Audit Internal
Disusun Oleh :
DAFTAR PUSTAKA
2
KELOMPOK 4
BAB 4
MANAJEMEN RISIKO
4.1 PENDAHULUAN
Sebagaimana ditetapkan oleh IIA, audit internal merupakan kegiatan assurance dan
konsultasi yang independen dan objektif, yang dirancang untuk memberikan nilai tambah dan
meningkatkan kegiatan operasi organisasi. Audit internal membantu organisasi untuk
mencapai tujuannya melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi
dan meningkatkan efektivitas pengelolaan risiko, pengendalian, dan proses governance.
IIA mengatur aktivitas pengelolaan risiko atau manajemen risiko dalam standar kinerja
2600 tentang pengomunikasian risiko yang diterima oleh manajemen. Standar kinerja 2600
menyebutkan:
Oleh karena itu, auditor internal harus dapat melakukan penilaian risiko yang dihadapi
organisasi dan mengomunikasikannya kepada manajemen.
4.2 RISIKO
Dalam proses audit, risiko yang dimaksud adalah kemungkinan terjadinya salah saji
material yang tidak dapat dideteksi oleh prosedur audit yang telah dilakukan auditor pada asersi
di tingkat saldo rekening maupun transaksi. Contohnya adalah secara tidak sadar, auditor tidak
sengaja gagal memodifikasi pendapat atas laporan keuangan yang telah salah saji secara
material karena adanya kesalahan atau kecurangan.
3
KELOMPOK 4
Sementara itu, risiko yang dimaksud dalam proses manajemen risiko, menurut Arthur
Williams, adalah suatu variasi hasil-hasil yang dapat terjadi selama periode tertentu atau
probabilitas sesuatu hasil/outcome yang berbeda dengan yang diharapkan. Risiko dapat juga
didefinisikan sebagai ketidakpastian yang mungkin menghasilkan peristiwa kerugian.
Kategori Risiko
Risiko dapat dikategorikan berdasarkan beberapa sudut pandang yang digunakan. Tiap
sudut pandang memberikan pengategorian yang berbeda- beda terhadap risiko.
1) Risiko keuangan, yaitu risiko yang muncul dari faktor-faktor keuangan, seperti risiko
kredit, standar akuntansi, anggaran, pclaporan keuangan, dan pajak.
2) Risiko operasional, yaitu risiko yang muncul dari faktor-faktor non- keuangan seperti
risiko proses operasi, sistem dan prosedur, teknologi, dan alam.
1) Risiko murni, yaitu risiko yang hanya menimbulkan kerugian seperti risiko kebakaran.
2) Risiko spekulatif, yaitu risiko yang tidak hanya memungkinkan terjadinya kerugian
tetapi juga memungkinkan adanya keuntungan seperti risiko investasi.
4
KELOMPOK 4
Strategi yang dapat digunakan antara lain mentransfer risiko pada pihak lain,
menghindari risiko, mengurangi efek buruk dari risiko, dan menerima sebagian maupun
seluruh konsekuensi dari risiko tertentu.
Proses manajemen risiko yang mendasar terdiri dari empat langkah, yakni identifikasi
risiko, penilaian risiko, prioritas risiko dan perencanaan respons, dan pemantauan risiko.
a. Identifikasi Risiko
Untuk mengidentifikasi risiko sebaiknya dimulai dari level tertinggi perusahaan sehingga
menghasilkan daftar risiko yang ada di tingkat korporasi. Daftar risiko tersebut menjadi acuan
dalam proses identifikasi risiko untuk level di bawahnya, tingkat anak perusahaan dan unit
bisnis serta tingkatan yang lebih rendah di bawahnya.
Berikut ini contoh risiko yang mungkin terjadi pada perusahaan level korporasi:
5
KELOMPOK 4
b. Penilaian Risiko
Penilaian risiko dilakukan untuk memetakan risiko berdasarkan kemungkinan keterjadiannya
dan dampak yang ditimbulkan bila risiko itu terjadi. Berbagai pendekatan dapat digunakan
untuk penilaian ini,
Untuk melakukan penilaian risiko, terlebih dahulu disusun skala kemungkinan dan
skala dampak sebagaimana ditunjukkan dalam Tabel 4. 1. Skala kemungkinan dapat disusun
dengan skala sangat jarang, jarang, sering, dan sangat sering. Setiap skala tersebut didefinisikan
berdasarkan tingkat probabilitas dan kemungkinan keterjadian dalam kurun waktu tahunan.
