Bab 7 AUDIT INTERNAL BERBASIS RISIKO 7.1 Pendahuluan Risk Based Internal audit (RBIA) atau Audit Internal Berbasis Risiko adalah sebuah metodologi yang menghubungkan audit internal kepada kerangka kerja manajemen risiko di dalam sebuah perusahaan secara menyeluruh dan komprehensif. Menerapkan RBIA memungkinkan audit internal untuk memberikan masukan kepada dewan direksi bahwa apakah proses penerapan manajemen risiko telah berjalan secara efektif. Setiap perusahaan memiliki karakteristik tersendiri dan memiliki perbedaan satu sama lainya dalam proses menerapkan manajemen risiko. Perbedaan juga dalam struktur organisasi dan budaya perusahaan serta dalam menentukan kriteria dan Kategori yang digunakan. Auditor internal harus mampu menyesuaikan dengan pemikiran dan masukan perubahan struktur organisasi perusahaan dan proses bisnis perusahaan dalam rangka untuk melaksanakan audit internal berbasis risiko. Audit internal berbasis risiko bertujuan untuk memperkuat tanggung jawab dewan direksi dalam mengetola risiko pada setiap tahapannya dan menentukan kinerja fungsi/ unit dalam melaksanakan penerapan manajemen risiko. Mengukur kinerja fungsi/unit dalam menerapkan manajemen risiko dengan Key Performance Indicator (KPI).130 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua —_ Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang dilakukan oleh auditor internal lebih memfokuskan terhadap masalah parameter penilaian risiko (risk assessment) yang diformulasikan pada risk based audit plan. Berdasarkan penilaian risiko terscbut dapat diperolch matriks risiko, schingga dapat membantu dan memudahkan internal auditor untuk menyusun matriks audit risk. Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit approach, antara lain internal auditor akan lebih efisien dan efektif dalam melakukan audit dalam menilai kinerja fungsi/unit perusahaan schingga dapat meningkatkan dan memperbaiki kinerja perusahaan secara keseluruhan dan komprehensif. Tujuan audit internal adalah memberikan pendapat yang independen dan obyektif untuk manajemen perusahaan, mengenai risiko yang dikelola ke tingkat yang dapat diterima atas tujuan yang dimiliki dan ingin dicapai oleh setiap manajemen dalam sebuah perusahaan. Manajemen dihadapkan oleh berbagai macam risiko dalam pencapaian tujuan, sehingga pengawasan internal sangatlah dibutuhkan untuk mengelola risiko-risiko yang timbul atas tujuan tersebut. Audit internal berbasis risiko untuk mengatasi kesenjangan yang signifikan antara pedoman dan praktik audit internal, Metodologi audit internal berbasis risiko menghubungkan audit internal dengan keseluruhan kerangka kerja manajemen risiko organisasi, sehingga memungkinkan audit internal untuk memberikan keyakinan kepada dewan direksi bahwa proses manajemen risiko mengelola risiko secara efektif dan sesuai dengan selera risiko (risk apetite). Audit internal berbasis risiko pada dasarnya memiliki langkah-langkah yang meliputi penilaian risiko, rencana audit berbasis risiko, melakukan perikatan audit, mengkomunikasikan hasil perikatan dan melakukan tindak lanjut audit. Audit internal berbasis risiko memiliki potensi untuk membuat fungsi audit internal lebih fokus, efektif dan efisien dalam operasi dan penggunaan sumber dayanya, schingga menciptakan nilai bagi organisasi. Penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit tindak lanjut, standar audit internal, dan kapasitas audit internal berdampak langsung pada penguatan kontrol internal, kerangka kerja manajemen risiko yang efektif, dan tata kelola perusahaan yang baik dan meningkatkan kinerja keuangan. Risiko merupakan suatu keadaan yang dapat menghambat proses pencapaian tujuan perusahaan. Disamping itu risiko dapat menimbulkan dampak signifikan terhadap kelangsungan hidup perusahaan schingga diperlukan perencanaan audit, dimana di dalam proses audit secara garis besar akan melakukan; a. Identifikasi tujuan. b. Bekerjasama dengan setiap fungsi/unit bisnis untuk mengidentifikasi risiko- risiko yang menghambat proses bisnis perusahaan, c. Melakukan pengawasan untuk melakukan mitigasi risiko , Melakukan pelaporan jika ada risiko tidak signifikan sehingga hanya perlu dilakukan pengawasan dan pemantauan saja.Bab 7 - Audit Internal Berbasis Risiko 131 ¢. Menjamin bahwa risiko telah diantisipasi dengan mitigasi dengan tepat sehingga risiko tersebut dapat diterima pada tingkatan tertentu (risk apetite) Dabulu peran dan fungsi audit internal mencari kesalahan atau penyimpangan dari fungsi/unit dalam perusahan, sehingga situasi ini membuat pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan untuk saling mempertahankan argumentasi masing-masing, Akibatnya peran dan tugas audit internal kurang disukai kehadirannya oleh fungsi/unit dalam perusahaan. Saat ini peran audit internal telah beralih dari pemeriksa menjadi sebagai konsultan internal yang memberi masukan untuk mencegah terjadinya