Resume Chapter 7 & 17

Manajemen Resiko
(Jumat 16.00-18.30)
Kelas F

Dosen Pengampu:
Karel Tjahjadi Drs., M.M.

Dibuat oleh :
202050052 Cyntia Kurniawan
20205010 Theodore Sebastian
202050170 Kenny

Trisakti School Of Management

Jakarta
2023

1
Chapter 7- Risk based internal audit
Risk Based Internal audit (RBIA) atau Audit Internal Berbasis Risiko adalah sebuah metodologi
yang menghubungkan audit internal kepada kerangka kerja manajemen risiko di dalam sebuah
perusahaan secara menyeluruh dan komprehensif.

Risiko merupakan suatu keadaan yang dapat menghambat proses pencapaian tujuan
perusahaan. Disamping itu risiko dapat menimbulkan dampak signifikan terhadap kelangsungan
hidup perusahaan sehingga diperlukan perencanaan audit, dimana di dalam proses audit secara
garis besar akan melakukan;

A. Identifikasi tujuan.
B. Bekerjasama dengan setiap fungsi/unit bisnis untuk mengidentifikasi risiko-risiko yang
menghambat proses bisnis perusahaan.
C. Melakukan pengawasan untuk melakukan mitigasi risiko
D. Melakukan pelaporan jika ada risiko tidak signifikan sehingga hanya perlu dilakukan
pengawasan dan pemantauan saja
E. Menjamin bahwa risiko telah diantisipasi dengan mitigasi dengan tepat sehingga risiko
tersebut dapat diterima pada tingkatan tertentu (risk apetite).

Tahapan melaksanakan RBIA

TAHAP 1: MENILAI KEMATANGAN RISIKO (RISK MATURITY) PERUSAHAAN

Ada tiga tujuan untuk tahap ini, diantaranya:

a. Menilai kematangan risiko perusahaan.

b. Membuat laporan kepada manajemen dan komite audit mengenai penilaian kematangan
risiko perusahaan.
c. Menyetujui terhadap strategi pelaksanaan audit.

Proses yang dilakukan untuk mencapai tujuan menilai tingkat kematangan risiko dengan cara:

a. Diskusikan pemahaman risk maturity dengan direksi dan manajer senior.

b. Mendapatkan Dokumen-Dokumen Terkait
c. Menilai dan Melaporkan Kematangan Risiko (risk maturity)
d. Strategi Audit Risiko

TAHAP 2: PERENCANAAN PEMERIKSAAN PERIODIK

Tujuan perencanaan pemeriksaan periodik adalah untuk memastikan semua proses manajemen
risiko yang telah dilakukan sesuai dengan masukan dari audit internal, telah berjalan objektif.
Perencanaan pemeriksaan periodik merupakan kegiatan rutin dilakukan, dimana rencana audit
yang berisi semua audit yang akan dilakukan selama jangka waktu tertentu.

TAHAP 3: PENUGASAN AUDIT

Audit internal berbasis risiko dalam perencanaan audit berdasarkan register risiko perusahaan.
Metodologi yang digunakan untuk melakukan audit internal berbasis risiko agar supaya auditor
internal dapat memfasilitasi perbaikan kerangka kerja manajemen risiko dalam perencanaan
kerangka audit serta melakukan konsultasi untuk perbaikan dan peningkatan efektifitas
penerapan manajemen risiko. Salah satu tujuan kegiatan konsultasi adalah untuk meningkatkan
kematangan risiko (maturity risk) perusahaan dimana kegiatan konsultasi mempunyai sifat dan
ruang lingkup yang telah disepakati dengan manajemen.

2
Hubungan Dengan Manajemen

Audit internal berbasis risiko membutuhkan keterlibatan manajemen karena proses yang akan
dibahas dalam audit di seluruh bagian perusahaan, audit mungkin melibatkan manajer (risk
owener) pada unit/fungsi yang belum pernah dikunjungi audit internal.

Audit internal berbasis risiko adalah cara yang efektif untuk mencapai target yang ditetapkan
untuk aktivitas audit internal, seperti:

- Penyusunan rencana audit yang menjamin aktivitas audit internal memenuhi piagam
audit (Audit Charter).
- Mendapatkan masukan dari manajemen bahwa dibutuhkan tindakan yang tepat untuk
mengelola risiko dalam risk appetite.
- Menjamin penilaian yang obyektif dalam penerapan manajemen risiko.
- Menjaga anggaran yang telah ditetapkan untuk kegiatan pencapaian tujuan perusahaan.

