Risk Based Internal Auditing


RISK  BASED  INTERNAL  AUDITING

(Artikel ini telah dimuat di Majalah MEDIA AKUNTANSI No. 32,

Rubrik “Audit Isu”, Edisi April 2003, ISSN : 1410-0886)

Oleh : Muh. Arief Effendi,SE,MSi,Ak,QIA *)

Pola audit yang didasarkan atas pendekatan risiko (risk based audit approach) yang dilakukan oleh internal auditor lebih difokuskan terhadap masalah parameter risk assesment yang diformulasikan pada risk based audit plan.Berdasarkan risk assesment tersebut dapat diketahui risk matrix, sehingga dapat membantu internal auditor untuk menyusun risk audit matrix. Manfaat yang akan diperoleh internal auditor apabila menggunakan risk based audit approach, antara lain internal auditor akan lebih efisien & efektif dalam melakukan audit, sehingga dapat meningkatkan kinerja Departemen Internal Audit.Tulisan ini akan menyoroti masalah risk assesment, risk matrix dan risk audit matrix serta risk based audit approach. Sebelumnya dibahas terlebih dahulu masalah pergeseran dalam fungsi internal auditing. 

Pergeseran fungsi dalam internal auditing.

Fokus audit internal auditing telah mengalami pergeseran (perubahan). Pada masa lalu fokus utama peran auditor internal sebagai ‘watchdog’, sehingga membuat perannya  kurang disukai kehadirannya oleh unit organisasi lain. Hal ini mungkin merupakan konsekuensi logis dari profesi internal auditor yang tugasnya memang tidak dapat dilepaskan dari fungsi audit, yaitu  antara  pemeriksa (auditor) dan pihak yang diperiksa (auditee) berada pada posisi yang saling berhadapan.   Pada saat ini proses auditing modern telah bergeser   sebagai ‘konsultan intern’ (internal consultant)  yang  memberi masukan (input) untuk perbaikan (improvement) atas sistem yang telah ada serta berperan sebagai katalis (catalyst). Fungsi konsultan  bagi auditor internal merupakan peran yang relatif baru. Peran konsultan membawa internal auditor untuk selalu meningkatkan pengetahuan & ketrampilan (skill & knowledge) baik tentang profesi auditor maupun aspek bisnis (business object) , sehingga diharapkan dapat membantu manajemen dalam memecahkan suatu masalah. Kemampuan untuk merekomendasikan pemecahan suatu masalah (problem solver)  bagi internal auditor dapat diperoleh melalui pengalaman bertahun-tahun melakukan audit berbagai fungsi / bagian di perusahaan. Konsultasi internal saat ini merupakan aktivitas yang sangat dibutuhkan oleh manajemen puncak (top management) yang perlu dilakukan oleh auditor internal. Selain sebagai konsultan,  auditor internal harus mampu  berperan sebagai katalisator yaitu memberikan jasa kepada manajemen  melalui saran-saran yang bersifat konstruktif dan  dapat diaplikasikan bagi perkembangan perusahaan. Katalis adalah suatu zat yang berfungsi untuk mempercepat reaksi namun tidak ikut reaksi. Sehingga apabila internal auditor diibaratkan sebagai katalis, internal auditor tidak ikut dalam kegiatan operasional perusahaan, namun turut serta bertanggungjawab dalam meningkatkan kinerja perusahaan melalui rekomendasi yang disampaikaan kepada manajemen operasional. Ruang lingkup (scope) kegiatan audit semakin luas, pada saat ini  tidak sekedar audit keuangan (financial audit) dan audit ketaatan (compliance audit), tetapi fokus perhatian ditujukan pada semua aspek yang berpengaruh terhadap kinerja (performance) perusahaan  dan pengendalian manajemen serta memperhatikan aspek risiko bisnis (business risk) dan risiko manajemen (risk management).  Pergeseran orientasi audit menuju ke arah audit yang didasarkan atas resiko (risk based auditing) ini akan terus berlanjut seiring dengan kebutuhan perusahaan yang semakin kompleks di masa mendatang. 

