Sekilas Risk Based Audit
Materi yang relevan dengan RBA yaitu sebagai berikut:
1. Audit Internal Berbasis Risiko
2. Perencanaan Audit Berbasis Risiko
3. Pelaksanaan Audit Berbasis Risiko
4. Simulasi Perencanaan dan Pelaksanaan Audit Berbasis Risiko
5. Pelaporan dan Tindak Lanjut
Audit Internal Berbasis Risiko
Perkembangan risiko perjuangan yang terus berkembang dan sanggup mengancam sustainbilitas perjuangan perusahaan memerlukan pengelolaan risiko yang efektif dan efisien. Pengelolaan risiko yang efektif sanggup diwujudkan dengan pengendalian internal efektif yang dilakukan oleh unit satuan pengendalian intern perusahaan. Salah satu paradigma gres dalam salah satu pekerjaan unit pengendalian intern yaitu melaksanakan audit internal berbasis risiko. Paradigma pengendalian intern yang berbasis risiko dilatarbelakangi oleh beberapa hal yaitu:
1. Standards for Professional Practice of Internal Auditing tahun 2001 dan diperbaharui pada IPPF 2009 pada butir 2100, mengharuskan auditor intern, untuk memakai suatu pendekatan yang sistematis dan terdisiplin mengevaluasi efektivitas proses :
• administrasi risiko,
• pengendalian intern, dan
• corporate governance
2. Peraturan Bank Indonesia (PBI) Nomor: 1/6/PBI/1999 tanggal 20 September 1999 wacana Penugasan Direktur Kepatuhan (Compliance Director) dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum.
Berdasarkan IPPF 2009, pendekatan auditor intern dengan berbasis risiko merupakan suatu paradigma gres yang berbeda dengan paradigma auditor intern yang usang yaitu control based audit. Perbedaan kedua paradigma usang dengan gres sanggup dilihat pada tabel di bawah ini.
Tabel 1. Paradigma Audit Internal
Peran internal auditing
Pada paradigma gres tugas internal auditing yaitu sebagai berikut:
Internal Auditing didefinisikan sebagai suatu kegiatan penjaminan (assurance) dan konsultansi (consultancy) yang independen dan objektif yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi.
Kegiatan ini ditujukan untuk membantu organisasi dalam mencapai tujuannya dengan membawa pendekatan yang terdisiplin dan sistematis untuk mengevaluasi dan meningkatkan efektivitas proses-proses administrasi risiko, pengendalian dan tata kelola (governance).
Internal auditing yang berbasis risiko mempunyai rangkaian kegiatan assurance dan consultancy, dimana keberhasilan dari rangkaian kedua kegiatan tersebut sangat ditentukan pada hasil penerapan administrasi risiko, pengendalian internal dan GCG menyerupai pada diagram di bawah ini.
Gambar 1. Hubungan Risk Management, Control, GCG
Pengelompokan kegiatan assurance dan consultancy pada suatu perusahaan terutama pada penerapan administrasi risiko sanggup diukur dengan memakai indikator Risk Maturity Level (RML). Berdasarkan RML, suatu perusahaan dinilai dari penerapan administrasi risiko dengan skala 5 yang sanggup menghipnotis langkah risk based internal audit menyerupai terlihat pada diagram di bawa ini.
Gambar 2. Tingkat Kematangan Penerapan Mr Vs Peran Audit Internal
Manfaat penggunaan Risk Based Internal Audit (RBIA) antara sebagai suatu sistem yang memastikan bahwa seluruh strategic respons (mitigasi risiko dan action plan) dilakukan sesuai dengan perencanaan dan ketentuan yang berlaku sehingga seluruh tingkat risiko inheren yang berada di atas risk appetite perusahaan sanggup diturunkan menjadi risiko ridual yang berada di bawah risk appetite. Kondisi ini akan menawarkan tingkat probability dari pencapaian tujuan perusahaan semakin besar sehingga akan menawarkan peningkatan nilai perusahaan ( corporate value). Manfaat RBIA sanggup di illustrasikan menyerupai pada diagram di bawah ini
Gambar 3. Manfaat RBIA
Assurance
Pemeriksaan secara objektif suatu bukti untuk tujuan menawarkan penilaian independen atas governance, administrasi risiko dan proses pengendalian bagi organisasi. pola mungkin termasuk keuangan, kinerja, kepatuhan, keamanan sistem dan keterlibatan due diligence.