Alternatif lain dapat digunakan sesuai dengan kondisi yang paling sesuai dengan perusahaan
yang dinilai dan data yang tersedia.
6
KELOMPOK 4
Skala dampak dapat disusun dengan skala sangat rendah, rendah, tinggi dan sangat
tinggi sebagaimana ditunjukkan dalam tabel 4.2. Defininsis dari tiap skala tersebut didasarkan
pada dampak yang nantinya akan timbul jika risiko tersebut terjadi terhadap aspek operasional,
keuangan dan reputasi produk maupun perusahaan. Aspek-aspek yang digunakan dalam skala
dampak sebaiknya disesuaikan dengan kondisi dan tujuan perusahaan.
7
KELOMPOK 4
Pengisian nilai profitabilitas dan dampak sebagaimana ditunjukkan dalam tabel 4.3
dapat dilakukan dengan motede kuisioner atau data yang tersedia dari proses operasi yang
selama ini berjalan. Nilai akhir status diurutkan berdasarkan nilai terbesar hingga terkecil untuk
menentukan peringkat risiko yang menunjukkan kemendesakan risiko tersebut agar segera
ditangani. Jika terdapat risiko yang memiliki nilai akhir status yang sama maka risiko dengan
skor dampak yang lebih besar ditetapkan sebagai risiko dengan prioritas yang lebih tinggi.
8
KELOMPOK 4
Kriteria penerimaan risiko dapat disusun sebagaimana ditunjukkan pada tabel 4.4. Tiap-
tiap kategori risiko dapat diberi warna sebagai penanda kategori untuk memudahkan
pemahaman. Berdasarkan nilai status risiko yang ditunjukkan pada tabel 4.3 dan tabel 4.4,
dapat disusun peta resiko yang menunjukkan keberterimaan manajemen atas risiko yang ada
dan kemendesakan risiko tersebut untuk segera ditangani.
9
KELOMPOK 4
Tabel 4.3 dan Gambar 4.1 menunjukkan bahwa terdapat empat risiko yang tergolong
sangat rendah (risiko nomor 1,2,5, dan 9), empat risiko tergolong sedang (risiko nomor 4,6,7,
dan 10), dan dua risiko tergolong sangat tinggi (risiko nomor 3 dan 8). Manajemen dapat
merespon risiko dengan lima tindakan berikut untuk setiap resiko yang tidak dapat diterima.
1. Menerima risiko, yaitu menerima kemungkinan terjadinya risiko dan dampak yang
ditimbulkan. Manajemen dapat menerima risiko yang tergolong sangat rendah, misalkan
risiko pengunduran diri Sebagian kecil karyawan yang berdampak sangat rendah bagi
perusahaan.
2. Mengurangi kemungkinan terjadinya risiko (preventif), yaitu dengan menyusun dan
mengimplementasikan pengendalian yang memadai untuk mencegah atau mengurangi
kemungkinan terjadinya risiko, misalnya pencegahan terjadinya produk cacat dengan
mengimplementasikan standar mutu yang tinggi dalam proses produksi.
3. Mengurangi dampak yang dapat ditimbulkan oleh risiko yang mungkin terjadi (mitigatif),
yaitu dengan menyiapkan prosedur penanggulangan dampak risiko, misalnya dengan
menggunakan lindung nilai harga komoditas bahan baku.
4. Berbagai risiko, yaitu dengan membagi risiko dengan pihak lain, misalnya dengan
menggunakan asuransi kebakaran untuk gedung atau bangunan.
5. Menghindari risiko, yaitu menghindari atau mencegah terjadinya risiko, misalnya dengan
menerapkan prinsip keselamatan jiwa dalam proses operasi.
d. Pemantauan Risko
Lingkungan internal dan eksternal perusahaan yang terus berubah menyebabkan
perubahan risiko yang mungkin dihadapi, baik jumlah, probabilitas, maupun dampaknya. Oleh
karena itu, organisasi perlu melakukan pemantauan dan peninjauan atas risiko-risiko yang
telah diindentifikasi, risiko baru yang mungkin muncul, probabilitas tiap-tiap risiko, dan
dampak yang ditimbulkannya. Selain itu, organisasi juga perlu keberadaan dan kecukupan
pengendalian yang dibutuhkan untuk merespon tiap-tiap risiko yang ada.
