AUDIT RISK

MANAJEMEN DI 2021

KEMENKEU
 Pengertian

Audit Manajemen Risiko adalah proses identifikasi

masalah, analisis, dan evaluasi yang dilakukan
secara independen, objektif, dan profesional
berdasarkan estándar audit untuk menilai penerapan
manajemen risiko di lingkungan Kementerian
Keuangan.
 TUJUAN DAN RUANG LINGKUP
Audit Manajemen Risiko bertujuan untuk memberikan rekomendasi perbaikan dalam rangka meningkatkan
kualitas penerapan manajemen risiko di organisasi.

Pedoman Audit Manajemen Risiko disusun dengan tujuan:

a. memberikan panduan bagi auditor Inspektorat Jenderal dalam melaksanakan Audit Manajemen Risiko di
lingkungan Kementerian Keuangan; dan
b. memberikan sarana untuk melakukan evaluasi dan penjagaan mutu atas pelaksanaan penugasan Audit
Manajemen Risiko.

Ruang lingkup Audit Manajemen Risiko dapat mencakup 3 (tiga) area, yakni
1. prinsip manajemen risiko,
2. kerangka kerja penerapan manajemen risiko, dan
3. proses manajemen risiko, baik secara keseluruhan maupun sebagian.
 PELAKSANAAN AUDIT MANAJEMEN RISIKO

Audit atas area prinsip manajemen risiko mencakup 11 (sebelas)

butir prinsip sebagai berikut:
1. manajemen risiko menciptakan dan menjaga nilai (value) organisasl;
2. manajemen risiko menjadi bagian integral dari proses bisnis organisasi;
3. manajemen risiko menjadi bagian dalam proses pengambilan keputusan;
4. manajemen risiko mempertimbangkan unsur ketidakpastian;
5. manajemen risiko dijalankan secara sistematis, terstruktur, dan tepat waktu;
6. manajemen risiko didasarkan pada informasi terbaik yang tersedia;
7. manajemen risiko diterapkan dengan penyesuaian terhadap kondisi organisasi;
8. manajemen risiko diterapkan dengan mempertimbangkan faktor manusia dan budaya (human and cultural
factors);
9. manajemen risiko bersifat dinamis, tanggap terhadap perubahan, dan dilakukan secara terus-menerus;
10. manajemen risiko bersifat transparan dan inklusif; dan
11. terdapat perbaikan secara terus-menerus terhadap penerapan manajemen risiko organisasi.
AREA PRINSIP
1 Pada audit atas prinsip bahwa manajemen risiko menciptakan dan menjaga nilai (value)
organisasi, auditor perlu memastikan bahwa manajemen risiko yang diterapkan oleh organisasi
pihak yang diaudit telah dapat berkontribusi positif bagi pencapaian tujuan organisasi dan
membantu meningkatkan kinerja dan produktivitas organisasi
AREA PRINSIP
2 Pada audit atas prinsip bahwa manajemen risiko
menjadi bagian integral dari proses bisnis organisasi,
auditor perlu memastikan dan menilai bahwa
penerapan manajemen risiko yang dijalankan oleh
organisasi telah menjadi bagian dan tidak terlepas dari
proses bisnis yang dijalankan oleh organisasi.
AREA PRINSIP

3. Pada audit atas prinsip bahwa manajemen risiko menjadi bagian

dalam proses pengambilan keputusan, auditor harus memastikan
bahwa manajemen risiko telah menjadi salah satu perangkat yang
mendukung dan membantu pimpinan dalam perumusan suatu
keputusan.
AREA PRINSIP

4. Pada audit atas prinsip bahwa manajemen risiko

mempertimbangkan unsur ketidakpastian, auditor
perlu memastikan bahwa penerapan manajemen risiko
oleh organisasi pihak yang diaudit telah
memperhitungkan unsur-unsur ketidakpastian yang
melingkupi organisasi.
AREA PRINSIP