Consultancy
Pemberian Pelayanan secara profesional audit internal melalui penilaian yang sistematis dan disiplin dari kebijakan, mekanisme dan operasi administrasi yang dijalankan untuk memastikan tercapainya tujuan organisasi, dan melalui rekomendasi untuk perbaikan.
Pekerjaan konsultasi tersebut menawarkan bantuan pendapat audit internal pada: Manajemen risiko, pengendalian dan tata kelola.
Peran Internal Audit (I/A) Dalam Risk Management (RM)
Memberikan keyakinan atas Proses MR
Menerapkan pendekatan Risk Based Audit dalam perencanaan dan pelaksanaan proses audit internal.
Peran Internal Audit dalam ERM:
Kegiatan Internal audit yaitu, melaksanakan penilaian tingkat efektivitas dan menawarkan bantuan terhadap pengembangan proses administrasi risiko organisasi.
Yang wajib dilakukan oleh Internal Auditor (QA) pada RBIA:
Memastikan/ meyakinkan atas proses pengelolaan risiko
Meyakinkan bahwa risiko telah dievaluasi secara benar
Melakukan penilaian proses administrasi risiko
Melakukan penilaian laporan risiko utama
Melakukan reviu pengelolaan risiko utama
Auditor sebagai pengaman (safeguard): (Consultant)
Memfasilitasi identifikasi dan penilaian risiko
Membatu administrasi dalam melaksanakan respon risiko
Mengkoordinasikan kegiatan ERM
Mengkosolidasi laporan risiko
Memelihara dan membangun Kerangka ERM
Meneladani/memperjuangkan pembentukan ERM
Membangun taktik pengelolaan risiko untuk disetujui oleh top manajemen.
Tidak Boleh melaksanakan hal-hal sebagai berikut:
Menentukan Risk Appetite
Memerankan dalam Penerapan Proses Manajemen Risiko
Pengelolaan risiko
Pengambilan keputusan terhadap respon risiko
Mengimplementasikan respon risiko yang dimiliki oleh administrasi
Bertanggung jawab atas pengelolaan risiko.
Internal Control
Internal Control : Sekumpulan Prosedur, sistem dari suatu organisasi yang diharapkan untuk menawarkan keyakinan memadai bahwa tujuan organisasi akan dipenuhi/ dicapai.
Internal control merupakan suatu proses yang dilaksanakan oleh komisaris, administrasi dan pegawai lainnya, dirancang untuk menawarkan keyakinan yang memadai (reasonable assurance) dalam pencapaian tujuan. (IC:COSO)
Tujuan Internal Control yaitu memastikan :
1. Efektivitas Operasi
2. Ekonomis dan efisiensi dalam penggunaan sumber daya
3. Integritas dan dipercayainya laporan keuangan
4. Ketaatan terhadap kebijakan, peraturan dan perundangan
5. Perlindungan terhadap aset dan sumberdaya
Hasil Yang Diberikan I/A (Public)
Reviu Budaya Pengendalian Organisasi
Analisis sistematis proses bisnis dikaitkan dengan pengendalian
Inventarisasi aset dan nilainya
Sumber informasi kemungkinan kecurangan dan penyimpangan.
Reviu atas hal-hal yang harus ditaati
Rekomendasi tujuan untuk efisiensi dan ektivitas penggunaan sumber daya
Penilaian pencapaian sasaran dan sasaran organisasi
Gambar 4. Paradigma Audit Intern
Tahapan Pelaksanaan RBIA
Sebelum melaksanakan RBIA perlu disusun perencanaan RBIA dengan tujuan yaitu menghasilkan “risk and audit universe” yang merupakan daftar seluruh risiko yang dimiliki perusahaan, serta audit yang akan dilaksanakan untuk memastikan bahwa proses pengelolaan risiko telah dilaksanakan secara efektif serta menghasilkan planning audit tahunan (PKPT), yang disebut Audit Plan.
Gambar 5. Tahapan RBIA
Seperti pada gambar tahapan RBIA diatas maka secara garis besar tahapan RBIA ada tiga tahapan yaitu:
Tahap 1 : Assess risk maturity
Tahap 2 : Periodic Audit planning
Tahap 3 : Individual audit assignments
Sedangkan langkah-langkah perencaan RBIA dilakukan dengan cara:
1. Melakukan penilaian tingkat kematangan (maturity level) atas penerapan administrasi risiko.
2. Menentukan Auditable Unit/Unit Layak Audit (ULA)
3. Menyusun Audit Plan (PKPT)
Pada tahap I, dilakukan penghitungan RML yaitu tingkat kematangan penerapan administrasi risiko pada suatu organisasi. Evaluasi Maturity Level MR dilakukan dengan suatu scorecard khusus (seperti scorecard GCG) yang akan menghasilkan suatu skor untuk memilih predikat capaian penerapan MR organisasi tersebut. Hasil penghitungan RML ini akan memilih pendekatan audit menyerupai pada kriteria di bawah ini.