Risk assesment

Internal auditor perlu melakukan risk asssment untuk mengetahui lebih jauh risiko-risiko potensial yang mungkin dihadapi oleh perusahaan.Proses risk assesment terdiri dari langkah-langkah sebagai berikut :

·        Mengidentifikasi risiko-risiko  bisnis yang melekat (inherent business risks) dalam aktivitas perusahaan.

·        Mengevaluasi efektivitas sistem pengendalian (control systems) dalam rangka monitoring inherent risk dari aktivitas bisnis (control risk).

·        Menggambarkan risk matrix yang didasarkan atas inherent business risks dan control risk.Risk assesment dapat dilakukan dengan pendekatan kuantitatif maupun kualitatif.

Parameter yang biasa digunakan dalam metodologi risk assesment antara lain :

·        Trend industri & faktor lingkungan lain.

·        Kompleksitas & volume aktivitas bisnis.

·        Perubahan dari fokus bisnis &  lini bisnis (busines lines).

·        Perubahan dari praktek & kebijakan akuntansi (accounting practices / policies).

·        Adanya perbedaan atas kinerja yang substansial dari Anggaran (Budget) Perusahaan. 

Risk matrix

Assesment harus dilakukan secara periodik oleh internal auditor, sehingga adanya perubahan dalam lingkungan bisnis serta aktivitas bisnis dapat diikuti internal auditor secara up to date. Untuk memberikan gambaran yang lebih jelas tentang Risk matrix dapat dibuatkan ilustrasi seperti tabel berikut : 

  RISK  MATRIX (RM) 
INHERENT High

A

High Risk

B

Very High Risk

C

Extremely High Risk

BUSINESS   Medium

D

Medium Risk

E

High Risk

F

Very High Risk

RISK (IBR)   Low

G

Low Risk

H

Medium Risk

I

High Risk

       Low  Medium  High

                                              CONTROL RISK (CR) ———————————->

Inherent business risk dapat diindikasikan dari risiko yang melekat pada aktivitas bisnis perusahaan yang dapat diklasifikasikan atas low, medium & high. Control risk juga dapat diklasifikasikan atas low, medium & high. 

Risk audit matrix.

Departemen Internal Audit dapat menyusun risk audit matrix atas obyek-obyek yang akan diaudit bedasarkan atas besarnya risiko / Magnitude of Risk (M) dan frekuensi risiko / Frequency of Risk (F). Ilustrasi dari risk audit matrix dapat dibuatkan tabel sebagai berikut :  

 

  RISK AUDIT MATRIX (RAM) 
MAGNI-TUDE High High MLow F High MMedium F High MHigh  F
OF Medium Medium MLow F Medium MMedium F Medium MHigh  F
RISK (M) Low Low MLow F Low MMedium F Low MHigh  F
     Low  Medium  High

                                 FREQUENCY OF RISK (F)  ——————–>

Departemen Audit Internal dalam menyusun perencanaan audit (audit plan) dapat diprioritaskan kepada obyek audit (auditee) sesuai dengan urutan sebagai berikut :

·        High Magnitude & High Frequency.

·        High Magnitude & Medium Frequency.

·        Medium Magnitude & High Frequency.

·        High Magnitude & Low Frequency.

·        Medium Magnitude & Medium Frequency. 

Risk Based Audit Approach

Terdapat tiga aspek dalam Risk Based Auditing, yaitu penggunaan faktor risiko (risk factor) dalam audit planning,  identifikasi independent risk & assesment dan partisipasi dalm inisiatif risk management & processes.Cakupan dari risk based internal audit termasuk dilakukannya identifikasi atas inherent business risks dan control risk yang potensial. Departemen Internal Audit dapat melakukan review secara periodik tiap tahun atas risk based internal audit dikaitkan dengan audit plan. Manajemen puncak (Board of Director) dan Komite Audit dapat melakukan assessment atas kinerja (performance) dari risk based internal audit untuk mengetahui realibilitas, keakuratan dan obyektivitasnya. Profil risiko (Risk profile) atas risk based internal audit didokumentasikan dalam audit plan yang dibuat oleh Departemen Internal Audit. Risk profile tersebut dapat digunakan untuk melakukan evaluasi apakah metodologi risk assesment telah  rasional. Manfaat diterapkannya pendekatan risk based internal audit antara lain dapat meningkatkan efisiensi dan efektivitas internal auditor dalam melakukan audit, sehingga secara tidak langsung dapat meningkatkan kinerja Departemen Internal audit.

