plan.
Berdasarkan penilaian risiko terscbut dapat diperolch matriks risiko, schingga dapat
membantu dan memudahkan internal auditor untuk menyusun matriks audit risk.
Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit
approach, antara lain internal auditor akan lebih efisien dan efektif dalam melakukan
audit dalam menilai kinerja fungsi/unit perusahaan schingga dapat meningkatkan dan
memperbaiki kinerja perusahaan secara keseluruhan dan komprehensif.
Tujuan audit internal adalah memberikan pendapat yang independen dan obyektif
untuk manajemen perusahaan, mengenai risiko yang dikelola ke tingkat yang dapat
diterima atas tujuan yang dimiliki dan ingin dicapai oleh setiap manajemen dalam
sebuah perusahaan. Manajemen dihadapkan oleh berbagai macam risiko dalam
pencapaian tujuan, sehingga pengawasan internal sangatlah dibutuhkan untuk
mengelola risiko-risiko yang timbul atas tujuan tersebut.
Audit internal berbasis risiko untuk mengatasi kesenjangan yang signifikan
antara pedoman dan praktik audit internal, Metodologi audit internal berbasis risiko
menghubungkan audit internal dengan keseluruhan kerangka kerja manajemen risiko
organisasi, sehingga memungkinkan audit internal untuk memberikan keyakinan
kepada dewan direksi bahwa proses manajemen risiko mengelola risiko secara efektif
dan sesuai dengan selera risiko (risk apetite).
Audit internal berbasis risiko pada dasarnya memiliki langkah-langkah yang
meliputi penilaian risiko, rencana audit berbasis risiko, melakukan perikatan audit,
mengkomunikasikan hasil perikatan dan melakukan tindak lanjut audit. Audit internal
berbasis risiko memiliki potensi untuk membuat fungsi audit internal lebih fokus, efektif
dan efisien dalam operasi dan penggunaan sumber dayanya, schingga menciptakan nilai
bagi organisasi. Penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit
tindak lanjut, standar audit internal, dan kapasitas audit internal berdampak langsung
pada penguatan kontrol internal, kerangka kerja manajemen risiko yang efektif, dan
tata kelola perusahaan yang baik dan meningkatkan kinerja keuangan.
Risiko merupakan suatu keadaan yang dapat menghambat proses pencapaian
tujuan perusahaan. Disamping itu risiko dapat menimbulkan dampak signifikan
terhadap kelangsungan hidup perusahaan schingga diperlukan perencanaan audit,
dimana di dalam proses audit secara garis besar akan melakukan;
a. Identifikasi tujuan.
b. Bekerjasama dengan setiap fungsi/unit bisnis untuk mengidentifikasi risiko-
risiko yang menghambat proses bisnis perusahaan,
c. Melakukan pengawasan untuk melakukan mitigasi risiko
, Melakukan pelaporan jika ada risiko tidak signifikan sehingga hanya perlu
dilakukan pengawasan dan pemantauan saja.Bab 7 - Audit Internal Berbasis Risiko 131
¢. Menjamin bahwa risiko telah diantisipasi dengan mitigasi dengan tepat
sehingga risiko tersebut dapat diterima pada tingkatan tertentu (risk apetite)
Dabulu peran dan fungsi audit internal mencari kesalahan atau penyimpangan
dari fungsi/unit dalam perusahan, sehingga situasi ini membuat pemeriksa (auditor)
dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan untuk
saling mempertahankan argumentasi masing-masing, Akibatnya peran dan tugas audit
internal kurang disukai kehadirannya oleh fungsi/unit dalam perusahaan.
Saat ini peran audit internal telah beralih dari pemeriksa menjadi sebagai
konsultan internal yang memberi masukan untuk mencegah terjadinya kejadian risiko
dan melakukan perbaikan kinerja atas sistem yang telah ada. Artinya internal audit
memberikan masukan kepada fungsi/unit dalam perusahaan melakukan perbaikan
proses bisnis agar tidak timbul risiko yang dapat merugikan perusahaan.
Peran audit internal sebagai problem solver mengharuskan untuk selalu meningkatkan
pengetahuan dan ketrampilan tidak hanya terkait profesi auditor maupun aspek bisnis
(business object) tetapi juga meningkatkan kompetensi manajemen risiko, sehingga
diarapkan audit internal dapat membantu manajemen dalam mencarikan solusi dari
suatu masalah,
Kemampuan untuk memberikan konsultasi dan merekomendasikan mengatasi
suatu masalah bagi auditor internal dapat diperoleh melalui pengalaman bertahun-
tahun dengan melakukan audit berbagai fungsi/bagian di perusahaan dan pendidikan
audit yang berkelanjutan, Konsultasi internal saat ini merupakan aktivitas yang sangat
dibutuhkan oleh manajemen puncak yang periu dilakukan oleh auditor internal, Selain
sebagai konsultan, auditor internal harus mampu_berperan scbagai katalisator yaitu
memberikan masukan kepada manajemen melalui saran-saran yang bersifat konstruktif
dan dapat diimplementasikan bagi perkembangan dan kemajuan perusahaan.
Auditor internal tidak ikut dalam kegiatan operasional perusahaan, namun turut
serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi
yang disampaikan kepada manajemen operasional.