kejadian risiko dan melakukan perbaikan kinerja atas sistem yang telah ada. Artinya internal audit memberikan masukan kepada fungsi/unit dalam perusahaan melakukan perbaikan proses bisnis agar tidak timbul risiko yang dapat merugikan perusahaan. Peran audit internal sebagai problem solver mengharuskan untuk selalu meningkatkan pengetahuan dan ketrampilan tidak hanya terkait profesi auditor maupun aspek bisnis (business object) tetapi juga meningkatkan kompetensi manajemen risiko, sehingga diarapkan audit internal dapat membantu manajemen dalam mencarikan solusi dari suatu masalah, Kemampuan untuk memberikan konsultasi dan merekomendasikan mengatasi suatu masalah bagi auditor internal dapat diperoleh melalui pengalaman bertahun- tahun dengan melakukan audit berbagai fungsi/bagian di perusahaan dan pendidikan audit yang berkelanjutan, Konsultasi internal saat ini merupakan aktivitas yang sangat dibutuhkan oleh manajemen puncak yang periu dilakukan oleh auditor internal, Selain sebagai konsultan, auditor internal harus mampu_berperan scbagai katalisator yaitu memberikan masukan kepada manajemen melalui saran-saran yang bersifat konstruktif dan dapat diimplementasikan bagi perkembangan dan kemajuan perusahaan. Auditor internal tidak ikut dalam kegiatan operasional perusahaan, namun turut serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikan kepada manajemen operasional. Ruang lingkup kegiatan audit semakin luas, pada saat ini tidak hanya audit keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi juga semua aspek yang berpengaruh terhadap kinerja perusahaan dan pengendalian manajemen serta memperhatikan aspek risiko bisnis dan risiko manajemen, Orientasi audit saat kini menuju ke arah audit yang berdasarkan atas risiko (risk based auditing), situasi saat ini akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks dalam menghadapi persaingan. Manfaat yang diperoleh dengan menerapkan audit internal berbasis risiko sebagai berikut: + Manajemen telah melakukan identifikasi, menilai dan melakukan perlakuan risiko di atas dan di bawah risk apetite (selera risiko).132 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua + Mengelola risiko lebih efektif namun tidak berlebihan dalam mengelola risiko yang tidak berada dalam risk appetite. + Apabila risiko residual tidak sesuai dengan risk appetite, segera dilakukan perlakuan (treatment) untuk memperbaiki agar sesuai dengan risk appetite. + Efektivitas tanggapan dan penyelesaian tindakan risiko yang disarankan internal audit untuk memastikan fungsi atau unit dalam perusahaan terus beroperasi secara efektif. + Memastikan tanggapan dan tindakan terhadap risiko-risiko yang disarankan oleh audit internal telah dilaporkan secara baik dan benar. Audit internal perlu dilakukan untuk memberikan kepastian dan jaminan terhadap Masifikasi risiko, proses manajemen risiko, pengelolaan risiko-risiko termasuk efektivitas pemantauan dan pengendalian serta pelaporan risiko dengan akurat dan efektif. Tujuan audit internal untuk memastikan pengendalian internal proses bisnis perusahaan berjalan dengan tepat, sehingga kegiatan audit internal secara independen melaporkan bahwa pengendalian internal beroperasi dengan benar. Sclama ini audit internal memiliki kesan hanya berkaitan dengan pengendalian keuangan, sehingga tidak sedikit manajer perusahaan sering menganggap pengendalian merupakan tanggung jawab akuntan dan auditor. Manajer dapat mengamati dan melihat bagaimana risiko dapat secara langsung mempengaruhi kinerja para manajer dan merupakan tanggung jawab manajer (risk owener) untuk mengelolanya. Audit internal dapat diartikan memberikan pendapat yang independen dan obyektif kepada manajemen perusahaan apakah risiko dikelola ke tingkat yang dapat diterima sesuai risk apetite, Audit internal harus + Independen: fungsi/unit yang melaksanakan kegiatan audit internal harus berada di luar hierarki manajemen normal, idealnya bertanggung jawab kepada dewan eksekutif dengan garis pelaporan yang langsung kepada ketua komite audit. + Objektif: obycktifitas adalah keadaan pikiran atau pendapat yang tidak tergantung pada pimpinan anda. Pendapat harus didasarkan pada fakta nyata yang dapat diverifikasi dan tanpa bias. + Opini: Tujuan dari audit internal adalah tentang memberi tahu kepada manajemen dan para pemangku kepentingan, apakah risiko telah dikelola dengan efektif dan baik. Pendapat audit internal bisa baik atau buruk tentang pengelolaan risiko di perusahaan. + Organisasi: Sekelompok orang dengan aset pendukung memiliki tanggung jawab kepada pemangku kepentingan, Misalnya, pihak eksternal, seperti pemegang saham atau pemerintah. Organisasi seperti itu biasanya harus menyiapkan laporan keuangan dan profile risiko, dan perangkat pendukung Jainnya untuk pemangku kepentingan.Bab 7 - Audit Internal Berbasis Risiko 133 + Manajemen: Kelompok orang yang bertanggung jawab atas peran dan