BAB 14 2
S880 eeeenee
RISK BASED INTERNAL
AUDIT
Perkembangan manajemen risiko menghendaki pula adanya perubahan
orientasi pemeriksaan (audit) internal pada sektor perbankan Pemeriksaan
intemal (audit intern) seperti yang didefinisikan oleh The Institute of Internal
Auditors (1991) adalah
“Internal auditing is an independent, objective assurance and
consulting activity that add value to and improves an organization's
operations. It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate and improve
the effectiveness of risk management control and governance
processes”
Berdasarkan definisi di atas maka salah satu tanggungjawab audit intern adalah
menerapkan pendekatan terstruktur untuk mengevaluasi dan meningkatkan
efektivitas proses manajemen risiko, pengendalian dan tata kelola organisasi.
Perubahan yang cukup mendasar tentang tujuan kegiatan audit intern
pada definisi terbaru Internal Auditing sejak Juni 1999 adalah dari ‘to examine
and evaluate” pada definisi lama menjadi ‘to add value and improve" pada definisi
baru. Pendekatan yang dapat dilakukan oleh fungsi audit intern untuk dapat
memberikan nilai tambah adalah dengan mengimplementasikan risk based
RISK BASED INTERNALAUDIT 155auditing. Auditor bekerjasama dengan manajemen untuk mengidentifikasi dan
menilai risiko bisnis, Selanjutnya tugas utama fungs! audit intern melakukan
evaluasi terhadap implementas! dan kinerja proses manajemen risiko
14.1 Risk Based Auditing :
Maribeth A Wollard memberikan definisi risk based auditing sebagai
berikut:
“Risk based auditing can be defined as identifying the risk of material
misstatement in areas of the financial statement and subsequently
determining the most efficient and appropriate effort to be applied to each
area, First, the auditor needs to identify areas where there is a high risk of
material mistatement; those are the areas that will require the application
‘of more procedures. Secondly, the auditor should determine how to reduce
the procedures applied to the areas identified as low risk. In addition the
following should also be analyzed to identify the risk of material
mistatement: (1) the client's business risk (risk that an event will adversely
affect the company's goals and objectives, (2) how management mitigates
those risks, and (3) the areas of risk that management has not addressed
at all”
Definisi di atas dilatar belakangi oleh audit laporan Keuangan dan tujuan
audit laporan keuangan yang lebih dititikberatkan pada identifikasi risiko salah
saji material dalam pos-pos laporan keuangan. Tujuan manajemen atas laporan
keuangan menyajikan secara wajar posisi keuangan sehingga risiko yang
dihadapi oleh manajemen adalah risiko salah saji dan manajemen perlu menekan
risiko. a
Auditor seharusnya menjadikan manajemen sebagai sasaran audit
sehingga dapat memahami bagaimana manajemen mengidentifikasi tisiko yang
mereka hadapi. Dengan mengenali risiko yang dihadapi manajemen akan
membuat auditor lebin mampu mengklasifikasikan area audit berdasarkan risiko
sehingga nantinya dapat memfokuskan audit pada area yang mempunyai risiko
tinggi.
Salah satu model risk based auditing yang dapat digunakan adalah model
yang diperkenalkan oleh The Commitee of Sponsoring Organizations of the
Treadway Commissions (COSO). Model COSO menggambarkan pendekatan
156 MANAJEMEN RISIKO PERBANKANPengendalian intern dari perspektif tujuan organisasi, risiko yang dihadapi dalam
mencapai tujuan organisasi dan selanjutnya pengendalian yang diperiukan untuk
menekan risiko. Manajemen berlanggungjawab untuk menentukan tujuan
organisasi yang hendak dicapai serta berupaya mencapainya secara optimal
dengan menggunakan sumber daya yang tersedia,
Upaya manajemen untuk mengidentifikasi risiko dan menekan tisiko serta
mengoptimalkan kesempatan tersebut biasa dikenal dengan manajemen risiko.
Dalam risk based auditing, auditor melakukan tahan-tahapan sebagai berikut:
a. Mengidentifikasi tujuan organisasi
b. Menilai risiko dengan cara mengidentifikasi risiko dan mengukur risiko
c. Menetapkan prioritas dalam usaha meminimalisasi risiko
d. Memahami upaya yang sudah dilakukan manajemen untuk
meminimalisasi risiko yang ada.
Dengan demikian rencana audit didesain untuk mengalokasikan waktu lebih
banyak pada area yang berisiko tinggi dan mempunyai skala kepentingan yang
tinggi bagi tujuan organisasi. Waktu lebih sedikit akan dialokasikan pada area
yang mempunyai skala kepentingan yang rendah dan berisiko rendah.
Auditor mengidentifikasi risiko residual (residual risk) setelah
mempertimbangkan pengendalian intern yang ada. Dalam audit keuangan setiap
area yang berpotensi tinggi mengandung risiko residual akan dijadikan sebagai
fokus pengujian pengendalian dan menentukan kecukupan pengujian substantif
untuk memenuhi risiko audit yang dapat diterima (acceptable audit risk) .