Ruang lingkup kegiatan audit semakin luas, pada saat ini tidak hanya audit
keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi juga semua aspek
yang berpengaruh terhadap kinerja perusahaan dan pengendalian manajemen serta
memperhatikan aspek risiko bisnis dan risiko manajemen, Orientasi audit saat kini
menuju ke arah audit yang berdasarkan atas risiko (risk based auditing), situasi saat ini
akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks
dalam menghadapi persaingan.
Manfaat yang diperoleh dengan menerapkan audit internal berbasis risiko sebagai
berikut:
+ Manajemen telah melakukan identifikasi, menilai dan melakukan perlakuan
risiko di atas dan di bawah risk apetite (selera risiko).132 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
+ Mengelola risiko lebih efektif namun tidak berlebihan dalam mengelola risiko
yang tidak berada dalam risk appetite.
+ Apabila risiko residual tidak sesuai dengan risk appetite, segera dilakukan
perlakuan (treatment) untuk memperbaiki agar sesuai dengan risk appetite.
+ Efektivitas tanggapan dan penyelesaian tindakan risiko yang disarankan
internal audit untuk memastikan fungsi atau unit dalam perusahaan terus
beroperasi secara efektif.
+ Memastikan tanggapan dan tindakan terhadap risiko-risiko yang disarankan
oleh audit internal telah dilaporkan secara baik dan benar.
Audit internal perlu dilakukan untuk memberikan kepastian dan jaminan terhadap
Masifikasi risiko, proses manajemen risiko, pengelolaan risiko-risiko termasuk efektivitas
pemantauan dan pengendalian serta pelaporan risiko dengan akurat dan efektif.
Tujuan audit internal untuk memastikan pengendalian internal proses bisnis
perusahaan berjalan dengan tepat, sehingga kegiatan audit internal secara independen
melaporkan bahwa pengendalian internal beroperasi dengan benar.
Sclama ini audit internal memiliki kesan hanya berkaitan dengan pengendalian
keuangan, sehingga tidak sedikit manajer perusahaan sering menganggap pengendalian
merupakan tanggung jawab akuntan dan auditor. Manajer dapat mengamati dan
melihat bagaimana risiko dapat secara langsung mempengaruhi kinerja para manajer
dan merupakan tanggung jawab manajer (risk owener) untuk mengelolanya.
Audit internal dapat diartikan memberikan pendapat yang independen dan obyektif
kepada manajemen perusahaan apakah risiko dikelola ke tingkat yang dapat diterima
sesuai risk apetite, Audit internal harus
+ Independen: fungsi/unit yang melaksanakan kegiatan audit internal harus
berada di luar hierarki manajemen normal, idealnya bertanggung jawab
kepada dewan eksekutif dengan garis pelaporan yang langsung kepada ketua
komite audit.
+ Objektif: obycktifitas adalah keadaan pikiran atau pendapat yang tidak
tergantung pada pimpinan anda. Pendapat harus didasarkan pada fakta nyata
yang dapat diverifikasi dan tanpa bias.
+ Opini: Tujuan dari audit internal adalah tentang memberi tahu kepada
manajemen dan para pemangku kepentingan, apakah risiko telah dikelola
dengan efektif dan baik. Pendapat audit internal bisa baik atau buruk tentang
pengelolaan risiko di perusahaan.
+ Organisasi: Sekelompok orang dengan aset pendukung memiliki tanggung
jawab kepada pemangku kepentingan, Misalnya, pihak eksternal, seperti
pemegang saham atau pemerintah. Organisasi seperti itu biasanya harus
menyiapkan laporan keuangan dan profile risiko, dan perangkat pendukung
Jainnya untuk pemangku kepentingan.Bab 7 - Audit Internal Berbasis Risiko 133
+ Manajemen: Kelompok orang yang bertanggung jawab atas peran dan
pelaksanaan operasi perusahaan yang efektif dan tepat. Manajemen
bertanggung jawab untuk memastikan pengelolaan risiko dengan efektif dan
benar.
+ Dikelola: Risiko dikelola dengan menggunakan proses perlakuan risiko yang
telah dilakukan strategi seperti transfer dan mitigasi risiko,
+ Dapat diterima: Ini berarti bahwa proses perlakuan dalam mengelola risiko
ke tingkat yang dianggap wajar oleh manajemen yang dikenal sebagai selera
risiko (risk apetite) perusahaan. Auditor internal harus memahami risk apetite
(sclera risiko) sehingga dapat mengukur signifikansi risiko tersebut.
Manajemen harus dapat meyakinkan dewan direksi bahwa manajemen telah
mengelola risiko dan selera risiko (risk apetite). Dewan direksi yang menetapkan risk
appetite dan audit internal harus menerima penetapan tersebut, meskipun risk apetite
kadang dianggap terlalu tinggi atau rendah. Dewan direksi memiliki tanggung jawab
kepada para pemangku kepentingan dengan mematuhi Undang-Undang dan regulasi
yang mengharuskan untuk mempertahankan sistem pengendalian internal yang tepat.
