Selasa, 21 Desember 2010

Pemahaman Dasar Praktik Internal Audit berbasis Risiko (Risk-based Audit)

Risk-based Auditing is auditing in which audit objectives and audit planning are driven by a risk assessment philosophy.

David Galloway, IIA, 2004

Audit Berbasis Risiko adalah metodologi pemeriksaan yang dipergunakan untuk memberikan jaminan bahwa risiko telah dikelola di dalam batasan risiko yang telah ditetapkan manajemen pada tingkatan korporasi.

Ada 2 hal utama yang harus dipahami oleh internal auditor:

  • Aspek pengendalian dari setiap proses bisnis yang terkait
  • Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan

Peranan internal auditor dalam praktik audit berbasis risiko antara lain:

  • MULAI dari memfokuskan pekerjaan audit pada risiko signifikan korporasi, yang telah diidentifikasi oleh fungsi manajemen risiko korporasi dan melakukan audit atas proses manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah teridentifikasi
  • UNTUK berperan aktif sebagai konsultan internal yang melakukan training dan edukasi bagi staf lini dalam memastikan efektivitas pengendalian internal
  • UNTUK memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan
  • UNTUK melalukan koordinasi pelaporan audit berbasis risiko kepada Direksi dan Dewan Komisaris, dan Komite Audit

Alokasi waktu pemeriksaan untuk setiap tahapan audit tradisional vs audit berbasis risiko diilustrasikan sebagai berikut:

Audit Process Time Allocation

Pendekatan dan metodologi audit berbasis risiko diilustrasikan dalam 3 tahapan besar yaitu:

1. ASESMEN RISIKO

Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu audit dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang kita miliki dapat diarahkan ke area dengan bobot risiko tinggi. Tahap ini dapat ditiadakan bilamana profil risiko yang dihasilkan oleh unit Manajemen Risiko Korporasi sudah tersedia dan dapat diyakini keandalannya

Pada tahap ini, internal auditor juga perlu menetapkan kriteria auditable units antara lain:

  • Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan
  • Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit.

2. PENYUSUNAN PROGRAM AUDIT INTERNAL

Berdasarkan hasil asesmen risiko, masing-masing auditable units ditetapkan nilai akhirnya menggunakan faktor risiko seperti:

  • Audit Assurance; Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko dengan rating tinggi
  • Materialistis; Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter keuangan maupun non keuangan
  • Residual Risk; Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti pengendalian internal
  • Audit Judgement; Pertimbangan auditor atas perubahan sistem dan prosedur, restrukturisasi organisasi yang mempunyai dampak kepada area tertentu

3. PELAKSANAAN PROGRAM AUDIT INTERNAL

  • Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan; Auditor Internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi.
  • Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur di dalam perusahaan; Auditor Internal harus dapat memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko yang telah ditetapkan.
  • Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja yang telah ditetapkan; Auditor Internal harus melakukan evaluasi terhadap proses implementasi kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan diyakini dapat memfasilitasi perubahan dinamis perusahaan.
  • Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap pengendalian; Auditor Internal harus memahami rancangan pengendalian dan ketepatannya berhubungan dengan bagaimana suatu tindakan pengendalian tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan perusahaan.
  • Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan pencapaian tujuan perusahaan; Auditor Internal harus memberikan jaminan yang obyektif kepada Direksi bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal telah berjalan secara efektif

Last but not least… Intisari proses audit berbasis risiko:

Intisari Proses Audit Berbasis Risiko