1. Audit Internal Berbasis Risiko
2. Perencanaan Audit Berbasis Risiko
3. Pelaksanaan Audit Berbasis Risiko
4. Simulasi Perencanaan dan Pelaksanaan Audit Berbasis Risiko
5. Pelaporan dan Tindak Lanjut
Audit Internal Berbasis Risiko
Perkembangan risiko usaha yang terus berkembang dan dapat mengancam sustainbilitas usaha perusahaan memerlukan pengelolaan risiko yang efektif dan efisien. Pengelolaan risiko yang efektif dapat diwujudkan dengan pengendalian internal efektif yang dilakukan oleh unit satuan pengendalian intern perusahaan. Salah satu paradigma baru dalam salah satu pekerjaan unit pengendalian intern adalah melakukan audit internal berbasis risiko. Paradigma pengendalian intern yang berbasis risiko dilatarbelakangi oleh beberapa hal yaitu:
1. Standards for Professional Practice of Internal Auditing tahun 2001 dan diperbaharui pada IPPF 2009 pada butir 2100, mengharuskan auditor intern, untuk menggunakan suatu pendekatan yang sistematis dan terdisiplin mengevaluasi efektivitas proses :
• manajemen risiko,
• pengendalian intern, dan
• corporate governance
2. Peraturan Bank Indonesia (PBI) Nomor: 1/6/PBI/1999 tanggal 20 September 1999 tentang Penugasan Direktur Kepatuhan (Compliance Director) dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum.
Berdasarkan IPPF 2009, pendekatan auditor intern dengan berbasis risiko merupakan suatu paradigma baru yang berbeda dengan paradigma auditor intern yang lama yaitu control based audit. Perbedaan kedua paradigma lama dengan baru dapat dilihat pada tabel di bawah ini.
Tabel 1. Paradigma Audit Internal
Peran internal auditing
Pada paradigma baru peran internal auditing adalah sebagai berikut:
Internal Auditing didefinisikan sebagai suatu kegiatan penjaminan (assurance) dan konsultansi (consultancy) yang independen dan objektif yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi.
Kegiatan ini ditujukan untuk membantu organisasi dalam mencapai tujuannya dengan membawa pendekatan yang terdisiplin dan sistematis untuk mengevaluasi dan meningkatkan efektivitas proses-proses manajemen risiko, pengendalian dan tata kelola (governance).
Internal auditing yang berbasis risiko memiliki rangkaian kegiatan assurance dan consultancy, dimana keberhasilan dari rangkaian kedua kegiatan tersebut sangat ditentukan pada hasil penerapan manajemen risiko, pengendalian internal dan GCG seperti pada diagram di bawah ini.
Gambar 1. Hubungan Risk Management, Control, GCG
Pengelompokan kegiatan assurance dan consultancy pada suatu perusahaan terutama pada penerapan manajemen risiko dapat diukur dengan menggunakan indikator Risk Maturity Level (RML). Berdasarkan RML, suatu perusahaan dinilai dari penerapan manajemen risiko dengan skala 5 yang dapat mempengaruhi langkah risk based internal audit seperti terlihat pada diagram di bawa ini.
Gambar 2. Tingkat Kematangan Penerapan Mr Vs Peran Audit Internal
Manfaat penggunaan Risk Based Internal Audit (RBIA) antara sebagai suatu sistem yang memastikan bahwa seluruh strategic respons (mitigasi risiko dan action plan) dilakukan sesuai dengan perencanaan dan ketentuan yang berlaku sehingga seluruh tingkat risiko inheren yang berada di atas risk appetite perusahaan dapat diturunkan menjadi risiko ridual yang berada di bawah risk appetite. Kondisi ini akan memberikan tingkat probability dari pencapaian tujuan perusahaan semakin besar sehingga akan memberikan peningkatan nilai perusahaan ( corporate value). Manfaat RBIA dapat di illustrasikan seperti pada diagram di bawah ini
Gambar 3. Manfaat RBIA
Assurance
Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan penilaian independen atas governance, manajemen risiko dan proses pengendalian bagi organisasi. contoh mungkin termasuk keuangan, kinerja, kepatuhan, keamanan sistem dan keterlibatan due diligence.