7.2 Tahapan melaksanakan RBIA
TAHAP 1: MENILAI KEMATANGAN RISIKO (RISK MATURITY) PERUSAHAAN
‘Menilai kematangan risiko (risk maturity) perusahan untuk memperoleh gambaran
menyeluruh sejauh mana dircksi dan manajemen dalam menentukan, menilai,
mengelola dan memantau risiko-risiko yang ada di perusahan, Hal ini memberikan
indikasi terhadap keandalan register risiko untuk tujuan perencanaan audit. Ada tiga
tujuan untuk tahap ini, diantaranya:
a. Menilai kematangan risiko perusahaan.
b. Membuat laporan kepada manajemen dan komite audit mengenai penilaian
kematangan risiko perusahaan,
¢. Menyetujui terhadap strategi pelaksanaan audit.
Proses yang dilakukan untuk mencapai tujuan menilai tingkat kematangan risiko
dengan cara :
A. Diskusikan pemahaman risk maturity dengan direksi dan manajer senior.
+ Tentukan apa yang telah dilakukan untuk meningkatkan risk maturity
perusahaan dengan pelatihan, lokakarya risiko, kuesioner tentang risiko dan
wawancara dengan para manajer sebagai pemilik risiko.
+ Menentukan apakah para manajer telah mengisi register risiko sudah benar
dan komprehensif.134
Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
+ Mendiskusikan pemahaman tentang manajemen risiko telah menjadi budaya
perusahaan sehingga para manajer merasa bertanggung jawab tidak hanya
‘untuk mengidentifikasi, menilai dan melakukan perlakuan risiko, tetapi juga
melakukan memantau kerangka kerja manajemen risiko.
Perusahaan harus tunduk dan patuh terhadap kebijakan perusahaan terkait
dengan penerapan manajemen risiko dan mengukur tingkat kematangan risiko di
perusahaan. Apabila tingkat kematangan risiko pada perusahaan masih rendah,
artinya para pegawai memiliki pemahaman sadar risiko juga rendah schingga tidak
perduli terhadap risiko perusahaan.
Salah satu indikasi rendahnya tingkat kematangan risiko perusahaan, perusahaan
memiliki daftar risiko dan profile risiko yang kurang baik dan tidak benar. Kondisi
ini akan menyulitkan dalam mengimplementasikan audit internal berbasis risiko.
Sebelum melakukan audit berbasis risiko, auditor harus memastikan bahwa profile
risiko sudah baik dan benar.
Dalam melakukan aktivitasnya, audit internal tidak boleh menentukan kejadian
risiko (risk event) tanpa melibatan pemilik risiko atau merubah daftar risiko yang
telah ada. Tujuannya agar supaya persepsi bahwa audit internal bertanggung jawab
atas pembuatan daftar risiko dan profile risiko dapat dihindarkan dan juga untuk
mencegah konflik kepentingan (conflic of interest).
Mendapatkan Dokumen-Dokumen Terkait Dengan:
+ Tujuan dari perusahaan.
+ roses mengidentifikasi risiko yang menghambat tujuan perusahaan
+ Bagaimana menganalis risiko terhadap dampak dan probalitas.
+ Risk appetite yang telah disetujui direksi dalam penilaian yang menggunakan
risiko yang melekat (inherent risk) dan risiko residual (residual risk).
+ Bagaimana proses pengambilan keputusan manajemen (direksi) dengan
mempertimbangkan risiko.
+ Proses pelaporan risiko-risiko pada berbagai tingkat kegawatan risiko di
fungsi/unit dalam perusahaan pada risk register.
+ Sumber-sumber informasi yang digunakan oleh manajemen dan dewan untuk
memantau kerangka kerja (framework) secara efektif untuk mengelola risiko
dalam rise appetite.
+ Sctiap penilaian kematangan risiko perusahaan dan dokumen lainnya yang
menunjukkan komitmen direksi untuk penerapan manajemen risiko.
Menilai dan Melaporkan Kematangan Risiko (risk maturity)
Dokumen dan informasi yang telah dikumpulkan untuk menilai kematangan risiko
perusahaan dengan melihat dan menilai risiko-risiko yang ada pada fungsi/unit.
Melaporkan risk maturity perusahaan akan memberikan penilaian bahwa proses
manajemen risiko telah dilaksanakan dengan efektif sesuai dengan pencatatanBab 7 - Audit Internal Berbasis Risiko 135
dan pelaporan risiko, serta melaporkan apabila sistem pengendalian internal
perusahaan dan pengawasan dewan belum berjalan dengan efektif. Hasil laporan
tersebut, manajemen dapat menyarankan dan memerintahkan audit internal untuk
melakukan perbaikan dan meningkatkan proses manajemen risiko.
D. Strategi Audit Risiko
Strategi audit dipilih tergantung pada risk maturiy perusahaan. Perusahaan
akan mendapatkan keuntungan dari beberapa aspek dari strategi audit. Audit
internal dapat membantu meningkatkan manajemen risiko dan proses tata kelola
perusahaan dengan melaporkan penilaian terhadap rist maturiy perusahaan kepada
manajemen,
Strategi audit untuk risiko yang dikelola perusahaan dapat memberikan kepastian
terhadap proses manajemen risiko yang dinilai audit internal telah berjalan dengan
cfektif. Audit internal harus merencanakan untuk memberikan kepastian bahwa
proses pengendalian telah bekerja sesuai dengan tujuan atau standar yang telah
ditetapkan.
