BAB 14 2 S880 eeeenee RISK BASED INTERNAL AUDIT Perkembangan manajemen risiko menghendaki pula adanya perubahan orientasi pemeriksaan (audit) internal pada sektor perbankan Pemeriksaan intemal (audit intern) seperti yang didefinisikan oleh The Institute of Internal Auditors (1991) adalah “Internal auditing is an independent, objective assurance and consulting activity that add value to and improves an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management control and governance processes” Berdasarkan definisi di atas maka salah satu tanggungjawab audit intern adalah menerapkan pendekatan terstruktur untuk mengevaluasi dan meningkatkan efektivitas proses manajemen risiko, pengendalian dan tata kelola organisasi. Perubahan yang cukup mendasar tentang tujuan kegiatan audit intern pada definisi terbaru Internal Auditing sejak Juni 1999 adalah dari ‘to examine and evaluate” pada definisi lama menjadi ‘to add value and improve" pada definisi baru. Pendekatan yang dapat dilakukan oleh fungsi audit intern untuk dapat memberikan nilai tambah adalah dengan mengimplementasikan risk based RISK BASED INTERNALAUDIT 155auditing. Auditor bekerjasama dengan manajemen untuk mengidentifikasi dan menilai risiko bisnis, Selanjutnya tugas utama fungs! audit intern melakukan evaluasi terhadap implementas! dan kinerja proses manajemen risiko 14.1 Risk Based Auditing : Maribeth A Wollard memberikan definisi risk based auditing sebagai berikut: “Risk based auditing can be defined as identifying the risk of material misstatement in areas of the financial statement and subsequently determining the most efficient and appropriate effort to be applied to each area, First, the auditor needs to identify areas where there is a high risk of material mistatement; those are the areas that will require the application ‘of more procedures. Secondly, the auditor should determine how to reduce the procedures applied to the areas identified as low risk. In addition the following should also be analyzed to identify the risk of material mistatement: (1) the client's business risk (risk that an event will adversely affect the company's goals and objectives, (2) how management mitigates those risks, and (3) the areas of risk that management has not addressed at all” Definisi di atas dilatar belakangi oleh audit laporan Keuangan dan tujuan audit laporan keuangan yang lebih dititikberatkan pada identifikasi risiko salah saji material dalam pos-pos laporan keuangan. Tujuan manajemen atas laporan keuangan menyajikan secara wajar posisi keuangan sehingga risiko yang dihadapi oleh manajemen adalah risiko salah saji dan manajemen perlu menekan risiko. a Auditor seharusnya menjadikan manajemen sebagai sasaran audit sehingga dapat memahami bagaimana manajemen mengidentifikasi tisiko yang mereka hadapi. Dengan mengenali risiko yang dihadapi manajemen akan membuat auditor lebin mampu mengklasifikasikan area audit berdasarkan risiko sehingga nantinya dapat memfokuskan audit pada area yang mempunyai risiko tinggi. Salah satu model risk based auditing yang dapat digunakan adalah model yang diperkenalkan oleh The Commitee of Sponsoring Organizations of the Treadway Commissions (COSO). Model COSO menggambarkan pendekatan 156 MANAJEMEN RISIKO PERBANKANPengendalian intern dari perspektif tujuan organisasi, risiko yang dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang diperiukan untuk menekan risiko. Manajemen berlanggungjawab untuk menentukan tujuan organisasi yang hendak dicapai serta berupaya mencapainya secara optimal dengan menggunakan sumber daya yang tersedia, Upaya manajemen untuk mengidentifikasi risiko dan menekan tisiko serta mengoptimalkan kesempatan tersebut biasa dikenal dengan manajemen risiko. Dalam risk based auditing, auditor melakukan tahan-tahapan sebagai berikut: a. Mengidentifikasi tujuan organisasi b. Menilai risiko dengan cara mengidentifikasi risiko dan mengukur risiko c. Menetapkan prioritas dalam usaha meminimalisasi risiko d. Memahami upaya yang sudah dilakukan manajemen untuk meminimalisasi risiko yang ada. Dengan demikian rencana audit didesain untuk mengalokasikan waktu lebih banyak pada area yang berisiko tinggi dan mempunyai skala kepentingan yang tinggi bagi tujuan organisasi. Waktu lebih sedikit akan dialokasikan pada area yang mempunyai skala kepentingan yang rendah dan berisiko rendah. Auditor mengidentifikasi risiko residual (residual risk) setelah mempertimbangkan pengendalian intern yang ada. Dalam audit keuangan setiap area yang berpotensi tinggi mengandung risiko residual akan dijadikan sebagai fokus pengujian pengendalian dan menentukan kecukupan pengujian substantif untuk memenuhi risiko audit yang dapat diterima (acceptable audit risk) . Sedangkan dalam audit operasional, risiko residual ini menggambarkan area signifikan yang dapat menjadi fokus audit dan memberi masukan kepada ‘manajemen tas risiko yang ada , perbaikan terhadap pengendalian yang ada dan upaya untuk menekan risiko tersebut. 14.2 Risk Based Auditing dan Audit Konvensional Penerapan risk based auditing bukan berarti menggantikan pendekatan audit konvensional yang selama ini dilakukan, Seperti misalnya dalam audit laporan keuangan, pelaksanaan audit menggunakan pendekatan risk based auditing adalah tetap bertujuan untuk menilai kewajaran penyajian laporan keuangan. Perbedaan risk based auditing dengan konvensional auditing terletak pada metodologi yang digunakan. Pada risk based auditing auditor mengurangi RISK BASED INTERNAL AUDIT 157fokus perhatian pada transaks! individual dan proses bisnis organisasi. {dan lebih mamfokuskan pada sister Menurut Audittindo Education (2006), ada selumlah ea antara pendekatan risk based auditing dan pendekatan audit konvensional dilihat darj beberapa dimensi: 14.2.1 Sudut Pandang Auditor Audit Konvensional Risk Based Auditing a, Perhatian auditor dititikberatkan pada risiko manajemen dalam kaitannya dengan pencapaian tujuan audit dimana auditor akan melakukan analisis atas fisiko manajemen yang mempengaruhi tujuan audit b. Dalam audit laporan keuangan, auditor akan menilai_risiko kemungkinan terjadinya selah sai dengan melihat pada memadai atau tidaknya Pengendalian intem yang ada untuk menekan risiko tersebut. c. Semakin memadai pengendalian intem maka pengujian dan pembuktian audit yang akan dilakukan semakin berkurang, d. Perhatian auditor adalah menilai ‘sejauh mana pengendalian intern yang ada mampu menekan risiko salah saji laporan keuangan ‘a. Perhatian auditor diftkberatkan pada penilaian risiko (risk asessment) dimana auditor menilai risiko bukan hanya semata-mata untuk menentukan luas lingkup pengujian audit namun juga untuk menilai risiko atas kelangsungan dan perkembangan bisnis organisasi, b. Berbeda dengan audit konvensional dimana auditor menilai pengendalian intem yang ada apakah dapat mengurangi risiko audit, dalam risk based auditing selain melakukan apa yang pada umumnya dilakukan auditor konvensional, auditor juga melakukan identifikasi risiko bisnis yang ada —_untuk selanjutnya diberitahukan kepada manajemen. 1158 _MANAJEMEN RISIKO PERBANKAN442.2 Kerangka Waktu Audit Konvensional pada kejadian dan kondisi masa lalu yang mempunyai pengaruh terhadap tujuan audit Risk Based Auditing Auditor ~~ membuat_gambaran Skenario atas risiko di masa kini dan tisiko di masa yang akan datang yang akan berpengaruh pada —_pencapaian tujuan organisasi, b. Risk based auditing berfokus pada masa depan, hal yang lebih dirasakan Penting bagi stakeholders, c. Dalam memberikan rekomendasi audit, auditor akan menitikberatkan pada Pengeloaan tisiko (risk Management) selain pada manajemen pengendalian, d. Dalam laporan audit, auditor ebin menitkberatkan pada Pengungkapan proses yang memiliki risiko selain pada berfungsi atau tidaknya suatu Pengendalian. RISK BASED INTERNAL AUDIT 159 we14.3.2 Pusat Perhatian Audit Konvensional Risk Based Auditing ‘a. Menitikberatkan pada _ sistem akauntansi dan transaksi_rinci yang dihasilkan oleh sistem akuntansi. b. Auditor melakukan — pengujian tethadap semua komponen dari laporan keuangan, memastkan bahwa setiap transaksi sudah dicatat secara lengkap dan akurat. c. Dengan kata lain auditor menggunakan metode bottom-up untuk — menentukan —_tingkat kesehatan sebuah pohon dengan ‘a. Auditor menggunakan metode top-down — untuk menentukan tingkat kesehatan sebuah pohon dengan mengidentifikasi dan memperhatikan ranting yang nampak terkena penyakit. b. Auditor mencoba memahami model dan proses _ bisnis organisasi, yang selanjutnya akan digunakan untuk mengidentifikasi area yang berisiko dapat mempengaruhi laporan keuangan dan memfokuskan area tersebut. melihat kondisi dari setiap daun, 14.3 Metode Penilaian Risiko Obyek Audit Identiikasi risiko dan penilaian tisiko bertujuan untuk menentukan risiko yang signfikan yang berkaitan dengan obyek audit. Ada tiga tahap yang harus dilakukan antara lain: (1) melakukan analisis dampak, (2) melakukan analisis kecenderungan, dan (3) penentuan prioritas jen risiko. 14.3.1 Analisis Dampak Analisis dampak dilakukan untuk memperoleh tingkat risiko yang dapat memberi dampak dan mempengaruhi pencapaian tujuan atau sasaran Bank. Analisis dampak terhadap jenis risiko diperoleh dari sejumlah indikator faktor risiko yang digunakan untuk menghitung tingkat risiko berdasarkan 8 (delapan) jenis risiko sesuai dengan tingkal relevansinya. 160 —MANAJEMEN RISIKO PERBANKANTabel 14.1 Relevansi Indiktor Risiko per Jenis Risiko No | Jenis Risiko Indikator Risiko yang Relevan 1 | Risiko Kredit Jumlah 14 indikator risiko Risiko Pasar Jumlah 6 indikator risiko 3 _ | Risiko Likuiditas Jumlah 8 indikator risiko 4 | Risiko Operasional Jumlah 17 indikator risiko 5 | Risiko Hukum Jumlah 6 indikator risiko 6 _| Risiko Reputasi dumlah 11 indikator risiko 7 _ | Risiko Strategik Jumlah 8 indikator risiko 8 | Risiko Kepatuhan Jumlah 6 indikator risiko Analisis dampak risiko dari hasil klasifikasi jenis risiko pada obyek audit dilakukan dengan cara sebagai berikut: a. Menjumlahkan nilai (skor) masing-masing indikator faktor risiko dibagi dengan jumlah seluruh indikator faktor risiko sehingga diperoleh rila rata-rata indikator faktor risiko. b. _Nilai rata-rata indikator faktor risiko ini dikalikan dengan bobot porsentase dari masing-masing jenis risiko sehingga diperoleh nilai risiko. c. Nilai risiko untuk setipa jenis risiko dikelompokkan kedalam rentang risiko rendah (skor 1), risiko sedang (skor 2) , dan risiko tinggi (skor 3). Bobot prosentase masing-masing jenis risiko tersebut dihitung berdasarkan perbandingan relatif indikator risiko terhadap jumlah indikator risiko dengan rincian sebagai berikut: RISK BASED INTERNALAUDIT 161Tabel 14.2 Bobot Prosentase Setiap Jenis Risiko [No] Jenis Fisko Janiah Indkator | Proesentase 1 | Riso Kredit T14 18.42% 2 | Risko Pasar 6 7896 3. | Risiko Likuiditas 8 10.53% 4 | Risiko Operasional 7 22.37% 5 | Ristko Hukum 6 789% 6 _ | Risiko Reputas! 1" 14.47% 7 | Risiko Strategik 8 10.53% 8 _| Risiko Kepatuhan 6 789% Jumlah 16 100.0% Dari tabel 13.2 di atas dapat diketahui bahwa jenis risiko yang mempunyal bobot tertinggi ada pada jenis risiko operasional dengan bobot prosentase 22.37% Hal ini dikarenakan jenis risiko operasional memiliki jumlah indikator risiko terbanyak dengan 17 indikator faktorrisiko 14.3.2 Analisis Kecenderungan Analisis kecenderungan digunakan untuk mengetahui frekuensi terjadinya kejadian yang didentikasikan sebagai isto. Frekuensi kejacian dapat ciperoleh dari temuan audit periode yang lalu. Selanjutnya dari temuan audit yang lalu diklasifikasikan kedalam 8 jenis risiko. Namun demikian analisis kecenderungan dapat pula dilakukan dengan menguji pengendalian yang diperoleh lewat kuesioner. Hasil analisis kecenderungan per jenis risiko lalu dikelompokkan menjadi risiko rendah(skor 1), risiko sedang (Skor 2), dan tisiko tinggi(skor 3). 14,3.3 Penentuan Prioritas Jenis Risiko Penentuan prioritas jenis risiko diperoleh dengan membandingkan antara level dampak dengan level kecenderungan yang digambarkan dalam kuadran mattik seperti di bawah ini: 162 _MANAJEMEN RISIKO PERBANKANGambar 14.1 Matiik Penentuan Prioritas Jenis Risiko T(ML) 2 (WH) (impact) mo) 1) 1 (ML) 2 (A) Risiko 1 2 IM) a) Kecenderungan (Likelihood) Ket: H high risk (risiko tinggi) M:moderat e risk (risiko sedang) terditi dari - MH moderate to high risk ( sedang dgn kecenderungan tinggi) ~ ML moderate to low (sedang dgn kecenderungan rendah) L. : low risk (risiko rendah) Berdasarkan pada matrik ini maka audit harus menitik beratkan pada obyek audit yang memiliki risiko tinggi (H) dan risiko sedang dengan kecenderungan tinggi (MH). pada area ini harus dilakukan pengujian subtantif yang lebih dalam dan skop lebih luas. RISK BASED INTERNAL AUDIT 163