5. Pada audit atas prinsip bahwa manajemen risiko dijalankan

secara sistematis, terstruktur, dan tepat waktu, auditor
perlu mencermati apakah organisasi pihak yang diaudit
telah menerapkan manajemen risiko secara sistematis,
terstruktur, dan tepat waktu untuk memastikan bahwa
hasil dari penerapan manajemen risiko telah efisien,
konsisten, dapat diperbandingkan, dan andal.
AREA PRINSIP
6 Pada audit atas prinsip bahwa manajemen risiko
didasarkan pada informasi terbaik yang tersedia, auditor
perlu menguji bahwa penerapan manajemen risiko
organisasi pihak yang diaudit telah dijalankan dengan
mengakomodasi dan mempertimbangkan berbagai
informasi yang relevan dengan manaJemen risiko
organlSaSl.
AREA PRINSIP
7 Pada audit atas prinsip bahwa manaJemen risiko
diterapkan dengan penyesuaian terhadap kondisi
organisasi, auditor perlu menguji bahwa penerapan
manajemen risiko oleh organisasi pihak yang diaudit telah
disesuaikan dengan kondisi internal organlsasl dan
mempertimbangkan faktor-faktor eksternal yang
mempengaruhi.
AREA PRINSIP
8 Pada audit atas prinsip bahwa manajemen risiko
diterapkan dengan mempertimbangkan faktor manusia dan
budaya (human and cultural factors), auditor perlu
memastikan bahwa penerapan manajemen risiko telah
memperhatikan, mempertimbangkan, dan menyesuaikan
dengan kondisi sumber daya manusia organisasi serta
budaya organisasi tempat dim ana manajemen risiko
diterapkan
AREA PRINSIP
9 Pada audit atas prinsip bahwa manajemen risiko
bersifat dinamis, tanggap terhadap perubahan, dan
dilakukan secara terus-menerus, auditor harus
memastikan bahwa penerapan manajemen risiko
organisasi pihak yang diaudit telah dilakukan dengan
dinamis dan telah disesuaikan dengan setiap perubahan
yang terjadi atas konteks penerapan manajemen risiko
AREA PRINSIP

10 Pada audit atas prinsip bahwa manajemen risiko

bersifat transparan dan inklusif, auditor perlu
memastikan bahwa penerapan manajemen risiko yang
telah dijalankan oleh organisasi pihak yang diaudit
bersifat transparan dan telah dikomunikasikan kepada
seluruh pemangku kepentingan yang terkait.
AREA PRINSIP

11. Pada audit atas prinsip bahwa terdapat perbaikan

secara terus-menerus terhadap penerapan manajemen
risiko organisasi, auditor perlu menguji bahwa
organisasi pihak yang diaudit telah melakukan upaya
perbaikan berkelanjutan secara terus-menerus atas
penerapan manajemen risiko yang dijalankan
AREA KERANGKA KERJA
Audit atas area kerangka kerja penerapan manajemen risiko
mencakup 5 (lima) buah unsur yaitu:
a. unsur mandat dan komitmen;
b. unsur rancangan kerangka kerja untuk mengelola risiko;
c. unsur pelaksanaan kegiatan dalam rangka penerapan manajemen
risiko;
d. unsur pemantauan (monitoring) dan reviu atas kerangka kerja
penerapan manajemen risiko; dan
e. unsur perbaikan secara terus-menerus atas kerangka kerja
penerapan manajemen risiko.
AREA KERANGKA KERJA
a. unsur mandat dan komitmen;
Unsur mandat dan komitmen mencakup pengujian atas:
1. regulasi dan kebijakan terkait penerapan manajemen risiko;
2 .perencanaan strategis dan operasional atas penerapan manajemen
risiko;
3. agenda pimpinan terkait dengan penerapan manajemen risiko
4. sumber daya organisasi untuk penerapan manajemen risiko; dan
5. pengaitan dengan pengukuran kinerja dan sistem remunerasi.
AREA KERANGKA KERJA
b. unsur rancangan kerangka kerja untuk mengelola risiko;

UNSUR INI MENCAKUP:

1. isi dari regulasi dan kebijakan manajemen risiko;
2. rencana kegiatan manajemen risiko;
3. mekanisme pertanggungjawaban penerapan manajemen risiko;
4. pengalokasian sumber daya orgamsasl penerapan manajemen risiko;
dan
5. komunikasi dan pelaporan
AREA KERANGKA KERJA
c. unsur pelaksanaan kegiatan dalam rangka penerapan manajemen
risiko;
Unsur ini mencakup pengujian atas:
1. pendokumentasian hasil penerapan manajemen risiko;
2. komunikasi dan konsultasi dengan pemangku kepentingan yang terkait;
3. rencana sosialisasi dan pelatihan manajemen risiko;
4. rapat pimpinan terkait dengan manajemen risiko; dan
5. pelajaran yang dapat diambil dari penerapan manajemen risiko di organisasi.
 AREA KERANGKA KERJA
d. unsur pemantauan (monitoring) dan reviu atas kerangka kerja
penerapan manajemen risiko; dan

Pada unsur pemantauan (monitoring) dan reviu atas kerangka kerja penerapan manajemen
risiko, auditor perlu memastikan bahwa telah terdapat mekanisme pemantauan dan reviu,
baik secara berkala maupun terus-menerus atas kerangka kerja bagi penerapan
manajemen risiko oleh organisasi pihak yang diaudit.
AREA KERANGKA KERJA
e. unsur perbaikan secara terus-menerus atas kerangka kerja
penerapan manajemen risiko.