Strategi audit juga memberikan konsultasi kepada pemilik risiko dimana audit
internal menyisihkan waktu untuk meningkatkan pengenalan proses manajemen
risiko di perusahaan schingga tujuan untuk memastikan risk maturity perusahaan
telah meningkat dan berjalan dengan efektif. Audit internal juga harus melakukan
pendekatan kepada karyawan perusahaan agar mereka ada rasa memiliki dan
merupakan bagian dari proses penerapan manajemen risiko untuk kepentingan
bersama agar terus dipertahankan serta ditingkatkan.
Kegiatan konsultasi sebagai layanan konsultasi yang memiliki sifat dan ruang
lingkup yang telah disepakati dengan manajemen dimana pencrapan manajemen
risiko tetap merupakan tanggung jawab manajemen.
TAHAP 2: PERENCANAAN PEMERIKSAAN PERIODIK
‘Tujuan perencanaan pemeriksaan periodik adalah untuk memastikan semua proses
manajemen risiko yang telah dilakukan sesuai dengan masukan dari audit internal,
telah berjalan objektif. Perencanaan pemeriksaan periodik merupakan kegiatan rutin
dilakukan, dimana rencana audit yang berisi semua audit yang akan dilakukan selama
jangka waktu tertentu.
Audit internal berbasis risiko bukan tentang mengaudit risiko saja, tetapi tentang
mengaudit manajemen risiko, sehingga fokus pada proses yang diterapkan oleh tim
manajemen terhadap masing-masing risiko dan proses yang digunakan untuk menilai
risiko serta memantau apakah rencana manajemen risiko terkait dengan perlakuan
risiko telah dilaksanakan sesuai dengan rencana, selanjutnya hasil audit dilaporkan
kepada dewan direksi.Perencanaan pemeriksaan periodik membutuhkan informasi,
schingga dilakukan beberapa langkah agar dapat dilaksanakan dengan baik dan benar.136
Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
Langkah pertama dengan memberikan latar belakang yang diperlukan untuk
memahami bagaimana manajemen mengidentifikasi, mengevaluasi risiko dan
bagaimana informasi yang dibutuhkan dicatat di rist register, dokumen yang dilampirkan,
acara tanggapan, pemantauan dan pengendalian, Dokumen yang diperlukan seperti;
+ Tanggapan dari manajemen terhadap pengelolaan risiko terutama risko yang,
memiiliki tingkat kegawatan yang tinggi.
+ Tindakan yang diambil untuk menambah, menghapus atau mengubah
tanggapan yang ada di mana pemilik risiko tidak memitigasi risiko sesuai
dengan risk appetite.
+ Pengendalian dan pemantauan yang digunakan oleh manajemen untuk
memastikan bahwa semua clemen dari kerangka kerja manajemen risiko
telah berjalan sesuai dengan ketentuan yang berlaku.
Audit internal juga harus memperoleh pengarahan dari komite audit dan tim
manajemen terkait dengan aktivitas audit internal agar proses audit sesuai sasaran yang.
Peran audit internal bukan untuk mengidentifikasikan risiko dan mengisi risk register,
tetapi untuk dapat menafsirkannya dan menilai apakah perencanaan perlakuan risiko
telah dilaksanakan dengan baik dan benar schingga proses penerapan manajemen
dapat berjalan efektif.
Agar proses penerapan manajemen dapat berjalan efektif perlu dilakukan
perencanaan auidit. Langkah yang dilakukan untuk mencapai tujuan perencanaan
audit;
A.
Identifikasi
Identifikasi tanggapan dan proses manajemen risiko dengan obycktif dan melihat
daftar semua tanggapan secara obycktif dan informasi tentang risiko yang
terkait. Audit internal harus memastikan pada bagian proses dari kerangka kerja
manajemen risiko.
Proses yang digunakan untuk mengidentifikasi dan menilai risiko dan untuk
‘memutuskan tanggapan yang sesuai. Proses pelaporan risiko di seluruh proses
bisnis perusahaan serta memantau dan mengontrol proses-proses tersebut.
Komite audit memastikan bersifat objektif dari hasil audit internal pada semua
proses manajemen risiko serta memastikan kuantitas, keterampilan dan kompetensi
audit internal memiliki spesialis khususnya pengetahuan manajemen risiko.
Kategori dan Prioritas Risiko.
Risiko harus dilakukan kategori dengan membuat pengelompokan risiko menjadi
urutan logis sehingga banyak membantu dalam menyusun rencana audit. Kategori
unit bisnis berguna untuk proses penerapan manajemen risiko, dimana perusahaan
‘memiliki sejumlah unit usaha mandiri secara fisik, prosedur dan sistem. KategoriBab 7 - Audit Internal Berbasis Risiko 137
fungsi atau sistem seperti penjualan, pembclian, atau kontrol persediaan. Hal ini
berguna dalam perusahaan yang besar dengan sistem terpadu.
Audit internal harus memprioritaskan tanggapan yang harus diaudit. Karakteristik
penting dari RBIA adalah bahwa selalu prioritas dengan mengacu pada ukuran
risiko dan kontribusi respon membuat untuk mengelola risiko,
Daftar prioritis berguna termasuk:
+ Ukuran risiko yang melekat (inherent rst):
prioritas.
+ Kontribusi dan upaya perlakuan risiko yang maksimal untuk mengurangi
risiko, semakin tinggi prioritas.
+ Kategori risiko di mana merupakan masukan komite audit.
emakin besar risiko, semakin tinggi
Menghubungkan Risiko Penugasan Audit.