Internal Auditor saat ini perlu melakukan reorientasi dalam audit, antara lain dengan menerapkan pendekatan risk basesd audit. ***

*) Penulis alumni S1 FE UGM (1990) dan S2 MAKSI UI (2001), bekerja sebagai internal auditor (SPI) sebuah BUMN serta Staf Pengajar di beberapa Perguruan Tinggi di Jakarta.

30 Responses

  1. Very interesting article!

    Like

  2. Artikel Bapak menambah wawasan saya dalam bidang internal audit

    Like

  3. Saya hanya sekedar sharing pengetahuan (sebagai akademisi) & sharing pengalaman (sebagai praktisi), semoga dapat menambah khazanah keilmuan bidang internal auditing bagi para pembaca. Saya juga mohon masukan dari para pembaca yang bekerja (praktik) sebagai internal auditor untuk saling memberikan sharing pengalaman.

    Like

  4. Artikel Bapak sangat membantu saya. Saya sedang mencari berbagai artikel mengenai RBIA dan Risk Management terkait risk assessment. Saya sedang mempelajarinya untuk diterapkan di perusahaan kami Pak. Mohon informasinya, di mana saya bisa mendapatkan referensinya yang lebih lengkap mengenai RBIA dan implementasinya. Referensi yang telah saya dapatkan saat ini antara lain dari http://www.internalaudit.biz, dan http://www.theiia.org.

    Like

  5. Kami di PT PPA (Persero) mengembangkan software audit-berbasis-risiko sendiri. Bila berminat, silakan benchmarking dan berdiskusi di tempat kami.
    Inspirasinya, sebagian dari Griffith yg sudah disebut di atas, namun lebih interaktif, real time, dan terintegrasi karena kami mengembangkannya untuk versi jaringan menggunakan Delphi (instead of Excel-nya Griffith).

    Like

    • Pak Setyo, saya tertarik dengan software yang sedang Bapak kembangkan di PT PPA mengenai Audit berbasis risiko, apakah software ini serupa dengan remote audit ?, mohon dijelaskan yang dimaksud dengan real time disini…..terimakasih pak, kebetulan saya sangat ingin membuat suatu desain remote audit yang dapat digunakan diperusahaan kami.
      Buat Pak Arief…Bravo selalu….

      Like

  6. Pak Setyo, terima kasih atas tanggapannya dan ajakannya untuk berdiskusi / sharing ttg audit berbasis risiko. Saya sangat senang ada yang ikut membantu saya di website ini dalam rangka berbagi pengetahuan & pengalaman (knowledge & experience sharing). Jika tdk berkeberatan Pak setyo bisa menularkan ilmunya kepada para pembaca yang sangat membutuhkan untuk diaplikasikan di tempat kerja masing-masing.
    Silahkan jika para pembaca / rekan-rekan internal auditor ada yang berminat untuk memperdalam ttg Software Audit berbasis risiko yang dikembangkan oleh PT. PPA (Persero) untuk benckmarking atau studi banding. Semoga bermanfaat

    Like

  7. Pak Arief,

    Saya juga akan berterima kasih sekali bila bisa melakukan diskusi dan benchmarking, karena hal tersebut akan membantu kami dalam perbaikan proses dan aplikasi risk-based audit kami tersebut secara terus menerus.

    Rencana ke depan, aplikasi tsb akan kami kembangkan untuk mencakup pula risk management process. Sayangnya, masih ada sedikit perbedaan penting antara kami di internal audit dengan teman2 di risk management mengenai kerangka yang digunakan. Kami menggunakan kerangka COSO (yang lebih generik), sedangkan teman2 menggunakan kerangka risk management seperti yang banyak digunakan di industri bank. Bila Pak Arief dan teman2 lain ada yang memiliki pengalaman serupa, saya akan senang sekali bila dapat bertukar pengalaman.

    Oh ya, untuk teman2 yang ingin berdiskusi, saya bisa dihubungi di setyo at ptppa dot com.

