melekat (inherent risk) yang

Menggunakan Proses signifikan. Enterprise Risk Management (ERM)

Manajemen Risiko dalam adalah istilah yang umum
Perencanaan Audit Internal digunakan. Committee of Sponsoring
(1) Organizations (COSO) dari Treadway
BY
AUDITORINTERNAL Commission mendefinisikan ERM sebagai
– 27/10/2010POSTED IN: PRACTICE
ADVISORIES, STANDAR KINERJA “suatu proses, yang dilakukan oleh dewan

Dibaca 9,993 kali direksi organisasi, manajemen, dan personil

Dalam standar 2010 tentang Perencanaan, CAE harus lainnya, diterapkan dalam menyusun strategi
menetapkan rencana berbasis risiko untuk
menentukan prioritas Aktivitas Audit Internal, yang dan di seluruh perusahaan, yang dirancang
konsisten selaras dengan tujuan organisasi. Dengan
demikian tidak terhindarkan bagi Aktivitas Audit untuk mengidentifikasi kejadian potensial yang
Internal untuk menggunakan proses manajemen risiko
yang ada di dalam organisasi sebagai bagian dari dapat mempengaruhi organisasi, dan
proses perencanaan tersebut. Penggunaan proses mengelola risiko untuk berada dalam risk
yang ada sangat penting karena akan mendorong cara
pandang dan bahasa yang sama antara Aktivitas Audit appetite, untuk memberikan keyakinan
Internal dan unit lain di dalam organisasi terhadap
risiko dan proses manajemen risiko. memadai tentang pencapaian tujuan

organisasi”. Pelaksanaan pengendalian adalah

Penggunaan manajemen risiko dalam perencanaan ini
diberikan pedoman lebih lanjut oleh IIA sebagai salah satu metode yang umum digunakan oleh
berikut:
manajemen untuk mengelola risiko agar tetap
di dalam risk appetite-nya. Auditor Internal
1. Manajemen risiko adalah bagian penting dalam
melakukan audit terhadap pengendalian kunci
penerapan tata kelola yang sehat yang
dan memberikan keyakinan pada proses
menyentuh seluruh kegiatan
manajemen risiko yang signifikan.
organisasi. Banyak organisasi yang tergerak
3. Standar mendefinisikan pengendalian sebagai
untuk mengadopsi pendekatan manajemen
“setiap tindakan yang diambil oleh manajemen,
risiko yang konsisten dan holistik,
Dewan, dan pihak lain untuk mengelola risiko
yang terintegrasi sepenuhnya ke dalam
dan meningkatkan kemungkinan bahwa tujuan
manajemen organisasi. Ini berlaku di semua
dan sasaran akan dicapai. Manajemen
tingkatan organisasi, baik tingkat organisasi
merencanakan, mengatur, dan mengarahkan
keseluruhan, fungsi, atau unit
pelaksanaan tindakan yang cukup untuk
bisnis. Manajemen biasanya menggunakan
memberikan keyakinan memadai bahwa tujuan
kerangka kerja manajemen risiko tertentu
dan sasaran akan dicapai.”
untuk melakukan penilaian dan
4. Dua konsep risiko yang fundamental adalah
mendokumentasikan hasil penilaian.
risiko melekat (inherent risk) dan risiko sisa
2. Suatu proses manajemen risiko yang efektif
(residual risk, juga dikenal sebagai current
dapat membantu dalam mengidentifikasi
risk). Auditor eksternal/finansial sejak lama
pengendalian utama yang terkait dengan risiko
telah memiliki konsep risiko melekat yang
 secara ringkas diartikan sebagai kerentanan  Faktor-faktor risiko individual mana yang

salah saji material atas informasi atau data, terdapat penurunan yang signifikan dari risiko

dengan asumsi tidak terdapat pengendalian melekat ke risiko residual (terutama jika risiko

terkait untuk memitigasi kerentanan melekat sangat tinggi). Ini untuk menyoroti

tersebut. Standar mendefinisikan risiko pengendalian yang penting/utama bagi

residual sebagai “risiko yang tersisa setelah organisasi.

manajemen mengambil tindakan untuk  Pengendalian-pengendalian yang berfungsi

mengurangi dampak (impact) dan untuk memitigasi sejumlah besar risiko

kemungkinan (likelihood) dari suatu peristiwa

menjalankan tanggung jawabnya secara efektif.
buruk (adverse events), termasuk aktivitas

pengendalian dalam menanggapi risiko.”