Dua metode dapat digunakan untuk menghubungkan risiko penugasan audit:
a. Kelompok risiko, misalnya dengan unit bisnis, tujuan, fungsi atau sistem dan
memutuskan audit yang akan memberikan tanggapan, Metode ini memiliki
keuntungan bahwa pengelolaan semua risiko akan dibahas, tapi mungkin sulit
untuk menentukan unit pemeriksaan yang memuaskan preferensi perusahaan
untuk ukuran audit seperti jumlah staf audit.
b, Audit universal mengalokasikan setiap audit untuk risiko unit bisnis. Metode
ini memiliki keuntungan yang mencakup satu lokasi fisik dalam satu kunjungan
dan memungkinkan unit audit yang sesuai dengan ukurannya. Dapat
dimungkinkan membutuhkan pemeriksaan tambahan untuk memastikan
bahwa pengelolaan semua risiko telah diaudit. Langkah ini akan menghasilkan
daftar penugasan audit. Prioritas setiap audit berasal dari ukuran proses
manajemen risiko yang menyediakan informasi ini harus terhubung ke daftar
kategori risiko dan register risiko perusahaan, Perusahaan juga perlu untuk
mengumpulkan dan merekam informasi yang menghubungkan risiko dengan
tanggapan hasil audit dan penugasan audit.
Menyusun Rencana Audit Periodik.
‘Memperkirakan jumlah hari yang dibutuhkan untuk setiap melakukan audit dan
mengidentifikasi proses audit dapat diselesaikan dengan sumber daya yang tersedia,
serta memberikan waktu dan ruang lingkup untuk melakukan konsultasi.
Audit internal berbasis risiko memperhitungkan sumber daya yang tersedia
untuk menyelesaikan pekerjaan audit yang direncanakan. Audit internal dapat
mengusulkan penambahan tenaga auditor atau pengurangan jumlah auditor.
‘Semua rencana audit harus telah ditentukan jadwalnya, namun banyak perusahaan
menambahkan audit berdasarkan kriteria sclain risiko schingga menambah138 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
audit wajib atau audit yang diminta olch manajemen. Akibatnya rencana audit
membutuhkan waktu lebih lama dari jadwal yang telah direncanakan
E. Pelaporan Kepada Manajemen dan Komite Audit.
Rencana audit periodik harus didiskusikan dengan manajemen dan disampaikan
kepada komite audit untuk mendapatkan persetujuan.
Rancana audit periodik menyiapkan :
+ Rincian risiko diberikan dalam melaksanakan audit dari proses manajemen
risiko dan rencana tanggapan.
+ Rincian risiko di mana disediakan tapi berdasarkan pekerjaan audit dari tahun-
tahun sebelumnya.
+ Rincian risiko di mana pekerjaan konsultasi dilakukan untuk membantu
manajemen dalam mengurangi risiko agar sesuai dengan risk appetite.
+ Mengkonfirmasi bahwa rencana audit telah sesuai SOP.
TAHAP 3: PENUGASAN AUDIT
Audit internal berbasis risiko dalam perencanaan audit berdasarkan register risiko
perusahaan, Metodologi yang digunakan untuk melakukan audit internal berbasis risiko
agar supaya auditor internal dapat memfasilitasi perbaikan kerangka kerja manajemen
risiko dalam perencanaan kerangka audit serta melakukan konsultasi untuk perbaikan
dan peningkatan efektifitas penerapan manajemen risiko.
Salah satu tujuan kegiatan Konsultasi adalah untuk meningkatkan kematangan
risiko (maturity risk) perusahaan dimana kegiatan konsultasi mempunyai sifat dan
ruang lingkup yang telah disepakati dengan manajemen. Pengelolaan risiko perusahaan
merupakan kebutuhan untuk meningkatkan proses manajemen risiko yang menjadi
bagian dari kerangka kerja manajemen risiko. Untuk meningkatkan proses manajemen
risiko secara efektif perlu melakukan konsultasi,
Melakukan Audit
Audit internal berbasis risiko bukan hanya audit risiko saja tetapi juga audit
manajemen risiko secara menyeluruh dan komprehensif dimana fokus pada
tindakan dan langkah-langkah yang diambil olch tim manajemen untuk mengelola
risiko di perusahaan. Auditor internal harus banyak menyediakan waktu
dengan parapemilik risiko (risk owener) untuk membahas dan mengamati dan
mengendalikan proses penerapkan manajemen risiko.
Auditor internal harus berperilaku dengan cara yang memperkuat prinsip dasar
bahwa manajemen bertanggung jawab untuk mengelola risiko di perusahaan.
Prosedur harus sudah ada untuk memungkinkan auditor internal untuk melaporkanBab 7 - Audit Internal Berbasis Risiko 139
permasalahan yang ditemukan kepada manajemen dan membutubkan pertujuan
dari manajemen untuk memperbarui daftar risiko.
‘Tujuan dari tahapan melakukan audit adalah untuk memastikan hubungannya
dengan bisnis, kegiatan, atau sistem proses diidentifikasi dalam rencana audit
‘manajemen telah mengidentifikasi, menilai dan melakukan perlakuan risiko
di atas dan di bawah risk apetite.
perlakuan risiko aktif sesuai dengan strategi risiko, sehingga tidak berlebihan
dalam mengelola risiko agar sesuai dengan risk appetite.
ketika risiko residual tidak sesuai dengan risk appetite, perlu dilakukan tindakan
untuk memperbaikinya agar sesuai dengan risk appetite.
cfektivitas tanggapan dan penyelesaian perlakuan risiko dalam proses
manajemen risiko, selalu dipantau oleh manajemen untuk memastikan
berjalan secara efektif,
tanggapan dan perlakuan dari proses manajemen risiko dilaporkan secara
benar dan rutinkepada manajemen.