Tabel 2. Tingkat maturity level dengan Fungsi Auditor Internal
Tabel 3. Pendekatan Audit
Penentuan Auditable Unit
Untuk maturity level “Naïve/Initial” dan “Aware/Repeatable”, dan “Defined”, penentuan Auditable Unit (Unit Layak Audit/ULA) ditentukan dengan memakai Risk Register Yang disusun oleh I/A dan Manajemen atau Faktor Risiko atas Audit Universe (AU).
Penentuan dengan cara ini telah dilakukan oleh banyak perusahaan (termasuk BUMN), namun belum sanggup dikatakan sebagai AIBR murni.
Kemudian untuk maturity level “Managed” atau “Optimsed/ Enabled” maka yang digunakan yaitu register risiko yang disusun oleh manajemen. Ini gres sanggup dikatakan sebagai AIBR murni.
Audit Universe yaitu daftar yang berisi seluruh obyek audit, sanggup berupa unit kerja (divisi, direktorat, bagian, SBU, cabang, satker, dinas, dsb), program, proyek, kegiatan, pos laporan keuangan, dll.
Unit Layak Audit (ULA) yaitu obyek audit terpilih dari Audit Universe yang akan diaudit, yang ditentukan dengan pendekatan Faktor Risiko atau Register Risiko.
Audit Plan yaitu planning audit yang akan dilaksanakan, berupa daftar ULA yang telah dilengkapi dengan planning tenaga auditor, waktu pelaksanaan, jumlah hari, serta biaya yang dibutuhkan.
Gambar 6. Penentuan Auditable Unit
Penyusunan PKPT
Yang perlu diperhatikan dalam penyusunan PKPT ini dalam Metodologi AIBR (RBIA):
1. Diposisi mana maturity level tersebut
2. Jika posisinya level enabled atau managed maka pendekatannya yaitu dengan memakai register risiko dalam penyusunan ULA
3. Jika posisi level naïve/initial, aware/ repeateble, atau defined maka pendekatannya dengan memakai register risiko yang disusun oleh I/A bersama administrasi atau dengan faktor risiko dalam penyusunan ULA
4. Setelah diskor maka ditentukan ULA Prioritas untuk PKPT
PENENTUAN UNIT LAYAK AUDIT (ULA) DENGAN REGISTER RISIKO
Penentuan ULA dengan Register Risiko
Register Risiko merupakan daftar yang yang dibentuk oleh administrasi yang berisi seluruh risiko-risiko yang teridentifikasi yang berpotensi menghambat pencapaian tujuan organisasi, pengendalian yang sudah dilakukan, ukuran kemungkinan terjadi dan dampaknya, serta pemilik risikonya.
Register Risiko yang digunakan yaitu Register Risiko yang validitasnya telah ditentukan pada tahap penilaian Maturity Level.
Gambar 7. Proses Filtering Risiko
Filtering/Penyaringan Risiko
Penyaringan risiko dilakukan untuk memilih risiko-risiko yang akan ditindaklanjuti dengan audit, dengan mengeluarkan risiko-risiko tertentu dari daftar Register Risiko.
Menghubungkan Risiko dengan Audit Universe
Risiko-risiko yang tersisa dari hasil penyaringan, selanjutnya dikelompokkan berdasarkan bisnis unit atau proses.
Kelompok risiko-risiko tersebut kemudian dihubungkan dengan Audit Universe. Misalnya:
◦ Risiko piutang tak tertagih, maka yang akan diaudit (ULA) yaitu Bagian Penagihan Piutang, Siklus Pendapatan, atau Pos/Rekaning Piutang.
◦ Risiko mesin pabrik shut-down, maka yang akan diaudit yaitu Bagian Teknik, siklus produksi, atau Pos/Rekening Aktiva Tetap – Mesin Pabrik.
Gambar 8. Penyusunan ULA Berdasar Register Risiko
Penentuan Unit Layak Audit dengan Skoring Komposit
Setelah dilakukan penyaringan risiko dan dikaitkan/ dikelompokkan dengan audit universe maka persoalan selanjutnya yaitu memilih ULA dari unit-unit audit Universe yang ada.