pelaksanaan operasi perusahaan yang efektif dan tepat. Manajemen bertanggung jawab untuk memastikan pengelolaan risiko dengan efektif dan benar. + Dikelola: Risiko dikelola dengan menggunakan proses perlakuan risiko yang telah dilakukan strategi seperti transfer dan mitigasi risiko, + Dapat diterima: Ini berarti bahwa proses perlakuan dalam mengelola risiko ke tingkat yang dianggap wajar oleh manajemen yang dikenal sebagai selera risiko (risk apetite) perusahaan. Auditor internal harus memahami risk apetite (sclera risiko) sehingga dapat mengukur signifikansi risiko tersebut. Manajemen harus dapat meyakinkan dewan direksi bahwa manajemen telah mengelola risiko dan selera risiko (risk apetite). Dewan direksi yang menetapkan risk appetite dan audit internal harus menerima penetapan tersebut, meskipun risk apetite kadang dianggap terlalu tinggi atau rendah. Dewan direksi memiliki tanggung jawab kepada para pemangku kepentingan dengan mematuhi Undang-Undang dan regulasi yang mengharuskan untuk mempertahankan sistem pengendalian internal yang tepat. 7.2 Tahapan melaksanakan RBIA TAHAP 1: MENILAI KEMATANGAN RISIKO (RISK MATURITY) PERUSAHAAN ‘Menilai kematangan risiko (risk maturity) perusahan untuk memperoleh gambaran menyeluruh sejauh mana dircksi dan manajemen dalam menentukan, menilai, mengelola dan memantau risiko-risiko yang ada di perusahan, Hal ini memberikan indikasi terhadap keandalan register risiko untuk tujuan perencanaan audit. Ada tiga tujuan untuk tahap ini, diantaranya: a. Menilai kematangan risiko perusahaan. b. Membuat laporan kepada manajemen dan komite audit mengenai penilaian kematangan risiko perusahaan, ¢. Menyetujui terhadap strategi pelaksanaan audit. Proses yang dilakukan untuk mencapai tujuan menilai tingkat kematangan risiko dengan cara : A. Diskusikan pemahaman risk maturity dengan direksi dan manajer senior. + Tentukan apa yang telah dilakukan untuk meningkatkan risk maturity perusahaan dengan pelatihan, lokakarya risiko, kuesioner tentang risiko dan wawancara dengan para manajer sebagai pemilik risiko. + Menentukan apakah para manajer telah mengisi register risiko sudah benar dan komprehensif.134 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua + Mendiskusikan pemahaman tentang manajemen risiko telah menjadi budaya perusahaan sehingga para manajer merasa bertanggung jawab tidak hanya ‘untuk mengidentifikasi, menilai dan melakukan perlakuan risiko, tetapi juga melakukan memantau kerangka kerja manajemen risiko. Perusahaan harus tunduk dan patuh terhadap kebijakan perusahaan terkait dengan penerapan manajemen risiko dan mengukur tingkat kematangan risiko di perusahaan. Apabila tingkat kematangan risiko pada perusahaan masih rendah, artinya para pegawai memiliki pemahaman sadar risiko juga rendah schingga tidak perduli terhadap risiko perusahaan. Salah satu indikasi rendahnya tingkat kematangan risiko perusahaan, perusahaan memiliki daftar risiko dan profile risiko yang kurang baik dan tidak benar. Kondisi ini akan menyulitkan dalam mengimplementasikan audit internal berbasis risiko. Sebelum melakukan audit berbasis risiko, auditor harus memastikan bahwa profile risiko sudah baik dan benar. Dalam melakukan aktivitasnya, audit internal tidak boleh menentukan kejadian risiko (risk event) tanpa melibatan pemilik risiko atau merubah daftar risiko yang telah ada. Tujuannya agar supaya persepsi bahwa audit internal bertanggung jawab atas pembuatan daftar risiko dan profile risiko dapat dihindarkan dan juga untuk mencegah konflik kepentingan (conflic of interest). Mendapatkan Dokumen-Dokumen Terkait Dengan: + Tujuan dari perusahaan. + roses mengidentifikasi risiko yang menghambat tujuan perusahaan + Bagaimana menganalis risiko terhadap dampak dan probalitas. + Risk appetite yang telah disetujui direksi dalam penilaian yang menggunakan risiko yang melekat (inherent risk) dan risiko residual (residual risk). + Bagaimana proses pengambilan keputusan manajemen (direksi) dengan mempertimbangkan risiko. + Proses pelaporan risiko-risiko pada berbagai tingkat kegawatan risiko di fungsi/unit dalam perusahaan pada risk register. + Sumber-sumber informasi yang digunakan oleh manajemen dan dewan untuk memantau kerangka kerja (framework) secara efektif untuk mengelola risiko dalam rise appetite. + Sctiap penilaian kematangan risiko perusahaan dan dokumen lainnya yang menunjukkan komitmen direksi untuk penerapan manajemen risiko. Menilai dan Melaporkan Kematangan Risiko (risk maturity) Dokumen dan informasi yang telah dikumpulkan untuk menilai kematangan risiko perusahaan dengan melihat dan menilai risiko-risiko yang ada pada fungsi/unit. Melaporkan risk maturity perusahaan akan memberikan penilaian bahwa proses manajemen risiko telah dilaksanakan dengan efektif sesuai dengan pencatatanBab 7 - Audit Internal Berbasis Risiko 135 dan pelaporan risiko, serta melaporkan apabila sistem pengendalian