Respons dan pemantauan risiko memerlukan analisis biaya dan manfaat. Pengendalian
yang ketat untuk mencegah dan memitigasi risiko membutuhkan biaya yang lebih tinggi
daripada pengendalian yang longgar. Oleh karena itu, manajemen perlu mempertimbangkan
dampak risiko yang harus ditanggung dan biaya pengendalian yang dibuthkan dalam
menentukan respons terhadap risiko. Pemantauan risiko dalam periode yang pendek
membutuhkan biaya yang lebih tinggi daripada pemantauan dalam periode yang lebih panjang.
10
KELOMPOK 4
Standar ini diterbitkan pertama kali pada 1995 (AS/NZS 4360), DIREVISI PADA 2004
(AS/NZS 4360:2004), dan direvisi terakhir pada 2009 dengan mengadopsi ISO 31000
sehingga dikenal dengan AS/NZS ISO 31000:2009.
11
KELOMPOK 4
12
KELOMPOK 4
e. Mengevaluasi risiko
Perkiraan tingkat risiko yang telah diperoleh dari proses analisis resiko dibandingkan
dengan kriteria yang telah ditetapkan dan mempertimbangkan selisih antara kemungkinan hasil
menguntungkan atau merugikan. Hal tersebut memberikan panduan untuk membuat keputusan
mengenai skala prioritas, isi, dan respons yang diperlukan atas risiko tersebut.
Metode yang dapat digunakan untuk pemberian skor risiko sangat bervariasi.
Manajemen dapat menentukan suatu tingkat (contoh: tinggi, medium, rendah), atau skor
(contoh: 1 sampai 5) sebagai konsekuensi dan kemungkinan skor yang dikombinasikan
(contoh: menggunakan multiplication atau peringkat dengan suatu grid tertentu) untuk
memberikan suatu skor secara keseluruhan. Sebagai contoh, skor yang paling tinggi risikonya
akan menjadi sejumlah 25 sebagai dasar jika menggunakan skor dengan skala 1-5.
f. Menyatakan risiko
Mengembangkan dan mengimplementasikan strategi biaya yang efektif dan
menjalankan perencanaan untuk meningkatkan laba potensial dan mengurangi biaya potensial.
g. Memantau dan meninjau
Manajemen perlu memonitor efektivitas setiap langkah dalam proses manajemen
risiko. Hal tersebut penting untuk peningkatan berkelanjutan. Risiko dan efektivitas tindakan
yang dilakukan sebagai respons atas risiko dapat mengukur kebutuhan memantau peta risiko
untuk meyakinkan bahwa perubahan berbagai hal tidak mengubah skala prioritas.
13
KELOMPOK 4
Menurut COSO ERM, manajemen risiko perusahaan adalah proses yang dijalankan
oleh dewan direksi, manajemen, dan personel lainnya, diimplementasikan dalam penentuan
strategi untuk segenap organisasi perusahaan, dirancang untuk mengidentifikasi kejadian
potensial yang dapat memberikan dampak negatif bagi perusahaan, dan mengelola risiko
berdasarkan selera risiko untuk menjamin tercapainya tujuan perusahaan. Definisi ini berisi
hal-hal penting berikut:
14
KELOMPOK 4
Gambar 4.5 menunjukkan kerangka COSO ERM dalam kubus tiga dimensi dengan
komponen: (a) empat kolom vertikal mewakili tujuan manajemen risiko dan (b) delapan baris
horizontal menunjukkan komponen risiko. Beberapa kolom vertikal menggambarkan level
organisasi perusahaan, dari tingkat perusahaan induk sampai anak perusahaan.
a. Lingkungan internal
Komponen lingkungan internal ERM COSO terdiri dari unsur:
1. Filosofi manajemen risiko.
2. Selera risiko manajemen terhadap risiko.
3. Sikap dewan direksi.
4. Integritas dan nilai-nilai etika.
5. Komitmen terhadap kompetensi.
6. Struktur organisasi.
7. Penugasan wewenang dan tanggung jawab.
8. Standar sumber daya manusia.
b. Menetapkan tujuan
Perusahaan harus menetapkan tujuan dan sasaran strategis yang sesuai dengan visi dan
misinya. Tujuan dan sasaran tersebut harus meliputi efektivitas dan efisiensi operasi, pelaporan
keuangan, dan kepatuhan terhadap peraturan. Tujuan dan sasaran menjadi dasar dalam
manajemen risiko.