1. Melakukan pengukuran skor risiko komposit dimasing-masing unit
2. Mengurutkan/ memprioritaskan hasil skoring dari masing-masing unit audit.
3. Dari hasil skoring inilah yang akan dijadikan sebagai pertimbangan untuk memilih unit yang akan dilakukan audit prioritas. Dan dari sini disusunlah PKPT
PENYUSUNAN PKPT
Menyusun Audit Plan
Setelah diperoleh ULA, selanjutnya disusun Audit Plan, yang akan memilih prioritas dan frekuensi audit.
Untuk ULA yang diperoleh dengan Faktor Risiko, ULA dengan skor “high risk” akan menempati prioritas tertinggi untuk dilakukan audit, dengan frekuensi setahun sekali. ULA “medium risk” diaudit dua tahun sekali, dan “low risk” tiga tahun sekali.
Gambar 9. Tahap Penyusunan PKPT
PELAKSANAAN AUDIT
Perencanaan Audit individual
1. Mempelajari PKPT yang sudah disusun
2. Menyiapkan Sumber daya yang telah ditentukan di PKPT
3. Menyiapkan dan mengupdate Audit Program
4. Mempersiapkan surat penugasan audit.
Pelaporan Audit
Ringkasan untuk administrator meliputi:
1. Pendahuluan
2. Tujuan proses-proses yang sedang diaudit
3. Isu-isu yang ditemukan selama proses audit
4. Kesimpulan-kesimpulan yang menyatakan bahwa: Risiko-risiko telah diidentifikasi, dievaluasi dan dikelola
5. Isu-isu Utama
6. Opsi atau rekomendasi untuk mengurangi risiko hingga pada tingkat yang sanggup diterima Tindakan yang perlu diambil Isu-isu tambahan
Gambar 10. Tahap Penugasan Internal Audit
Komponen yang dibutuhkan dalam menerapkan RBIA
Dalam melaksanakan RBIA ada beberapa komponen yang harus dimiliki perusahaan:
1. Daftar Risk Assessment (RCSA)
2. Pedoman Penerapan Manajemen Risiko
3. Pedoman Risk Assessment (RCSA)
4. Pedoman Penghitungan Risk Maturity Level
5. Pedoman Risk Based Audit
6. Pedoman Risk Based Internal Control
Kesimpulan
Penerapan RBIA suatu perusahaan sangat tergantung pada hasil penerapan administrasi risiko korporat antara lain berupa risk register dan faktor risiko. Kolaborasi kerja antara unit SPI dan Manajemen Risiko sangat diharapkan dalam menerapkan RBIA ini khususnya dalam menciptakan suatu risk assessment atau RCSA yang menghasilkan antara lain data potential risk dan strategic respon yang harus dipastikan pelaksanaannya.
Untuk mendukung keberhasilan penerapan RBIA , perlu dilakukan beberapa hal yang melibatkan SPI dan unit Manajemen Risiko sebagai berikut:
(1). Melakukan sosialisasi penerapan RBIA kepada seluruh unit kerja alasannya yaitu RBIA ini merupakan paradigma gres yang harus memperoleh support dari seluruh unit kerja baik di kantor sentra maupun di kantor cabang/KUP.
(2). Menyusun dan menyepakati relasi kerja antara unit SPI dan Manajemen Risiko dalam bentuk SOP/Juklak/Juknis alasannya yaitu penerapan RBIA ini saling terkait antara proses pelaksanaan audit internal dengan hasil penerapan MR.
