DASAR-DASAR AUDIT BERBASIS RISIKO (RISK BASED
Lembaga PengembanganFraud AuditingDASAR-DASAR AUDIT BERBASIS RISIKO(RISK BASED AUDITING) – UNTUK KORPORASI1. Reviu Peran Internal Audit1.1. Pengertian Internal AuditPengertian Internal Audit menurut Sawyer adalah “Internal auditing is an independentappraisal function established within an organization to examine and evaluate its activitiesas a service to organization”.The Institute of Internal Auditors (1999) memberikan definisi Internal Auditing adalah:“Internal auditing is an independent, objective assurance and consulting activity thatadds value to and improves an organization's operations. It helps an organizationaccomplish its objectives by bringing a systematic, disciplined approach to evaluateand improve the effectiveness of risk management, control, and governance processes”.Berdasarkan pengertian diatas, internal auditing merupakan suatu aktivitas independendalam rangka memberikan jaminan keyakinan yang obyektif, aktivitas konsultasi (consultingactivity) yang dirancang untuk memberikan nilai tambah (value added) dan meningkatkanoperasi perusahaan.Internal audit membantu organisasi dalam mencapai tujuan dengan cara pendekatanyang terarah dan sistematis untuk menilai dan mengevaluasi keefektifan manajemen risiko(risk management) melalui pengendalian (control) dan proses tata kelola yang baik(governance processes).1.2. Peran Internal AuditorFokus internal audit dulu sebagai „watchdog‟, sehingga perannya kurang disukaikehadirannya oleh unit organisasi lain. Hal ini merupakan konsekuensi dari profesi internalauditor yang tugasnya sebagai pemeriksa. Peran „watchdog‟ adalah untuk memastikanketaatan/ kepatuhan terhadap ketentuan, peraturan atau kebijakan yang telah ditetapkan(compliance audit).Menurut Effendi (2002) peran watchdog tersebut saat ini telah bergeser menjadi„konsultan‟ yaitu memberi nilai tambah (value added) dan meningkatkan operasi perusahaan.Fungsi konsultan bagi internal auditor yakni menjadi mitra bisnis profesional yangindependen dan obyektif. Peran konsultan membawa internal auditor untuk selalumeningkatkan pengetahuan & ketrampilan (skill & knowledge) baik tentang profesi auditormaupun aspek bisnis, sehingga diharapkan dapat membantu manajemen dalam memecahkansuatu masalah. Pergeseran peran internal auditor dapat dilihat pada table 1.1. di bawah iniModul – Risk Based AuditHal. 1
Lembaga PengembanganFraud FokusKomunikasi denganmanajemenFokus AuditUkuran suksesPERAN LAMAWatchdogAssuranceDetektif (mendeteksimasalah)Kaku, BermusuhanKelemahan / penyimpanganterbatasPERAN BARUMitra bisnis, Watchdog, KonsultanAssurance & ConsultingPrefentif (mencegah masalah)ComplianceCompliance, Operational Audit: Riskmanagement, control dan governmentprocess.Rekomendasi/manfaatImplementasi GCGAlat manajemenPemberi nilai tambahJumlah temuanOrganisasiPelengkap/hanyapersyaratanTabel 1.1 Pergeseran peran internal auditorAktif, konstruktifPenyelesaian yang konstruktifRegulerKemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagiinternal auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan auditberbagai fungsi / bagian di perusahaan. Konsultasi internal saat ini merupakan aktivitas yangsangat dibutuhkan oleh top management yang perlu dilakukan oleh auditor internal. Ruanglingkup kegiatan audit saat ini tidak sekedar audit keuangan (financial audit) dan auditketaatan (compliance audit), tetapi fokus perhatian ditujukan pada semua aspek yangberpengaruh terhadap kinerja (performance) perusahaan dan pengendalian manajemen sertamemperhatikan aspek risiko manajemen (risk management) maupun internal control.1.3. Tujuan Internal AuditingTujuan utama internal auditing adalah membantu satuan kerja operasional mengelolarisiko dengan mengidentifikasi masalah dan