KELOMPOK G
05.05.2023
ARRANGED BY LECTURER
BETH SHEKINA - 202050023 RINJANI, S.E., M.SI.
OLWEN FEBRY IRAWAN - 202050201
JENNYVER - 202050272
RESUME KELOMPOK G
Risk Based Internal Audit
Jumat 13:30 – 16.00
Kelas E
Rinjani, S.E., M.SI.
Nama Kelompok:
Beth Shekina Grahan-202050023
Olwen Febry Irawan-202050201
Jennyver-202050272
Accounting Major
Trisakti School of Management
Jakarta
2023
Risk Based Internal Audit (RBIA) Methodology
Risk Based Internal Audit (RBIA) adalah metodologi internal yang terutama berfokus pada
risiko inheren yang terlibat dalam aktivitas atau sistem dan memberikan jaminan bahwa risiko
dikelola oleh manajemen dalam tingkat selera risiko yang ditetapkan.
RBIA adalah kerangka kerja manajemen risiko dari manajemen dan di setiap tahap berupaya
memperkuat tanggung jawab manajemen dan Direksi-BOD (Board of Directors) untuk
mengelola risiko.
RBIA memungkinkan audit internal untuk memberikan jaminan kepada dewan bahwa proses
manajemen risiko mengelola risiko secara efektif, terkait dengan selera risiko Audit internal
berbasis risiko dilakukan oleh departemen audit internal untuk membantu fungsi manajemen
risiko perusahaan dengan memberikan jaminan tentang mitigasi risiko.
● Mengidentifikasi, menilai dan menanggapi risiko diatas dan dibawah risk appetite
● Memberi tanggapan terhadap risiko efektif tetapi tidak berlebihan dalam mengelola
risiko yang melekat dalam risk appetite
● Mengambil tindakan memperbaiki, jika risiko residual tidak sejalan dengan risk
appetite.
● Memantau proses manajemen risiko, termasuk keefektifan tanggapan dan penyelesaian
tindakan, oleh manajemen untuk memastikan mereka terus beroperasi secara efektif
● Mengklasifikasikan dan melaporkan risiko, tanggapan dan tindakan diklasifikasikan
dan dilaporkan dengan benar.
Risiko dapat berubah dengan adanya perubahan lingkungan seperti berubahnya penggunaan
teknologi, berubahnya kebijakan pengupahan dan lain-lain.
Manajemen risiko merupakan bagian yang tak terpisahkan dari bentuk manajemen sebuah
perusahaan berkualitas, yang sering dikaitkan dengan proses audit internal yang dilakukan
secara berkala oleh pihak perusahaan itu sendiri.
Tugas utama dari audit internal adalah untuk memastikan bahwa semua risiko yang dihadapi
perusahaan telah ditangani dengan maksimal.
Agar dapat mendesain sistem pengendalian yang efektif, akuntan dan perancang sistem harus
dapat menilai dan menemukan risiko yang dapat mempengaruhi perusahaan dalam mencapai
tujuannya.
Pengendalian yang efektif terhadap pada suatu entitas bisnis akan menghasilkan efisiensi
penggunaan sumber daya perusahaan, berjalannya mekanisme pertanggungjawaban, dan
menghasilkan informasi yang berguna serta dapat dipercaya.
Untuk menciptakan pengendalian yang efektif perusahaan seringkali melibatkan akuntan dan
auditor sebagai internal controller. Di sisi lain, tuntutan dari berbagai aspek, baik internal
maupun eksternal perusahaan membuat keberadaan audit internal sebagai pelengkap sistem
manajemen risiko menjadi semakin dibutuhkan.
Dengan adanya semua tuntutan tersebut, keberadaan audit internal menjadi sangat penting dan
berdiri sejajar dengan proses manajemen risiko. Keberadaan manajemen risiko sendiri tidak
akan lengkap tanpa adanya audit internal untuk melakukan review terhadap efektivitas
kebijakan pihak manajemen untuk kebaikan perusahaan itu sendiri
Peran audit internal melibatkan tiga elemen utama: menilai dan meningkatkan risiko
manajemen, menilai sistem internal pengendalian ,dan proses tata kelola di perusahaan.
Unsur-unsur tersebut meliputi kebijakan dan prosedur untuk memastikan penilaian risiko dan
kepatuhan terhadap hukum dan peraturan yang berlaku.