Consultancy
Pemberian Pelayanan secara profesional audit internal melalui evaluasi yang sistematis dan disiplin dari kebijakan, prosedur dan operasi manajemen yang dijalankan untuk memastikan tercapainya tujuan organisasi, dan melalui rekomendasi untuk perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat audit internal pada: Manajemen risiko, pengendalian dan tata kelola.
Peran Internal Audit (I/A) Dalam Risk Management (RM)
Memberikan keyakinan atas Proses MR
Menerapkan pendekatan Risk Based Audit dalam perencanaan dan pelaksanaan proses audit internal.
Peran Internal Audit dalam ERM:
Kegiatan Internal audit yaitu, melakukan evaluasi tingkat efektivitas dan memberikan kontribusi terhadap pengembangan proses manajemen risiko organisasi.
Yang wajib dilakukan oleh Internal Auditor (QA) pada RBIA:
Memastikan/ meyakinkan atas proses pengelolaan risiko
Meyakinkan bahwa risiko telah dievaluasi secara benar
Melakukan evaluasi proses manajemen risiko
Melakukan evaluasi laporan risiko utama
Melakukan reviu pengelolaan risiko utama
Auditor sebagai pengaman (safeguard): (Consultant)
Memfasilitasi identifikasi dan evaluasi risiko
Membatu manajemen dalam melakukan respon risiko
Mengkoordinasikan aktivitas ERM
Mengkosolidasi laporan risiko
Memelihara dan membangun Kerangka ERM
Meneladani/memperjuangkan pembentukan ERM
Membangun strategi pengelolaan risiko untuk disetujui oleh top manajemen.
Tidak Boleh melakukan hal-hal sebagai berikut:
Menentukan Risk Appetite
Memerankan dalam Penerapan Proses Manajemen Risiko
Pengelolaan risiko
Pengambilan keputusan terhadap respon risiko
Mengimplementasikan respon risiko yang dimiliki oleh manajemen
Bertanggung jawab atas pengelolaan risiko.
Internal Control
Internal Control : Sekumpulan Prosedur, sistem dari suatu organisasi yang diperlukan untuk memberikan keyakinan memadai bahwa tujuan organisasi akan dipenuhi/ dicapai.
Internal control merupakan suatu proses yang dilaksanakan oleh komisaris, manajemen dan pegawai lainnya, dirancang untuk memberikan keyakinan yang memadai (reasonable assurance) dalam pencapaian tujuan. (IC:COSO)
Tujuan Internal Control yaitu memastikan :
1. Efektivitas Operasi
2. Ekonomis dan efisiensi dalam penggunaan sumber daya
3. Integritas dan dipercayainya laporan keuangan
4. Ketaatan terhadap kebijakan, peraturan dan perundangan
5. Perlindungan terhadap aset dan sumberdaya
Hasil Yang Diberikan I/A (Public)
Reviu Budaya Pengendalian Organisasi
Analisis sistematis proses bisnis dikaitkan dengan pengendalian
Inventarisasi aset dan nilainya
Sumber informasi kemungkinan kecurangan dan penyimpangan.
Reviu atas hal-hal yang harus ditaati
Rekomendasi tujuan untuk efisiensi dan ektivitas penggunaan sumber daya
Penilaian pencapaian target dan sasaran organisasi
Gambar 4. Paradigma Audit Intern
Tahapan Pelaksanaan RBIA
Sebelum melaksanakan RBIA perlu disusun perencanaan RBIA dengan tujuan adalah menghasilkan “risk and audit universe” yang merupakan daftar seluruh risiko yang dimiliki perusahaan, serta audit yang akan dilaksanakan untuk memastikan bahwa proses pengelolaan risiko telah dilaksanakan secara efektif serta menghasilkan rencana audit tahunan (PKPT), yang disebut Audit Plan.
Gambar 5. Tahapan RBIA
Seperti pada gambar tahapan RBIA diatas maka secara garis besar tahapan RBIA ada tiga tahapan yaitu:
Tahap 1 : Assess risk maturity
Tahap 2 : Periodic Audit planning
Tahap 3 : Individual audit assignments
Sedangkan langkah-langkah perencaan RBIA dilakukan dengan cara:
1. Melakukan evaluasi tingkat kematangan (maturity level) atas penerapan manajemen risiko.
2. Menentukan Auditable Unit/Unit Layak Audit (ULA)
3. Menyusun Audit Plan (PKPT)
Pada tahap I, dilakukan penghitungan RML yaitu tingkat kematangan penerapan manajemen risiko pada suatu organisasi. Evaluasi Maturity Level MR dilakukan dengan suatu scorecard khusus (seperti scorecard GCG) yang akan menghasilkan suatu skor untuk menentukan predikat capaian penerapan MR organisasi tersebut. Hasil penghitungan RML ini akan menentukan pendekatan audit seperti pada kriteria di bawah ini.
Tabel 2. Tingkat maturity level dengan Fungsi Auditor Internal
Tabel 3. Pendekatan Audit
Penentuan Auditable Unit
Untuk maturity level “Naïve/Initial” dan “Aware/Repeatable”, dan “Defined”, penentuan Auditable Unit (Unit Layak Audit/ULA) ditentukan dengan menggunakan Risk Register Yang disusun oleh I/A dan Manajemen atau Faktor Risiko atas Audit Universe (AU).
Penentuan dengan cara ini telah dilakukan oleh banyak perusahaan (termasuk BUMN), namun belum bisa dikatakan sebagai AIBR murni.
Kemudian untuk maturity level “Managed” atau “Optimsed/ Enabled” maka yang dipakai adalah register risiko yang disusun oleh manajemen. Ini baru bisa dikatakan sebagai AIBR murni.
Audit Universe adalah daftar yang berisi seluruh obyek audit, bisa berupa unit kerja (divisi, direktorat, bagian, SBU, cabang, satker, dinas, dsb), program, proyek, kegiatan, pos laporan keuangan, dll.
Unit Layak Audit (ULA) adalah obyek audit terpilih dari Audit Universe yang akan diaudit, yang ditentukan dengan pendekatan Faktor Risiko atau Register Risiko.
Audit Plan adalah rencana audit yang akan dilaksanakan, berupa daftar ULA yang telah dilengkapi dengan rencana tenaga auditor, waktu pelaksanaan, jumlah hari, serta biaya yang dibutuhkan.
Gambar 6. Penentuan Auditable Unit
Penyusunan PKPT
Yang perlu diperhatikan dalam penyusunan PKPT ini dalam Metodologi AIBR (RBIA):
1. Diposisi mana maturity level tersebut
2. Jika posisinya level enabled atau managed maka pendekatannya adalah dengan menggunakan register risiko dalam penyusunan ULA
3. Jika posisi level naïve/initial, aware/ repeateble, atau defined maka pendekatannya dengan menggunakan register risiko yang disusun oleh I/A bersama manajemen atau dengan faktor risiko dalam penyusunan ULA
4. Setelah diskor maka ditentukan ULA Prioritas untuk PKPT
PENENTUAN UNIT LAYAK AUDIT (ULA) DENGAN REGISTER RISIKO
Penentuan ULA dengan Register Risiko
Register Risiko merupakan daftar yang yang dibuat oleh manajemen yang berisi seluruh risiko-risiko yang teridentifikasi yang berpotensi menghambat pencapaian tujuan organisasi, pengendalian yang sudah dilakukan, ukuran kemungkinan terjadi dan dampaknya, serta pemilik risikonya.
Register Risiko yang dipakai adalah Register Risiko yang validitasnya telah ditentukan pada tahap evaluasi Maturity Level.
Gambar 7. Proses Filtering Risiko
Filtering/Penyaringan Risiko
Penyaringan risiko dilakukan untuk menentukan risiko-risiko yang akan ditindaklanjuti dengan audit, dengan mengeluarkan risiko-risiko tertentu dari daftar Register Risiko.
Menghubungkan Risiko dengan Audit Universe
Risiko-risiko yang tersisa dari hasil penyaringan, selanjutnya dikelompokkan menurut bisnis unit atau proses.
Kelompok risiko-risiko tersebut kemudian dihubungkan dengan Audit Universe. Misalnya:
◦ Risiko piutang tak tertagih, maka yang akan diaudit (ULA) adalah Bagian Penagihan Piutang, Siklus Pendapatan, atau Pos/Rekaning Piutang.
◦ Risiko mesin pabrik shut-down, maka yang akan diaudit adalah Bagian Teknik, siklus produksi, atau Pos/Rekening Aktiva Tetap – Mesin Pabrik.
Gambar 8. Penyusunan ULA Berdasar Register Risiko
Penentuan Unit Layak Audit dengan Skoring Komposit
Setelah dilakukan penyaringan risiko dan dikaitkan/ dikelompokkan dengan audit universe maka masalah selanjutnya adalah menentukan ULA dari unit-unit audit Universe yang ada.
