Pertemuan Ke-4

AUDIT INTERNAL
BERBASIS RISIKO (AIBR)
&
MANAJEMEN RISIKO
01 AIBR
(Audit Internal
Berbasis Risiko)
 DEFINISI AIBR

IIA mendefinisikan Audit Internal Berbasis Risiko

sebagai:

“a methodology that links internal auditing to an

organization’s overall risk management
framework”

(AIBR adalah metodologi yang mengaitkan

kegiatan audit internal dengan kerangka
pengelolaan risiko secara menyeluruh dari
organisasi tersebut)
 DEFINISI AIBR

• AIBR memungkinkan audit internal memberikan

asurans kepada board (Dewan) bahwa proses
manajemen risiko telah berjalan secara efektif
sehubungan dengan risk appetite.

• Apakah organisasi siap melakukan AIBR? Setiap

organisasi berbeda satu sama lain, masing-
masing mempunyai sikap yang berbeda
menanggapi risiko, struktur berbeda, proses
berbeda, bahkan istilah-istilah yang berbeda.

• Jika kerangka manajemen risiko tidak kuat atau

tidak berfungsi, organisasi itu belum siap untuk
IBR
KEUNTUNGAN DAN KEUNGGULAN AIBR

Dengan melaksanakan AIBR, audit internal

diharapkan dapat menyimpulkan bahwa:

1. Manajemen telah mengidentifikasi, menilai

(assessed) dan menanggapi (responded)
risiko-risiko di atas dan di bawah risk
appetite.

2. Tanggapan terhadap risiko sudah efektif

tetapi tidak berlebihan, dalam mengelola
risiko yang melekat (inherent risks) dalam
ambang batas risk appetite.
KEUNTUNGAN DAN KEUNGGULAN AIBR

3. Dalam hal risiko yang masih ada atau risiko

residual (residual risks) tidak sejalan dengan
risk appetite, ada tindakan yang diambil
untuk memperbaiki situasi tersebut.

4. Proses manajemen risiko, termasuk

efektifnya tanggapan dan tuntasnya tindak
lanjut, dipantau oleh manajemen untuk
memastikan proses tersebut berjalan secara
efektif.

5. Risiko tanggapan dan tindak lanjutnya

dikelompokkan dan dilaporkan dengan
tepat.
KEUNTUNGAN DAN KEUNGGULAN AIBR

Audit internal dapat memberikan keyakinan

kepada Direksi dan Dewan Komisaris mengenai
tiga hal sebagai berikut.

1. Proses manajemen risiko, baik desain atau

rancangannya maupun implementasi dari
rancangan tersebut.
2. Pengelolaan risiko-risiko yang dianggap
“kunci”, termasuk efektifnya pengendalian
dan tanggapan lain terhadap pengendalian
tersebut.
3. Pelaporan dan pengelompokkan risiko
secara lengkap, akurat, dan tepat.
TAHAP IMPLEMENTASI AIBR

01 02 03

Menilai Risk Perencanaan Melaksanakan

Maturity Audit Tugas Audit
Berkala
IMPLEMENTASI AIBR

Tahap 1: Menilai Risk Maturity

Dapatkan gambaran menyeluruh tentang

bagaimana Dewan dan manajemen menentukan
nilai, mengelola, dan memantau risiko.
Gambaran ini akan memberikan petunjuk
apakah catatan atau daftar risiko (risk register)
dapat dipercaya untuk tujuan perencanaan
audit.
IMPLEMENTASI AIBR

Tahap 2: Perencanaan Audit Berkala

Secara berkala, umumnya setahun sekali,

tentukan penugasan assurans dan konsulting,
dengan mengidentifikasi dan memberi prioritas
kepada hal-hal di mana Dewan membutuhkan
asurans, termasuk asurans atas proses-proses
manajemen risiko, pengelolaan risiko-risiko
kunci (key risks), dan pencatatan dan pelaporan
risiko.
IMPLEMENTASI AIBR

Tahap 3: Melaksanakan Tugas Audit

Laksanakan tugas-tugas audit yang sudah

direncanakan dalam tahap 2, untuk
memberikan asurans dalam kerangka
manajemen risiko, termasuk pencegahan atau
mitigasi suatu risiko tertentu atau sekelompok
risiko.
IMPLEMENTASI AIBR

Ketiga tahap pelaksanaan menghasilkan output

tertentu.