Unsur perbaikan secara terus-menerus atas kerangka kerja penerapan manajemen

risiko mencakup pengujian bahwa:
1. kerangka kerja penerapan manajemen risiko te1ah senantiasa disesuaikan
dengan perubahan kondisi organisasi;
2. seluruh hambatan dan kendala dalam penerapan kerangka kerja manajemen risiko
te1ah ditangani dengan baik; dan
3. Kelemahan-kelemahan dalam penerapan manaJemen risiko juga telah menjadi
perhatian untuk bahan penyempurnaan.
 AREA PROSES MANAJEMEN
RISIKO
Audit atas area proses manajemen risiko mencakup 7 (tujuh) tahapan
yaitu:
a. tahap komunikasi dan konsultasi;
b. tahap penetapan konteks;
c. tahap identifikasi risiko;
d. tahap analisis risiko;
e.tahap evaluasi risiko;
f. tahap penanganan risiko; dan
g. tahap monitoring dan reviu.
 AREA PROSES MANAJEMEN
RISIKO
a. tahap komunikasi dan konsultasi

Audit atas tahap komunikasi dan konsultasi bertujuan untuk memastikan

bahwa kegiatan komunikasi dan konsultasi yang diperlukan dalam
penerapan manajemen risiko telah dilakukan dengan cukup dan memadai
oleh organisasi pihak yang diaudit.

Auditor perlu memeriksa bahwa kegiatan komunikasi dan konsultasi dengan

seluruh pemangku kepentingan yang terkait, baik internal maupun eksternal
telah
dilakukan
 AREA PROSES MANAJEMEN
RISIKO
b. tahap penetapan konteks

Audit atas tahap penetapan konteks bertujuan untuk memastikan bahwa konteks dalam
rangka penerapan manajemen risiko telah ditetapkan dengan memadai.

Auditor harus memastikan bahwa organisasi pihak yang diaudit telah memiliki konteks
penerapan manajemen risiko yangjelas dan spesifik.

Pada audit atas tahap penetapan konteks, auditor perlu meneliti tujuan organisasi, proses
bisnis terkait, struktur manajemen risiko, pemangku kepentingan yang terkait, kriteria
risiko, selera risiko, dan lingkup penerapan manajemen risiko
 AREA PROSES MANAJEMEN
RISIKO
c. tahap identifikasi risiko

Audit atas tahap identifikasi risiko bertujuan untuk memastikan bahwa seluruh risiko
organisasi telah diidentifikasi dengan memadai dan dirumuskan dengan
tepat.

Pada audit atas tahap identifikasi risiko, auditor harus memastikan bahwa organisasi pihak
yang diaudit telah mengidentifikasi seluruh potensi masalah yang relevan dan terkait
dengan proses bisnis yang dijalankan oleh organisasi tersebut.
 AREA PROSES MANAJEMEN
RISIKO
d. tahap analisis risiko;
Audit atas tahap analisis memastikan bahwa level diestimasikan dengan andal.
risiko bertujuan untuk risiko organlsasl telah

Auditor harus menguji keabsahan penentuan level risiko yang sudah dilakukan oleh organisasi
pihak yang
diaudit.

Pada audit atas tahap analisis risiko, proses dan teknik penentuan level risiko perlu diperhatikan
untuk menilai akurasi level risiko organisasi.
 AREA PROSES MANAJEMEN
RISIKO
e.tahap evaluasi risiko;

Audit atas tahap evaluasi risiko bertujuan untuk memastikan bahwa organisasi telah memiliki prioritas
risiko berikut dengan keputusan penanganan risiko.

Pada audit atas tahap evaluasi risiko, auditor harus memastikan bahwa organisasi pihak yang diaudit
telah
menilai signifikansi dari setiap risiko organisasi dengan tepat.

Auditor juga perlu menilai ketepatan keputusan mengenai pilihan untuk memitigasi atau tidak
memitigasi suatu risiko.
 AREA PROSES MANAJEMEN
RISIKO
f. tahap penanganan risiko; dan
.
Audit atas tahap penanganan risiko bertujuan untukmemastikan bahwa aktivitas penanganan risiko yang
memadai telah dirancang dan dijalankan oleh organisasi pihak yang diaudit guna mengurangl tingkat
kebahayaan risiko organisasi.