menyarankan perbaikan yang memberi nilaitambah untuk memperkuat organisasi. Selanjutnya tugas internal auditing adalahmenyampaikan kepada pihak manajemen (Direksi) berbagai temuan, kondisi, analisa,penilaian, kesimpulan dan rekomendasi mengenai kegiatan yang diperiksa dan konsultasiyang dilakukannya.Menurut Akmal (dikutip oleh Rismuji, 2007) untuk mencapai tujuan tersebut, internalauditing harus melakukan kegiatan-kegiatan berikut :a. Menilai ketepatan dan kecukupan pengendalian manajemenpengendalian manajemen pengolahan data elektronik (PDE).Modul – Risk Based AudittermasukHal. 2
Lembaga PengembanganFraud Auditingb. Mengidentifikasi dan mengukur risikoc.Menentukan tingkat ketaatan terhadap kebijaksanaan, rencana, prosedur,peraturan, dan perundang-undangan.d. Memastikan pertanggungjawaban dan perlindungan terhadap aktiva.e. Menentukan tingkat keandalan data/informasi.f.Menilai apakah penggunaan sumber daya sudah ekonomis dan efesien sertaapakah tujuan organisasi sudah tercapai.g. Mencegah dan mendeteksi kecuranganh. Memberikan jasa konsultasi.2. Risiko dan Audit Risk2.1. Definisi RisikoThe Institute of Internal Auditors (1991) mendefinisikan risiko sebagai berikut: “Risk isthe probability that an event or action, or inaction , may adversely effect the organization oractivity under review”, (risiko adalah kemungkinan suatu peristiwa yang mungkinmemberikan dampak terhadap organisasi/aktivitas yang direview). Bank Indonesia(PBI/5/8/PBI/2003) mendefinisikan risiko sebagai potensi terjadinya suatu peristiwa (events)yang dapat menimbulkan kerugian bagi suatu Perusahaan.Mc Namee (dikutip oleh Tunggal, 2007) menjelaskan risiko adalah konsep yangdigunakan untuk menyatakan ketidakpastian atas kejadian dan atau akibatnya yang dapatberdampak secara material bagi tujuan organisasi. Menurut Kloman (dikutip oleh Yayon,2006), kata "risk" dalam bahasa Inggris berasal dari bahasa Italia kuno yaitu "riscare". Risikomempunyai definisi yang begitu beragam dengan begitu banyak pengertian dan interpretasi,tergantung dari cara orang memandangnya. Risiko dapat dipandang sebagaia. Sesuatu yang merugikan terjadi (risk of loss)b. Suatu ketidakpastian (risk of volatility)c. Sesuatu yang menguntungkan tidak terjadi (risk of loss opportunity).Yayon (2006) mengungkapkan risiko digunakan oleh auditor dan manajemen untukmenyatakan perhatian mereka tentang dampak yang mungkin terjadi atas lingkungan yangpenuh dengan ketidakpastian. Setiap peristiwa yang terjadi dapat mempunyai dampak yangmaterial atau konsekuensi yang signifikan bagi organisasi dan tujuan organisasi.2.2. Elemen RisikoMenurut The Institute of Internal Auditors elemen risiko sebagai berikut: “Risk leads toopportunity cost as well as traditionally understand costs and it can be quatified in terms of (1)Modul – Risk Based AuditHal. 3
Lembaga PengembanganFraud Auditinglikelihood of occurrence and (2) financial or operational outcome”. Jadi elemen risiko ada 2yaitu:a. Likelihood of occurrence (kemungkinan terjadinya risiko)b. Consequence/impact (dampak apabila risiko benar terjadi)2.3. Audit Risk dan KomponennyaAICPA dalam Statement on Auditing Standards menyebutkan bahwa risiko audit terdiridari 2 tingkatan yakni tingkat laporan keuangan dan tingkat kelompok transaksi (saldo akun).Risiko audit pada tingkat laporan keuangan adalah risiko bahwa auditor mungkin secara tidaksengaja gagal memodifikasi dengan layak pendapatnya atas laporan keuangan yang salah sajisecara material. Standar audit menyatakan bahwa auditor harus mempertimbangkankarakteristik manajemen, operasi dan industri, serta karakteristik penugasan dalammenentukan risiko audit. Sebagai contoh manajemen memiliki reputasi buruk dalam bisnis,entitas berada pada industri yang menurun, terdapat transaksi/saldo yang signifikan