Peran utama audit internal dalam manajemen risiko adalah menilai dan memantau risiko yang
dihadapi perusahaan, dan memberikan rekomendasi pengendalian mitigasi risiko yang tepat.
Risk response adalah sarana yang dipilih organisasi untuk mengelola risiko individu. Risiko
dikelola dengan menggunakan proses respons yang telah dipertimbangkan. Manajer
bertanggung jawab untuk mengembangkan respons terhadap risiko dan memutuskan tindakan
yang akan diambil jika risiko tidak dikendalikan dengan baik. Setiap risiko harus memiliki
respons; setiap respons dapat diaudit. Beberapa kategori dari respons terhadap risiko adalah:
Sebagai alternatif, organisasi dapat merespons dengan mengambil opportunity – Ini adalah opsi
yang berlaku untuk tolerate, transfer atau treat dan khususnya berlaku untuk usaha baru. Risk
modelling techniques harus digunakan untuk memastikan bahwa nilai risiko dibenarkan oleh
kemungkinan gain.
Laporan audit 'tradisional' biasanya terdiri dari konfirmasi bahwa kontrol beroperasi dengan
benar (sebuah istilah yang sering tidak didefinisikan), dan membuat rekomendasi di tempat
yang tidak semestinya. Pembuatan rekomendasi oleh auditor internal, yang diharapkan dapat
diterima oleh manajer, dapat menimbulkan asumsi bahwa audit internal bertanggung jawab
atas pengendalian dan, implikasinya, manajemen risiko.
Namun, Turnbull Guidance (dan pedoman selanjutnya dikeluarkan oleh organisasi lain)
menekankan kenyataan: manajer bertanggung jawab untuk mengembangkan respons terhadap
risiko dan untuk memutuskan tindakan yang akan diambil jika risiko tidak dikendalikan dengan
baik.
Peran inti Audit Internal adalah untuk memberikan jaminan (assurance) kepada manajemen
dan dewan tentang efektivitas manajemen risiko.
Jika jaminan tidak dapat diberikan, tanggung jawab ada pada manajemen untuk menerapkan
respons yang tepat. Audit internal mungkin masih membuat rekomendasi, tetapi ini adalah
bagian dari peran ‘konsultasi’.
Pemisahan peran audit internal dengan cara ini, memiliki implikasi besar bagi departemen audit
internal:
Dalam konteks RBIA, audit internal hanya dapat memberikan jaminan (assurance) di mana
kerangka kerja manajemen risiko sudah ada: semua pekerjaan lainnya adalah konsultasi.
Metode scoring risks yang biasa dilakukan adalah menentukan tingkat (misalnya tinggi,
sedang, rendah), atau skor (misalnya 1 sampai 5) pada “konsekuensi” dan “kemungkinan”
risiko. Jika level diberi nilai numerik, skor “konsekuensi” dan “kemungkinan” dapat
digabungkan (misalnya, dengan perkalian, atau dengan memberi peringkat pada grid) untuk
memberikan skor keseluruhan. Jadi misalnya, skor risiko tertinggi adalah 25 atas dasar ini, saat
menggunakan rentang skor 1 hingga 5.
Contoh grid ada di bawah. Organisasi yang bersangkutan telah menetapkan setiap risiko yang
mendapat skor 5, atau lebih, berada di atas risk appetite-nya, meskipun dianggap bahwa setiap
risiko yang mendapat skor 9 atau lebih adalah risiko utama dan tindakan harus diambil untuk
mengelola risiko (lihat 3.3.2).
Lampiran A memberikan saran lebih lanjut tentang penilaian risiko, dengan menggunakan
skala 1-5.
Dalam organisasi dengan beberapa unit operasi, seperti anak perusahaan di luar negeri,
konsekuensi risiko dapat dinilai dalam kaitannya dengan nilai unit tersebut serta dalam
kaitannya dengan organisasi secara keseluruhan. Dengan demikian risiko yang menyebabkan
kegagalan katastropik dari anak perusahaan kecil dapat mencetak konsekuensi 5 dalam daftar
risiko anak perusahaan, tetapi hanya 3 dalam daftar risiko korporat.
