RISK BASED INTERNAL AUDITING

Filed under: Artikel seputar Internal Audit — internalauditindonesia @ 12:00 am

(Artikel ini telah dimuat di Majalah MEDIA AKUNTANSI No. 32,

Rubrik “Audit Isu”, Edisi April 2003, ISSN : 1410-0886)

Oleh : Muh. Arief Effendi,SE,MSi,Ak,QIA *)

Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang

dilakukan oleh internal auditor lebih difokuskan terhadap masalah parameter risk assesment

yang diformulasikan pada risk based audit plan.Berdasarkan risk assesment tersebut dapat

diketahui risk matrix, sehingga dapat membantu internal auditor untuk menyusun risk

audit matrix. Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based

audit approach, antara lain internal auditor akan lebih efisien & efektif dalam melakukan

audit, sehingga dapat meningkatkan kinerja Departemen Internal Audit.Tulisan ini akan

menyoroti masalah risk assesment, risk matrix dan risk audit matrix serta risk based audit

approach. Sebelumnya dibahas terlebih dahulu masalah pergeseran dalam fungsi internal

auditing.

Pergeseran fungsi dalam internal auditing.

Fokus audit internal auditing telah mengalami pergeseran (perubahan). Pada masa lalu fokus

utama peran auditor internal sebagai ‘watchdog’, sehingga membuat perannya kurang

disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis

dari profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit,

yaitu antara pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi

yang saling berhadapan. Pada saat ini proses auditing modern telah bergeser sebagai

‘konsultan intern’ (internal consultant) yang memberi masukan (input) untuk perbaikan

(improvement) atas sistem yang telah ada serta berperan sebagai katalis (catalyst).

Fungsi konsultan bagi auditor internal merupakan peran yang relatif baru. Peran konsultan

membawa internal auditor untuk selalu meningkatkan pengetahuan & ketrampilan (skill

& knowledge) baik tentang profesi auditor maupun aspek bisnis (business object) ,

sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu masalah.

Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagi

internal auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan audit

berbagai fungsi / bagian di perusahaan. Konsultasi internal saat ini merupakan aktivitas yang

sangat dibutuhkan oleh manajemen puncak (top management) yang perlu dilakukan oleh

auditor internal. Selain sebagai konsultan, auditor internal harus mampu berperan sebagai

katalisator yaitu memberikan jasa kepada manajemen melalui saran-saran yang bersifat

konstruktif dan dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat

yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal

auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional

perusahaan, namun turut serta bertanggungjawab dalam meningkatkan kinerja perusahaan

melalui rekomendasi yang disampaikaan kepada manajemen operasional. Ruang lingkup

(scope) kegiatan audit semakin luas, pada saat ini tidak sekedar audit keuangan (financial

audit) dan audit ketaatan (compliance audit), tetapi fokus perhatian ditujukan pada semua

aspek yang berpengaruh terhadap kinerja (performance) perusahaan dan pengendalian

manajemen serta memperhatikan aspek risiko bisnis (business risk) dan risiko manajemen

(risk management). Pergeseran orientasi audit menuju ke arah audit yang didasarkan atas

resiko (risk based auditing) ini akan terus berlanjut seiring dengan kebutuhan perusahaan

yang semakin kompleks di masa mendatang.

Risk assesment

Internal auditor perlu melakukan risk asssment untuk mengetahui lebih jauh risiko-risiko

potensial yang mungkin dihadapi oleh perusahaan.Proses risk assesment terdiri dari langkah-

langkah sebagai berikut :

 Mengidentifikasi risiko-risiko bisnis yang melekat (inherent business risks) dalam

aktivitas perusahaan.

 Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka

monitoring inherent risk dari aktivitas bisnis (control risk).

 Menggambarkan risk matrix yang didasarkan atas inherent business

risks dan control risk.Risk assesment dapat dilakukan dengan pendekatan

kuantitatif maupun kualitatif.

Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :

 Trend industri & faktor lingkungan lain.

  Kompleksitas & volume aktivitas bisnis.

 Perubahan dari fokus bisnis & lini bisnis (busines lines).

 Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).

 Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget) Perusahaan.

Risk matrix

Assesment harus dilakukan secara periodik oleh internal auditor, sehingga adanya perubahan

dalam lingkungan bisnis serta aktivitas bisnis dapat diikuti internal auditor secara up to date.

