You are on page 1of 4

Audit Berbasis Risiko, Antisipasi Risiko Sejak Dini (1) Jumat, 23 Juli 2010 13:30 WIB

Oleh: Rinella Putri

(managementfile – Risk) – Manajemen risiko merupakan aktivitas yang perlu dilakukan oleh tiap
organisasi, dalam rangka meminimalisir risiko-risiko yang dapat mengakibatkan dampak buruk
di masa depan. Penting bagi organisasi untuk memastikan bahwa manajemen risiko berjalan
dengan efektif, salah satunya adalah dengan melakukan risk based internal audit (RBIA) atau
audit berbasis risiko.

Evolusi Internal Audit


Internal audit telah mengalami evolusi yang pesat hingga saat ini. Hal ini dipicu oleh berbagai
event risiko baik kecil maupun besar yang terjadi secara global, mulai dari kasus Enron dan
Worldcom, hingga yang terbaru yakni krisis keuangan global, yang semakin memperkuat
pentingnya fungsi internal audit. Risiko yang bervariasi, dan juga semakin kompleks seiring
berkembangnya sistem keuangan saat ini, menjadikan peran internal audit yang kuat semakin
diperlukan. Sehingga, ini memicu internal audit untuk terus mengalami evolusi hingga saat ini.

Jika awalnya internal audit hanya berfokus dalam mengidentifikasi pelanggaran semata serta
menekankan compliance terhadap regulasi, hingga kemudian punya pemahaman yang
menyeluruh mengenai risiko, kini sudah sampai berkembang risk-based audit atau audit berbasis
risiko. Berikut ini adalah evolusi yang terjadi pada internal audit.

Pendekatan audit awalnya dulu hanya berupa shotgun approach, yakni merupakan pendekatan
audit tradisional post the facts, dimana audit hanya bertujuan untuk mengungkap temuan,
mencari-cari dan mengidentifikasi kesalahan maupun pelanggaran baik dalam aktivitas,
kebijakan maupun laporan perusahaan.

Selanjutnya berkembang menjadi compliance-based approach, yakni merupakan pendekatan


audit dimana dilakukan pengecekan terhadap keselarasan antara kebijakan dan prosedur yang
dilakukan dengan ketetapan regulasi. Hanya saja, kekurangannya adalah jika terdapat aktivitas
yang tidak comply padahal sebenarnya itu merupakan inovasi, sementara aturan yang ditetapkan
sudah out of date. Jika auditor tidak bisa memahami perspektif yang diaudit, maka pendekatan
ini bisa jadi kontraproduktif karena membatasi kreativitas.

Kemudian ada lagi control-based approach, yang mirip dengan compliance-based approach,
namun bedanya disini auditor menggunakan kontrol internal yang merupakan best practice. Tim
auditor punya checklist dan framework tersendiri mengenai aktivitas mana saja yang perlu
dikontrol. Kelemahan dari pendekatan ini adalah seringkali terlalu menekankan kontrol, sehingga
seringkali melupakan pertimbangan faktor praktis maupun cost-benefit dalam implementasi
kontrol tersebut.

Kini, trend nternal audit yang berkembang saat ini sudah mengarah kepada risk-based audit,
dimana auditor pertama-tama harus memahami dulu bagaimana visi, misi, tujuan, target, dan
strategi dari perusahaan, baru kemudian mengidentifikasi dan menganalisa risiko yang
berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah kontrol
sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko.
Pada metodologi risk-based audit, perusahaan bukan hanya sekadar punya pemahaman yang
menyeluruh mengenai risiko, melainkan juga mengontrol pengelolaannya dan memastikan
bahwa kontrol berjalan secara efektif. Jika dulunya internal audit sekedar post the facts atau
mengungkap fakta atau temuan kesalahan, maka dengan risk-based audit kini bisa melakukan
anticipation before the facts, antisipasi sebelum kesalahan benar-benar terjadi. Untuk melakukan
risk-based audit ini, fungsi risiko dari suatu organisasi harus bekerjasama dengan fungsi internal
audit supaya risiko bisa terus menerus dimonitor dan dikelola secara proaktif sebelum benar-
benar terjadi dan membahayakan pencapaian tujuan organisasi.

Definisi
Audit berbasis risiko merupakan metodologi yang memastikan bahwa manajemen risiko sudah
dilakukan sesuai dengan risk appetite yang dimiliki organisasi.
Pendekatan audit ini berfokus dalam mengevaluasi risiko-risiko baik strategis, finansial,
operasional, regulasi dan lainnya yang dihadapi oleh organisasi. Dalam RBIA, risiko-risiko yang
tinggi diaudit, sehingga kemudian manajemen bisa mengetahui area baru mana yang berisiko dan
area mana yang kontrolnya harus diperbaiki.

Manfaat RBIA
Audit berbasis risiko mempunyai manfaat yang banyak bagi organisasi, antara lain adalah
sebagai berikut:
• menjadi sistem check and balance terhadap kontrol organisasi
• meningkatkan kemampuan dalam mengidentifikasi kesalahan dalam laporan keuangan
• meningkatkan kemampuan dalam mengidentifikasi dan mengukur risiko
• meningkatkan kemampuan dalam mengidentifikasi adanya fraud atau masalah lainnya
• mengungkap temuan mengenai kelemahan yang dimiliki manajemen

(bersambung)

RP/RP/berbagai sumber

Audit Berbasis Risiko, Antisipasi Risiko Sejak Dini (2) Minggu, 25 Juli 2010 22:00 WIB
Oleh: Rinella Putri

Implementasi
Implementasi RBIA terdiri dari 3 tahap, antara lain:

Tahap pertama, mengukur risk maturity dari organisasi.


(vibizmanagement – Risk)- Pertama-tama, untuk bisa mengukur risk maturity organisasi Anda
harus bertemu dengan para manajer senior dan dewan direksi, untuk mengetahui proses-proses
apa saja yang telah dilakukan dalam rangka meningkatkan risk maturity selama ini. Contoh
prosesnya antara lain training, workshop, kuesioner maupun interview dengan risk manager. Dari
sini, seharusnya kemudian dapat dievaluasi mengenai bagaimana pemahaman organisasi
mengenai risiko dan cara mengelolanya.

Kumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan organisasi, proses
dalam mengukur risiko, risk appetite yang dianut perusahaan, bagaimana manajemen
mempertimbangkan risiko, dan lainnya.

Framework dari pendekatan manajemen risiko yang digunakan bakal menentukan pendekatan
audit, oleh karena itu tahap pertama dalam RBIA adalah menentukan level risk maturity dari
organisasi. Audit dilakukan terhadap pengukuran risk maturity organisasi, juga ambil kesimpulan
mengenai level risk maturity yang sekarang berlaku di organisasi. Lakukan perbandingan antara
level tersebut dengan yang dilaporkan oleh manajemen.

Langkah selanjutnya, yakni membuat rencana audit, bakalan tergantung pada level risk maturity
dari organisasi. Apakah sudah risk enabled, risk managed, risk defined, atau baru risk aware
bahkan risk naïve. Risk defined, risk managed, hingga risk enabled merupakan level dimana
pengelolaan risiko sudah cukup memadai, sementara risk aware dan risk naïve belum.

Kedua, mengumpulkan daftar risiko dan audit, serta membuat rencana audit.
Sebelum mengimplementasikan RBIA, level risk maturity organisasi minimal harus risk defined,
jadi mereka yang di level risk naïve atau risk aware harus terlebih dulu memperbaiki level risk
maturity-nya. Tanpa identifikasi risiko (risk register) yang memadai, maka tidak mungkin audit
bisa dijalankan.

Pertama-tama, lakukan risk register, atau identifikasi dan pendaftaran risiko bagi risiko-risiko
yang berada di luar risk appetite, yang sebelumnya telah didefinisikan. Selanjutnya, dari daftar
risiko tersebut, lakukan filter terhadap risiko mana saja yang tidak memerlukan atau
memungkinkan audit. Risiko-risiko yang belum difilter inilah yang kemudian akan masuk dalam
rencana audit.

Selanjutnya lakukan pengelompokan terhadap risiko, yang bisa dibagi antara lain berdasarkan
tujuan, pemilik risiko, unit bisnis, proses, maupun jenis. Selanjutnya, tetapkan jenis-jenis audit
yang bakal dilakukan bagi risiko-risiko tersebut (audit universe).

Kemudian buat rencana audit tahunan, berdasarkan control score dari risiko. Jika control score
tinggi, maka dilakukan pendekatan assurance saja untuk memastikan bahwa risiko dikelola
dengan baik. Sementara itu, jika control risk rendah, maka diperlukan pendekatan konsultasi
untuk membantu manajemen dalam melakukan identifikasi, pengukuran, pengelolaan dan
pengawasan risiko.

Dalam rencana audit tersebut juga disertakan informasi mengenai alokasi sumber daya audit,
seperti durasi audit, jumlah karyawan yang diperlukan, dan detail lainnya. Jika sudah selesai,
maka rencana audit bisa dipublikasikan.

Ketiga, melakukan audit individual untuk menjamin bahwa manajemen risiko sudah
berjalan dengan baik. Tujuan dari dilakukannya audit individual adalah untuk memastikan
bahwa risiko benar-benar dikelola dengan baik, dan melaporkan jika sebaliknya.

Pendekatan dilakukan berdasarkan level risk maturity dari organisasi.


Jika level risk maturity merupakan risk managed atau risk enabled, maka diperlukan suatu audit
yang mendetail supaya tidak ada risiko yang terlewatkan ataupun kontrol yang kurang memadai

Jika level risk maturity merupakan risk defined, maka diperlukan audit yang memverifikasi
bahwa proses manajemen risiko berjalan dengan efektif, serta audit mendetail yang memastikan
bahwa seluruh risiko telah teridentifikasi dan telah dilakukan pengujian terhadap kontrol

Jika level risk maturity merupakan risk naïve atau risk aware, audit berbasis risiko mungkin bisa
dilakukan, namun manajemen butuh training dan workshop terlebih dulu untuk bisa melakukan
identifikasi risiko.

Setelah audit dilakukan, kemudian diskusikan temuan-temuan yang diperoleh serta buat laporan
audit. Jika ada temuan baru, maka diskusikan dengan manajer untuk meng-update daftar risiko
dan audit (risk & audit universe). Ambil kesimpulan mengenai hasil audit berbasis risiko
tersebut, yakni opini mengenai apakah risiko dalam batasan yang ditentukan, dan sudah dikelola
dengan memadai, untuk memastikan bahwa tujuan organisasi dapat dicapai dengan baik.

Dengan melakukan audit berbasis risiko, maka organisasi dapat memastikan bahwa kontrol
internal yang dilakukannya berjalan dengan baik. Pengelolaan risiko yang terjamin menjadikan
organisasi menghindari risiko yang berlebihan, sehingga tujuan organisasi bisa tercapai. Jika
setiap perusahaan melakukan audit berbasis risiko ini, tentunya kita harapkan krisis finansial
tidak akan terulang kembali di kemudian hari.

RP/RP/vbm

You might also like