yang sulitdiaudit. Risiko audit pada tingkat saldo akun atau kelompok transaksi terdapat risiko bawaan(inherent risk), risiko kontrol (control risk) dan risiko deteksi (detection risk).Menurut Sawyer (2003), risiko audit terdiri dari:a. Risiko Bawaan (inherent risk)Risiko Bawaan (Inherent Risk) adalah kerentanan suatu asersi atas terjadinya salah sajiyang material, dengan asumsi bahwa tidak ada kebijakan atau prosedur struktur internalcontrol terkait yang ditetapkan. Risiko ini bersifat intrinsik terhadap entitas usaha. Sebagaicontoh risiko bawaan yakni kas lebih rawan dicuri dibandingkan persediaan batu kapur, padaperbankan kecurigaan lebih cenderung terjadi pada rekening tabungan.b. Risiko Kontrol (Control Risk)Risiko Kontrol (control risk) adalah risiko bahwa salah saji material yang bias terjadipada suatu asersi tidak dapat dicegah atau diteksi secara tepat waktu oleh struktur, kebijakan,prosedur internal control suatu entitas. Auditor bisa menilai risiko kontrol pada tingkatmaksimum apabila kebijakan maupun prosedur tidak efektif atau menghabiskan banyak biayauntuk mengevaluasi efektivitasnya.c. Risiko Deteksi (detection risk)Risiko Deteksi (detection risk adalah risiko bahwa auditor tidak dapat mendeteksi salahsaji material yang terdapat pada suatu asersi. Risiko ini dapat terjadi karena auditormemutuskan tidak memeriksa 100% saldo/transaksi, prosedur audit yang tidak layak, salahinterpretasi terhadap prosedur audit.Modul – Risk Based AuditHal. 4
Lembaga PengembanganFraud Auditing3. Risk Management3.1. Definisi Risk ManagementThe Institute of Internal Auditors (1991) mendefinisikan risk management sebagai “ Aprocess to identify, assess, manage, and control potential events or situations, to providereasonable assurance regarding the achievement of the organization's objectives”.HM Treasury (dikutip oleh Tunggal, 2007) menjelaskan risk management sebagai “Allthe process involved in identifying, assessing, and judging risk, assigning ownership, takingactions to mitigate or anticipate them, and monitoring and reviewing progress”. Riskmanagement adalah proses untuk mengidentifikasi, menilai, mengelola dan mengendalikanperistiwa atau situasi yang dapat menjadi risiko untuk meyakinkan tercapainya tujuanorganisasi.3.2. Penerapan Risk Management Bagi PerusahaanJika mengacu pada Peraturan Bank Indonesia No. 5/8/PBI/2003 menyatakan“Perusahaan wajib menerapkan manajemen risiko secara efektif dengan membentuk komitemanajemen risiko dan unit manajemen risiko”. Bank Indonesia mengklasifikasi risikoperbankan terdiri dari :a) Risiko KreditRisiko Kredit adalah risiko yang terjadi akibat kegagalan pihak lawan (counterparty)memenuhi kewajibannya. Risiko kredit dapat bersumber dari berbagai aktivitas fungsionalBank seperti perkreditan, treasury dan investasi serta pembiayaan perdagangan yang tercatatdalam banking book maupun trading book.b) Risiko PasarRisiko pasar adalah risiko yang timbul karena adanya pergerakan variabel pasar dariportofolio yang dimiliki Bank, yang dapat merugikan Bank (adverse movement). Yangdimaksud dengan variabel pasar adalah suku bunga dan nilai tukar, termasuk derivatif darikedua jenis risiko pasar tersebut yaitu perubahan harga options.c) Risiko LikuiditasRisiko Likuiditas adalah risiko yang antara lain disebabkan Bank tidak mampumemenuhi kewajiban yang telah jatuh tempo.d) Risiko OperasionalRisiko operasional adalah risiko yang antara lain disebabkan ketidakcukupan dan atautidak berfungsinya proses internal, kesalahan manusia, kegagalan sistem atau adanya problemektern yang mempengaruhi operasional Bank.e) Risiko HukumModul – Risk Based AuditHal. 5
