Internal
Berbasis
Risiko
Definisi
“
Audit berbasis risiko/audit internal berbasis risiko adalah sebuah
metodologi yang menghubungkan audit internal dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit intern mendapatkan “
keyakinan memadai bahwa manajemen risiko organisasi telah dikelola
dengan memadai sehubungan dengan risiko yang dapat diterima/risk
appetite (Institute of Internal Auditors).
Dalam penerapan audit internal berbasis risiko terdapat beberapa faktor yang mempengaruhi.
Ukuran organisasi, regulasi, jenis industri dan budaya organisasi adalah beberapa faktor
penting yang ikut mendorong pengadopsian audit internal berbasis risiko baik pada
perencanaan secara individual maupun tahunan (Allegrini & D’Onza, 2003; Koutoupis &
Tsamis, 2009).
Sejarah dan Latar Belakang
Berbagai hal ini mendorong profesi internal audit mulai berubah dari yang mula-mula
menggunakan pendekatan tradisional menjadi risk-based approach. Adanya pendekatan
risk based approach memungkinkan internal auditor untuk tetap mampu menjalankan
tugasnya dengan efektif dan efisien, mematuhi peraturan namun dengan mengurangi
effort dan biaya yang diperlukan (Deloitte, 2006)
Sejarah dan Latar Belakang
Menurut Paul J. Sobel (2015) perkembangan pendekatan audit dari waktu ke waktu
dapat disajikan sebagai berikut:
Perkembangan Pendekatan Audit
Manfaat dan Kelebihan
Risiko
Efektivitas atas respon/tanggapan dan tindakan penyelesaian dalam proses
4 manajemen risiko, dipantau oleh manajemen untuk memastikan efektivitas
dilakukan secara berkelanjutan
5 Pelaporan dan klasifikasi risiko telah disajikan secara lengkap, akurat dan tepat.
Sasaran
Sasaran yang ingin dicapai dalam penerapan audit internal berbasis risiko:
01 On going process
Manajemen risiko dilaksanakan secara terus-menerus 04 Applied across the enterprise
Strategi yang telahdipilih berdasarkan manajemen risiko
dan dimonitor secara berkala. Manajemen risiko diaplikasikan dalam kegiatan operasional dan mencakup
bukanlah suatu kegiatan yang dilakukan sesekali (one seluruh bagian/unit pada organisasi. Mengingat risiko masing-
time event). masing bagian berbeda, maka penerapan manajemen risiko
berdasarkan penentuan risiko oleh masing-masing bagian.
02 Effected by people
Manajemen risiko ditentukan oleh pihak-pihak yang 05 Designed to indetify potential events
Manajemen risiko dirancang untuk mengidentifikasi kejadian
berada di lingkungan organisasi. atau keadaan yang secara potensial menyebabkan
terganggunya pencapaian tujuan organisasi.
Penilaian Maturitas
Risiko
Penyusunan
Penyusunan
PKPT
Penilaian Maturitas Manajemen Risiko
Tahap pertama dalam perencanaan audit internal berbasis risiko adalah penilaian atas level maturitas risiko.
Dalam tahap ini terdapat 3 tujuan menurut IIA yaitu:
3
Penilaian Maturitas Manajemen Risiko
Penilaian maturitas manajemen risiko dilaksanakan oleh internal auditor dapat dilakukan dengan
menggunakan kuesioner lima belas pernyataan
Penilaian Maturitas Manajemen Risiko
0- Level 1 - Risk
7 Naive
8- Level 2 - Risk Aware
14
15- Level 3 - Risk
20 Defined
21- Level 4 - Risk
25 Managed
>2 Level 5 - Risk
6 Enable
Penilaian Maturitas Manajemen Risiko
Hasil penilaian maturitas risiko digunakan sebagai bahan pertimbangan dalam menentukan pendekatan
audit yang akan digunakan internal auditor sebagai berikut:
1. Jika tingkat kematangan manajemen risiko organisasi berada pada level naive atau aware maka
auditor internal tidak dapat meyakini sepenuhnya risk register yang sudah disusun organisasi.