• Dalam tahap 1 (Assess Risk Maturity) output-

nya adalah dokumen yang menggambarkan
dan menjelaskan strategi audit internal
secara menyeluruh (Overall Audit Strategy)
yang tentunya berbasis risiko yang dihadapi
perusahaan

• Dalam tahap 2 (Periodic Audit Planning)

outputnya adalah dokumen berisi rencana
audit (audit plan)
IMPLEMENTASI AIBR

• Dalam tahap 3 (Individual Audit Assignment)

audit internal melaksanakan tugas-tugas
audit secara individual sesuai dengan
rencana dalam Tahap 2. Output dari
penugasan audit masing-masing adalah
dokumen hasil audit yang berisi temuan dan
saran-saran.
02 DASAR-DASAR
MANAJEMEN
RISIKO
RISIKO

• Bagi auditor internal, istilah risiko digunakan

dalam proses audit dan proses manajemen
risiko.
• Dalam proses audit, risiko yang dimaksud
adalah kemungkinan terjadinya salah saji
material yang tidak dapat dideteksi oleh
prosedur audit yang telah dilakukan auditor
pada asersi di tingkat saldo rekening
maupun transaksi.
• Risiko audit terdiri dari risiko bawaan
(inherent risk), risiko pengendalian (control
risk), dan risiko deteksi (detection risk)
KATEGORI RISIKO

a) Risiko dari sudut pandang sumbernya:

1) Risiko internal, seperti keamanan,
reputasi, dan manajemen.
2) Risiko eksternal, seperti risiko karena
adanya perubahan politik, kondisi
ekonomi dan bencana alam.

b) Risiko dari sudut pandang penyebab:

1) Risiko keuangan, seperti risiko kredit,
standar akuntansi, anggaran, pajak.
2) Risiko operasional, seperti risiko proses
operasi, sistem dan prosedur, teknologi.
KATEGORI RISIKO

c) Risiko dari sudut pandang akibat yang ditimbulkan:

1) Risiko murni, yaitu risiko yang hanya
menimbulkan kerugian seperti risiko kebakaran
2) Risiko spekulatif, yaitu risiko yang tidak hanya
memungkinkan terjadinya kerugian tetapi juga
memungkinkan adanya keuntungan seperti
risiko investasi.

d) Risiko dari sudut pandang jenis

Berdasarkan jenisnya, risiko mencakup risiko
politik, risiko hukum, risiko kesehatan, risiko
teknologi, risiko keuangan, risiko sumber daya
manusia, dan risiko lainnya.
DASAR-DASAR MANAJEMEN RISIKO

Manajemen risiko meliputi proses

mengidentifikasi risiko, mengukur risiko, serta
menyusun strategi untuk mengelolanya
melalui sumber daya yang tersedia.
• Identifikasi risiko menghasilkan daftar risiko
yang berpotensi dan atau telah terjadi
• Pengukuran risiko memberi informasi
tentang kemungkinan keterjadian dan
dampak yang dapat ditimbulkan bila risiko
terjadi
DASAR-DASAR MANAJEMEN RISIKO

• Penyusunan strategi merupakan tindak

lanjut yang perlu dilakukan oleh manajemen
untuk menghindari atau memitigasi risiko.
Strategi yang dapat digunakan antara lain:
mentransfer risiko pada pihak lain,
menghindari risiko, mengurangi efek buruk
dari risiko, dan menerima sebagian maupun
seluruh konsekuensi dari risiko tertentu.
4 Langkah Proses
Manajemen Risiko

1. Identifikasi risiko
2. Penilaian risiko
3. Prioritas Risiko dan
Perencanaan Respons
4. Pemantauan Risiko
PROSES MANAJEMEN RISIKO

1) Identifikasi Risiko
• Manajemen harus mengidentifikasi
semua risiko yang mungkin memngaruhi
keberhasilan organisasi, mulai dari risiko
yang berdampak kcil hingga risiko yang
berdampak signifikan.
• Proses identifikasi risiko harus dilakukan
dengan hati-hati dan mendalam untuk
mengidentifikasi potensi risiko yang ada
di area operasi dalam suatu rentang
waktu
PROSES MANAJEMEN RISIKO

2) Penilaian Risiko
Penilaian risiko dilakukan untuk
memetakan risiko berdasarkan
kemungkinan terjadinya dan dampak yang
ditimbulkan bila risiko ini terjadi.
3) Prioritas dan Perencanaan Respons
Manajemen perlu menggunakan hasil
penilaian risiko untuk menentukan
prioritas risiko yang harus direspons dan
strategi yang digunakan untuk merespons
risiko tersebut.
PROSES MANAJEMEN RISIKO