Praktik Audit Berbasis Risiko dan Kinerja Keuangan (Studi Kasus Ethiopian Airlines)

Tujuan dari studi ini adalah untuk menentukan praktik audit berbasis risiko dan memeriksa
apakah praktik audit berbasis risiko memengaruhi kinerja keuangan dalam kasus perusahaan
Ethiopian Airlines (EAL). Perusahaan Ethiopian Airlines telah mengadopsi praktik audit berbasis
risiko seperti penilaian risiko, manajemen risiko, rencana audit berbasis risiko, audit tindak lanjut,
kapasitas audit internal, dan standar audit internal.

Ada beberapa temuan yang terjadi di Ethiopian Airlines (EAL) setelah dilakukan audit internal
berbasis risiko.

3
 - Risk apetite perusahaan EAL belum menentukan tingkat di mana perusahaan dapat
menerima risiko.
- Bagian manajemen risiko di EAL belum independen dalam memberikan laporan guna
meningkatkan budaya dan penerapan manajemen risiko di unit kerja.
- Audit internal tidak dilibatkan dalam persiapan rencana audit berbasis risiko, sehingga
manajemen tidak memberikan laporan penilaian risiko dan dokumen yang diperlukan
seperti manual prosedural kebijakan sebagai input dalam persiapan rencana audit
berbasis risiko.
- Beberapa permasalahan hasil temuan audit berbasis risiko sebagai berikut :
a. Kurang komitmen dari fungsi/unit kerja di EAL untuk memberikan informasi yang
nyata dan benar sehubungan dengan proses pelaksanaan temuan audit.
Akibatnya, perbedaan pendapat terjadi antara auditor internal dengan para
manajer sebagai pemilik risiko.
b. Departemen audit internal tidak memiliki staf yang memadai dibandingkan
dengan beban kerja di kantor pusat dan cabang di mana tempat tiket
penerbangan dijual. Disamping itu, kurangnya pelatihan yang memadai dan
pengembangan profesional untuk auditor internal.
c. Meskipun laporan audit dikomunikasikan dalam kerangka kerja, namun ringkasan
temuan audit dan risiko yang signifikan tidak dikomunikasikan secara berkala ke
manajemen puncak.
d. Pimpinan audit internal melaporkan kepada CFO dan dewan komite audit. Ini
menyiratkan bahwa departemen audit internal merusak independensinya.
menyatakan bahwa, pimpinan audit internal harus secara administratif melapor
kepada CEO dan secara fungsional ke dewan komite audit.

Beberapa Rekomendasi Temuan Audit

- Manajemen EAL harus menekankan pada peningkatan penerapan penilaian risiko di

semua unit kerja perusahaan. Saat ini menunjukkan bahwa risiko dan pengendalian yang
diharapkan, tidak diidentifikasi dan didokumentasikan dengan baik di semua unit kerja
EAL.
- Manajemen EAL harus mendefinisikan dan menetapkan risk appetite perusahaan sesuai
dengan tingkat risiko. Risk apetite membantu para manajer untuk mengelola risiko dalam
profil risiko perusahaan.
- Manajemen EAL harus membentuk struktur departemen manajemen risiko yang terpisah
dan independen yang melakukan pekerjaan fasilitasi manajemenrisiko secara terpusat
untuk meningkatkan budaya manajemen risiko di EAL dan memperkuat penerapan
manajemen risiko.

Chapter 17- Integration of KPIs and KRIs

KPI yang baik mungkin sulit untuk diidentifikasi, namun atribut berikut dapat membantu
memandu pengembangan:

1. Dapat diukur: KPI harus dapat diukur secara obyektif. Hal ini tidak dapat dinegosiasikan
karena menghilangkan bias yang terkait dengan tindakan subjektif.

2. Relevan: Ketika KPI dikaitkan langsung dengan tujuan bisnis, KPI biasanya akan memberikan
informasi yang dapat segera ditindaklanjuti.

4
3. Penting: KPI eksternal harus memiliki hubungan linier dengan pendapatan, biaya, atau tujuan
bisnis dan berdampak langsung pada laba perusahaan.