Lembaga PengembanganFraud AuditingRisiko hukum adalah risiko yang disebabkan oleh adanya kelemahan aspek yuridis yangantara lain disebabkan adanya tuntutan hukum, ketiadaan peraturan perundang-undanganyang mendukung atau kelemahan perikatan seperti tidak dipenuhinya syarat sahnya kontrakdan pengikatan agunan yang tidak sempurna.f) Risiko ReputasiRisiko reputasi adalah risiko yang antara lain disebabkan oleh adanya publikasi negatifyang terkait dengan kegiatan usaha Bank atau persepsi negatif terhadap Bank.g) Risiko StrategikRisiko strategik adalah risiko yang antara lain disebabkan adanya penetapan danpelaksanaan strategi Bank yang tidak tepat, pengambilan keputusan bisnis yang tidak tepatatau kurang responsif Bank terhadap perubahan eksternal.h) Risiko KepatuhanRisiko kepatuhan adalah risiko yang disebabkan Bank tidak mematuhi atau tidakmelaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku. Risikokepatuhan melekat pada risiko Bank yang terkait pada peraturan perundang-undangan danketentuan lain yang berlaku.4. Risk-Based Audit4.1. Pengertian Risk-Based AuditMenurut O‟Regan (dikutip oleh Tunggal,2007) menjelaskan pengertian risk based auditadalah ”Auditing in which audit objectives and audit planning are driven by a riskassessment philosophy”. Sedangkan menurut Wollard menjelaskan risk based auditingsebagai berikut :“Risk based auditing can be defined as identifying the risk of material misstatement in areasof the financial statement and subsequently determining the most efficient and appropriateeffort to be applied to each area.1. First, the auditor needs to identify areas where there is a high risk of materialmistatement; those are the areas that will require the application of more procedures.2. Secondly, the auditor should determine how to reduce the procedures applied to the areasidentified as low-risk.3. In addition, the following should also be analyzed to identify the risk of materialmisstatement:(a) the client's business risk (risk that an event will adversely affect the company's goalsand objectives(b) how management mitigates those risks, and(c) the areas of risk that management has not addressed at all.Modul – Risk Based AuditHal. 6
Lembaga PengembanganFraud AuditingRisk Based Audit adalah audit dengan didasarkan hasil identifikasi dan analysis/assessment terhadap risiko yang material dan berpotensi menghambat strategi bisnis, aktivitasatau transaksi, sehingga diperoleh perencanaan audit yang lebih terarah serta pemeriksaandan pelaporan yang lebih fokus.4.2. Ruang lingkup dan Tujuan Risk Based AuditSaat ini unit internal auditing telah melakukan reorientasi dalam melakukan audit antaralain dengan menerapkan pendekatan risk basesd auditing. Tiga aspek dalam risk based audit,yaitu penggunaan faktor risiko (risk factor) dalam perencanaan audit, identifikasiindependent risk & assessment dan partisipasi dalam inisiatif risk management & processes.Ruang lingkup dari risk based audit termasuk dilakukannya identifikasi atas inherentbusiness risks dan control risk yang potensial. Satuan Pengawasan Intern (SPI) dapatmelakukan review secara periodik tiap tahun atas risk based internal Auditing dikaitkandengan perencanaan audit.Tunggal (2007) menyebutkan tujuan umum metode risk based audit adalah mengurangirisiko, mengantisipasi risiko potensial yang dapat merugikan operasional perusahaan danmelindungi perusahaan dari kejadian yang tak terduga yang diantisipasi sebelum kejadiantersebut benar-benar terjadi.1. Mengurangi risiko perusahaan (mitigate current risk)Berdasarkan risk based audit yang dilakukan, maka dapat dideteksi transaksi, produk,dan aktivitas perusahaan yang berisiko tinggi (high risk). Area yang berisiko tinggi tersebutdapat diteliti dan dievaluasi penyebabnya sehingga manajemen dapat melakukan mitigasirisiko tersebut.2. Mengantisipasi area dengan risiko potensial (anticipate areas of potencial risk)Risk based audit juga