2. Dalam menjalankan peran konsultasinya, auditor internal tidak dapat mengidentifikasi resiko tanpa
keterlibatan pihak manajemen karena pemilik dan penanggung jawab risiko adalah manajemen.
3. Pada kondisi risk defined, pelaksanaan audit diawali dengan verifikasi apakah proses manajemen
risiko sudah berjalan dengan efektif. Tahapan pengawasan lebih detail diperlukan untuk
meyakinkan bahwa semua resiko sudah diidentifikasi dan pengendalian terhadap resiko tersebut
telah berjalan efektif.
4. Pada kondisi risk managed dan enable, auditor internal menggunakan risk register yang disusun
oleh manajemen dan pekerjaan audit tidak lagi diarahkan untuk mengembangkan kesalahan
penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses
manajemen risiko dan verifikasi terhadap pemantauan manajemen atas risiko-risiko kunci dalam
organisasi.
Penilaian Maturitas Manajemen Risiko
Menurut IIA, berdasarkan hasil penilaian maturitas risiko, terdapat beberapa strategi yang dapat
diterapkan, diantaranya:
Penyusunan Audit Universe
auditable
unit.
S
auditable unit.
M
audit
universe.
Penyusunan Risiko Komposit
area pengawasan 1
area pengawasan 4
area pengawasan 2
area pengawasan 3
Besaran risiko: Diisi dengan nilai setiap risiko yang diperoleh berdasarkan nilai hasil perpotongan antara level dampak dan level
kemungkinan berdasarkan matriks analisis risiko.
Rata-rata Level Dampak (RLD): Rata-rata nilai dampak pada area pengawasan yang diperoleh dari hasil perhitungan jumlah seluruh nilai
dampak dari risiko teridentifikasi dalam setiap area pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan.
Rata-rata Level Kemungkinan (RLK): Rata-rata nilai keterjadian pada area pengawasan yang diperoleh dari hasil perhitungan jumlah
seluruh nilai keterjadian dari risiko teridentifikasi dalam setiap area pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan.
Penyusunan Faktor Risiko
Sumber: IIA Government survey sebagaimana dikutip Internal Audit Community of Practice (IA CoP)
Penyusunan Faktor Risiko
Setelah diketahui nilai komposit risk register dan nilai risk factor kemudian hitung bobot
proporsinya dengan mempertimbangkan skor maturitas MR pada area pengawasan terpilih
Perencanaan Audit Secara Periodik
Flow of audit work
Overall Audit
Source where Strategy
possible
Internal audit reports
Identify responses
on which Assurance
Risk Register Requirements
assurance is
required
1. Akurat, komunikasi hasil audit yang didasarkan atas 5. Konstruktif, membantu auditi dan mengarah pada
fakta, didukung dengan bukti yang memadai, dan perbaikan yang diperlukan.
bebas dari kesalahan maupun distorsi.
6. Lengkap, tidak meninggalkan hal-hal penting bagi
2. Objektif, berarti adil, tidak memihak, tidak berat pengguna hasil audit dan telah mencakup seluruh
sebelah, dan merupakan hasil dari pemikiran adil dan informasi dan observasi yang signifikan dan relevan untuk
seimbang atas seluruh fakta dan keadaan yang mendukung kesimpulan dan rekomendasi.
relevan.
7. Tepat waktu, komunikasi hasil pengawasan yang
3. Jelas, berarti mudah dipahami dan logis, terhindar dari dilaksanakan tepat pada waktunya dan bermanfaat,
pemakaian istilah teknis yang tidak penting dan sehingga memungkinkan manajemen dapat melakukan
menyajikan seluruh informasi yang signifikan dan tindakan koreksi yang tepat. Jika terdapat isu yang sangat
relevan. signifikan sebelum penugasan berakhir, Tim Audit dapat
mempertimbangkan penyampaian laporan hasil
4. Ringkas, berarti langsung pada masalahnya, serta pengawasan sementara kepada pihak manajemen (auditi)
menghindari uraian yang tidak perlu, detail yang
dan/atau pihak lain yang terkait.
berlebihan, pengulangan, dan terlalu panjang.
Pengkomunikasian Hasil Audit Individu