1. Melakukan pengukuran skor risiko komposit dimasing-masing unit
2. Mengurutkan/ memprioritaskan hasil skoring dari masing-masing unit audit.
3. Dari hasil skoring inilah yang akan dijadikan sebagai pertimbangan untuk menentukan unit yang akan dilakukan audit prioritas. Dan dari sini disusunlah PKPT
PENYUSUNAN PKPT
Menyusun Audit Plan
Setelah diperoleh ULA, selanjutnya disusun Audit Plan, yang akan menentukan prioritas dan frekuensi audit.
Untuk ULA yang diperoleh dengan Faktor Risiko, ULA dengan skor “high risk” akan menempati prioritas tertinggi untuk dilakukan audit, dengan frekuensi setahun sekali. ULA “medium risk” diaudit dua tahun sekali, dan “low risk” tiga tahun sekali.
Gambar 9. Tahap Penyusunan PKPT
PELAKSANAAN AUDIT
Perencanaan Audit individual
1. Mempelajari PKPT yang sudah disusun
2. Menyiapkan Sumber daya yang telah ditentukan di PKPT
3. Menyiapkan dan mengupdate Audit Program
4. Mempersiapkan surat penugasan audit.
Pelaporan Audit
Ringkasan untuk eksekutif meliputi:
1. Pendahuluan
2. Tujuan proses-proses yang sedang diaudit
3. Isu-isu yang ditemukan selama proses audit
4. Kesimpulan-kesimpulan yang menyatakan bahwa: Risiko-risiko telah diidentifikasi, dievaluasi dan dikelola
5. Isu-isu Utama
6. Opsi atau rekomendasi untuk mengurangi risiko sampai pada tingkat yang dapat diterima Tindakan yang perlu diambil Isu-isu tambahan
Gambar 10. Tahap Penugasan Internal Audit
Komponen yang dibutuhkan dalam menerapkan RBIA
Dalam melaksanakan RBIA ada beberapa komponen yang harus dimiliki perusahaan:
1. Daftar Risk Assessment (RCSA)
2. Pedoman Penerapan Manajemen Risiko
3. Pedoman Risk Assessment (RCSA)
4. Pedoman Penghitungan Risk Maturity Level
5. Pedoman Risk Based Audit
6. Pedoman Risk Based Internal Control
Kesimpulan
Penerapan RBIA suatu perusahaan sangat tergantung pada hasil penerapan manajemen risiko korporat antara lain berupa risk register dan faktor risiko. Kolaborasi kerja antara unit SPI dan Manajemen Risiko sangat diperlukan dalam menerapkan RBIA ini khususnya dalam membuat suatu risk assessment atau RCSA yang menghasilkan antara lain data potential risk dan strategic respon yang harus dipastikan pelaksanaannya.
Untuk mendukung keberhasilan penerapan RBIA , perlu dilakukan beberapa hal yang melibatkan SPI dan unit Manajemen Risiko sebagai berikut:
(1). Melakukan sosialisasi penerapan RBIA kepada seluruh unit kerja karena RBIA ini merupakan paradigma baru yang harus memperoleh support dari seluruh unit kerja baik di kantor pusat maupun di kantor cabang/KUP.
(2). Menyusun dan menyepakati hubungan kerja antara unit SPI dan Manajemen Risiko dalam bentuk SOP/Juklak/Juknis karena penerapan RBIA ini saling terkait antara proses pelaksanaan audit internal dengan hasil penerapan MR.
(3). Secara bersama unit SPI dan Manajemen Risiko menyusun komponen yang diperlukan dalam menerapkan RBIA yaitu:
a. Pedoman Risk Assessment (RCSA)
b. Pedoman Penghitungan Risk Maturity Level
c. Pedoman Risk Based Audit
d. Pedoman Risk Based Internal Control
e. Pedoman Penerapan ERM
(4). Melakukan sistem pengendalian manajemen risiko bersama antara SPI dan unit Manajemen Risiko untuk memastikan bahwa strategic responses yang telah ditetapkan dapat berjalan sesuai dengan perencanaan dan kebutuhan perusahaan dalam mengendalikan risiko perusahaan terutama risiko reputasi dan risiko lingkungan.