(3). Secara bersama unit SPI dan Manajemen Risiko menyusun komponen yang diharapkan dalam menerapkan RBIA yaitu:
a. Pedoman Risk Assessment (RCSA)
b. Pedoman Penghitungan Risk Maturity Level
c. Pedoman Risk Based Audit
d. Pedoman Risk Based Internal Control
e. Pedoman Penerapan ERM
(4). Melakukan sistem pengendalian administrasi risiko bersama antara SPI dan unit Manajemen Risiko untuk memastikan bahwa strategic responses yang telah ditetapkan sanggup berjalan sesuai dengan perencanaan dan kebutuhan perusahaan dalam mengendalikan risiko perusahaan terutama risiko reputasi dan risiko lingkungan. Sumber http://mulyono-oke.blogspot.com
1. Audit Internal Berbasis Risiko
2. Perencanaan Audit Berbasis Risiko
3. Pelaksanaan Audit Berbasis Risiko
4. Simulasi Perencanaan dan Pelaksanaan Audit Berbasis Risiko
5. Pelaporan dan Tindak Lanjut
Audit Internal Berbasis Risiko
Perkembangan risiko perjuangan yang terus berkembang dan sanggup mengancam sustainbilitas perjuangan perusahaan memerlukan pengelolaan risiko yang efektif dan efisien. Pengelolaan risiko yang efektif sanggup diwujudkan dengan pengendalian internal efektif yang dilakukan oleh unit satuan pengendalian intern perusahaan. Salah satu paradigma gres dalam salah satu pekerjaan unit pengendalian intern yaitu melaksanakan audit internal berbasis risiko. Paradigma pengendalian intern yang berbasis risiko dilatarbelakangi oleh beberapa hal yaitu:
1. Standards for Professional Practice of Internal Auditing tahun 2001 dan diperbaharui pada IPPF 2009 pada butir 2100, mengharuskan auditor intern, untuk memakai suatu pendekatan yang sistematis dan terdisiplin mengevaluasi efektivitas proses :
• administrasi risiko,
• pengendalian intern, dan
• corporate governance
2. Peraturan Bank Indonesia (PBI) Nomor: 1/6/PBI/1999 tanggal 20 September 1999 wacana Penugasan Direktur Kepatuhan (Compliance Director) dan Penerapan Standar Pelaksanaan Fungsi Audit Intern Bank Umum.
Berdasarkan IPPF 2009, pendekatan auditor intern dengan berbasis risiko merupakan suatu paradigma gres yang berbeda dengan paradigma auditor intern yang usang yaitu control based audit. Perbedaan kedua paradigma usang dengan gres sanggup dilihat pada tabel di bawah ini.
Tabel 1. Paradigma Audit Internal
Peran internal auditing
Pada paradigma gres tugas internal auditing yaitu sebagai berikut:
Internal Auditing didefinisikan sebagai suatu kegiatan penjaminan (assurance) dan konsultansi (consultancy) yang independen dan objektif yang dirancang untuk menambah nilai dan meningkatkan operasi organisasi.
Kegiatan ini ditujukan untuk membantu organisasi dalam mencapai tujuannya dengan membawa pendekatan yang terdisiplin dan sistematis untuk mengevaluasi dan meningkatkan efektivitas proses-proses administrasi risiko, pengendalian dan tata kelola (governance).
Internal auditing yang berbasis risiko mempunyai rangkaian kegiatan assurance dan consultancy, dimana keberhasilan dari rangkaian kedua kegiatan tersebut sangat ditentukan pada hasil penerapan administrasi risiko, pengendalian internal dan GCG menyerupai pada diagram di bawah ini.
Gambar 1. Hubungan Risk Management, Control, GCG
Pengelompokan kegiatan assurance dan consultancy pada suatu perusahaan terutama pada penerapan administrasi risiko sanggup diukur dengan memakai indikator Risk Maturity Level (RML). Berdasarkan RML, suatu perusahaan dinilai dari penerapan administrasi risiko dengan skala 5 yang sanggup menghipnotis langkah risk based internal audit menyerupai terlihat pada diagram di bawa ini.
Gambar 2. Tingkat Kematangan Penerapan Mr Vs Peran Audit Internal
Manfaat penggunaan Risk Based Internal Audit (RBIA) antara sebagai suatu sistem yang memastikan bahwa seluruh strategic respons (mitigasi risiko dan action plan) dilakukan sesuai dengan perencanaan dan ketentuan yang berlaku sehingga seluruh tingkat risiko inheren yang berada di atas risk appetite perusahaan sanggup diturunkan menjadi risiko ridual yang berada di bawah risk appetite. Kondisi ini akan menawarkan tingkat probability dari pencapaian tujuan perusahaan semakin besar sehingga akan menawarkan peningkatan nilai perusahaan ( corporate value). Manfaat RBIA sanggup di illustrasikan menyerupai pada diagram di bawah ini
Gambar 3. Manfaat RBIA
Assurance
Pemeriksaan secara objektif suatu bukti untuk tujuan menawarkan penilaian independen atas governance, administrasi risiko dan proses pengendalian bagi organisasi. pola mungkin termasuk keuangan, kinerja, kepatuhan, keamanan sistem dan keterlibatan due diligence.
Consultancy
Pemberian Pelayanan secara profesional audit internal melalui penilaian yang sistematis dan disiplin dari kebijakan, mekanisme dan operasi administrasi yang dijalankan untuk memastikan tercapainya tujuan organisasi, dan melalui rekomendasi untuk perbaikan.
Pekerjaan konsultasi tersebut menawarkan bantuan pendapat audit internal pada: Manajemen risiko, pengendalian dan tata kelola.
Peran Internal Audit (I/A) Dalam Risk Management (RM)
Memberikan keyakinan atas Proses MR
Menerapkan pendekatan Risk Based Audit dalam perencanaan dan pelaksanaan proses audit internal.
Peran Internal Audit dalam ERM:
Kegiatan Internal audit yaitu, melaksanakan penilaian tingkat efektivitas dan menawarkan bantuan terhadap pengembangan proses administrasi risiko organisasi.
Yang wajib dilakukan oleh Internal Auditor (QA) pada RBIA:
Memastikan/ meyakinkan atas proses pengelolaan risiko
Meyakinkan bahwa risiko telah dievaluasi secara benar
Melakukan penilaian proses administrasi risiko
Melakukan penilaian laporan risiko utama
Melakukan reviu pengelolaan risiko utama
Auditor sebagai pengaman (safeguard): (Consultant)
Memfasilitasi identifikasi dan penilaian risiko
Membatu administrasi dalam melaksanakan respon risiko
Mengkoordinasikan kegiatan ERM
Mengkosolidasi laporan risiko
Memelihara dan membangun Kerangka ERM
Meneladani/memperjuangkan pembentukan ERM
Membangun taktik pengelolaan risiko untuk disetujui oleh top manajemen.
Tidak Boleh melaksanakan hal-hal sebagai berikut:
Menentukan Risk Appetite
Memerankan dalam Penerapan Proses Manajemen Risiko
Pengelolaan risiko
Pengambilan keputusan terhadap respon risiko
Mengimplementasikan respon risiko yang dimiliki oleh administrasi
Bertanggung jawab atas pengelolaan risiko.
Internal Control
Internal Control : Sekumpulan Prosedur, sistem dari suatu organisasi yang diharapkan untuk menawarkan keyakinan memadai bahwa tujuan organisasi akan dipenuhi/ dicapai.
Internal control merupakan suatu proses yang dilaksanakan oleh komisaris, administrasi dan pegawai lainnya, dirancang untuk menawarkan keyakinan yang memadai (reasonable assurance) dalam pencapaian tujuan. (IC:COSO)
Tujuan Internal Control yaitu memastikan :
1. Efektivitas Operasi
2. Ekonomis dan efisiensi dalam penggunaan sumber daya
3. Integritas dan dipercayainya laporan keuangan
4. Ketaatan terhadap kebijakan, peraturan dan perundangan
5. Perlindungan terhadap aset dan sumberdaya
Hasil Yang Diberikan I/A (Public)
Reviu Budaya Pengendalian Organisasi
Analisis sistematis proses bisnis dikaitkan dengan pengendalian
Inventarisasi aset dan nilainya
Sumber informasi kemungkinan kecurangan dan penyimpangan.
Reviu atas hal-hal yang harus ditaati
Rekomendasi tujuan untuk efisiensi dan ektivitas penggunaan sumber daya
Penilaian pencapaian sasaran dan sasaran organisasi
Gambar 4. Paradigma Audit Intern
Tahapan Pelaksanaan RBIA
Sebelum melaksanakan RBIA perlu disusun perencanaan RBIA dengan tujuan yaitu menghasilkan “risk and audit universe” yang merupakan daftar seluruh risiko yang dimiliki perusahaan, serta audit yang akan dilaksanakan untuk memastikan bahwa proses pengelolaan risiko telah dilaksanakan secara efektif serta menghasilkan planning audit tahunan (PKPT), yang disebut Audit Plan.
Gambar 5. Tahapan RBIA
Seperti pada gambar tahapan RBIA diatas maka secara garis besar tahapan RBIA ada tiga tahapan yaitu:
Tahap 1 : Assess risk maturity
Tahap 2 : Periodic Audit planning
Tahap 3 : Individual audit assignments
Sedangkan langkah-langkah perencaan RBIA dilakukan dengan cara:
1. Melakukan penilaian tingkat kematangan (maturity level) atas penerapan administrasi risiko.
2. Menentukan Auditable Unit/Unit Layak Audit (ULA)
3. Menyusun Audit Plan (PKPT)
Pada tahap I, dilakukan penghitungan RML yaitu tingkat kematangan penerapan administrasi risiko pada suatu organisasi. Evaluasi Maturity Level MR dilakukan dengan suatu scorecard khusus (seperti scorecard GCG) yang akan menghasilkan suatu skor untuk memilih predikat capaian penerapan MR organisasi tersebut. Hasil penghitungan RML ini akan memilih pendekatan audit menyerupai pada kriteria di bawah ini.