mengungkapkan area mana yang berpotensi mempunyai risikotinggi dan mungkin tidak disadari oleh auditee.3. Melindungi perusahaan (protect company)Kejadian yang menimbulkan kerugian bagi perusahaan dapat terjadi secara mendadakdan perusahaan tidak siap menghadapi. Hal ini menimbulkan kerugian yang berpengaruhbesar pada perusahaan. Metode risk based audit memungkinkan perusahaan siap menghadapirisiko dan mengantisipasi dari kemungkinan kerugian yang berdampak sangat besar bagiperusahaan.4.3. Metodologi Risk Based Audit - Perubahan PendekatanMenurut Tunggal (2007) Internal Auditor perlu merubah pendekatan dalam melakukanaudit, yaitu dari pendekatan tradisional menuju risk based audit. Secara umum perubahannyaadalah:Modul – Risk Based AuditHal. 7
Lembaga PengembanganFraud Auditinga. Perencanaan audit berbasis risiko mempergunakan waktu audit yang lebih banyak padaarea yang berisiko tinggi dan merupakan sasaran perusahaan terpentingb. Memastikan bahwa sumber daya audit yang terbatas telah diberdayakan dengan optimal.Adanya keterbatasan sumber daya auditor (sdm), waktu dan biaya maka risk based auditdapat menghemat anggaran perusahaan dan lebih efisien karena prioritas pada area yangmengandung risiko tinggi baik dalam tingkat kemungkinan terjadinya (likelihood)maupun dampaknya (consequences).c. Pendekatan dari orientasi masa lalu dimana risiko telah terjadi (reactive after the fact)menuju ke masa depan dengan memberikan peringatan dini atas kemungkinan risiko yangakan dihadapi oleh perusahaan pada masa datangd. Risk based audit lebih dituntut untuk melakukan evaluasi kecukupan dan efektivitasinternal control, risk management dan governance processes.Tabel 2.2 Perubahan pendekatan metode auditNo1PerubahanAudit Universe2Tujuan Audit3Rencana Audit Tahunan4Tugas lapangan5PengujianKonfirmasi bekerjanyapengendalian dan lebihmengarah pada enyimpangan yangsignifikanDiberikan dalamkaitannya denganpengendalian agar kuat,cost benefit, efisiensi danefektivitasModul – Risk Based AuditAudit TradisionalLebih mengutamakan areafinancial dan kepatuhankepada kebijakan danprosedur internalLebih memastikan bahwapengendalian internalbekerja secara efektif danuntuk meningkatkanefisiensi tanpa melihatkeberadaannya untukmengendalikan risiko.Siklus audit ditetapkansecara berkalaBerdasarkan perangkatkerja (work plan) tanpatujuan spesifikRisk Based AuditSemua aktivitas usaha, khususnyayang mengandung risiko usahaperlu dipetakanLebih memberikan keyakinan(assurance) bahwa risiko yangdiidentifikasi telah dikurangi ketingkat yang dapat diterima.Diproritaskan ke area yangberisiko tinggiMemastikan bahwa perusahaantelah mengidentifikasi,mengendalikan, dan memantausemua risiko yang ada.Teknik pengujian sama tetapilebih memastikan bahwaimportant risk control berfungsidengan baik untuk mengurangirisikoMemberi keyakinan bahwa semuarisiko telah dikelola dengan baikDiberikan dalam kaitannyamanajemen risiko agar risikodihindari, didiversifikasi, dandikelola dengan baik.Hal. 8
Lembaga PengembanganFraud Auditing4.4. Definisi Risk AssessmentRisk based audit adalah suatu teknik audit dimana semua kegiatan audit yang dimulaidari perencanaan audit, pelaksanaan audit, dan pelaporan hasil audit berbasis pada prioritasrisiko perusahaan yang telah ditetapkan bersama manajemen operasional dengan melakukanrisk assessment.Menurut Tampubolon (2005) definisi risk assessment adalah suatu proses estimasiscore risiko dari auditable unit dalam perusahaan. Risk assessment digunakan untukmengidentifikasi, mengukur dan menentukan prioritas dari risiko agar sebagian besar sumberdaya difokuskan pada area auditable unit dengan score risiko tinggi. Tujuan utamanya untukmenentukan prioritas risiko masing-masing auditable unit, frekuensi, intensitas dan waktuaudit.Risk assessment menyoroti peran internal auditor dalam identifikasi dan analisisrisiko-risiko bisnis yang dihadapi perusahaan sehingga diperlukan sikap proaktif dari internalauditor dalam mengenali risiko-risiko yang dihadapi manajemen dalam mencapai tujuanorganisasi. Internal auditor dapat menjadi mitra manajemen dalam meminimalkan risikokerugian (loss) serta memaksimalkan peluang (opportunity) yang dimiliki perusahaan.Tujuan dan ruang lingkup audit serta alokasi sumber daya internal auditor sepenuhnyadidasarkan pada prioritas tingkat risiko bisnis yang dihadapi organisasi. Proses riskassessment terdapat 3 (tiga) konsep penting yaitu tujuan (goal), risiko (risk) dan kontrol(control). Tujuan merupakan outcome yang diharapkan dapat dihasilkan oleh suatu prosesatau bisnis. Risiko adalah kemungkinan suatu kejadian / tindakan akan menggagalkan atauberpengaruh negatif terhadap kemampuan organisasi dalam mencapai tujuan bisnis,sedangkan kontrol merupakan elemen–elemen organisasi yang mendukung manajemen dank
memperhatikan aspek risiko manajemen (risk management) maupun internal control. 1.3. Tujuan Internal Auditing . yang dapat menimbulkan kerugian bagi suatu Perusahaan. Mc Namee (dikutip oleh Tunggal, 2007) menjelaskan risiko adalah konsep yang . risiko, mengantisipasi risiko potensial
mengelola risiko. 4. Proses atau tahapan dalam pengelolaan risiko. 5. Enterprise Risk Management (pengelolaan risiko dalam suatu . sebagian besar instrumen keuangan atau komoditas di dunia. Dengan . risiko: risiko murni dan risiko spekulatif, risiko subjektif dan objektif, dan dinamis dan statis. Gambar 1.2.
likuiditas. Risiko kredit adalah risiko yang timbul sebagai akibat kegagalan pihak memenuhi kewajibannya.9 Selain risiko-risiko tersebut, bank syariah juga menghadapi satu risiko yang mempengaruhi tingkat keuntungan bank, yaitu risiko pembiayaan. Risiko pembiayaan adalah
Tata Kelola Risiko 30 4. Sumber Daya Penerapan Manajemen Risiko 36 BAB III ASPEK OPERASIONAL 38 1. Pengantar 38 2. Manajemen Perubahan 40 3. Panduan Manajemen Risiko 42 4. Implementasi Manajemen Risiko 44 5. Komunikasi dan Konsultasi 45 6. Menentukan Konteks 46 7. Asesmen Risiko 51 8. Perlakuan Risiko 60 9. Monitoring dan Review 62 10.
Dasar-dasar Agribisnis Produksi Tanaman 53. Dasar-dasar Agribisnis Produksi Ternak 54.Dasar-dasar Agribisnis Produksi Sumberdaya Perairan 55. Dasar-dasar Mekanisme Pertanian 56. Dasar-dasar Agribisnis Hasil Pertanian 57. Dasar-dasar Penyuluhan Pertanian 58. Dasar-dasar Kehutanan 59. PertanianDasar-dasar Administrasi
Tim Pembimbingan dan Konsultasi Manajemen Risiko Kementerian Keuangan Formulir 1.0 Piagam Manajemen Risiko 33 9. Selera Risiko Ditetapkan oleh Komite Manajemen Risiko Persepsi UPR terhadap tinggi rendahnya risiko Tingkat risiko yang bersedia diambil oleh sebuah organisasi (instansi) da
tetap diadakan analisis risiko. 2.3 Manajemen Risiko 2.3.1 Pengertian Manajemen Risiko Definisi tentang manajemen risiko banyak sekali pendapat dari berbagai pakar, seperti: 1. Menurut Darmawi, (2000). Manajemen risiko adalah proses pengukuran atau penilaian risiko serta pengembangan
manajemen risiko adalah tentang cara menghindari, mengurangi, menyerap atau mentransfer risiko dan memanfaatkan peluang potensial. Menurut Thompson dan Perry (1991), proses manajemen risiko ini sebenarnya dibagi menjadi dua yaitu analisis risiko dan manajemen risiko. Anal
Abrasive water jet machining (AWJM) process is one of the most recent developed non-traditional machining processes used for machining of composite materials. In AWJM process, machining of work piece material takes place when a high speed water jet mixed with abrasives impinges on it. This process is suitable for heat sensitive materials especially composites because it produces almost no heat .