Sedangkan current risk sering didefinisikan

sebagai risiko yang dapat dikelola dalam

pengendalian atau sistem pengendalian yang

ada.
5. Pengendalian utama (key control) dapat

didefinisikan sebagai pengendalian atau

kelompok pengendalian yang membantu

mengurangi risiko ke tingkat yang dapat

ditoleransi, di liuar risiko yang dinyatakan tidak

dapat diterima. Dalam suatu proses

manajemen risiko yang efektif (dengan

dokumentasi yang memadai), pengendalian

utama dapat dengan mudah diidentifikasi dari

perbedaan antara risiko melekat dan risiko

residual. Jika penilaian belum diberikan

terhadap risiko melekat, auditor internal dapat

melakukan sendiri estimasi penilaian risiko

melekat tersebut. Pada saat mengidentifikasi

pengendalian utama (dengan asumsi auditor

internal telah dapat menyimpulkan bahwa

proses manajemen risiko berada pada

tingkat mature dan dapat diandalkan), auditor

internal perlu mencari:

 perencanaan penugasan audit internal secara
Menggunakan Proses individual.
Manajemen Risiko dalam
9. Faktor-faktor yang perlu diperhatikan ketika
Perencanaan Audit Internal mengembangkan rencana audit internal meliputi:
(2)
BY  Risiko inheren – Apakah telah diidentifikasi dan
AUDITORINTERNAL
– 28/10/2010POSTED IN: PRACTICE dinilai?
ADVISORIES, STANDAR KINERJA
 Risiko residual – Apakah telah diidentifikasi
Dibaca 10,495 kali
Menggunakan Proses Manajemen Risiko dalam dan dinilai?
Perencanaan Audit Internal (1)  Pengendalian mitigasi, rencana kontinjensi ,

6. Perencanaan audit internal perlu memanfaatkan dan aktivitas pemantauan – Apakah telah
proses manajemen risiko organisasi, bila proses dikaitkan dengan peristiwa dan / atau risiko
tersebut telah berjalan. Dalam merencanakan
penugasan, auditor internal perlu mempertimbangkan individual?
risiko signifikan dari kegiatan dan juga sarana yang
digunakan manajemen untuk memperkecil risiko  Daftar risiko (Risk register) – Apakah disusun
tersebut pada tingkat yang dapat diterima. Auditor
internal menggunakan teknik penilaian risiko dalam secara sistematis, lengkap, dan akurat?
pengembangan rencana Aktivitas Audit  Dokumentasi – Apakah risiko dan kegiatan
Internal termasuk dalam menentukan prioritas untuk
mengalokasikan sumber daya audit internal. Penilaian didokumentasikan?
risiko digunakan untuk mereview area-area yang dapat
diaudit (auditable units) dan untuk kemudian dipilih
Selain itu, auditor internal perlu berkoordinasi dengan
area-area yang memiliki risiko terbesar ke dalam
penyedia layanan assurance lainnya serta
rencana Aktivitas Audit Internal.
mempertimbangkan apakah dapat menggunakan hasil
pekerjaan mereka (diatur lebih lanjut dalam practice
7. Auditor Internal mungkin tidak memenuhi kualifikasi advisorymengenai Assurance Maps).
yang diperlukan untuk mengevaluasi setiap kategori
risiko dan proses ERM di dalam organisasi (misalnya,
10. Piagam audit internal biasanya mengharuskan
audit internal terhadap kesehatan dan keselamatan
Aktivitas Audit Internal untuk fokus pada area-area
kerja, audit lingkungan, atau instrumen keuangan yang
yang berisiko tinggi, baik dari aspek risiko melekat
kompleks). CAE harus memastikan untuk
ataupun residual. Aktivitas audit internal perlu
menggunakan auditor internal dengan keahlian khusus
mengidentifikasi area-area yang memiliki risiko
atau penyedia layanan eksternal untuk melakukan
melekat tinggi, risiko residual tinggi, dan sistem
evaluasi dengan tepat.
pengendalian utama yang diandalkan organisasi untuk
melakukan mitigasi. Jika Aktivitas Audit Internal
8. Proses dan sistem manajemen risiko bisa mengidentifikasi adanya area-area risiko residual yang
diterapkan secara berbeda-beda di antara organisasi tidak dapat diterima (unacceptable), manajemen perlu
di seluruh dunia, sesuai dengan tingkat kematangan segera diberitahu sehingga risiko tersebut dapat
(maturity level) manajemen risiko pada organisasi ditangani. Dari proses ini auditor internal akan mampu
yang bersangkutan. Apabila organisasi memiliki mengidentifikasi berbagai jenis kegiatan yang bisa
kegiatan manajemen risiko secara terpusat, peran dimasukkan rencana kegiatan, termasuk:
kegiatan ini termasuk pula mengkoordinasikan dengan
manajemen mengenai review terus-menerus
terhadap struktur pengendalian agar terus sesuai  Kegiatan review /assurance Pengendalian – di
dengan selera risiko (risk appetite) yang terus
bergerak. Proses manajemen risiko yang digunakan mana auditor internal melakukan review
di berbagai belahan dunia mungkin memiliki logika,
struktur, dan terminologi yang berbeda. Oleh karena itu kecukupan dan efisiensi sistem pengendalian
auditor internal perlu membuat penilaian terhadap serta memberikan assurance bahwa
proses manajemen risiko organisasi untuk kemudian
menentukan bagian mana dari proses tersebut yang pengendalian telah berjalan dan risiko telah
dapat digunakan dalam mengembangkan rencana
Aktivitas Audit Internal dan bagian mana untuk dikelola secara efektif.
 Kegiatan Inquiry– di mana ketika manajemen

organisasi mendapati pengendalian tertentu

berada pada tingkatan yang tidak dapat

diterima terkait dengan suatu kegiatan bisnis

atau area risiko terkait serta auditor internal

melakukan serangkaian prosedur untuk

mendapatkan pemahaman yang lebih baik

tentang risiko dan pengendalian dimaksud.

