salah saji material atas informasi atau data, terdapat penurunan yang signifikan dari risiko
dengan asumsi tidak terdapat pengendalian melekat ke risiko residual (terutama jika risiko
terkait untuk memitigasi kerentanan melekat sangat tinggi). Ini untuk menyoroti
ada.
5. Pengendalian utama (key control) dapat
6. Perencanaan audit internal perlu memanfaatkan dan aktivitas pemantauan – Apakah telah
proses manajemen risiko organisasi, bila proses dikaitkan dengan peristiwa dan / atau risiko
tersebut telah berjalan. Dalam merencanakan
penugasan, auditor internal perlu mempertimbangkan individual?
risiko signifikan dari kegiatan dan juga sarana yang
digunakan manajemen untuk memperkecil risiko Daftar risiko (Risk register) – Apakah disusun
tersebut pada tingkat yang dapat diterima. Auditor
internal menggunakan teknik penilaian risiko dalam secara sistematis, lengkap, dan akurat?
pengembangan rencana Aktivitas Audit Dokumentasi – Apakah risiko dan kegiatan
Internal termasuk dalam menentukan prioritas untuk
mengalokasikan sumber daya audit internal. Penilaian didokumentasikan?
risiko digunakan untuk mereview area-area yang dapat
diaudit (auditable units) dan untuk kemudian dipilih
Selain itu, auditor internal perlu berkoordinasi dengan
area-area yang memiliki risiko terbesar ke dalam
penyedia layanan assurance lainnya serta
rencana Aktivitas Audit Internal.
mempertimbangkan apakah dapat menggunakan hasil
pekerjaan mereka (diatur lebih lanjut dalam practice
7. Auditor Internal mungkin tidak memenuhi kualifikasi advisorymengenai Assurance Maps).
yang diperlukan untuk mengevaluasi setiap kategori
risiko dan proses ERM di dalam organisasi (misalnya,
10. Piagam audit internal biasanya mengharuskan
audit internal terhadap kesehatan dan keselamatan
Aktivitas Audit Internal untuk fokus pada area-area
kerja, audit lingkungan, atau instrumen keuangan yang
yang berisiko tinggi, baik dari aspek risiko melekat
kompleks). CAE harus memastikan untuk
ataupun residual. Aktivitas audit internal perlu
menggunakan auditor internal dengan keahlian khusus
mengidentifikasi area-area yang memiliki risiko
atau penyedia layanan eksternal untuk melakukan
melekat tinggi, risiko residual tinggi, dan sistem
evaluasi dengan tepat.
pengendalian utama yang diandalkan organisasi untuk
melakukan mitigasi. Jika Aktivitas Audit Internal
8. Proses dan sistem manajemen risiko bisa mengidentifikasi adanya area-area risiko residual yang
diterapkan secara berbeda-beda di antara organisasi tidak dapat diterima (unacceptable), manajemen perlu
di seluruh dunia, sesuai dengan tingkat kematangan segera diberitahu sehingga risiko tersebut dapat
(maturity level) manajemen risiko pada organisasi ditangani. Dari proses ini auditor internal akan mampu
yang bersangkutan. Apabila organisasi memiliki mengidentifikasi berbagai jenis kegiatan yang bisa
kegiatan manajemen risiko secara terpusat, peran dimasukkan rencana kegiatan, termasuk:
kegiatan ini termasuk pula mengkoordinasikan dengan
manajemen mengenai review terus-menerus
terhadap struktur pengendalian agar terus sesuai Kegiatan review /assurance Pengendalian – di
dengan selera risiko (risk appetite) yang terus
bergerak. Proses manajemen risiko yang digunakan mana auditor internal melakukan review
di berbagai belahan dunia mungkin memiliki logika,
struktur, dan terminologi yang berbeda. Oleh karena itu kecukupan dan efisiensi sistem pengendalian
auditor internal perlu membuat penilaian terhadap serta memberikan assurance bahwa
proses manajemen risiko organisasi untuk kemudian
menentukan bagian mana dari proses tersebut yang pengendalian telah berjalan dan risiko telah
dapat digunakan dalam mengembangkan rencana
Aktivitas Audit Internal dan bagian mana untuk dikelola secara efektif.
Kegiatan Inquiry– di mana ketika manajemen
dapat diterima.
manajemen.
tersebut.
Setiap organisasi dapat saja mengalami kelemahan prosedur audit yang diperlukan atas temuan
pengendalian. Ketika kelemahan pengendalian atau kelemahan pengendalian.
tersebut dimanfaatkan sehingga terjadi kerugian
ataupun kecurangan, banyak pihak biasanya akan Kegagalan supervisi audit internal yang
menanyakan: “Di mana auditor internal?”
memadai.