Dengan RBIA, penekanan pada pengecekan kontrol berpindah dari memastikan kontrol operasi
utama (seperti otorisasi tagihan) efektif, untuk memeriksa bahwa kontrol manajemen yang
melaporkan kegagalan dalam kontrol operasi utama efektif. Sementara memeriksa bahwa
pengendalian operasi efektif masih penting, ada bahaya bahwa manajemen bergantung pada
audit internal untuk memastikan operasi yang tepat daripada memulai pemeriksaan mereka
sendiri.
Tahapan RBIA
c. Risk Defined: (Strategi, kebijakan, dan risk appetite diterapkan dan dikomunikasikan)
Sudah mengindentifikasi risiko-risiko hanya saja belum menyatukan risiko-
risiko tersebut dalam suatu daftar risiko yang lengkap dan terintegrasi. Disinilah audit
internal memainkan peranannya sebagai konsultan dalam memfasilitasi penyatuan
risiko-risiko yang telah dibuat oleh para manajer. Audit internal akan banyak
memberikan perhatiannya dalam menjalankan peranan pertama sampai ketiga dan juga
akan memberikan masukan bagi manajer untuk mengambil tindakan-tindakan yang
perlu diambil pada saat ditemukan permasalahan-permasalahan.
e. Risk Naive: (Tidak ada pendekatan formal yang dikembangkan untuk manajemen
risiko).
Audit internal akan berperan sebagai konsultan dalam membuat kerangka
manajemen risiko. RBIA baru dapat diterapkan setelah kerangka tersebut selesai dibuat.
Yang membedakan tingkat risk aware dengan risk naive adalah pada risk aware,
organisasi sudah mengenal apa itu risiko dan organisasi tersebut sedang bergerak dari
2. Perencanaan audit
Menurut IIA: Merencanakan pekerjaan dalam rangka assurance dan consulting untuk
periode tertentu, menetapkan area prioritas, risiko kunci, cara memanajemen risiko, pencatatan
dan pelaporan risiko.
Produk/hasil yang akan dicapai di tahap kedua ini adalah Risk & Audit Universe (RAU)
yang dipakai oleh internal audit sebagai dasar pembuatan audit plan. RAU merupakan suatu
produk/hasil yang menghubungkan risk register yang dibuat oleh manajemen dengan audit
yang akan dilakukan oleh auditor internal untuk memberikan keyakinan bahwa masing –
masing risiko tersebut telah dikelola dengan efektif.
Tahapan Audit internal dalam menghasilkan RAU (Risk & Audit Universe):
- Menyaring risiko = dilakukan dengan menentukan risiko yang akan
ditindaklanjuti dengan audit dengan mengeluarkan risiko dari daftar register
risiko. Risiko yang ditidaklanjuti seperti: risiko yang skornya dibawah risk
appetite, dibuat oleh pihak ketiga, dan pihak yang sudah ditransfer kepada pihak
lain misal diasuransikan.
- Membuat kategori atas risiko = membantunya dalam perencanaan audit dan
menghindari adanya risiko – risiko ganda
Tujuan: memastikan bahwa risiko – risiko telah dikelola dengan efektif. Hasil dari
pelaksanaan audit individu ini adalah suatu bentuk laporan yang menyajikan risiko –risiko yang
ternyata tidak dikelola dengan baik atau pengendalian tidak dilakukan dengan semestinya.
Laporan ini nantinya berguna untuk memberikan nasihat kepada pihak manajemen dalam
meng-update residual risk dalam risk register mereka.
Minuses RBIA
- Hubungan yang lebih dekat dengan bagian organisasi lainnya dapat mengurangi
independensi fungsi audit internal. Kita harus mencegah hal ini dengan memperjelas
tanggung jawab audit internal
- Ini kerja keras! Menjual proses berbasis risiko kepada organisasi, membuatnya
memberi tahu risikonya, menilai mereka, dan kemudian harus melakukan beberapa
audit sulit yang belum pernah kami lakukan sebelumnya. Manajemen pemangku
kepentingan sangat penting, dan membutuhkan waktu.
- Meskipun prinsipnya sederhana, penyampaiannya bisa rumit
- Staf yang ada memerlukan pelatihan ulang.
- Dengan berkonsentrasi pada audit atas risiko inheren di atas selera risiko, beberapa
audit yang sebelumnya dianggap penting oleh manajemen senior mungkin akan
hilang.