 Kegiatan konsultasi (Consulting) – di mana

auditor internal menyarankan manajemen

organisasi mengembangkan sistem

pengendalian untuk mengurangi risiko saat ini

(current risk) yang berada pada tingkatan tidak

dapat diterima.

Auditor Internal juga mengidentifikasi pengendalian

yang tidak perlu, tumpang tindih, berlebihan, atau
kompleks sehingga tidak efisien dalam mengurangi
risiko. Dalam kasus-kasus ini, biaya pengendalian
mungkin lebih besar daripada manfaat yang
didapatkan, sehingga desain pengendalian mungkin
perlu diperbaiki
 menunjukkan bahwa area-area tersebut tetap
Menggunakan Proses merupakan area yang di-cover oleh Aktivitas Audit
Manajemen Risiko dalam Internal dan, lebih penting lagi, untuk memastikan
risiko-risiko yang pernah dinilai rendah tersebut tetap
Perencanaan Audit Internal rendah. Lebih lanjut, Aktivitas Audit Internal perlu
menetapkan metode untuk mempergilirkan prioritas
(3) risiko-risiko yang belum tersentuh oleh audit internal.
BY
AUDITORINTERNAL 15. Rencana Aktivitas Audit Internal biasanya akan
– 29/10/2010POSTED IN: PRACTICE berfokus pada:
ADVISORIES, STANDAR KINERJA

Dibaca 4,842 kali

 Risiko residual yang tidak dapat diterima di
Menggunakan Proses Manajemen Risiko dalam
Perencanaan Audit Internal (2) mana manajemen perlu segera bertindak. Ini

merupakan area-area dengan pengendalian

11. Untuk memastikan bahwa risiko yang relevan
teridentifikasi, proses identifikasi risiko harus dilakukan utama atau faktor-faktor mitigasi yang minimal.
secara sistematis dan didokumentasikan dengan
jelas. Dokumentasi dapat bervariasi, dari cukup  Sistem pengendalian di mana organisasi
dilakukan dengan spreadsheet untuk organisasi yang
kecil hingga penggunaan perangkat lunak yang sangat tergantung/mengandalkan.
canggih untuk organisasi yang kompleks. Prinsipnya  Area-area dimana terdapat perbedaan besar
adalah bahwa kerangka kerja manajemen risiko
didokumentasikan secara keseluruhannya. antara risiko melekat dengan risiko residual.
 Area-area di mana risiko melekat sangat tinggi
12. Dokumentasi manajemen risiko di dalam sebuah
organisasi bisa berada di berbagai tingkat di bawah
tingkatan strategis dari proses manajemen 16. Ketika merencanakan penugasan audit internal
risiko. Banyak organisasi mengembangkan daftar individual, auditor internal mengidentifikasi dan menilai
risiko untuk mendokumentasikan risiko-risiko di bawah risiko terkait dengan area yang sedang diaudit.
tingkat strategis, yang berisi dokumentasi mengenai
risiko signifikan di suatu area beserta penilaian risiko
melekat dan residual, pengendalian utama, dan faktor-
faktor mitigasinya. Selanjutnya dapat
dilakukan alignment untuk mengidentifikasi hubungan
yang lebih langsung antara kategori dan aspek risiko
yang terdokumentasikan dalam register risiko dengan
dokumentasi semesta audit yang ada pada Aktivitas
Audit Internal.

13. Beberapa organisasi mungkin mengidentifikasi

beberapa area dengan risiko melekat yang tinggi
sekaligus. Meskipun risiko yang tinggi harus menjadi
perhatian Aktivitas Audit Internal, namun tidak selalu
mungkin untuk memasukkan semuanya ke dalam
perencanaan audit internal. Dalam hal daftar risiko
masih menunjukkan adanya beberapa area yang
berisiko tinggi, namun tidak ada tindakan manajemen
serta tidak memungkinkan lagi untuk dimasukkan
dalam perencanaan Aktivitas Audit Internal, CAE
melaporkan area-area tersebut secara terpisah
kepada Dewan dengan rincian analisis risiko dan
alasan kurangnya/ ketidakefektifan pengendalian
internal terkait.