Tabel 2. Tingkat maturity level dengan Fungsi Auditor Internal
Tabel 3. Pendekatan Audit
Penentuan Auditable Unit
Untuk maturity level “Naïve/Initial” dan “Aware/Repeatable”, dan “Defined”, penentuan Auditable Unit (Unit Layak Audit/ULA) ditentukan dengan memakai Risk Register Yang disusun oleh I/A dan Manajemen atau Faktor Risiko atas Audit Universe (AU).
Penentuan dengan cara ini telah dilakukan oleh banyak perusahaan (termasuk BUMN), namun belum sanggup dikatakan sebagai AIBR murni.
Kemudian untuk maturity level “Managed” atau “Optimsed/ Enabled” maka yang digunakan yaitu register risiko yang disusun oleh manajemen. Ini gres sanggup dikatakan sebagai AIBR murni.
Audit Universe yaitu daftar yang berisi seluruh obyek audit, sanggup berupa unit kerja (divisi, direktorat, bagian, SBU, cabang, satker, dinas, dsb), program, proyek, kegiatan, pos laporan keuangan, dll.
Unit Layak Audit (ULA) yaitu obyek audit terpilih dari Audit Universe yang akan diaudit, yang ditentukan dengan pendekatan Faktor Risiko atau Register Risiko.
Audit Plan yaitu planning audit yang akan dilaksanakan, berupa daftar ULA yang telah dilengkapi dengan planning tenaga auditor, waktu pelaksanaan, jumlah hari, serta biaya yang dibutuhkan.
Gambar 6. Penentuan Auditable Unit
Penyusunan PKPT
Yang perlu diperhatikan dalam penyusunan PKPT ini dalam Metodologi AIBR (RBIA):
1. Diposisi mana maturity level tersebut
2. Jika posisinya level enabled atau managed maka pendekatannya yaitu dengan memakai register risiko dalam penyusunan ULA
3. Jika posisi level naïve/initial, aware/ repeateble, atau defined maka pendekatannya dengan memakai register risiko yang disusun oleh I/A bersama administrasi atau dengan faktor risiko dalam penyusunan ULA
4. Setelah diskor maka ditentukan ULA Prioritas untuk PKPT
PENENTUAN UNIT LAYAK AUDIT (ULA) DENGAN REGISTER RISIKO
Penentuan ULA dengan Register Risiko
Register Risiko merupakan daftar yang yang dibentuk oleh administrasi yang berisi seluruh risiko-risiko yang teridentifikasi yang berpotensi menghambat pencapaian tujuan organisasi, pengendalian yang sudah dilakukan, ukuran kemungkinan terjadi dan dampaknya, serta pemilik risikonya.
Register Risiko yang digunakan yaitu Register Risiko yang validitasnya telah ditentukan pada tahap penilaian Maturity Level.
Gambar 7. Proses Filtering Risiko
Filtering/Penyaringan Risiko
Penyaringan risiko dilakukan untuk memilih risiko-risiko yang akan ditindaklanjuti dengan audit, dengan mengeluarkan risiko-risiko tertentu dari daftar Register Risiko.
Menghubungkan Risiko dengan Audit Universe
Risiko-risiko yang tersisa dari hasil penyaringan, selanjutnya dikelompokkan berdasarkan bisnis unit atau proses.
Kelompok risiko-risiko tersebut kemudian dihubungkan dengan Audit Universe. Misalnya:
◦ Risiko piutang tak tertagih, maka yang akan diaudit (ULA) yaitu Bagian Penagihan Piutang, Siklus Pendapatan, atau Pos/Rekaning Piutang.
◦ Risiko mesin pabrik shut-down, maka yang akan diaudit yaitu Bagian Teknik, siklus produksi, atau Pos/Rekening Aktiva Tetap – Mesin Pabrik.