    Wassalam,
    Setyo

    Like

  8. Pak Setyo, di tempat saya bekerja, kebetulan saat ini saya ditunjuk / ditugaskan sebagai Tim Improvement Sistem Informasi Audit (SIA), sehingga saat ini saya sedang mendalami tentang SIA terutama masalah implementasi / aplikasi bagi peningkatan kinerja Subdit SPI (Internal Audit Dept).

    Like

  9. Kepada Yth:
    Bapak Muh. Arief Effendi

    Pak Arief, saya mengucapkan terima kasih sekali bisa mendapatkan artikel-ertikel bapak tentang audit, akuntansi, good governance dan lainnya yang sangat membantu dalam perkuliahan saya dan pada kesempatan ini saya mohon ijin telah menyunting beberapa tulisan bapak untuk tugas-tugas kuliah saya, sekarang saya sedang menyelesaikan magister akuntansi pemerintahan.
    hormat kami,
    Aris Suyono

    Like

  10. Sdr. Aris, artikel / tulisan saya di website ini , silahkan anda pakai sebagai referensi, namun jangan lupa disebutkan sumbernya. Anda sedang menyelesaikan program MAKSI di kampus mana? Mudah2an sukses.

    Like

  11. maaf pak , saya belum ada website,tulisan ini baik sekali untuk bahan seminar , kami akan mempelajari secara mendalam dengan systim computerisasi, kalau bisa bapak dapat memberikan input-input lbh mendetail ttng risk bisnis ,trmksh,wass

    Like

  12. Dear Bpk. Arif

    Mohon ijin, tulisan Bapak kiranya dapat dijadikan bahan pustaka untuk penulisan karya akhir saya di MAKSI-UI. Tapi maaf saya mau bertanya, pada tulisan bapak tercantum penulis S2 MAKSI-UI, tetapi dalam penulisan gelarnya adalah M.Si.
    Terima kasih.

    Like

  13. Selamat siang Pak Arif, terima kasih yang sebesar-besarnya atas ijin yang diberikan kepada saya, saya saat ini sedang menyelesaikan program magister akuntansi pemerintahan di UNTAR, sekali llagi terima kasih.

    Like

  14. bapak, sy berniat menyusun skripsi mengenai RBIA, boleh saya minta tolong bapak untuk memberi rekomendasi referensi apa saja yang bisa saya baca. emh ya saya ingin membehas mengenai pengaruh penerapan RBIA terhadap kinerja internal auditor, menurut bapak bagaimana??
    trimakasih..

    Like

  15. Sdr. Luvy, anda bisa melakukan penelitian di perusahaan2 yang telah menerapkan RBIA (sebagai sampel penelitian). Akan lebih baik apabila anda merancang quesioner penelitian untuk melengkapi data tsb. Mudah2an anda lancar dlm menyusun skripsi tsb. OK.

    Like

  16. Maaf Bapak, apakah menurut Bapak RBA ini juga bisa diterapkan oleh auditor eksternal?

    Like

  17. ass pak…
    saya ingin menanyakan apakah dengan penerapan risk based audit bisa membantu bank dalam mengurangi tingkt kredit bermasalah atau NPL?

    trmksh..

    Like

  18. Sdr. EKA, RBA dapat diterapkan di Internal Audit maupun Eksternal Audit.
    Sdr. Lia, seharusnya dengan penerapan RBA di perbankan, dapat mengurangi NPL / kredit bermasalah, karena salah satu hal yang harus dimitigasi dlm RBA adalah risiko kredit. OK.

    Like

  19. terimakasih atas jawaban sebelumnya..

    saya sedang membuat skripsi mengenai pengaruh penerapan rbia dalam pemeriksaan kredit terhadap tingkat NPL, dan saya menggunakan indikator untuk mengukur penerapan RBIA dengan pertanyaan mengenai apa yang dilakukan int auditor dalam mereview manajemen risiko kredit.

    jadi saya menghubungkan RBIA dengan NPL melalui review manajemen risiko kreditnya. apakah pemikiran saya bisa diterima?? atau justru keliru??

    mungkin bapak memiliki referensi yang bisa saya gunakan?
    terima kasih

    Like

  20. Sdr. Lia, silahkan baca beberapa referensi tentang RBIA yang ada diwebsite ini. Jika kesulitan nanti saya beri tahu. OK.