internal perusahaan dan pengawasan dewan belum berjalan dengan efektif. Hasil laporan tersebut, manajemen dapat menyarankan dan memerintahkan audit internal untuk melakukan perbaikan dan meningkatkan proses manajemen risiko. D. Strategi Audit Risiko Strategi audit dipilih tergantung pada risk maturiy perusahaan. Perusahaan akan mendapatkan keuntungan dari beberapa aspek dari strategi audit. Audit internal dapat membantu meningkatkan manajemen risiko dan proses tata kelola perusahaan dengan melaporkan penilaian terhadap rist maturiy perusahaan kepada manajemen, Strategi audit untuk risiko yang dikelola perusahaan dapat memberikan kepastian terhadap proses manajemen risiko yang dinilai audit internal telah berjalan dengan cfektif. Audit internal harus merencanakan untuk memberikan kepastian bahwa proses pengendalian telah bekerja sesuai dengan tujuan atau standar yang telah ditetapkan. Strategi audit juga memberikan konsultasi kepada pemilik risiko dimana audit internal menyisihkan waktu untuk meningkatkan pengenalan proses manajemen risiko di perusahaan schingga tujuan untuk memastikan risk maturity perusahaan telah meningkat dan berjalan dengan efektif. Audit internal juga harus melakukan pendekatan kepada karyawan perusahaan agar mereka ada rasa memiliki dan merupakan bagian dari proses penerapan manajemen risiko untuk kepentingan bersama agar terus dipertahankan serta ditingkatkan. Kegiatan konsultasi sebagai layanan konsultasi yang memiliki sifat dan ruang lingkup yang telah disepakati dengan manajemen dimana pencrapan manajemen risiko tetap merupakan tanggung jawab manajemen. TAHAP 2: PERENCANAAN PEMERIKSAAN PERIODIK ‘Tujuan perencanaan pemeriksaan periodik adalah untuk memastikan semua proses manajemen risiko yang telah dilakukan sesuai dengan masukan dari audit internal, telah berjalan objektif. Perencanaan pemeriksaan periodik merupakan kegiatan rutin dilakukan, dimana rencana audit yang berisi semua audit yang akan dilakukan selama jangka waktu tertentu. Audit internal berbasis risiko bukan tentang mengaudit risiko saja, tetapi tentang mengaudit manajemen risiko, sehingga fokus pada proses yang diterapkan oleh tim manajemen terhadap masing-masing risiko dan proses yang digunakan untuk menilai risiko serta memantau apakah rencana manajemen risiko terkait dengan perlakuan risiko telah dilaksanakan sesuai dengan rencana, selanjutnya hasil audit dilaporkan kepada dewan direksi.Perencanaan pemeriksaan periodik membutuhkan informasi, schingga dilakukan beberapa langkah agar dapat dilaksanakan dengan baik dan benar.136 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua Langkah pertama dengan memberikan latar belakang yang diperlukan untuk memahami bagaimana manajemen mengidentifikasi, mengevaluasi risiko dan bagaimana informasi yang dibutuhkan dicatat di rist register, dokumen yang dilampirkan, acara tanggapan, pemantauan dan pengendalian, Dokumen yang diperlukan seperti; + Tanggapan dari manajemen terhadap pengelolaan risiko terutama risko yang, memiiliki tingkat kegawatan yang tinggi. + Tindakan yang diambil untuk menambah, menghapus atau mengubah tanggapan yang ada di mana pemilik risiko tidak memitigasi risiko sesuai dengan risk appetite. + Pengendalian dan pemantauan yang digunakan oleh manajemen untuk memastikan bahwa semua clemen dari kerangka kerja manajemen risiko telah berjalan sesuai dengan ketentuan yang berlaku. Audit internal juga harus memperoleh pengarahan dari komite audit dan tim manajemen terkait dengan aktivitas audit internal agar proses audit sesuai sasaran yang. Peran audit internal bukan untuk mengidentifikasikan risiko dan mengisi risk register, tetapi untuk dapat menafsirkannya dan menilai apakah perencanaan perlakuan risiko telah dilaksanakan dengan baik dan benar schingga proses penerapan manajemen dapat berjalan efektif. Agar proses penerapan manajemen dapat berjalan efektif perlu dilakukan perencanaan auidit. Langkah yang dilakukan untuk mencapai tujuan perencanaan audit; A. Identifikasi Identifikasi tanggapan dan proses manajemen risiko dengan obycktif dan melihat daftar semua tanggapan secara obycktif dan informasi tentang risiko yang terkait. Audit internal harus memastikan pada bagian proses dari kerangka kerja manajemen risiko. Proses yang digunakan untuk mengidentifikasi dan menilai risiko dan untuk ‘memutuskan tanggapan yang sesuai. Proses pelaporan risiko di seluruh proses bisnis perusahaan serta memantau dan mengontrol proses-proses tersebut. Komite audit memastikan bersifat objektif dari hasil audit internal pada semua proses manajemen risiko serta memastikan kuantitas, keterampilan dan kompetensi audit internal memiliki spesialis khususnya pengetahuan manajemen risiko. Kategori dan Prioritas Risiko. Risiko harus dilakukan kategori dengan membuat pengelompokan risiko menjadi urutan logis sehingga banyak membantu dalam menyusun rencana audit. Kategori unit bisnis