Sedangkan dalam audit operasional, risiko residual ini menggambarkan area
signifikan yang dapat menjadi fokus audit dan memberi masukan kepada
‘manajemen tas risiko yang ada , perbaikan terhadap pengendalian yang ada
dan upaya untuk menekan risiko tersebut.
14.2 Risk Based Auditing dan Audit Konvensional
Penerapan risk based auditing bukan berarti menggantikan pendekatan
audit konvensional yang selama ini dilakukan, Seperti misalnya dalam audit
laporan keuangan, pelaksanaan audit menggunakan pendekatan risk based
auditing adalah tetap bertujuan untuk menilai kewajaran penyajian laporan
keuangan. Perbedaan risk based auditing dengan konvensional auditing terletak
pada metodologi yang digunakan. Pada risk based auditing auditor mengurangi
RISK BASED INTERNAL AUDIT 157fokus perhatian pada transaks! individual
dan proses bisnis organisasi.
{dan lebih mamfokuskan pada sister
Menurut Audittindo Education (2006), ada selumlah ea antara
pendekatan risk based auditing dan pendekatan audit konvensional dilihat darj
beberapa dimensi:
14.2.1 Sudut Pandang Auditor
Audit Konvensional
Risk Based Auditing
a, Perhatian auditor dititikberatkan
pada risiko manajemen dalam
kaitannya dengan pencapaian
tujuan audit dimana auditor akan
melakukan analisis atas fisiko
manajemen yang mempengaruhi
tujuan audit
b. Dalam audit laporan keuangan,
auditor akan menilai_risiko
kemungkinan terjadinya selah
sai dengan melihat pada
memadai atau tidaknya
Pengendalian intem yang ada
untuk menekan risiko tersebut.
c. Semakin memadai pengendalian
intem maka pengujian dan
pembuktian audit yang akan
dilakukan semakin berkurang,
d. Perhatian auditor adalah menilai
‘sejauh mana pengendalian intern
yang ada mampu menekan risiko
salah saji laporan keuangan
‘a. Perhatian auditor diftkberatkan
pada penilaian risiko (risk
asessment) dimana auditor
menilai risiko bukan hanya
semata-mata untuk menentukan
luas lingkup pengujian audit
namun juga untuk menilai risiko
atas kelangsungan dan
perkembangan bisnis organisasi,
b. Berbeda dengan audit
konvensional dimana auditor
menilai pengendalian intem yang
ada apakah dapat mengurangi
risiko audit, dalam risk based
auditing selain melakukan apa
yang pada umumnya dilakukan
auditor konvensional, auditor
juga melakukan identifikasi risiko
bisnis yang ada —_untuk
selanjutnya diberitahukan
kepada manajemen.
1158 _MANAJEMEN RISIKO PERBANKAN442.2 Kerangka Waktu
Audit Konvensional
pada kejadian dan kondisi masa
lalu yang mempunyai pengaruh
terhadap tujuan audit
Risk Based Auditing
Auditor ~~ membuat_gambaran
Skenario atas risiko di masa kini
dan tisiko di masa yang akan
datang yang akan berpengaruh
pada —_pencapaian tujuan
organisasi,
b. Risk based auditing berfokus
pada masa depan, hal yang lebih
dirasakan
Penting bagi
stakeholders,
c. Dalam memberikan rekomendasi
audit, auditor akan
menitikberatkan pada
Pengeloaan tisiko (risk
Management) selain pada
manajemen pengendalian,
d. Dalam laporan audit, auditor ebin
menitkberatkan pada
Pengungkapan proses yang
memiliki risiko selain pada
berfungsi atau tidaknya suatu
Pengendalian.
RISK BASED INTERNAL AUDIT 159
we14.3.2 Pusat Perhatian
Audit Konvensional
Risk Based Auditing
‘a. Menitikberatkan pada _ sistem
akauntansi dan transaksi_rinci
yang dihasilkan oleh sistem
akuntansi.
b. Auditor melakukan — pengujian
tethadap semua komponen dari
laporan keuangan, memastkan
bahwa setiap transaksi sudah
dicatat secara lengkap dan
akurat.
c. Dengan kata lain auditor
menggunakan metode bottom-up
untuk — menentukan —_tingkat
kesehatan sebuah pohon dengan
‘a. Auditor menggunakan metode
top-down — untuk menentukan
tingkat kesehatan sebuah pohon
dengan mengidentifikasi dan
memperhatikan ranting yang
nampak terkena penyakit.
b. Auditor mencoba memahami
model dan proses _ bisnis
organisasi, yang selanjutnya
akan digunakan untuk
mengidentifikasi area yang
berisiko dapat mempengaruhi
laporan keuangan dan
memfokuskan area tersebut.
melihat kondisi dari setiap daun,
14.3 Metode Penilaian Risiko Obyek Audit
Identiikasi risiko dan penilaian tisiko bertujuan untuk menentukan risiko
yang signfikan yang berkaitan dengan obyek audit. Ada tiga tahap yang harus
dilakukan antara lain: (1) melakukan analisis dampak, (2) melakukan analisis
kecenderungan, dan (3) penentuan prioritas jen risiko.
14.3.1 Analisis Dampak
Analisis dampak dilakukan untuk memperoleh tingkat risiko yang dapat
memberi dampak dan mempengaruhi pencapaian tujuan atau sasaran Bank.
Analisis dampak terhadap jenis risiko diperoleh dari sejumlah indikator faktor
risiko yang digunakan untuk menghitung tingkat risiko berdasarkan 8 (delapan)
jenis risiko sesuai dengan tingkal relevansinya.
160 —MANAJEMEN RISIKO PERBANKANTabel 14.1 Relevansi Indiktor Risiko per Jenis Risiko
No | Jenis Risiko Indikator Risiko yang Relevan
1 | Risiko Kredit Jumlah 14 indikator risiko
Risiko Pasar Jumlah 6 indikator risiko
3 _ | Risiko Likuiditas Jumlah 8 indikator risiko
4 | Risiko Operasional Jumlah 17 indikator risiko
5 | Risiko Hukum Jumlah 6 indikator risiko
6 _| Risiko Reputasi dumlah 11 indikator risiko
7 _ | Risiko Strategik Jumlah 8 indikator risiko
8 | Risiko Kepatuhan Jumlah 6 indikator risiko
Analisis dampak risiko dari hasil klasifikasi jenis risiko pada obyek audit dilakukan
dengan cara sebagai berikut:
a. Menjumlahkan nilai (skor) masing-masing indikator faktor risiko dibagi
dengan jumlah seluruh indikator faktor risiko sehingga diperoleh rila
rata-rata indikator faktor risiko.
b. _Nilai rata-rata indikator faktor risiko ini dikalikan dengan bobot porsentase
dari masing-masing jenis risiko sehingga diperoleh nilai risiko.
c. Nilai risiko untuk setipa jenis risiko dikelompokkan kedalam rentang
risiko rendah (skor 1), risiko sedang (skor 2) , dan risiko tinggi (skor 3).
Bobot prosentase masing-masing jenis risiko tersebut dihitung berdasarkan
perbandingan relatif indikator risiko terhadap jumlah indikator risiko dengan rincian
sebagai berikut:
RISK BASED INTERNALAUDIT 161Tabel 14.2 Bobot Prosentase Setiap Jenis Risiko
[No] Jenis Fisko Janiah Indkator | Proesentase
1 | Riso Kredit T14 18.42%
2 | Risko Pasar 6 7896
3. | Risiko Likuiditas 8 10.53%
4 | Risiko Operasional 7 22.37%
5 | Ristko Hukum 6 789%
6 _ | Risiko Reputas! 1" 14.47%
7 | Risiko Strategik 8 10.53%
8 _| Risiko Kepatuhan 6 789%
Jumlah 16 100.0%
Dari tabel 13.2 di atas dapat diketahui bahwa jenis risiko yang mempunyal bobot
tertinggi ada pada jenis risiko operasional dengan bobot prosentase 22.37%
Hal ini dikarenakan jenis risiko operasional memiliki jumlah indikator risiko
terbanyak dengan 17 indikator faktorrisiko
14.3.2 Analisis Kecenderungan
Analisis kecenderungan digunakan untuk mengetahui frekuensi terjadinya
kejadian yang didentikasikan sebagai isto. Frekuensi kejacian dapat ciperoleh
dari temuan audit periode yang lalu. Selanjutnya dari temuan audit yang lalu
diklasifikasikan kedalam 8 jenis risiko. Namun demikian analisis kecenderungan
dapat pula dilakukan dengan menguji pengendalian yang diperoleh lewat
kuesioner. Hasil analisis kecenderungan per jenis risiko lalu dikelompokkan
menjadi risiko rendah(skor 1), risiko sedang (Skor 2), dan tisiko tinggi(skor 3).
14,3.3 Penentuan Prioritas Jenis Risiko
Penentuan prioritas jenis risiko diperoleh dengan membandingkan antara
level dampak dengan level kecenderungan yang digambarkan dalam kuadran
mattik seperti di bawah ini:
162 _MANAJEMEN RISIKO PERBANKANGambar 14.1 Matiik Penentuan Prioritas Jenis Risiko
T(ML) 2 (WH)
(impact) mo) 1) 1 (ML) 2 (A)
Risiko 1 2 IM) a)
Kecenderungan (Likelihood)
Ket: H high risk (risiko tinggi)
M:moderat e risk (risiko sedang) terditi dari
- MH moderate to high risk ( sedang dgn kecenderungan tinggi)
~ ML moderate to low (sedang dgn kecenderungan rendah)
L. : low risk (risiko rendah)
Berdasarkan pada matrik ini maka audit harus menitik beratkan pada obyek
audit yang memiliki risiko tinggi (H) dan risiko sedang dengan kecenderungan
tinggi (MH). pada area ini harus dilakukan pengujian subtantif yang lebih dalam
dan skop lebih luas.
RISK BASED INTERNAL AUDIT 163