c. Identifikasi risiko
Dalam usaha pencapaian tujuan, perusahaan mungkin menghadapi kejadian yang dapat
memengaruhi implementasi strategi dan pencapaian tujuan, yang disebut risiko. Kerangka
kerja COSO ERM mengarahkan perusahaan untuk mengidentifikasi dan memantau risiko yang
bersumber dari kondisi perekonomian, lingkungan alam, politik, sosial, infrastruktur internal,
proses operasi, dan perkembangan teknologi internal maupun eksternal.
d. Penilaian risiko
Penilaian risiko memerikan informasi yang memungkinkan perusahaan untuk
mempertimbangkan efek risiko potensial yang telah diidentifikasi terhadap prestasi perusahaan
15
KELOMPOK 4
dalam pencapaian tujuannya. Risiko harus dinilai dari dua perspektif: kemungkinan keterjadian
risiko dan dampak yang mungkin ditimbulkannya. Sebagai bagian penting dari proses penilaian
risiko, perusahaan perlu mempertimbangkan sifat risiko sebagai berikut:
1. Risiko inheren. Risiko ini adalah risiko yang melekat dengan berbagai hal dalam
perusahaan. Faktor yang memengaruhi risiko inheren perusahaan adalah ukuran dari
anggotanya, kekuatan dan kecanggihan manajemen, serta sifat kegiatannya.
2. Risiko residual. Risiko ini adalah risiko potensial yang masih mungkin terjadi setelah
dilakukannya proses manajemen risiko.
e. Respons risiko
Setelah mengidentifikasi dan menilai risiko, perusahaan menyusun dan menjalankan
respons atas risiko yang signifikan. Respons tersebut dapat berupa menghindari risiko,
mengurangi risiko, membagi risiko, dan menerima risiko.
f. Kegiatan pengendalian
Adalah kebijakan dan prosedur yang diperlukan untuk memastikan Tindakan terhadap
risiko yang diidentifikasi. Setelah memilih risiko yang memadai, perusahaan harus menyiapakn
aktivitas pengendalian yang diperlukan untuk memastikan bahwa respon terhadap risiko
dijalankan secara tepat waktu dan efisien.
Kegiatan pengendaluan dapat dilakuka dengan berbagai cafra. Kerangka kerja system
pengedalian internal COSO menyatakan bahwa ada beberapa bentuk pengendalian yang dapat
dilakukan, anatra lain sebagai berikut :
1. Pemisahan tugas. Pada dasarnya orang yang memulai transaksi harus tidak menjadi orang
yang melakukan otoritas transaksi tersebut. Pemisahan tugas memungkinkan terjadi cross
check diantara orang-orng arau pihak-pihak yang terlibat dalam suatu proses.
2. Jejak audit. Proses harus diatur sedemikian rupa sehingga hasil akhir dapat dengan mudah
ditelusuri Kembali ke transaksi ke transaksi yang menciptakan hasil tersebut.
3. Keamana dan integritas. Proses pengendalian harus memiliki prosedur kontril yang tepat,
misalnya hanya orang- orang yang berwenang yang dapat mengakses system atau asset.
4. Dokumentasi. Proses harus didokumentasi dengan memadai.
g. Informasi dan Komunikasi
Delapan komponen manajeman risiko yang terganbar dalam kubus COCO ERM
merupakan rangkaian prosen yang berhubungan. Oleh karena itu, diperlukan jalur informasi
dan komunikasi yang dapar menghubungkan tiap rangkaian proses tersebut. Meskipun relatif
mudah untuk menggambarkan bagaimana informasi harus dikomunikasikan dari satu
komponen ke komponen yang lain, melakukannya merupapkan proses yang jauh lebih
16
KELOMPOK 4
kompleks dalam praktik. Aliran informasi dan komunikasi antar komponen COSO ERM dapat
dilihat pada Gambar 4.6
17
KELOMPOK 4
2. Pelporan proses manajemen risiko secara periodic untuk memantau askpek- aspek kunci
risiko seperti kriteria risiko dan tangkat kesalahan yang dapat diterima.
3. Pemantauan dan pelaporan status temuan audit internal dan audit eksternal secara berkala.
4. Pembaharuan informasi risiko yang disebabkan adanya rivisi peraturan pemerintah,
perubahan tren industry, dan perubahan kondisi ekonomi.
Meskipun pada dasarnya manajemen risiko adalah tanggung jawan pihak manajemen,
auditor internal dapat berperan di dalamnya denga Batasan- Batasan tertentu. Terdapat
beberapa alternatif peran yang dapat dilakukan oleh auditor internal dalam manajemen risiko,
yaotu sebagai berikut :
1. Melakukan audit atau peninjauan atas proses manajemen risiko yang dilakukan oleh
manajemen.
2. Memberikan dukungan aktif yang berkelanjutan terhapat proses manajemen risiko.
3. Mengatur dan mengoordinasikan proses manajemen risiko
4. Tidak melakukan peran apa pun dalam proses manajemen risiko.
1. Memberikan jaminan terhadap proses manajemen risiko yang telah dilakukan oleh
manajemen.
2. Mengevaluasi proses manajemen risiko yang telah dilakukan oleh manajemen.
3. Memberikan jaminan bahwa risiko telah dievaluasi dengan benar.
4. Mengevaluasi pelaporan risiko-risiko utama.
5. Meninjau respon dan penanganan yang telah dilakukan oleh manajemen terhadap risiko-
risiko utama.
Selain panduan tersebut, usaha berikut juga perlu dilakukan untuk menjaga agar jasa
kondutasi tidak bertentangan dengan jasa penjamin yang dibeirikan oleh auditor internal :
1. Harus ditegaskan bahwa manajemen tetap bertangung jawab terhadap manajemen risiko
2. Kewajiban pokok auditor internal harus didokumentasikan dala audit charter dan
disetujioleh komite audit.
3. Auditor internal sebaiknya tidak mengelola risiko atas nama manajemen.
4. Auditor internal sebaiknya meberikan saran dan mendukung pengeambilan keputusan oleh
manajemen da tidak membuat keputusan manajemen risiko.
5. Audit internal juga tidak dapat memberika jaminan objektif terhadap kerangka kerja
manajemen risiko perusahaan (MRP) sebagi tanggung jawab nya. Jaminan semacam itu
seharusnya diberikan oleh bagia dengan kualifikasi yang tepat.
6. Pekerjaan -pekerjaan selain aktivitas penjamin dikategorikan sebagi penugasan konsultasi
dan standar implementadi yang berhubungan dengan penugasan serupa harus disertakan.
4.5 RANGKUMAN
Risiko adalah suati variasi dari hasil yang daaper terjadi selama periode tertentu atau
profitabilitad sesuatu hasil (outcome) yang berbeda dengan yan diharapkan. Dengan kata lain,
risiko dapat juga diartikan sebagai ketidak pastian yang munkin menghasilkan peristiwa
kerugian. Setiap oraganisasi dan perusahaan memiliki risiko dalam usaha mancapai tujuannya.
Oleh karena itu, risiko tersebut harus dikelola. Manajemen risiko yang digunakan oleh
organisasi dalam berbagai bentuk pendekatan disebut manajemen risiko perusahaan (MRP).
Proses MRP dimulai dengan identifikasi dengan identifikasi risiko sehingga menghasilkan
daftar risiko. Penilaian risiko yang tertera dalam daftar risiko agar diketahui peta risiko
sehingga dapat disusun prioritas risiko dan rencana respon yang akan dilakukan untuk
mengelola risiko tersebut. Risiko dan pengelolaannya perlu dipantau secara berkala untuk
menjamin bahwa seluruh risiko telah dikelola dengan baik. Beberapa negara dan organisasi
19
KELOMPOK 4
telah Menyusun kerangka kerja manajemen risiko seperti AS/NZA ISO 310000:2009 dan
COSO ERM.
20
KELOMPOK 4
DAFTAR PUSTAKA
Zamzami, Faiz., Ihda Arifin Faiz, dan Mukhlis. (2016). Audit Internal Konsep dan Praktik.
Yogyakarta: Gadjah Mada University Press.
21