4. Tepat Waktu: KPI terbaik tidak hanya dapat diukur, namun juga dapat diukur dengan cepat
(sebaiknya secara real time) sehingga manajemen dapat mengambil tindakan terhadap data
tersebut sesegera mungkin.

Identifikasi

Setelah analisis dan pengumpulan strategi, tujuan, dan target selesai, tim harus mengalihkan
perhatiannya pada paparan risiko yang dapat berdampak pada masing-masing strategi. Tugas
pada tahap ini adalah mengidentifikasi indikator untuk setiap paparan. Ingatlah bahwa indikator
risiko bukanlah ukuran historis, namun memiliki kualitas prediktif.

Pilihan

Hasil penelitian ini akan berupa serangkaian indikator risiko. Hingga saat ini, fokusnya adalah
pada kuantitas dan inklusi. Namun kini, fungsi risiko harus mempertimbangkan bagian “kunci”
dari KRI dengan mempersempit daftar ini menjadi indikator-indikator yang benar-benar signifikan
dan layak untuk dipantau secara ketat. Tim implementasi harus memulai dengan mengevaluasi
setiap risiko dalam hal probabilitas dan tingkat keparahannya.

Pelacakan dan Pelaporan

Untuk melacak KPI dan KRI, penting untuk menentukan ambang batas pemicu, atau indikator
peringatan yang mengaktifkan putaran umpan balik. Organisasi tersebut mungkin telah
menetapkan toleransi terhadap pemicu tersebut berdasarkan pernyataan selera risikonya.

PRAKTIK TERBAIK

Ingatlah Pemangku Kepentingan dan Tujuan

Salah satu hal terpenting yang perlu diingat saat mengembangkan KPI dan KRI adalah peran
pemangku kepentingan. Pemangku kepentingan menentukan arah organisasi, sehingga masuk
akal untuk melibatkan mereka dalam perencanaan, dan bahkan dalam tahap identifikasi paling
awal.

Manfaatkan Metrik yang Ada

5
Praktik terbaik lainnya adalah memanfaatkan metrik yang ada dengan menggunakannya kembali
untuk mencapai tujuan ERM. Perusahaan telah mengukur banyak KPI dan bahkan mungkin
beberapa KRI yang dapat direalisasikan. Hal ini efisien dan hemat biaya, namun ada peringatan
untuk menghindari bias manajemen yang umum terhadap pengukuran yang lazim.

Batasi Indikator hingga yang Paling Relevan

Setiap orang di organisasi akan mempunyai pendapat mengenai risiko mana yang paling penting
untuk dipantau dengan KRI. Mereka yang bertugas memilih indikator harus berhati-hati untuk
menghindari bias dengan menggunakan ukuran objektif seperti kemungkinan dan tingkat
keparahan risiko, serta penyelarasan dengan prioritas strategis. Seringkali, perusahaan dapat
memilih di antara beberapa KRI untuk memantau risiko tertentu.

Tetapkan Frekuensi Pemantauan dan Pelaporan

Sejak Awal Untuk menghindari ambiguitas, penting untuk menentukan sejak awal bagaimana
perusahaan akan memantau setiap indikator utama, dan seberapa sering. Jika memungkinkan,
pengumpulan data harus dilakukan secara otomatis sehingga tidak bergantung pada campur
tangan manusia. Program dasbor dapat membantu mengumpulkan data dan menyusun laporan.

KESIMPULAN

Indikator utama risiko dan kinerja merupakan inti dari program ERM yang efektif. Dalam bab ini,
kita melihat bagaimana KPI membantu manajemen menjawab pertanyaan, “Bagaimana kinerja
kami?” dan bagaimana KRI menjawab, “Ke mana kita akan pergi?” KRI memungkinkan manajer
risiko untuk “melihat sekeliling” dan mengantisipasi risiko yang akan datang. Dengan melakukan
hal ini, perusahaan dapat mengambil langkah-langkah untuk memitigasi risiko-risiko tersebut
serta memanfaatkan peluang yang ada. KPI dan KRI yang efektif dapat mendukung
keputusan-keputusan penting yang terkadang menjengkelkan ini karena keputusan-keputusan
tersebut dapat diukur, relevan, dan tepat waktu.