    Like

  21. Selamat pagi Pak. Saya sangat tertarik dengan artikel yang Bapak tulis ini, kebetulan saya juga sedang menyusun tesis dengan topik audit pemerintahan. Saya sedang mencari informasi apakah risk base audit ini bisa diterapkan oleh lembaga auditor pemerintah dalam menetapkan objek objek audit yang akan diperiksa dalam satu tahun anggaran terkait dengan keterbatasan anggaran dan sumber daya auditornya. Apa ada referensi yang dapat saya jadikan sumber informasi.
    Terima kasih banyak Pak.

    Like

  22. Salam kenal bapak..sy sngt tertarik dengan artikel bpk…dan kebetulan saya sedang menyusun skripsi tentang RBIA. Saya ingin sekali meneliti mengenai penyimpangan yang terjadi di lapangan oleh auditor internal dalam menerapkan RBIA akibat berubahnya paradigma ilmu internal audit dari tradisional (watchdog) menuju risk based approach. Namun sy sudah membaca banyak jurnal dan artikel tetapi sejauh ini sy belum menemukan contoh penelitian yang sama. Bila sy hrs membuat quesioner dr awl, skripsi sy bs slesai lbh dr 1 smstr.Menurut bapak, apakah logika berpikir sy tentang topik itu aneh dan topik tersebut tidak layak untuk diteliti? terima kasih banyak…

    Like

  23. Sdr. Niken & Sdr. Ratu, RBIA dapat diterapkan di organisasi apa saja (perusahaan, pemerintahan, lembaga non profit dll). Memang saat ini yg banyak menerapkan baru perusahaan (korporasi). Masih sedikit penelitian (skripsi / thesis) yg membahas tentang RBIA. Publikasi tentang RBIA sebagian besar dalam bentuk artikel / makalah atau textbook. Semoga skripsi / thesis yang anda susun dapat berjalan lancar. OK

    Like

  24. Assalamu’alaikum bapak, kenalkan nama saya siska, saya mahasiswa salah satu perguruan tinggi di padang. sekarang saya sedang mencari tema untuk skripsi. lalu saya membaca sebuah tulisan di http://www.journalofaccountancy.com/Issues/2009/Dec/20091789.htm judulnya risk-based audit best practices. saya jadi tertarik untuk menjadikan topik ini untk skripsi saya. menurut bapak bila saya meneliti tentang aplikasi dari risk based internal audit di beberapa perusahaan bagaimana ya pak? apa risk based internal audit ini telah umum di pakai di perusahaan?
    mohon bantuan nya ya pak. atau kalau bapak ada saran lain tentang judul skipsi saya, saya sangat menghargai. terima kasih pak.

    Like

  25. mas, mau dong modul RBA yg paling lengakp, step2 pembuatan RBA, itu juga kla mas punya, thanks ya

    Like

    • Sdr. Ayumas, silahkan download “RBIA-An Introduction” dan “RBIA-3 Views on Implementation”, karangan David Griffiths, 2006 yang sudah saya upload diwebsite ini. Click category “Internal Auditing”. Dua modul ini cukup lengkap menjelaskan RBIA. Jika memerlukan penjelasan lebih lanjut, saya punya file excel tentang “Risk and Audit Universe” dan “Implementation RBIA”. OK

      Like

  26. Pak Arief, saya ingin bertanya. Apakah penerapan RBIA di suatu bank dapat meningkatkan efektivitas pengendalian internal kredit? Terima kasih

    Like

  27. Seharusnya dengan penerapan RBIA, maka Bank dapat meningkatkan efektivitas pengendalian internal kredit.
    Jika ternyata belum, maka Divisi Risk Management pada Bank tersebut, perlu melakukan mapping ulang secara periodik, sehingga memudahkan SKAI pada Bank tsb untuk menerapkan RBIA. OK

    Like

  28. Aslm Pak Arif, saya ingin bertanya, apakah sudah banyak perusahaan – perusahaan besar yang berhasil dalam penerapan RBA ini, dan apa dampak yang paling besar dengan penerapan RBIA ini pada suatu bank nasional misalnya, sebelumnya terima kasih pak Arif???

    Like

Comments are closed.

%d bloggers like this: