Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan
diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response
risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan
organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal.
Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat
melakukan hal‐hal sebagai berikut.
1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang
telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh
manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan
wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang
komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
a. tujuan organisasi;
b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk
menyusun peringkat risiko;
f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik
risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk
risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite
yang dikehendaki pimpinan organisasi; dan
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut
digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal.
Risk manajemen telah diterapkan dan Penekanan audit pada proses manajemen
Risk Managed dan telah dikomunikasikan ke seluruh risiko. Perhatian khusus diberikan untuk
anggota organisasi. memverifikasi pemantauan risiko utama.
Tabel 2.2 Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam
menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut.
1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko
secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka
auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal
auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam
proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Audit Inte 2
rnal
Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan fasilitasi penyusunan risk
register organisasi. Auditor internal tidak dapat menetapkan risiko tanpa keterlibatan pihak manajemen, karena
pemilik dan penanggung jawab risiko adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak
manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap risiko organisasi.
2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan), pekerjaan audit diawali
dengan verifikasi apakah proses manajemen risiko sudah berjalan dengan efektif. Pekerjaan audit lebih detail
diperlukan untuk meyakinkan bahwa semua risiko sudah diidentifikasi dan pengendalian terhadap risiko telah
berjalan efektif.
3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk menemukan kesalahan
penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses manajemen risiko dan
verifikasi terhadap pemantauan manajemen atas risiko‐risiko kunci dalam organisasi.