berguna untuk proses penerapan manajemen risiko, dimana perusahaan ‘memiliki sejumlah unit usaha mandiri secara fisik, prosedur dan sistem. KategoriBab 7 - Audit Internal Berbasis Risiko 137 fungsi atau sistem seperti penjualan, pembclian, atau kontrol persediaan. Hal ini berguna dalam perusahaan yang besar dengan sistem terpadu. Audit internal harus memprioritaskan tanggapan yang harus diaudit. Karakteristik penting dari RBIA adalah bahwa selalu prioritas dengan mengacu pada ukuran risiko dan kontribusi respon membuat untuk mengelola risiko, Daftar prioritis berguna termasuk: + Ukuran risiko yang melekat (inherent rst): prioritas. + Kontribusi dan upaya perlakuan risiko yang maksimal untuk mengurangi risiko, semakin tinggi prioritas. + Kategori risiko di mana merupakan masukan komite audit. emakin besar risiko, semakin tinggi Menghubungkan Risiko Penugasan Audit. Dua metode dapat digunakan untuk menghubungkan risiko penugasan audit: a. Kelompok risiko, misalnya dengan unit bisnis, tujuan, fungsi atau sistem dan memutuskan audit yang akan memberikan tanggapan, Metode ini memiliki keuntungan bahwa pengelolaan semua risiko akan dibahas, tapi mungkin sulit untuk menentukan unit pemeriksaan yang memuaskan preferensi perusahaan untuk ukuran audit seperti jumlah staf audit. b, Audit universal mengalokasikan setiap audit untuk risiko unit bisnis. Metode ini memiliki keuntungan yang mencakup satu lokasi fisik dalam satu kunjungan dan memungkinkan unit audit yang sesuai dengan ukurannya. Dapat dimungkinkan membutuhkan pemeriksaan tambahan untuk memastikan bahwa pengelolaan semua risiko telah diaudit. Langkah ini akan menghasilkan daftar penugasan audit. Prioritas setiap audit berasal dari ukuran proses manajemen risiko yang menyediakan informasi ini harus terhubung ke daftar kategori risiko dan register risiko perusahaan, Perusahaan juga perlu untuk mengumpulkan dan merekam informasi yang menghubungkan risiko dengan tanggapan hasil audit dan penugasan audit. Menyusun Rencana Audit Periodik. ‘Memperkirakan jumlah hari yang dibutuhkan untuk setiap melakukan audit dan mengidentifikasi proses audit dapat diselesaikan dengan sumber daya yang tersedia, serta memberikan waktu dan ruang lingkup untuk melakukan konsultasi. Audit internal berbasis risiko memperhitungkan sumber daya yang tersedia untuk menyelesaikan pekerjaan audit yang direncanakan. Audit internal dapat mengusulkan penambahan tenaga auditor atau pengurangan jumlah auditor. ‘Semua rencana audit harus telah ditentukan jadwalnya, namun banyak perusahaan menambahkan audit berdasarkan kriteria sclain risiko schingga menambah138 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua audit wajib atau audit yang diminta olch manajemen. Akibatnya rencana audit membutuhkan waktu lebih lama dari jadwal yang telah direncanakan E. Pelaporan Kepada Manajemen dan Komite Audit. Rencana audit periodik harus didiskusikan dengan manajemen dan disampaikan kepada komite audit untuk mendapatkan persetujuan. Rancana audit periodik menyiapkan : + Rincian risiko diberikan dalam melaksanakan audit dari proses manajemen risiko dan rencana tanggapan. + Rincian risiko di mana disediakan tapi berdasarkan pekerjaan audit dari tahun- tahun sebelumnya. + Rincian risiko di mana pekerjaan konsultasi dilakukan untuk membantu manajemen dalam mengurangi risiko agar sesuai dengan risk appetite. + Mengkonfirmasi bahwa rencana audit telah sesuai SOP. TAHAP 3: PENUGASAN AUDIT Audit internal berbasis risiko dalam perencanaan audit berdasarkan register risiko perusahaan, Metodologi yang digunakan untuk melakukan audit internal berbasis risiko agar supaya auditor internal dapat memfasilitasi perbaikan kerangka kerja manajemen risiko dalam perencanaan kerangka audit serta melakukan konsultasi untuk perbaikan dan peningkatan efektifitas penerapan manajemen risiko. Salah satu tujuan kegiatan Konsultasi adalah untuk meningkatkan kematangan risiko (maturity risk) perusahaan dimana kegiatan konsultasi mempunyai sifat dan ruang lingkup yang telah disepakati dengan manajemen. Pengelolaan risiko perusahaan merupakan kebutuhan untuk meningkatkan proses manajemen risiko yang menjadi bagian dari kerangka kerja manajemen risiko. Untuk meningkatkan proses manajemen risiko secara efektif perlu melakukan konsultasi, Melakukan Audit Audit internal berbasis risiko bukan hanya audit risiko saja tetapi juga audit manajemen risiko secara menyeluruh dan komprehensif dimana fokus pada tindakan dan langkah-langkah yang diambil olch tim manajemen untuk mengelola risiko di perusahaan. Auditor internal harus banyak menyediakan waktu dengan parapemilik risiko (risk owener) untuk membahas dan mengamati dan mengendalikan proses penerapkan manajemen risiko. Auditor internal harus berperilaku dengan cara yang memperkuat prinsip dasar bahwa manajemen bertanggung jawab untuk mengelola risiko di perusahaan. Prosedur harus sudah ada untuk memungkinkan auditor internal untuk melaporkanBab 7 - Audit Internal Berbasis Risiko 139 permasalahan yang ditemukan kepada manajemen dan membutubkan pertujuan dari manajemen untuk memperbarui daftar risiko. ‘Tujuan dari tahapan melakukan audit adalah untuk memastikan hubungannya dengan bisnis, kegiatan, atau sistem proses diidentifikasi dalam rencana audit ‘manajemen telah mengidentifikasi, menilai dan melakukan perlakuan risiko di atas dan di bawah risk apetite. perlakuan risiko aktif sesuai dengan strategi risiko, sehingga tidak berlebihan dalam mengelola risiko agar sesuai dengan risk appetite. ketika risiko residual tidak sesuai dengan risk appetite, perlu dilakukan tindakan untuk memperbaikinya agar sesuai dengan risk appetite. cfektivitas tanggapan dan penyelesaian perlakuan risiko dalam proses manajemen risiko, selalu dipantau oleh manajemen untuk memastikan berjalan secara efektif, tanggapan dan perlakuan dari proses manajemen risiko dilaporkan secara benar dan rutinkepada manajemen. Tindakan untuk mencapai tujuan penugasan audit memiliki langkah-langkah sebagai berikut a. ‘Menetapkan ruang lingkup penugasan yang direncanakan. Inj melibatkan auditor internal guna memahami hasil tahapan dan menyusun draft lingkup penugasan. Memperoleh informasi yang relevan termasuk kesimpulan pada tingkat kematangan risiko dan strategi audit yang dihasilkan, judul tugas, dan informasi yang menghubungkan audit terhadap tanggapan terhadap pengelolaan risiko. Menilai kematangan risiko unit yang diaudit. Audit internal menggunakan kriteria untuk menilai kematangan risiko perusahaan harus konsisten dengan yang digunakan dalam tahap sebelumnya dan tugas-tugas lainnya, Tugas tersebut termasuk pengawasan risiko yang teridentifikasi oleh manajemen, yang mungkin membutuhkan sumber daya tambahan atau abli Kesimpulan tugas Kesimpulan dari audit individu harus mengkonfirmasikan atau meragukan penilaian tingkat kematangan risiko (maturity risk), Penilaian awal tingkat kematangan risiko ini mungkin perlu diubah. Jika tingkat kematangan risiko yang sebenarnya lebih baik atau sama dengan tingkat kematangan risiko yang diharapkan, penugasan audit yang dilakukan telah sesuai dengan yang direncanakan. Apabila kondisi sebaliknya, audit internal harus melaporkan hal ini kepada manajemen dengan kesimpulan bahwa tanggapan termasuk dalam ruang lingkup audit tidak bekerja secara efektif,140 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua 4d, Meringkas kesimpulan audit untuk Komite Audit. Ringkasan kesimpulan audit ini harus. + Mendukung kebijakan manajemen risiko yang berlaku untuk perusahaan. + Memenuhi persyaratan piagam audit (Audit Charter). + Jika bukan bagian dari piagam, memberikan opini tentang apakah risiko telah dikelola dengan baik, tujuan untuk memastikan tujuan perusahaan tercapai dan dalam batas yang wajar serta akan dapat dicapai di masa depan. Manfaat dan Kelemahan Audit internal berbasis risiko terkait erat dengan kerangka kerja manajemen risiko, Selama tingkat kematangan risiko perusahaan masih rendah, audit internal harus memberikan laporan kondisi tersebut kepada manajemen dan komite audit schingga segera mengambil tindakan dan kebijakan. Banyak penyebab perusahaan mempunyai tingkat kematangan risiko rendab, salah satunya karena manajer dan direksi belum sepenuhnya memahami dan mendalami kerangka kerja manajemen risiko dengan baik yang merupakan elemen penting dari sistem pengendalian internal, Audit internal perlu melakukan program jangka panjang dari kegiatan manajemen risiko agar tingkat kematangan risiko meningkat. Kerangka kerja manajemen risiko yang efektif akan meningkatkan tata kelola perusahaan dan peluang yang mencapai tujuan jangka panjang. Metodologi audit internal berbasis risiko membuat kontribusi yang jelas dan berharga untuk kerangka kerja manajemen risiko. Memberikan jaminan obyektif dengan memfasilitasi upaya manajemen untuk meningkatkan kerangka kerja dan memastikan bahwa sumber daya internal audit diarahkan menilai pengelolaan risiko yang signifikan. Hubungan Dengan Manajemen Audit internal berbasis risiko membutuhkan keterlibatan manajemen karena proses yang akan dibahas dalam audit di seluruh bagian perusahaan, audit mungkin melibatkan manajer (risk owener) pada unit/fungsi yang belum pernah dikunjungi audit internal. Dalam rangka untuk membahas tanggapan diserahkan untuk mengelola risiko, auditor internal mungkin perlu melibatkan Icbih banyak manajer yang lebih senior daripada yang terlibat dalam audit tradisional, Audit internal berbasis risiko menekankan tanggung jawab manajemen untuk mengelola risiko. Pertemuan dengan manajemen untuk menerima rekomendasi audit internal dan persetujuan manajemen untuk menentukan tindakan atas masukan dari audit internal. Tanggung jawab manajemen untuk audit internal berbasis risiko dapat diimplementasikan secara penuh pada perusahaan yang mengelola tisiko aktif.Bab 7 - Audit Internal Berbasis Risiko 141 Salah satu citi dari tingkat kematangan risiko adalah manajer sebagai pemilik risiko (risk owener) harus mengambil tanggung jawab untuk mengelola risiko. Dalam mengambil tanggung jawab untuk mengelola risiko, manajer memahami bahwa pengendalian risiko bukan tanggung jawab audit internal, tetapi menjadi tanggung jawab penuh pemilik risiko. Aktivitas audit internal memperkuat tanggung jawab manajemen dengan memberikan kontribusi dengan meningkatkan budaya manajemen risiko yang kuat di perusahaan, Audit internal berbasis risiko adalah cara yang efektif untuk mencapai target yang ditetapkan untuk aktivitas audit internal, seperti: + Penyusunan rencana audit yang menjamin aktivitas audit internal memenuhi piagam audit (Audit Charter). + Mendapatkan masukan dari manajemen bahwa dibutubkan tindakan yang tepat untuk mengelola risike dalam risk appetite. + Menjamin penilaian yang obyektif dalam penerapan manajemen risiko, + Menjaga anggaran yang tclah ditetapkan untuk kegiatan pencapaian tujuan perusahaan. Auditor internal membutuhkan lebih banyak orang memiliki kompetensi dan keterampilan bisnis, seperti wawancara, mempengaruhi, memfasilitasi dan memecahkan masalah. Audit universal untuk mencakup semua risiko yang menghambat tujuan perusahaan, sehingga auditor internal dapat memahami dan menyimpulkan risiko pada proses bisnis perusahaan dan tanggap terhadap timbulnya risiko baru. Membutuhkan pengetahuan khusus yang dapat diperoleh sebagai berikut: + Keterampilan menggunakan spesialis sudah tersedia dalam aktivitas audit internal, misalnya auditor komputer. + Memberikan pelatihan khusus untuk auditor dengan keahlian umum, misalnya memberikan pelatihan tentang peraturan dan praktek yang berkaitan dengan manajemen stres untuk auditor yang sudah senior. + Merekrutspesialis sementara atau permanen dari dalam perusahaan, misalnya seorang manajer gudang dari satu anak perusahaan di luar negeri bisa mengaudit proses gudang di dalam negeri. + Menggunakan spesialis dari luar perusahaan, misalnya spesialis treasury.142 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua Gambar 7.1 Alur Audit Risiko dan Audit Universal Kesimpulan dari efektifitas dari testing manajemen risiko oleh Auditor Kesimpulan dari efektifitas dari testing manajemen risiko oleh Auditor lain Kesimpulan dari efektifitas dari testing manajemen risiko dalam Organisasi v Laporan kepada Komite ‘Audit efektifitas dari kerangka kerja manajemen Sumber : Chartered Institute of Internal AuditorsBab 7 - Audit Internal Berbasis Risiko 143 Praktik Audit Berbasis Risiko dan Kinerja Keuangan (Studi Kasus Ethiopian Airlines) ‘Tujuan dari studi ini adalah untuk menentukan praktik audit berbasis risiko dan memeriksa apakah praktik audit berbasis risiko memengaruhi kinerja keuangan dalam kasus perusahaan Ethiopian Airlines (EAL). Perusahaan Ethiopian Airlines telah mengadopsi praktik audit berbasis risiko seperti penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit tindak lanjut, kapasitas audit internal, dan standar audit internal. Studi menjelaskan bahwa audit berbasis risiko telah secara signifikan dan positif ‘mempengaruhi kenaikan laba sebesar 65,4%, Selain itu, indikator kinerja keuangan seperti laba, kilometer kursi yang tersedia, dan pendapatan menunjukkan peningkatan dramatis setelah penerapan audit berbasis risiko. Ini menunjukkan bahwa praktik audit berbasis risiko mempengaruhi kinerja keuangan EAL. Namun, studi menunjukkan bahwa belum semua registrasi risiko ada di fungsi/unit perusahaan, penilaian risiko tidak dilakukan di semua unit kerja perusahaan, tidak ada departemen manajemen risiko yang terpisah dan independen, belum menentukan tingkat selera risiko (risk apetite), kurangnya tenaga kerja yang diperlukan dalam audit internal departemen, pelatihan yang tidak memadai dan program pengembangan untuk auditor internal, dan garis pelaporan eksekutif internal memerlukan pethatian manajemen. Studi ini merckomendasikan manajemen puncak untuk bertanggungjawab untuk meningkatkan praktik audit berbasis risiko dengan mengembangkan buku registrasi risiko di seluruh perusahaan, melakukan penilaian risiko yang memadai, membentuk departemen manajemen risiko, menetapkan selera risiko dan menekankan pada kapasitas departemen audit internal dan jalur pelaporan schingga untuk meningkatkan hasil audit berbasis risiko. Hasil studi menunjukkan laba perusahaan meningkat 65,40 persen karena praktik audit internal berbasis risiko seperti penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit tindak lanjut, standar audit internal, dan kapasitas audit internal serta berkontribusi pada peningkatan indikator kinerja keuangan. Studi dilakukan tidak hanya praktik audit internal berbasis risiko yang telah memengaruhi kinerja keuangan, tetapi juga meningkatkan pencapaian tujuan perusahaan EAL. Dengan kata lain