Untuk memberikan gambaran yang lebih jelas tentang Risk matrix dapat dibuatkan ilustrasi

seperti tabel berikut :

RISK MATRIX (RM)

INHERENT High A B C

High Risk Very High Risk Extremely High Risk

BUSINESS Medium D E F

Medium Risk High Risk Very High Risk

RISK (IBR) Low G H I

Low Risk Medium Risk High Risk

Low Medium High

CONTROL RISK (CR) ———————————->

Inherent business risk dapat diindikasikan dari risiko yang melekat pada aktivitas bisnis

perusahaan yang dapat diklasifikasikan atas low, medium & high. Control risk juga dapat

diklasifikasikan atas low, medium & high.

Risk audit matrix.

Departemen Internal Audit dapat menyusun risk audit matrix atas obyek-obyek yang akan

diaudit bedasarkan atas besarnya risiko / Magnitude of Risk (M) dan frekuensi risiko /

Frequency of Risk (F). Ilustrasi dari risk audit matrix dapat dibuatkan tabel sebagai berikut :
 RISK AUDIT MATRIX (RAM)
MAGNI-TUDE High High (M) Low (F) High (M) Medium (F) High (M) High (F)
OF Medium Medium (M) Low (F) Medium (M) Medium (F) Medium (M) High
(F)
RISK (M) Low Low (M) Low (F) Low (M) Medium (F) Low (M) High (F)
Low Medium High

FREQUENCY OF RISK (F) ——————–>

Departemen Audit Internal dalam menyusun perencanaan audit (audit plan) dapat

diprioritaskan kepada obyek audit (auditee) sesuai dengan urutan sebagai berikut :

 · High Magnitude & High Frequency.

 · High Magnitude & Medium Frequency.

 · Medium Magnitude & High Frequency.

 High Magnitude & Low Frequency.

 · Medium Magnitude & Medium Frequency.

Risk Based Audit Approach

Terdapat tiga aspek dalam Risk Based Auditing, yaitu penggunaan faktor risiko (risk factor)

dalam audit planning, identifikasi independent risk & assesment dan partisipasi dalm

inisiatif risk management & processes.Cakupan dari risk based internal audit termasuk

dilakukannya identifikasi atas inherent business risks dan control risk yang potensial.

Departemen Internal Audit dapat melakukan review secara periodik tiap tahun atas risk

based internal audit dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan

Komite Audit dapat melakukan assessment atas kinerja (performance) dari risk based

internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil risiko

(Risk profile) atas risk based internal audit didokumentasikan dalam audit plan yang dibuat

oleh Departemen Internal Audit. Risk profiletersebut dapat digunakan untuk melakukan

evaluasi apakah metodologi risk assesment telah rasional. Manfaat diterapkannya

pendekatan risk based internal audit antara lain dapat meningkatkan efisiensi dan efektivitas

internal auditor dalam melakukan audit, sehingga secara tidak langsung dapat meningkatkan

kinerja Departemen Internal audit.

Perusahaan di era globalisasi ini memiliki lingkungan bisnis yang berubah-ubah dikarenakan

adanya pengaruh dari internal perusahaan maupun dari pihak eksternal perusahaan. Risiko

yang dihadapi perusahaan-perusahaan saat ini tidak menentu atau diluar prediksi, karena

beberapa factor yang mempengaruhi. Oleh karena itu, internal audit di dalam perusahaan

menggunakan risk based audit untuk mengetahui risiko di dalam perusahaan.

Apa Itu Risk Based Audit?

Risk based audit merupakan sebuah metode atau cara yang digunakan oleh auditor internal

dalam melaksanakan tugas auditnya, sehingga memberikan jaminan bahwa risiko yang ada

sudah dikelola oleh pihak manajemen dengan baik dan memiliki batasan risiko yang tidak

berdampak terhadap tujuan perusahaan. Dengan adanya metode pendekatan audit ini dapat

membantu terpenuhinya tanggung jawab manajemen secara efektif. Pihak manajemen

bertanggungjawab dalam memastikan pengendalian internal berjalan dengan baik dan proses

manajemen risiko juga berjalan secara efektif, dari tanggungjawab manajemen tersebut

maka risk based audit sangat penting untuk dijalankan.