Tindakan untuk mencapai tujuan penugasan audit memiliki langkah-langkah
sebagai berikut
a.
‘Menetapkan ruang lingkup penugasan yang direncanakan.
Inj melibatkan auditor internal guna memahami hasil tahapan dan menyusun
draft lingkup penugasan. Memperoleh informasi yang relevan termasuk
kesimpulan pada tingkat kematangan risiko dan strategi audit yang dihasilkan,
judul tugas, dan informasi yang menghubungkan audit terhadap tanggapan
terhadap pengelolaan risiko.
Menilai kematangan risiko unit yang diaudit.
Audit internal menggunakan kriteria untuk menilai kematangan risiko
perusahaan harus konsisten dengan yang digunakan dalam tahap sebelumnya
dan tugas-tugas lainnya, Tugas tersebut termasuk pengawasan risiko yang
teridentifikasi oleh manajemen, yang mungkin membutuhkan sumber daya
tambahan atau abli
Kesimpulan tugas
Kesimpulan dari audit individu harus mengkonfirmasikan atau meragukan
penilaian tingkat kematangan risiko (maturity risk), Penilaian awal tingkat
kematangan risiko ini mungkin perlu diubah.
Jika tingkat kematangan risiko yang sebenarnya lebih baik atau sama dengan
tingkat kematangan risiko yang diharapkan, penugasan audit yang dilakukan
telah sesuai dengan yang direncanakan. Apabila kondisi sebaliknya, audit
internal harus melaporkan hal ini kepada manajemen dengan kesimpulan
bahwa tanggapan termasuk dalam ruang lingkup audit tidak bekerja secara
efektif,140
Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
4d, Meringkas kesimpulan audit untuk Komite Audit.
Ringkasan kesimpulan audit ini harus.
+ Mendukung kebijakan manajemen risiko yang berlaku untuk perusahaan.
+ Memenuhi persyaratan piagam audit (Audit Charter).
+ Jika bukan bagian dari piagam, memberikan opini tentang apakah risiko telah
dikelola dengan baik, tujuan untuk memastikan tujuan perusahaan tercapai
dan dalam batas yang wajar serta akan dapat dicapai di masa depan.
Manfaat dan Kelemahan
Audit internal berbasis risiko terkait erat dengan kerangka kerja manajemen
risiko, Selama tingkat kematangan risiko perusahaan masih rendah, audit internal
harus memberikan laporan kondisi tersebut kepada manajemen dan komite audit
schingga segera mengambil tindakan dan kebijakan.
Banyak penyebab perusahaan mempunyai tingkat kematangan risiko rendab, salah
satunya karena manajer dan direksi belum sepenuhnya memahami dan mendalami
kerangka kerja manajemen risiko dengan baik yang merupakan elemen penting
dari sistem pengendalian internal, Audit internal perlu melakukan program jangka
panjang dari kegiatan manajemen risiko agar tingkat kematangan risiko meningkat.
Kerangka kerja manajemen risiko yang efektif akan meningkatkan tata kelola
perusahaan dan peluang yang mencapai tujuan jangka panjang. Metodologi audit
internal berbasis risiko membuat kontribusi yang jelas dan berharga untuk kerangka
kerja manajemen risiko. Memberikan jaminan obyektif dengan memfasilitasi upaya
manajemen untuk meningkatkan kerangka kerja dan memastikan bahwa sumber
daya internal audit diarahkan menilai pengelolaan risiko yang signifikan.
Hubungan Dengan Manajemen
Audit internal berbasis risiko membutuhkan keterlibatan manajemen karena proses
yang akan dibahas dalam audit di seluruh bagian perusahaan, audit mungkin
melibatkan manajer (risk owener) pada unit/fungsi yang belum pernah dikunjungi
audit internal.
Dalam rangka untuk membahas tanggapan diserahkan untuk mengelola risiko,
auditor internal mungkin perlu melibatkan Icbih banyak manajer yang lebih senior
daripada yang terlibat dalam audit tradisional, Audit internal berbasis risiko
menekankan tanggung jawab manajemen untuk mengelola risiko.
Pertemuan dengan manajemen untuk menerima rekomendasi audit internal dan
persetujuan manajemen untuk menentukan tindakan atas masukan dari audit
internal. Tanggung jawab manajemen untuk audit internal berbasis risiko dapat
diimplementasikan secara penuh pada perusahaan yang mengelola tisiko aktif.Bab 7 - Audit Internal Berbasis Risiko 141
Salah satu citi dari tingkat kematangan risiko adalah manajer sebagai pemilik risiko
(risk owener) harus mengambil tanggung jawab untuk mengelola risiko. Dalam
mengambil tanggung jawab untuk mengelola risiko, manajer memahami bahwa
pengendalian risiko bukan tanggung jawab audit internal, tetapi menjadi tanggung
jawab penuh pemilik risiko. Aktivitas audit internal memperkuat tanggung jawab
manajemen dengan memberikan kontribusi dengan meningkatkan budaya
manajemen risiko yang kuat di perusahaan,
Audit internal berbasis risiko adalah cara yang efektif untuk mencapai target
yang ditetapkan untuk aktivitas audit internal, seperti:
+ Penyusunan rencana audit yang menjamin aktivitas audit internal memenuhi
piagam audit (Audit Charter).