14. Area-area yang memiliki risiko yang lebih rendah,

tidak selamanya diabaikan untuk masuk dalam
perencanaan audit internal. Secara berkala, area-area
dengan risiko lebih rendah dapat dipilih untuk
Penilaian Risiko dalam  Isu-isu signifikan yang akan ditelusuri lebih

Perencanaan Penugasan mendalam dalam pekerjaan lapangan, beserta

BY alasan-alasannya.
AUDITORINTERNAL
– 02/03/2012POSTED IN: PERENCANAAN  Tujuan dan prosedur penugasan.
PENUGASAN, PRACTICE ADVISORIES, STANDAR
KINERJA  Metodologi yang akan digunakan, seperti

Dibaca 6,682 kali teknik audit berbasis

Dalam Standar 2210.A1 disebutkan bahwa
auditor internal harus melakukan penilaian awal teknologi dan teknik sampling.
terhadap risiko-risiko yang relevan
 Potensi titik-titik pengendalian yang
dengan kegiatan yang sedang
diperiksa. Tujuan penugasan harus kritikal, baik karena pengendalian yang kurang
mencerminkan hasil dari proses penilaian ini.
dan/atau berlebih.
1. Auditor internal mempertimbangkan penilaian risiko  Alasan untuk tidak melanjutkan penugasan
yang telah dilakukan oleh manajemen terhadap risiko-
risiko yang relevan dengan kegiatan yang sedang atau untuk mengubah
diperiksa. Auditor internal juga mempertimbangkan:
tujuan penugasan secara signifikan (jika ada)

 Keandalan dari penilaian risiko oleh

manajemen.

 Proses manajemen dalam pemantauan,

pelaporan, dan penyelesaian masalah-

masalah risiko dan pengendalian.

 Pelaporan manajemen atas kejadian-kejadian

yang melampaui batas risk appetite organisasi

dan respons manajemen terhadap laporan

tersebut.

 Risiko-risiko dalam kegiatan lain yang

terkait dengan kegiatan yang sedang

diperiksa.

2. Auditor internal mendapatkan atau memperbarui

informasi mengenai latar belakang dari kegiatan yang
sedang diperiksa untuk menentukan dampak terhadap
tujuan dan ruang lingkup penugasan.

3. Selayaknya auditor internal melakukan survei untuk

familiariasi dengan kegiatan yang diperiksa, risiko-
risiko beserta pengendaliannya untuk mengidentifikasi
area-area penekanan penugasan, serta meminta
komentar/saran dari klien penugasan bila ada.

4. Auditor internal merangkum hasil dari review atas

penilaian risiko yang dilakukan oleh manajemen
tersebut, termasuk informasi latar belakang dan hasil
survei. Ringkasan tersebut mencakup:
 ‘berkontribusi’ dalam terjadinya kerugian tersebut
Mengelola Risiko Aktivitas melalui faktor-faktor seperti berikut ini:
Audit Internal (1)
BY  Tidak mengikuti Standar Internasional untuk
AUDITORINTERNAL
– 03/05/2011POSTED IN: MANAJEMEN AUDIT Praktik Profesional Audit Internal.
INTERNAL, MANAJEMEN RISIKO, PRACTICE
ADVISORIES, STANDAR KINERJA  Program pemastian dan peningkatan kualitas

Dibaca 6,831 kali (QAIP-Standard 1300) yang tidak berjalan

Peran dan pentingnya audit internal telah berkembang
pesat, dan ekspektasi para stakeholder kunci juga sebagaimana mestinya, termasuk prosedur
terus berkembang. Aktivitas audit internal memiliki untuk memonitor independensi dan
mandat yang luas untuk meng-cover risiko-risiko
keuangan, operasional, teknologi informasi, objektivitas auditor.
hukum/peraturan, dan risiko strategis. Pada saat yang
sama, banyak aktivitas audit internal menghadapi  Proses penilaian risiko yang kurang efektif
kesulitan sehubungan dengan ketersediaan personil
yang qualified, tingkat kompensasi yang meningkat, pada saat mengidentifikasi area-area audit
serta permintaan yang tinggi untuk sumber daya yang penting dalam penilaian risiko strategis
dengan keahlian khusus (misalnya dalam bidang
sistem informasi, fraud, derivatif, pajak). (rencana tahunan), serta area-area berisiko

tinggi dalam perencanaan audit individual.

Kombinasi dari berbagai faktor ini menyebabkan
tingkat risiko yang tinggi bagi aktivitas audit internal Sebagai akibatnya, kegagalan untuk
yang bersangkutan. Oleh karenanya, CAE perlu
mempertimbangkan risiko-risiko tersebut melakukan audit secara tepat dan/atau waktu
dalam pencapaian tujuan aktivitas audit internal. Hal
ini sekaligus menunjukkan bahwa aktivitas audit yang terbuang karena ketidaktepatan audit
internal juga tidak kebal terhadap risiko. Mereka tersebut.
harus mengambil langkah yang diperlukan untuk
memastikan bahwa risiko mereka sendiri juga telah  Kegagalan untuk mendesain prosedur audit
dikelola secara memadai.
internal yang efektif untuk menguji risiko yang
Secara garis besar, risiko untuk aktivitas audit internal riil beserta pengendalian terkait yang tepat.
dapat dibedakan ke dalam tiga kategori:
 Kegagalan untuk mengevaluasi kecukupan

desain dan efektifitas pengendalian sebagai

1. Kegagalan audit (audit failure),
bagian dari prosedur audit internal.
2. Keyakinan yang keliru (false assurance), dan
 Penggunaan tim audit yang tidak memiliki
3. Risiko reputasi.
tingkat kompetensi yang tepat berdasarkan
Pembahasan berikut ini menyoroti atribut-atribut kunci
pengalaman atau pengetahuan atas area-area
berkaitan dengan risiko-risiko tersebut dan bagaimana
langkah-langkah yang perlu diambil oleh aktivitas audit yang berisiko tinggi.
internal untuk memitigasinya.
 Kegagalan untuk menerapkan skeptisisme
1. Kegagalan Audit (Audit Failure) profesional yang tinggi dan penambahan

Setiap organisasi dapat saja mengalami kelemahan prosedur audit yang diperlukan atas temuan
pengendalian. Ketika kelemahan pengendalian atau kelemahan pengendalian.
tersebut dimanfaatkan sehingga terjadi kerugian
ataupun kecurangan, banyak pihak biasanya akan  Kegagalan supervisi audit internal yang
menanyakan: “Di mana auditor internal?”
memadai.
Pertanyaan tersebut tidak sepenuhnya keliru,  Mengambil keputusan yang keliru ketika
mengingat aktivitas audit internal dapat saja
menemukan beberapa indikasi kecurangan –
 seperti, “Ini mungkin tidak material” atau “Kita audit. Selain itu, pemahaman ruang lingkup

tidak memiliki waktu atau sumber daya untuk tugas dan prosedur audit internal yang akan

menangani masalah ini.” dilakukan, adalah elemen penting dari proses

 Kegagalan untuk mengomunikasikan perencanaan, yang juga akan mengurangi

kecurigaan kepada orang yang tepat. risiko kegagalan audit.

 Kegagalan untuk membuat pelaporan secara  Membuat checkpoint yang harus dilakukan

memadai. oleh manajemen audit internal dalam proses

audit, dan memperoleh persetujuan

Kegagalan-kegagalan audit di atas bukan hanya akan
memalukan bagi aktivitas audit internal, namun lebih penyimpangan lingkup/prosedur dari rencana
penting lagi juga dapat membawa organisasi tereskpos
risiko secara signifikan. Meskipun tidak ada jaminan yang telah disepakati, juga merupakan
mutlak bahwa kegagalan audit tersebut tidak akan
terjadi, aktivitas audit internal dapat menerapkan pengendalian penting.
praktik-praktik berikut ini untuk mengurangi risiko-risiko  Mendesain audit yang efektif. Dalam banyak
tersebut:
kasus, cukup banyak waktu yang dihabiskan

 Menyusun dan menerapkan secara konsisten untuk memahami dan menganalisa desain

program pemastian dan peningkatan kualitas. sistem pengendalian internal untuk

 Mereview semesta audit (audit universe) menentukan apakah itu memberikan

secara periodik dengan pengendalian yang memadai sebelum

memastikan metodologi review untuk memulai pengujian untuk efektivitasnya. Cara

menentukan kelengkapan semesta audit ini akan memberikan dasar yang kuat untuk

dengan memperhatikan dinamika profil risiko menemukan sebab mendasar/root

organisasi. causes (bukan sekedar gejala), yang

 Mereview rencana audit secara periodik untuk terkadang juga merupakan akibat dari desain

menilai kembali mana tugas yang memiliki pengendalian yang kurang. Mengidentifikasi

risiko yang lebih tinggi. Dengan “penandaan” pengendalian yang kurang/hilang ini juga akan

tugas berisiko tinggi, manajemen aktivitas audit mengurangi kemungkinan kegagalan audit.

internal memiliki visibilitas yang lebih baik dan  Menerapkan review manajemen secara lebih

memiliki lebih banyak waktu terhadap tugas- dini dan prosedur eskalasi. Keterlibatan

tugas kritikal. manajemen audit internal dalam proses audit

 Merencanakan audit secara efektif, karena internal (yaitu, sebelum penyusunan draf

tidak ada pengganti untuk perencanaan audit laporan) memainkan peran penting dalam

yang efektif. Proses perencanaan yang mengurangi risiko kegagalan

menyeluruh dengan mencakup fakta-fakta audit. Keterlibatan di sini bisa berupa review

terkini yang relevan tentang klien, serta kertas kerja, diskusi terkait dengan temuan

penilaian risiko yang efektif, secara signifikan secara lebih dini, atau terlibat dalam rapat

dapat mengurangi risiko kegagalan penutupan (closing meeting). Dengan

keterlibatan manajemen aktivitas audit internal

 dalam proses audit internal secara lebih dini,

masalah potensial dalam penugasan dapat

diidentifikasi dan dinilai secara lebih

dini. Selain itu, aktivitas audit internal perlu juga

memiliki prosedur atau pedoman yang

menguraikan kapan dan apa jenis isu-isu yang

perlu diangkat atau dieskalasi ke tingkat

manajemen audit internal.

 Alokasi sumber daya yang tepat untuk

menetapkan staf yang tepat bagi setiap

penugasan audit internal. Hal ini terutama

penting ketika merencanakan suatu risiko yang

lebih tinggi atau penugasan yang sangat

teknis. Memastikan kompetensi yang sesuai

ada di tim yang ditugaskan dapat memainkan

peran penting dalam mengurangi risiko

kegagalan audit. Selain kompetensi yang

tepat, penting pula untuk memastikan tingkat

pengalaman dalam tim yang bersangkutan,

termasuk keterampilan manajemen projek

yang kuat bagi mereka yang memimpin

penugasan audit internal.
Mengelola Risiko Aktivitas  Secara proaktif mengomunikasikan peran dan

Audit Internal (2) mandat dari aktivitas audit internal kepada

BY komite audit, manajemen senior,
AUDITORINTERNAL
– 11/05/2011POSTED IN: MANAJEMEN AUDIT dan stakeholder kunci lainnya.
INTERNAL, MANAJEMEN RISIKO, PRACTICE
ADVISORIES, STANDAR KINERJA  Secara mengomunikasikan apa yang tercakup

Dibaca 3,995 kali dalam penilaian risiko, rencana audit internal

Mengelola Risiko Aktivitas Audit Internal (1)
dan penugasan audit internal. Juga secara
2. Keyakinan yang Keliru (False Assurance) eksplisit mengomunikasikan apa yang tidak

termasuk dalam lingkup penilaian risiko dan

Aktivitas audit internal mungkin saja secara tidak
sengaja memberikan efek keyakinan yang keliru. rencana audit internal.
“False Assurance” adalah suatu keyakinan atau
pemastian dari audit beneficiaries yang lebih  Memiliki mekanisme persetujuan terhadap
didasarkan pada persepsi atau asumsi ketimbang
projek-projek yang dimintakan kepada aktivitas
fakta. Dalam banyak kasus, fakta dan persepsi
tercampur campur baur dalam hal keterlibatan auditor audit internal untuk terlibat. Dalam mekanisme
internal pada suatu masalah dapat menyebabkan false
assurance. False assurance sering terjadi pada itu ada penilaian peran audit internal dalam
aktivitas-aktivitas yang melibatkan auditor internal
dalam penugasan-penugasan di luar penugasan projek tersebut dan seberapa besar tingkat
formal audit internal.
risiko yang terkait. Penilaian ini dapat

Sebagai contoh, sebuah aktivitas audit internal diminta menggunakan pertimbangan: lingkup projek;
oleh unit bisnis untuk menyediakan auditor demi
peran audit internal; ekspektasi pelaporan;
membantu implementasi sistem komputer baru
perusahaan. Dalam kenyataannya auditor yang kompetensi yang dibutuhkan, dan
diperbantukan tersebut hanya membantu beberapa
pengujian pada area-area tertentu dalam sistem independensi auditor internal.
tersebut sesuai permintaan unit bisnis yang
bersangkutan. Tak lama setelah implementasi sistem  Jika auditor internal diperbantukan untuk
tersebut, ditemukan kesalahan dalam desain sistem
menambah staf dari suatu projek,
yang mengakibatkan dampak yang cukup
serius. Ketika unit bisnis ditanya bagaimana hal dokumentasikan peran mereka dan lingkup
tersebut bisa terjadi, mereka menjawab bahwa
aktivitas audit internal telah terlibat dalam proses dan keterlibatan mereka, serta potensi gangguan
tidak mengidentifikasi masalah tersebut. Di sini terlihat
inkonsistensi fakta bahwa auditor hanya menguji objektivitas dan independensi mereka sebagai
secara parsial dan bukan dalam rangka penugasan auditor internal di masa depan.
audit sistem informasi secara penuh, dengan persepsi
unit bisnis yang bersangkutan bahwa auditor telah
terlibat dalam projek. 3. Risiko Reputasi

Reputasi yang kredibel suatu aktivitas audit internal

Meskipun tidak ada mitigasi yang dapat merupakan bagian penting dari
efektivitasnya. Aktivitas audit internal yang dipandang
menghilangkan secara keseluruhan risiko false dengan penghormatan tinggi akan mampu menarik
para profesional terbaik dan akan sangat dihargai oleh
asurance, suatu aktivitas audit internal secara proaktif
organisasi mereka. Mempertahankan brand yang kuat
dapat mengelola risiko ini dengan melakukan sangat penting untuk keberhasilan aktivitas audit
internal dan kemampuan untuk memberikan kontribusi
komunikasi yang cukup sering dan jelas dengan optimal kepada organisasi. Dalam banyak
kasus, brand aktivitas audit internal perlu dibangun
berbagai pihak. Praktik-praktik lain yang dapat selama bertahun-tahun melalui kerja-kerja yang
dilakukan antara lain: berkualitas tinggi secara konsisten. Sangat
disayangkan apabila brand ini kemudian hancur hanya
karena satu kejadian buruk yang tidak semestinya. analysis ini akan memberikan pemahaman apakah

ada perubahan yang terjadi dalam proses dan

Sebagai contoh, pada organisasi di mana aktivitas
audit internal begitu dihargai, sehingga menjadi tempat lingkungan pengendalian aktivitas audit internal yang
rotasi bagi eksekutif kunci yang dipersiapkan untuk
perlu diperhatikan, agar masalah tersebut sedapat
menduduki jabatan lanjutan. Akan sangat memalukan
apabila aktivitas audit internal itu sendiri tidak memiliki mungkin tidak terjadi lagi di masa depan
sumber daya dan sistem yang siap menjadi ‘tempat
sekolah’ para calon pemimpin tersebut.Ini terkait
kredibilitas institusional. Pada contoh yang lain,
perekrutan auditor internal yang tidak memperhatikan
background check, sehingga misalnya mendapatkan
personal yang pernah terlibat kriminal atau tidak
memiliki kualifikasi yang sesuai, juga dapat
mencederai kredibilitas aktivitas audit internal. Situasi-
situasi tersebut tidak hanya memalukan namun juga
merusak efektivitas aktivitas audit internal. Dan
menjaga reputasi ini bukan hanya melindungi brand
aktivitas audit internal, namun juga untuk keseluruhan
organisasi.

Dengan demikian menjadi sangat penting bagi

aktivitas audit internal untuk senantiasa menimbang
risiko-risiko yang dihadapi yang dapat mempengaruhi
reputasi ini serta mengembangkan strategi mitigasi
untuk mengatasi risiko-risiko tersebut. Di antara
praktik-praktik yang lazim untuk memitigasi risiko-risiko
ini, antara lain:

 Menerapkan program pemastian kualitas dan

peningkatan (QAIP) yang kuat terhadap semua

proses dalam aktivitas audit internal, termasuk

SDM dan perekrutan.

 Secara berkala melakukan penilaian risiko

untuk aktivitas audit internal sendiri, untuk

mengidentifikasi potensi risiko terhadap brand-

nya.

 Terus-menerus menegakkan kode etik dan

standar perilaku untuk auditor internal.

 Memastikan bahwa aktivitas audit internal telah

mematuhi seluruh kebijakan dan peraturan

yang berlaku di organisasi.

Walaupun tentu tidak diharapkan, dalam hal kondisi

atau kejadian buruk tersebut di atas menimpa aktivitas

audit internal, maka CAE harus mereview dan
menganalisis akar permasalahannya. Root cause
Dalam berbagai referensi umumnya
disebutkan risiko merupakan kemungkinan
atau peluang terjadinya kegagalan atau
penerimaan hasil yang tidak sesuai harapan.
Risiko akan muncul dari setiap aktivitas baik
dari aktivitas terkecil maupun serangkaian
aktivitas lainnya.
Sebagai contoh, seorang mahasiswa yang
berkendara sepeda motor menuju kampus.
Risiko yang paling mungkin muncul adalah:
Risiko Kejadian
Probabilitas
Kemunculan
Pada dasarnya setiap individu sudah
berprilaku dengan memperhatikan risiko.
Contoh paling sederhana adalah pesan orang
tua kepada anaknya sebelum berangkat sang
anak berangkat ke kampus yang paling
umum adalah: “hati-hati di jalan ya”.
Pernyataan tersebut menyiratkan bahwa
sebenarnya dalam setiap induvidu baik yang
berpendidikan tinggi atau pun hanya
pendidikan non formal memahami bahwa
dalam setiap kegiatan kita harus
memperhatikan risiko.

(Inherent Risk)
Selain memperhatikan adanya risiko,
sebenarnya sehari-hari kita juga sudah
melakukan manajemen risiko dengan upaya-
Ban kempes atau bocor upaya pencegahan munculnya
kegagalanmengurangi risiko. Upaya yang
kita lakukan tersebut biasanya disebut
Sedang
mitigasi risiko. Mitigasi risiko dapat secara
langsung menurunkan probabilitas
Sepeda motor mogok kegagalan, bahkan dalam beberapa kasus
tertentu dapat dialihkan dan dinihilkan.
Sedang
Risiko Kejadian
Lalu lintas macet
Upaya
Tinggi
Mitigasi
Terlambat sampai pada tujuan
Probabilitas
Sedang
Kemunculan
(Coherent Risk)
Lalu lintas macet

Ban kempes atau bocor

1.Pemeriksaan sebelum penggu-naan

kendaraan 1.Pilih rute jarang macet

2.Mengganti ban apabila sudah tipis 2.Berangkat lebih awal

Kecil Sedang

Sepeda motor mogok Terlambat sampai pada tujuan

Servis rutin 1.Bangun lebih pagi

2.Berangkat lebih awal

Kecil

Kecil

Dalam skala pribadi kita melakukan mitigasi
risiko untuk memastikan tujuan kita
tercapai, seperti contoh sebagai berikut:
-Menabung di Bank untuk menghindari
pemborosan
-Memakai seat belt pada mobil atau helm
pada sepeda motor untuk mengurangi risiko
kecelakaan
-Menyimpan uang cadangan di sela-sela
dompet
-Membawa payung untuk antisipasi hujan
Kegagalan dalam mengenali risiko dan
melakukan upaya mitigasi yang cukup dapat
menyebabkan kerugian baik secara materi
maupun non materi. Beberapa contohnya:

 Terlambat datang pada saat kuliah mungkin
tidak membawa masalah besar, namun
terlambat datang saat jadwal wawancara
kerja jelas memberikan penilaian negatif
yang berujung kemungkinan kecil untuk
diterima.

 Selisih skor 10 angka pada saat ujian
semester mungkin tidak membawa
perbedaan, tetapi bila selisih 0.5 angka pada
indeks prestasi kumulatif (IPK) akan sangat
berpengaruh.
 Memiliki asuransi jiwa bagi seorang
bujangan tidaklah penting, namun bagi
seorang kepala rumah tangga dengan 3 anak,
memiliki asuransi adalah hal yang penting.
Dalam skala yang lebih besar seperti
organisasi dan korporasi, pengelolaan risiko
dilakukan secara sistematis dan terstruktur.
Pola penanganan risiko secara sistematis dan
terkur dapat disebut sebagai manajemen
risiko.
Dunia modern saat ini melihat penanganan
risiko semakin penting peranannya. Tidak
cuma dalam skala individu dan bisnis,
bahkan organisasi politik juga perlu
penanganan manajemen risiko. Beberapa
faktor yang mendorong semakin besarnya
peran manajemen risiko adalah:
1.Dunia semakin dipenuhi ketidakpastian.
Siapa yang akan mengira gedung WTC di
New York akan hancur oleh hantaman
pesawat terbang? Siapa yang mengira
Lehman Brothers akan bangkrut kurang
daridua tahun setelah krisis ekonomi AS?
Siapa yang dapat memprediksi gempa bumi
dan tsunami di Aceh. Jawabannya adalah
tidak ada.
Manusia saat ini hidup dengan data historis
sangat lengkap. Kita bisa mencari data dan
informasi apapun di internet. Namun
demikian, saking banyaknya data tersebut,
manusia tetap saja gagal memprediksi hal-
hal yang dapat terjadi pada masa depan.
Bahkan korporasi saat ini kesulitan apabila
ditanyakan masa depan perusahaannya
sepuluh tahun mendatang.
2.Interkoneksi yang semakin tinggi.
Tingkat ketergantuan antar entitas di dunia
saat ini makin tinggi. Perusahaan seperti
Intel Corporation yang berbasis di AS
memiliki fasilitas riset tersebar di AS,
Eropa, Israel. Sedangkan fasilitas
manufakturnya berada di AS, Eropa, dan
Asia. Interkoneksi ini mendorong hubungan
sebab akibat yang semakin tinggi. Contoh
interkoneksi:
-Pemogokan buruh di AS dapat
menyebabkan harga saham Toyota turun
karena pangsa pasar otomotif di Kanada
akan berdampak.
-Terhentinya pasokan minyak di selat Iran,
dapat mendorong perang kawasan dan resesi
ekonomi.
-Permasalahan nuklir di Korea Utara
mendorong kekhawatiran Jepang.
-Kenaikan harga minyak dunia mendorong
kenaikan harga CPO.
3.Citra masyarakat yang semakin penting.
Banyak hal menjadi begitu populer karena
pencitraan yang baik, begitu juga sebaliknya
citra yang buruk langsung berpengaruh pada
kinerja yang buruk. Presiden Obama dan
Gubernur Jokowi yang baru saja terpilih
menguatkan bagaimana citra bisa mengubah
pilihan dan persepsi.
Bagi produsen mobil Cina menarik ribuan
mobil untuk proses perbaikan adalah hal
yang wajar mengingat reputasi mereka di
bidang otomotif yangbelum mumpuni.
Namun demikian, bagi Toyota hal itu jelas
menunjukkan adanya permasalahan
manajemen kualitas. Pengambilan keputusan
dan pengelolaan manajemen risiko bagi
Toyota jauh lebih berat dari pada produsen
mobil Cina.

Pada tulisan-tulisan selanjutnya akan

disampaikan bagimana manajemen risiko
berfungsi dalam membantu bisnis mencapai
tujuan. Tidak sekedar berupaya
mengamankan tujuan namun juga dapat
mempercepat pencapaian tersebut.