4) Pemantauan Risiko
• Lingkungan internal dan eksternal
perusahaan yang terus berubah
menyebabkan perubahan risiko yang
mungkin dihadapi, biak jumlah,
probabilitas, maupun dampaknya.
• Oleh karena itu, organisasi perlu
melakukan pemantauan dan peninjauan
risiko-risiko yang telah diidentifikasi,
risiko baru yang mungkin muncul,
probabilitas tiap-tiap risiko, dan dampak
yang ditimbulkannya.
 MANAJEMEN

03 RISIKO:
COSO ERM
(Enterprise Risk Management)
 DEFINISI ERM

ERM berurusan dengan risiko dan peluang yang

memengaruhi penciptaan nilai (value creation) atau
mempertahankan nilai yang sudah diperoleh (value
preservation).

ERM adalah proses, yang dibuat oleh Direksi/Dewan

Komisaris, manajemen dan personalia lain, yang
diterapkan sebagai bagian dari penetapan strategi
dan berlaku di seluruh lingkungan perusahaan,
dirancang untuk mengidentifikasi periwtiwa yang
berpotensi terjadi dan dapat memengaruhi entitas,
dan mengelola risiko agar masih dalam batas-batas
risk appetite, untuk memberikan keyakinan yang
memadai tentang tercapainya tujuan-tujuan entitas.
Komponen ERM

• Internal Environment
• Objective Setting
• Event Indentification
• Risk Assessment
• Risk Response
• Control Activities
• Information & Communication
• Monitoring
 Komponen ERM

1) Internal Environment (Lingkungan Internal)

– lingkungan internal menjadi penentu
organisasi, dan menjadi dasar bagaimana
risiko dipandang dan diperlakukan oleh
orang-orang dalam entitas, juga falsafah
atau pandangan tentang pengelolaan risiko
(risk management philosophy) dan risk
appetite, nilai-nilai integritas dan etika
(integrity and ethical values), dan
lingkungan dimana mereka beroperasi.
 Komponen ERM

2) Objective Setting (Penentuan Tujuan) –

tujuan harus ada terlebih dulu sebelum
manajemen dapat mengidentifikasi
peristiwa-peristiwa yang bisa terjadi
(potential events) yang memengaruhi
keberhasilan mencapai tujuan.
3) Event Identification (Identifikasi Peristiwa) –
peristiwa-peristiwa internal dan eksternal
yang berpengaruh terhadap pencapaian
tujuan entitas harus diidentifikasi dengan
membedakan antara risiko dan peluang.
 Komponen ERM

4) Risk Assessment (Penilaian Risiko) – risiko

dianalisis, dengan mempertimbangkan berapa
kemungkinan terjadinya dan dampaknya,
sebagai dasar penentuan bagaimana risiko
tersebut harus dikelola.
5) Risk Response (Tanggapan Terhadap Risiko) –
Manajemen memilih cara-cara untuk
menanggapi risiko – seperti menghindari
(avoiding), menerima (accepting), mengurangi
(reducing), atau membagi (sharing) risiko –
mengembangkan sejumlah tindakan untuk
menyajajarkan risiko dengan risk tolerance dan
risk appetite entitas tersebut.
 Komponen ERM

6) Control Activities (Kegiatan Pengendalian) –

kebijakan dan prosedur dibuat dan dilaksanakan
untuk membantu meyakinkan bahwa tanggapan
terhadap risiko dilaksanakan secara efektif.
7) Information and Communication – informasi yang
relevan diidentifikasi, dikumpulkan, dan
dikomunikasikan dalam bentuk dan pada waktu yang
memungkinkan orang-orang melaksanakan
tanggung jawab mereka.
8) Monitoring (Pemantauan) – keseluruhan ERM
dipanatau dan dimodifikasi jika perlu. Pemantauan
dicapai melalui kegiatan manajemen yang terus-
menerus, atau evaluasi terpisah, atau kedua-duanya.
 ERM CUBE

Unit
Organisasi

Komponen
 HUBUNGAN ANTARA TUJUAN DAN
KOMPONEN
• Ada hubungan langsung antara tujuan (yakni apa
yang suatu entitas berupaya mencapainya) dengan
komponen ERM (yaitu apa yang diperlukan untuk
mencapai tujuan tersebut). (lihat gambar)

• Empat tujuan digambarkan di bagian atas kubus,

Delapan komponen digambarkan di bagian depan
kubus), Unit-unit organisasi digambarkan di sisi
kanan kubus.