Pada audit atas tahap penanganan risiko, auditor harus memastikan bahwa rancangan aktivitas mitigasi
telah
disusun dengan baik sesuai dengan pilihan teknik mitigasi yang digunakan oleh organisasi pihak yang
diaudit.

Auditor juga harus menguji ketepatan rencana kegiatan mitigasi risiko yang telah disusun dihubungkan
dengan
risiko organisasi.

Implementasi rencana mitigasi risiko menjadi fokus auditor untuk pelaksanaannya juga harus dipastikan
 AREA PROSES MANAJEMEN
RISIKO
g. tahap monitoring dan reviu.

Audit atas tahap monitoring dan reviu bertujuan untuk memastikan bahwa organisasi pihak
yang diaudit telah melakukan monitoring dan reviu atas proses manajemen risiko yang telah
dijalankan.

Auditor perlu memastikan bahwa organisasi pihak yang diaudit telah melakukan pemantauan
secara memadai atas kondisi risiko organisasi dari waktu ke waktu.

Selain itu, auditor juga perlu memastikan bahwa reviu atas efektivitas mitigasi risiko pada
khususnya dan efektivitas manajemen risiko pada umumnya telah dijalankan oleh organisasi
pihak yang diaudit.
 BUKTI AUDIT RM
Bukti audit sebagaimana meliputi:
a profil risiko dan peta risiko organisasi pihak yang diaudit;
b. risaIah (notulen) rapat manajemen risiko;
c. piagam manajemen risiko;
d. dokumen rencana dan realisasi mitigasi risiko;
e.laporan manajemen risiko;
f. rencana kegiatan manajemen risiko;
g. dokumen alokasi biaya untuk kegiatan manajemen risiko;
h. dokumen formulir manajemen risiko sesuai yang dipersyaratkan oleh regulasi;.
 BUKTI AUDIT RM
i. dokumen terkait manajemen kinerja;
J. daftar komposisi pegawai;
k. kebijakan manajemen risiko internal yang dikembangkan organisasi;
l. Standar Operasi Prosedur penerapan manaJemen risiko;
m. peraturan atau . regulasi terkait penerapan manajemen risiko;
n. dokumen pendukung atau bukti hasil implementasi rencana mitigasi risiko; dan
o. surat keputusan terkait struktur manajemen risiko
 PENGUJIAN BUKTI AUDIT RM
Untuk memperoleh dan mengumpulkan bukti dalam audit manaJemen risiko,
dapat digunakan beberapa teknik sebagai berikut:

1. Telaah dokumen (document review)

Telaah dokumen dilakukan dengan terlebih dahulu mendaftar dokumen yang terkait dan
relevan dengan audit dan memintanya kepada pihak yang diaudit. Dokumen yang telah
diperoleh selanjutnya dianalisis dan dievaluasi untuk mendapatkan gambaran
komprehensif secara menyeluruh mengenai praktik yang telah dijalankan oleh pihak
yang diaudit.

2. Wawancara (interview)
Wawancara dilakukan dengan memberikan pertanyaan secara tatap muka langsung
dengan pihak-pihak yang relevan, dipandang memiliki informasi yang diperlukan dan
memiliki kompetensi yang mendukung. Wawancara perlu dirancang dengan
mengembangkan seperangkat perta nyaan terbuka untuk menggali secara mendalam
informasi yang dibutuhkan dalam audit.
 PENGUJIAN BUKTI AUDIT RM
3. Survei (survey)
Survei berguna menangkap persepsi dari pihak yang diaudit terhadap suatu proses yang telah
dijalankan. Survei dilakukan dengan mengembangkan seperangkat pernyataan yang relevan
dengan audit yang dijalankan. Pemilihan responden perlu diperhatikan guna mendapatkan
informasi yang valid.

4. Observasi (observation)
Observasi dilakukan dengan secara langsung mengamati suatu proses atau aktivitas atau
kegiatan yang dijalankan oleh pihak yang diaudit. Observasi dilakukan untuk mendapatkan
gambaran riil mengenai aktivitas manajemen risiko yang dijalankan oleh pihak yang diaudit.

5. Tes tertulis
Tes tertulis dilakukan untuk mendapatkan gambaran mengenai tingkat pemahaman pihak yang
diaudit atas konsep teoritis dan praktikal proses manajemen risiko yang telah dijalankannya.
Seperangkat soal uji perlu dikembangkan dengan cermat dan seksama.