Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang dilakukan oleh internal auditor lebih difokuskan terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan.Berdasarkan risk assesment tersebut dapat diketahui risk matrix, sehingga dapat membantu internal auditor untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit approach, antara lain internal auditor akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Internal Audit.Tulisan ini akan menyoroti masalah risk assesment, risk matrix dan risk audit matrix serta risk based audit approach. Sebelumnya dibahas terlebih dahulu masalah pergeseran dalam fungsi internal auditing.
Pergeseran fungsi dalam internal auditing.
Fokus audit internal auditing telah mengalami pergeseran (perubahan). Pada masa lalu fokus utama peran auditor internal sebagai ‘watchdog’, sehingga membuat perannya kurang disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu antara pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan. Pada saat ini proses auditing modern telah bergeser sebagai ‘konsultan intern’ (internalconsultant) yang memberi masukan (input) untuk perbaikan (improvement) atas sistem yang telah ada serta berperan sebagai katalis (catalyst). Fungsi konsultan bagi auditor internal merupakan peran yang relatif baru. Peran konsultan membawa internal auditor untuk selalu meningkatkan pengetahuan & ketrampilan (skill &knowledge) baik tentang profesi auditor maupun aspek bisnis (business object) , sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu masalah. Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver) bagi internal auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan audit berbagai fungsi / bagian di perusahaan. Konsultasi internal saat ini merupakan aktivitas yang sangat dibutuhkan oleh manajemen puncak (top management) yang perlu dilakukan oleh auditor internal. Selain sebagai konsultan, auditor internal harus mampu berperan sebagai katalisator yaitu memberikan jasa kepada manajemen melalui saran-saran yang bersifat konstruktif dan dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional perusahaan, namun turut serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikaan kepada manajemen operasional. Ruang lingkup (scope) kegiatan audit semakin luas, pada saat ini tidak sekedar audit keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi fokus perhatian ditujukan pada semua aspek yang berpengaruh terhadap kinerja (performance) perusahaan dan pengendalian manajemen serta memperhatikan aspek risiko bisnis (business risk) dan risiko manajemen (risk management). Pergeseran orientasi audit menuju ke arah audit yang didasarkan atas resiko (risk based auditing) ini akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks di masa mendatang.
Risk assesment
Internal auditor perlu melakukan risk asssment untuk mengetahui lebih jauh risiko-risiko potensial yang mungkin dihadapi oleh perusahaan.Proses risk assesment terdiri dari langkah-langkah sebagai berikut :
· Mengidentifikasi risiko-risiko bisnis yang melekat (inherent business risks) dalam aktivitas perusahaan.
· Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka monitoring inherent risk dari aktivitas bisnis (control risk).
· Menggambarkan risk matrix yang didasarkan atas inherent business risks dancontrol risk.Risk assesment dapat dilakukan dengan pendekatan kuantitatif maupun kualitatif.
Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :
· Trend industri & faktor lingkungan lain.
· Kompleksitas & volume aktivitas bisnis.
· Perubahan dari fokus bisnis & lini bisnis (busines lines).
· Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).
· Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget) Perusahaan.
Risk matrix
Assesment harus dilakukan secara periodik oleh internal auditor, sehingga adanya perubahan dalam lingkungan bisnis serta aktivitas bisnis dapat diikuti internal auditor secara up to date. Untuk memberikan gambaran yang lebih jelas tentang Risk matrix dapat dibuatkan ilustrasi seperti tabel berikut :
RISK MATRIX (RM) | |||||
INHERENT | High | A High Risk | B Very High Risk | C Extremely High Risk | |
BUSINESS | Medium | D Medium Risk | E High Risk | F Very High Risk | |
RISK (IBR) | Low | G Low Risk | H Medium Risk | I High Risk | |
Low | Medium | High |
CONTROL RISK (CR) ———————————->
Inherent business risk dapat diindikasikan dari risiko yang melekat pada aktivitas bisnis perusahaan yang dapat diklasifikasikan atas low, medium & high. Control risk juga dapat diklasifikasikan atas low, medium & high.
Risk audit matrix.
Departemen Internal Audit dapat menyusun risk audit matrix atas obyek-obyek yang akan diaudit bedasarkan atas besarnya risiko / Magnitude of Risk (M) dan frekuensi risiko / Frequency of Risk (F). Ilustrasi dari risk audit matrix dapat dibuatkan tabel sebagai berikut :
RISK AUDIT MATRIX (RAM) | ||||
MAGNI-TUDE | High | High MLow F | High MMedium F | High MHigh F |
OF | Medium | Medium MLow F | Medium MMedium F | Medium MHigh F |
RISK (M) | Low | Low MLow F | Low MMedium F | Low MHigh F |
Low | Medium | High |
FREQUENCY OF RISK (F) ——————–>
Departemen Audit Internal dalam menyusun perencanaan audit (audit plan) dapat diprioritaskan kepada obyek audit (auditee) sesuai dengan urutan sebagai berikut :
· High Magnitude & High Frequency.
· High Magnitude & Medium Frequency.
· Medium Magnitude & High Frequency.
· High Magnitude & Low Frequency.
· Medium Magnitude & Medium Frequency.
Risk Based Audit Approach
Terdapat tiga aspek dalam Risk Based Auditing, yaitu penggunaan faktor risiko (risk factor) dalam audit planning, identifikasi independent risk & assesment dan partisipasi dalm inisiatif risk management & processes.Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas inherent business risks dan control risk yang potensial. Departemen Internal Audit dapat melakukan review secara periodik tiap tahun atas risk based internal audit dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite Audit dapat melakukan assessment atas kinerja (performance) dari risk based internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil risiko (Risk profile) atas risk based internal audit didokumentasikan dalam audit plan yang dibuat oleh Departemen Internal Audit. Risk profile tersebut dapat digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah rasional. Manfaat diterapkannya pendekatan risk based internal audit antara lain dapat meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit, sehingga secara tidak langsung dapat meningkatkan kinerja Departemen Internal audit.
Internal Auditor saat ini perlu melakukan reorientasi dalam audit, antara lain dengan menerapkan pendekatan risk basesd audit. ***
*) Penulis alumni S1 FE UGM (1990) dan S2 MAKSI UI (2001), bekerja sebagai internal auditor (SPI) sebuah BUMN serta Staf Pengajar di beberapa Perguruan Tinggi di Jakarta.
Referensi : Muh. Arief Effendi,SE,MSi,Ak,QIA http://muhariefeffendi.wordpress.com/2007/11/07/risk-based-internal-auditing/
0 komentar:
Posting Komentar