• Gambar ini mencerminkan kemampuan untuk

memusatkan perhatian pada ERM untuk entitas
yang bersangkutan secara menyeluruh atau
berdasarkan kategori empat tujuan, atau dari
delapan komponen, atau unit organisasi, atau dari
sisi yang manapun
 EFEKTIVITAS

• Menentukan efektif tidaknya ERM merupakan

pertimbangan (judgment) berdasarkan apakah
ke delapan komponen memang ada dan
berfungsi secara efektif.
• Ke delapan komponen ini juga merupakan
kriteria atau ciri ERM yang efektif.
• Agar komponen ini berfungsi dengan benar,
tidak boleh ada kelemahan yang signifikan (no
material weaknesses), dan risiko harus
ditempatkan di dalam risk appetite entitas.
 KETERBATASAN ERM

• Pertimbangan manusia (human judgment)

dalam membuat keputusan bisa salah atau
keliru
• Keputusan menaggapi risiko dan penentuan
sistem dan prosedur pengendalian harus
mempertimbangkan relative costs and
benefits
• Kegagalan bisa terjadi karena kesalahan
manusia
• Pengendalian dapat diterobos lewat solusi
dua orang atau lebih
• Manajemen mampu mengesampingkan
keputusan-keputusan ERM
 HUBUNGAN ANTARA AUDIT INTERNAL
DAN ERM

• Selama bertahun-tahun audit internal

memanfaatkan informasi tentang risiko secara tepat,
yakni sebagai input utama dalam perencanaan audit.
• Untuk organisasi yang belum mempunyai fungsi
ERM yang efektif, misalnya ERM masih pada tahap
awal pengembangan, audit internal terpaksa
melaksanakan penilaian risiko (risk assessments)
sendiri.
• Audit internal juga harus mengaudit kerangka ERM,
untuk memberikan asurans kepada Diereksi/Dewan
Komisaris dan senior management mengenai
kecukupan dan efektifnya ERM. Ini adalah keharusan
dalam standar IIA (Professional Practices Standards)
 Diagram Kipas
Audit Internal dan ERM
• Diagram kipas ini memberi ilustrasi tentang
pandangan masa kini mengenai peranan audit
internal dan ERM.
• Bagian kiri dari diagram ini, berwarna biru muda,
merupakan wilayah berisi peran inti audit
internal.
• Bagian berwarna biru di bagian tengah diagram,
merupakan wilayah audit internal asal ada
pengaman.
• Bagian kanan dari kipas ini menggambarkan
wilayah yang tidak boleh dimasuki audit
internal.
• Secara umum ada kesepakatan untuk bagain kiri
dan kanan diagram ini, dan ada perbedaan
pendapat mengenai bagian tengah.
 Potensi Benturan Kepentingan – ERM dan
Audit Internal
ERM Audit Internal
Mengembangkan kerangka Mengaudit kecukupan dan
(frame-work) ERM efektifnya kerangka ERM
Melaksanakan kerangka ERM Mengaudit implementasi
kerangka ERM
Memberi advis kepada Mengaudit komitmen
manajemen tentang integrasi manajemen dan peran-peran
ERM ke dalam operasi bisnis dan mereka dalam ERM.
peran masing-masing untuk
keberhasilan integrasi tersebut.
Memberi advis mengenai Mengaudit apakah para
akuntabilitas terhadap risiko, manager yang bertanggung
pengendalian, dan tugas. jawab, memang mampu dan
memenuhi tugas mereka.
 Potensi Benturan Kepentingan – ERM dan
Audit Internal
ERM Audit Internal
Memberi advis kepada Memberikan asurans yang
manajemen dan Board untuk independen tentang informasi
menafsirkan informasi tentang ERM yang diberikan ke Board.
ERM.
Menyempaikan status dan Memberikan pandangan yang
kinerja ERM kepada Komite independen tentang kredibilitas
Audit & Risiko. dan dapat dipercayanya
informasi kepada Komite Audit
& Risiko.
Bertindak sebagai penasihat dan Bertindak sebagai independent
mentor dari manajemen perihal reviewer untuk memberikan
ERM. asurans mengenai kemampuan
dan kinerja ERM.
BUKU REFERENSI

Tuanakotta, Theodorus M. Zamzami, Faiz, dkk. 2018.

2019. Audit Internal Audit Internal (Konsep dan
Berbasis Risiko. Jakarta: Praktik). Yogyakarta: UGM
Salemba Empat. Press.
TERIMA
KASIH