Gambar 8. Penyusunan ULA Berdasar Register Risiko
Penentuan Unit Layak Audit dengan Skoring Komposit
Setelah dilakukan penyaringan risiko dan dikaitkan/ dikelompokkan dengan audit universe maka persoalan selanjutnya yaitu memilih ULA dari unit-unit audit Universe yang ada.
1. Melakukan pengukuran skor risiko komposit dimasing-masing unit
2. Mengurutkan/ memprioritaskan hasil skoring dari masing-masing unit audit.
3. Dari hasil skoring inilah yang akan dijadikan sebagai pertimbangan untuk memilih unit yang akan dilakukan audit prioritas. Dan dari sini disusunlah PKPT
PENYUSUNAN PKPT
Menyusun Audit Plan
Setelah diperoleh ULA, selanjutnya disusun Audit Plan, yang akan memilih prioritas dan frekuensi audit.
Untuk ULA yang diperoleh dengan Faktor Risiko, ULA dengan skor “high risk” akan menempati prioritas tertinggi untuk dilakukan audit, dengan frekuensi setahun sekali. ULA “medium risk” diaudit dua tahun sekali, dan “low risk” tiga tahun sekali.
Gambar 9. Tahap Penyusunan PKPT
PELAKSANAAN AUDIT
Perencanaan Audit individual
1. Mempelajari PKPT yang sudah disusun
2. Menyiapkan Sumber daya yang telah ditentukan di PKPT
3. Menyiapkan dan mengupdate Audit Program
4. Mempersiapkan surat penugasan audit.
Pelaporan Audit
Ringkasan untuk administrator meliputi:
1. Pendahuluan
2. Tujuan proses-proses yang sedang diaudit
3. Isu-isu yang ditemukan selama proses audit
4. Kesimpulan-kesimpulan yang menyatakan bahwa: Risiko-risiko telah diidentifikasi, dievaluasi dan dikelola
5. Isu-isu Utama
6. Opsi atau rekomendasi untuk mengurangi risiko hingga pada tingkat yang sanggup diterima Tindakan yang perlu diambil Isu-isu tambahan
Gambar 10. Tahap Penugasan Internal Audit
Komponen yang dibutuhkan dalam menerapkan RBIA
Dalam melaksanakan RBIA ada beberapa komponen yang harus dimiliki perusahaan:
1. Daftar Risk Assessment (RCSA)
2. Pedoman Penerapan Manajemen Risiko
3. Pedoman Risk Assessment (RCSA)
4. Pedoman Penghitungan Risk Maturity Level
5. Pedoman Risk Based Audit
6. Pedoman Risk Based Internal Control
Kesimpulan
Penerapan RBIA suatu perusahaan sangat tergantung pada hasil penerapan administrasi risiko korporat antara lain berupa risk register dan faktor risiko. Kolaborasi kerja antara unit SPI dan Manajemen Risiko sangat diharapkan dalam menerapkan RBIA ini khususnya dalam menciptakan suatu risk assessment atau RCSA yang menghasilkan antara lain data potential risk dan strategic respon yang harus dipastikan pelaksanaannya.
Untuk mendukung keberhasilan penerapan RBIA , perlu dilakukan beberapa hal yang melibatkan SPI dan unit Manajemen Risiko sebagai berikut:
(1). Melakukan sosialisasi penerapan RBIA kepada seluruh unit kerja alasannya yaitu RBIA ini merupakan paradigma gres yang harus memperoleh support dari seluruh unit kerja baik di kantor sentra maupun di kantor cabang/KUP.
(2). Menyusun dan menyepakati relasi kerja antara unit SPI dan Manajemen Risiko dalam bentuk SOP/Juklak/Juknis alasannya yaitu penerapan RBIA ini saling terkait antara proses pelaksanaan audit internal dengan hasil penerapan MR.
(3). Secara bersama unit SPI dan Manajemen Risiko menyusun komponen yang diharapkan dalam menerapkan RBIA yaitu:
a. Pedoman Risk Assessment (RCSA)
b. Pedoman Penghitungan Risk Maturity Level
c. Pedoman Risk Based Audit
d. Pedoman Risk Based Internal Control
e. Pedoman Penerapan ERM
(4). Melakukan sistem pengendalian administrasi risiko bersama antara SPI dan unit Manajemen Risiko untuk memastikan bahwa strategic responses yang telah ditetapkan sanggup berjalan sesuai dengan perencanaan dan kebutuhan perusahaan dalam mengendalikan risiko perusahaan terutama risiko reputasi dan risiko lingkungan. Sumber http://mulyono-oke.blogspot.com