mendukung teori kontingensi, bahwa hasil yang diperoleh dari variabel pelengkap lainnya digabungkan sebagai keselarasan dengan budaya perusahaan dan strategi jangka panjang perusahaan144 Manajemen Risiko Pasar Moda ISO 31000:2018) edisi dua Ada beberapa temuan yang terjadi di Ethiopian Airlines (EAL) setelah dilakukan audit internal berbasis risiko. + Risk apetite perusahaan EAL belum menentukan tingkat di mana perusahaan dapat menerima risiko. + Bagian manajemen risiko di EAL belum independen dalam memberikan laporan guna meningkatkan budaya dan penerapan manajemen risiko di unit kerja + Audit internal tidak dilibatkan dalam persiapan rencana audit berbasis risiko, sehingga manajemen tidak memberikan laporan penilaian risiko dan dokumen yang diperlukan seperti manual prosedural kebijakan sebagai input dalam persiapan rencana audit berbasis risiko. + Beberapa permasalahan hasil temuan audit berbasis risiko sebagai berikut : a. Kurang komitmen dari fungsi/unit kerja di EAL untuk memberikan informasi yang nyata dan benar schubungan dengan proses pelaksanaan temuan audit. Akibatnya, perbedaan pendapat terjadi antara auditor internal dengan para manajer sebagai pemilik risiko. b, Departemen audit internal tidak memiliki staf yang memadai dibandingkan dengan beban kerja di kantor pusat dan cabang di mana tempat tiket penerbangan dijual. Disamping itu, kurangnya_pelatihan yang memadai dan pengembangan profesional untuk auditor internal ¢. meskipun laporan audit dikomunikasikan dalam kerangka kerja, namun ringkasan temuan audit dan risiko yang signifikan tidak dikomunikasikan secara berkala ke manajemen puncak. 4. Pimpinan audit internal melaporkan kepada CFO dan dewan komite audit, Ini menyiratkan bahwa departemen audit internal merusak independensinya. menyatakan bahwa, pimpinan audit internal harus secara administratif melapor kepada CEO dan secara fungsional ke dewan komite audit. Rekomendasi Temman Audit + Manajemen EAL harus menekankan pada peningkatan penerapan penilaian risiko di semua unit kerja perusahaan. Saat ini menunjukkan bahwa risiko dan pengendalian yang diharapkan, tidak diidentifikasi dan didokumentasikan dengan baik di semua unit kerja EAL. + Manajemen EAL harus mendefinisikan dan menetapkan risk appetite perusahaan sesuai dengan tingkat risiko. Risk apetite membantu para manajer untuk mengelola risiko dalam profil risiko perusahaan. + Manajemen EAL harus membentuk struktur departemen manajemen risiko yang terpisah dan independen yang melakukan pekerjaan fasilitasi manajemenBab 7 - Audit Internal Berbasis Risiko 145 risiko secara terpusat untuk meningkatkan budaya manajemen risiko di EAL dan memperkuat penerapan manajemen risiko. + Manajemen EAL harus terlibat dalam proses penyusunan rencana audit berbasis risiko dengan menyediakan bahan-bahan yang diperlukan seperti prosedur kebijakan masing-masing unit kerja dan laporan penilaian risiko. Ini akan membantu auditor internal untuk menyiapkan rencana audit berbasis risiko komprehensif untuk memfasilitasi efektivitas departemen audit internal. + Manajemen EAL harus menindakanjuti hasil proses audit dengan memberikan informasi yang relevan tentang temuan audit untuk dilaksanakan. Hal ini membantu auditor untuk mengevaluasi program audit dan tindak lanjut berupa rencana aksi tentang temuan audit. + Manajemen EAL harus mengoptimalkan kapasitas dan sumber daya departemen audit internal dengan mempekerjakan tenaga kerja yang diperlukan dan memiliki kompetensi untuk memperkuat departemen terkait dengan beban kerja di kantor pusat dan cabang di mana tiket penerbangan dijual. + Manajemen EAL harus menciptakan kondisi di mana auditor internal memberikan layanan konsultan yang independen dan obycktif sesuai dengan standar audit internal, Saat ini, departemen audit internal tidak independen terkait dengan jalur pelaporan kepada CFO. Pimpinan audit internal harus secara administratif melapor kepada CEO dan secara fungsional ke dewan komisaris. + Departemen Audit Internal EAL harus merangkum temuan audit yang signifikan terhadap risiko dan melaporkan ke manajemen puncak secara berkala, + Manajemen EAL harus meningkatkan penerapan audit berbasis risiko untuk meningkatkan kinerja keuangan perusahaan, Penerapan audit berbasis risiko terjadi peningkatan laba pada tingkat 65,4%. Selain itu, dari hasil statistik, laba, nada kilometer yang tersedia, kilometer kursi yang tersedia, dan pendapatan perusahaan menunjukkan peningkatan yang kuat setelah adopsi audit berbasis risiko. + Manajemen EAL harus melakukan analisis penawaran dan permintaan sehubungan dengan tingkat kilometer kursi yang tersedia karena kelebihan kapasitas mengakibatkan kerugian karena biaya tetap yang lebih tinggi. Kondisi tersebut telah memengaruhi laba secara negatif pada tingkat 3,4%. + Manajemen harus mengawasiefisiensi biaya operasi karena hal itu berdampak negatif pada laba pada tingkat 3,26%.