Pertanyaan tersebut tidak sepenuhnya keliru, Mengambil keputusan yang keliru ketika
mengingat aktivitas audit internal dapat saja
menemukan beberapa indikasi kecurangan –
seperti, “Ini mungkin tidak material” atau “Kita audit. Selain itu, pemahaman ruang lingkup
tidak memiliki waktu atau sumber daya untuk tugas dan prosedur audit internal yang akan
Kegagalan untuk membuat pelaporan secara Membuat checkpoint yang harus dilakukan
Menyusun dan menerapkan secara konsisten untuk memahami dan menganalisa desain
menentukan kelengkapan semesta audit ini akan memberikan dasar yang kuat untuk
Mereview rencana audit secara periodik untuk terkadang juga merupakan akibat dari desain
menilai kembali mana tugas yang memiliki pengendalian yang kurang. Mengidentifikasi
risiko yang lebih tinggi. Dengan “penandaan” pengendalian yang kurang/hilang ini juga akan
tugas berisiko tinggi, manajemen aktivitas audit mengurangi kemungkinan kegagalan audit.
internal memiliki visibilitas yang lebih baik dan Menerapkan review manajemen secara lebih
memiliki lebih banyak waktu terhadap tugas- dini dan prosedur eskalasi. Keterlibatan
Merencanakan audit secara efektif, karena internal (yaitu, sebelum penyusunan draf
tidak ada pengganti untuk perencanaan audit laporan) memainkan peran penting dalam
menyeluruh dengan mencakup fakta-fakta audit. Keterlibatan di sini bisa berupa review
terkini yang relevan tentang klien, serta kertas kerja, diskusi terkait dengan temuan
penilaian risiko yang efektif, secara signifikan secara lebih dini, atau terlibat dalam rapat
Sebagai contoh, sebuah aktivitas audit internal diminta menggunakan pertimbangan: lingkup projek;
oleh unit bisnis untuk menyediakan auditor demi
peran audit internal; ekspektasi pelaporan;
membantu implementasi sistem komputer baru
perusahaan. Dalam kenyataannya auditor yang kompetensi yang dibutuhkan, dan
diperbantukan tersebut hanya membantu beberapa
pengujian pada area-area tertentu dalam sistem independensi auditor internal.
tersebut sesuai permintaan unit bisnis yang
bersangkutan. Tak lama setelah implementasi sistem Jika auditor internal diperbantukan untuk
tersebut, ditemukan kesalahan dalam desain sistem
menambah staf dari suatu projek,
yang mengakibatkan dampak yang cukup
serius. Ketika unit bisnis ditanya bagaimana hal dokumentasikan peran mereka dan lingkup
tersebut bisa terjadi, mereka menjawab bahwa
aktivitas audit internal telah terlibat dalam proses dan keterlibatan mereka, serta potensi gangguan
tidak mengidentifikasi masalah tersebut. Di sini terlihat
inkonsistensi fakta bahwa auditor hanya menguji objektivitas dan independensi mereka sebagai
secara parsial dan bukan dalam rangka penugasan auditor internal di masa depan.
audit sistem informasi secara penuh, dengan persepsi
unit bisnis yang bersangkutan bahwa auditor telah
terlibat dalam projek. 3. Risiko Reputasi
nya.
(Inherent Risk)
Selain memperhatikan adanya risiko,
sebenarnya sehari-hari kita juga sudah
melakukan manajemen risiko dengan upaya-
Ban kempes atau bocor upaya pencegahan munculnya
kegagalanmengurangi risiko. Upaya yang
kita lakukan tersebut biasanya disebut
Sedang
mitigasi risiko. Mitigasi risiko dapat secara
langsung menurunkan probabilitas
Sepeda motor mogok kegagalan, bahkan dalam beberapa kasus
tertentu dapat dialihkan dan dinihilkan.
Sedang
Risiko Kejadian
Lalu lintas macet
Upaya
Tinggi
Mitigasi
Terlambat sampai pada tujuan
Probabilitas
Sedang
Kemunculan
(Coherent Risk)
Lalu lintas macet
Kecil Sedang
Kecil
Kecil
Terlambat datang pada saat kuliah mungkin
tidak membawa masalah besar, namun
terlambat datang saat jadwal wawancara
kerja jelas memberikan penilaian negatif
yang berujung kemungkinan kecil untuk
diterima.