+ Mendapatkan masukan dari manajemen bahwa dibutubkan tindakan yang
tepat untuk mengelola risike dalam risk appetite.
+ Menjamin penilaian yang obyektif dalam penerapan manajemen risiko,
+ Menjaga anggaran yang tclah ditetapkan untuk kegiatan pencapaian tujuan
perusahaan.
Auditor internal membutuhkan lebih banyak orang memiliki kompetensi
dan keterampilan bisnis, seperti wawancara, mempengaruhi, memfasilitasi dan
memecahkan masalah. Audit universal untuk mencakup semua risiko yang
menghambat tujuan perusahaan, sehingga auditor internal dapat memahami
dan menyimpulkan risiko pada proses bisnis perusahaan dan tanggap terhadap
timbulnya risiko baru.
Membutuhkan pengetahuan khusus yang dapat diperoleh sebagai berikut:
+ Keterampilan menggunakan spesialis sudah tersedia dalam aktivitas audit
internal, misalnya auditor komputer.
+ Memberikan pelatihan khusus untuk auditor dengan keahlian umum, misalnya
memberikan pelatihan tentang peraturan dan praktek yang berkaitan dengan
manajemen stres untuk auditor yang sudah senior.
+ Merekrutspesialis sementara atau permanen dari dalam perusahaan, misalnya
seorang manajer gudang dari satu anak perusahaan di luar negeri bisa
mengaudit proses gudang di dalam negeri.
+ Menggunakan spesialis dari luar perusahaan, misalnya spesialis treasury.142 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
Gambar 7.1
Alur Audit
Risiko dan Audit
Universal
Kesimpulan dari efektifitas
dari testing manajemen
risiko oleh Auditor
Kesimpulan dari efektifitas
dari testing manajemen
risiko oleh Auditor lain
Kesimpulan dari efektifitas
dari testing manajemen
risiko dalam Organisasi
v
Laporan kepada Komite
‘Audit efektifitas dari
kerangka kerja manajemen
Sumber : Chartered Institute of Internal AuditorsBab 7 - Audit Internal Berbasis Risiko 143
Praktik Audit Berbasis Risiko dan Kinerja Keuangan
(Studi Kasus Ethiopian Airlines)
‘Tujuan dari studi ini adalah untuk menentukan praktik audit berbasis risiko
dan memeriksa apakah praktik audit berbasis risiko memengaruhi kinerja keuangan
dalam kasus perusahaan Ethiopian Airlines (EAL). Perusahaan Ethiopian Airlines telah
mengadopsi praktik audit berbasis risiko seperti penilaian risiko, manajemen risiko,
rencana audit berbasis risiko, audit tindak lanjut, kapasitas audit internal, dan standar
audit internal.
Studi menjelaskan bahwa audit berbasis risiko telah secara signifikan dan positif
‘mempengaruhi kenaikan laba sebesar 65,4%, Selain itu, indikator kinerja keuangan
seperti laba, kilometer kursi yang tersedia, dan pendapatan menunjukkan peningkatan
dramatis setelah penerapan audit berbasis risiko.
Ini menunjukkan bahwa praktik audit berbasis risiko mempengaruhi kinerja
keuangan EAL. Namun, studi menunjukkan bahwa belum semua registrasi risiko
ada di fungsi/unit perusahaan, penilaian risiko tidak dilakukan di semua unit kerja
perusahaan, tidak ada departemen manajemen risiko yang terpisah dan independen,
belum menentukan tingkat selera risiko (risk apetite), kurangnya tenaga kerja yang
diperlukan dalam audit internal departemen, pelatihan yang tidak memadai dan
program pengembangan untuk auditor internal, dan garis pelaporan eksekutif internal
memerlukan pethatian manajemen.
Studi ini merckomendasikan manajemen puncak untuk bertanggungjawab untuk
meningkatkan praktik audit berbasis risiko dengan mengembangkan buku registrasi
risiko di seluruh perusahaan, melakukan penilaian risiko yang memadai, membentuk
departemen manajemen risiko, menetapkan selera risiko dan menekankan pada
kapasitas departemen audit internal dan jalur pelaporan schingga untuk meningkatkan
hasil audit berbasis risiko.
Hasil studi menunjukkan laba perusahaan meningkat 65,40 persen karena praktik
audit internal berbasis risiko seperti penilaian risiko, manajemen risiko, rencana audit
berbasis risiko, audit tindak lanjut, standar audit internal, dan kapasitas audit internal
serta berkontribusi pada peningkatan indikator kinerja keuangan.
Studi dilakukan tidak hanya praktik audit internal berbasis risiko yang telah
memengaruhi kinerja keuangan, tetapi juga meningkatkan pencapaian tujuan
perusahaan EAL. Dengan kata lain mendukung teori kontingensi, bahwa hasil yang
diperoleh dari variabel pelengkap lainnya digabungkan sebagai keselarasan dengan
budaya perusahaan dan strategi jangka panjang perusahaan144 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua
Ada beberapa temuan yang terjadi di Ethiopian Airlines (EAL) setelah dilakukan
audit internal berbasis risiko.
+ Risk apetite perusahaan EAL belum menentukan tingkat di mana perusahaan
dapat menerima risiko.
+ Bagian manajemen risiko di EAL belum independen dalam memberikan
laporan guna meningkatkan budaya dan penerapan manajemen risiko di unit
kerja
+ Audit internal tidak dilibatkan dalam persiapan rencana audit berbasis risiko,
sehingga manajemen tidak memberikan laporan penilaian risiko dan dokumen
yang diperlukan seperti manual prosedural kebijakan sebagai input dalam
persiapan rencana audit berbasis risiko.
+ Beberapa permasalahan hasil temuan audit berbasis risiko sebagai berikut :
a. Kurang komitmen dari fungsi/unit kerja di EAL untuk memberikan
informasi yang nyata dan benar schubungan dengan proses pelaksanaan
temuan audit. Akibatnya, perbedaan pendapat terjadi antara auditor
internal dengan para manajer sebagai pemilik risiko.
b, Departemen audit internal tidak memiliki staf yang memadai
dibandingkan dengan beban kerja di kantor pusat dan cabang di mana
tempat tiket penerbangan dijual. Disamping itu, kurangnya_pelatihan
yang memadai dan pengembangan profesional untuk auditor internal
¢. meskipun laporan audit dikomunikasikan dalam kerangka kerja, namun
ringkasan temuan audit dan risiko yang signifikan tidak dikomunikasikan
secara berkala ke manajemen puncak.
4. Pimpinan audit internal melaporkan kepada CFO dan dewan komite
audit, Ini menyiratkan bahwa departemen audit internal merusak
independensinya. menyatakan bahwa, pimpinan audit internal harus
secara administratif melapor kepada CEO dan secara fungsional ke
dewan komite audit.
Rekomendasi Temman Audit
+ Manajemen EAL harus menekankan pada peningkatan penerapan penilaian
risiko di semua unit kerja perusahaan. Saat ini menunjukkan bahwa risiko dan
pengendalian yang diharapkan, tidak diidentifikasi dan didokumentasikan
dengan baik di semua unit kerja EAL.
+ Manajemen EAL harus mendefinisikan dan menetapkan risk appetite
perusahaan sesuai dengan tingkat risiko. Risk apetite membantu para manajer
untuk mengelola risiko dalam profil risiko perusahaan.
+ Manajemen EAL harus membentuk struktur departemen manajemen risiko
yang terpisah dan independen yang melakukan pekerjaan fasilitasi manajemenBab 7 - Audit Internal Berbasis Risiko 145
risiko secara terpusat untuk meningkatkan budaya manajemen risiko di EAL
dan memperkuat penerapan manajemen risiko.
+ Manajemen EAL harus terlibat dalam proses penyusunan rencana audit
berbasis risiko dengan menyediakan bahan-bahan yang diperlukan seperti
prosedur kebijakan masing-masing unit kerja dan laporan penilaian risiko. Ini
akan membantu auditor internal untuk menyiapkan rencana audit berbasis
risiko komprehensif untuk memfasilitasi efektivitas departemen audit internal.
+ Manajemen EAL harus menindakanjuti hasil proses audit dengan memberikan
informasi yang relevan tentang temuan audit untuk dilaksanakan. Hal ini
membantu auditor untuk mengevaluasi program audit dan tindak lanjut
berupa rencana aksi tentang temuan audit.
+ Manajemen EAL harus mengoptimalkan kapasitas dan sumber daya
departemen audit internal dengan mempekerjakan tenaga kerja yang
diperlukan dan memiliki kompetensi untuk memperkuat departemen terkait
dengan beban kerja di kantor pusat dan cabang di mana tiket penerbangan
dijual.
+ Manajemen EAL harus menciptakan kondisi di mana auditor internal
memberikan layanan konsultan yang independen dan obycktif sesuai dengan
standar audit internal, Saat ini, departemen audit internal tidak independen
terkait dengan jalur pelaporan kepada CFO. Pimpinan audit internal harus
secara administratif melapor kepada CEO dan secara fungsional ke dewan
komisaris.
+ Departemen Audit Internal EAL harus merangkum temuan audit yang
signifikan terhadap risiko dan melaporkan ke manajemen puncak secara
berkala,
+ Manajemen EAL harus meningkatkan penerapan audit berbasis risiko untuk
meningkatkan kinerja keuangan perusahaan, Penerapan audit berbasis risiko
terjadi peningkatan laba pada tingkat 65,4%. Selain itu, dari hasil statistik, laba,
nada kilometer yang tersedia, kilometer kursi yang tersedia, dan pendapatan
perusahaan menunjukkan peningkatan yang kuat setelah adopsi audit berbasis
risiko.
+ Manajemen EAL harus melakukan analisis penawaran dan permintaan
sehubungan dengan tingkat kilometer kursi yang tersedia karena kelebihan
kapasitas mengakibatkan kerugian karena biaya tetap yang lebih tinggi.
Kondisi tersebut telah memengaruhi laba secara negatif pada tingkat 3,4%.
+ Manajemen harus mengawasiefisiensi biaya operasi karena hal itu berdampak
negatif pada laba pada tingkat 3,26%.