Tujuan Risk Based Audit

Tujuan dari audit berbasis risiko ini adalah memberikan sebuah keyakinan kepada dewan

komisaris dan direksi bahwa proses pengendalian internal dan manajemen risiko sudah

dilakukan dengan baik sehingga manajemen mampu mengefektifkan tanggung jawabnya

dengan membatasi risiko tersebut. Manfaat dari audit berbasis risiko ini adalah:

1.Meningkatkan pengawasan terhadap pengendalian internal

2.Membantu manajemen dalam meningkatkan kemampuan analisis dan identifikasi dari

kesalahan yang terjadi baik kesalahan dari sisi material maupun non material.

3.Membantu manajemen untuk mengukur risiko di suatu daerah yang ada dalam organisasi.

4.Membantu manajemen dalam mengidentifikasi adanya indikasi terjadinya fraud

5.Membantu manajemen dalam mengungkapkan temuan-temuan serta melakukan aktivitas

perbaikan.

Apa saja sih kategori risiko yang ada di risk based audit?

Pertama ada inherent risk yaitu risiko yang melekat di dalam proses bisnis di perusahaan,

risiko ini selalu timbul di dalam perusahaan baik material atau non material sehingga

pengendalian internal tidak mampu mencegah risiko ini, tetapibisa membatasi risiko ini.

Kedua, adanya risiko pengendalian dimana risiko ini memiliki tingakt kesalahan yang material

yang tidak bisa dicegah oleh system pegendalian internal. Ketiga, adanya risiko deteksi

dimana risiko ini berpengaruh pada saat auditor melaksanakan penugasan tidak

menggunakan prosedur audit dengan benar sehingga auditor membuat opini bahwa tidak ada

risiko, namun sebenarnya daerah yang di audit memiliki risiko yang tinggi.

Aspek yang perlu diperhatikan auditor internal

Auditor internal harus memperhatikan aspek-aspek untuk melakukan pendekatan audit

berbasis risiko yaitu:

1.Auditor internal harus mengidentifikasi daerah-daerah atau divisi yang ada di dalam

organisasi. Misalnya di bagian persediaan, auditor harus mengidentifikasi persediaan fisik,

catatatn, faktur dan bukti transaksi yang sudah disetujui. Hal ini berfungsi untuk mengetahui

apakah ada indikasi risiko terhadap persediaan, apabila terjadi risiko maka aka nada

pengujian yang lebih mendalam.

2.Ketua tim audit internal harus mengalokasikan anggota tim audit ke daerah-daerah yang

memiliki risiko yang tinggi sesuai dengan kemampuan dari auditor tersebut.

3.Adanya audit assurance yang bertujuan untuk melihat hasil audit sebelumnya sesuai

dengan area yang memiliki risiko yang tinggi. Oleh karena itu auditor akan membuat

perencanaan audit sesuai identifikasi.

Tindakan yang harus dilakukan Auditor.

Tindakan yang harus dilakukan auditor yaitu berdiskusi dengan manajemen mengenai

kematangan risiko di dalam daerah organisasi, hal ini dilakukan untuk menentukan nilai dari

kematangan risiko serta meyakinkan manajemen untuk memahami dampak dari risiko

tersebut. Auditor harus mendapatkan bukti dokumen yang bertujuan untuk

mempertimbangkan risiko sebagai pengambilan keputusan serta digunakan untuk membuat

kerangka kerja audit. Selanjutnya, auditor harus membuat kesimpulan dari tingkat risiko

yang bertujuan untuk mengelompokkan masing-masing risiko ke dalam wilayahnya.

Kemudian auditor melaporkan hasil kesimpulan mengenai kematangan risiko ke dalam

manajemen dan komite audit serta auditor membuat strategi audit.

Proses Risk Based Audit

·Tahap 1 menilai kematangan risiko

Pada tahap ini auditor berusaha untuk memeriksa gambaran sejauh mana manajemen

menilai, mengukur, mengelola dan memantau risiko. Manfaat dari auditor menilai

kematangan risiko untuk membuat perencanaan audit. Rencana audit berbasis risiko akan

mempertimbangkan tingkat kematangan risiko.

·Tahap 2 menetapkan strategi audit.

Pada tahap ini auditor berusaha untuk menetapkan strategi audit, dimana bentuk strategi

akan berbeda sesuai dengan tingkat risiko berdasarkan wilayah-wilayah yang sudah

teridentifikasi risikonya.

·Tahap 3 penugasan audit individual

Pada tahap ini auditor melaksanakan tugas berdasarkan risiko individu untuk memberikan

jaminan terhadap kerangka kerja manajemen.

http://daya-inovasi-solusindo.blogspot.com/2012/07/risk-based-audit-rba.html