METODOLOGI INTERNAL AUDIT RISK ASSESSMENT DALAM RISK BASED INTERNAL AUDIT
Friday, 27 January 2012 01:56 | 
| 
| 
| 
RISK BASED INTERNAL AUDIT PROCESS
2. PERSIAPAN AUDIT: Melalui pendekatan Risk Based Internal Audit, sebelum audit dilaksanakan, auditor harus melakukan analisa pendahuluan, preliminary survey, kajian hasil audit sebelumnya serta penilaian risiko. Seluruhnya digabungkan didalam mekanisme Micro Risk Assessment (dijelaskan lebih lanjut di bawah) untuk menentukan risiko setiap obyek audit/kantor cabang.
3. PROGRAM AUDIT dan PENDEKATAN AUDIT: Berdasarkan analisa pendahuluan, auditor menyusun program audit/prosedur audit sebagai dasar pelaksanaan audit. Penyusunan program audit ini dengan memperhatikan Internal Audit Approach, yaitu suatu pendekatan internal audit dimana penyusunan program audit disesuaikan dengan kondisi risikonya. Sebagai contoh adalah sebagai berikut:
Dalam kondisi risiko yang rendah (Hijau), maka program audit yang disusun oleh auditor akan meliputi approach A (business monitoring) dan B (compliance test).Namun dalam kondisi risiko yang tinggi (Merah), maka program audit yang disusun oleh auditor akan meliputi approach A, B, C (substantive test), dan D (drill down/detail audit sampai investigasi).Melalui approach ini auditor tidak lagi menggunakan program/prosedur audit yang sama untuk seluruh aktivitas/obyek audit yang memiliki tingkat risiko yang berbeda-beda.Contoh, Cabang 1 memiliki risiko operasional yang relative tinggi (moderate to high), sementara Cabang 2 memiliki risiko kredit yang relative tinggi (moderate to high). Dengan kondisi tersebut, maka auditor tidak lagi memiliki program audit operasional dan program audit kredit yang sama untuk kedua cabang tersebut. Program audit operasional cabang 1 akan lebih comprehensive (approach A, B, C, dan D) dibandingkan program audit operasional cabang 2. Dan program audit kredit cabang 2 akan lebih comprehensive (approach A, B, C, dan D) dibandingkan program audit kredit cabang 1.
4. PELAKSANAAN AUDIT: Pelaksanaan audit difokuskan terhadap pengujian kehandalan pengendalian intern dan risk control system terhadap eksposur risiko yang ada. Prosedur-prosedur yang telah disusun berdasarkan approach yang sesuai dilaksanakan dengan memperhatikan kecukupan pengujian terhadap kehandalan pengendalian intern. Pengujian ini dilaksanakan melalui metodologi micro risk assessment.
5. TEMUAN AUDIT: Dalam Risk Based Audit, suatu temuan audit bukan hanya mengungkapkan fakta/kondisi dilapangan. Sebagai contoh: “Terdapat aplikasi nasabah yang tidak dilengkapi dengan copy identitas/KTP dan nasabah-nasabah dengan bukti identitas yang kadaluwarsa”. Sebagai “konsultan”, internal audit melakukan kajian terhadap sumber/akar permasalahan yang menjadi temuan audit dengan tujuan permasalahan/temuan audit yang sama tidak terjadi/terulang kembali. Kajian tersebut lebih diarahkan pada risk control system, sehingga permasalahan/temuan audit dapat ditindaklanjuti terhadap sumber/akar permasalahan. Apakah karena lemahnya pengawasan manajemen, supervisi yang kurang memadai, ketidakcukupan standard operating procedures, human error, atau fraud.
6. PELAPORAN AUDIT: Pengungkapan temuan audit melalui evaluasi/kajian yang memadai terhadap inherent risk dan risk control system, akan mendukung pelaporan audit yang lebih fokus terhadap pemetaan risiko dan profil risiko. Laporan audit lebih ditujukan pada kondisi risiko, pengujian kehandalan risk assessment dan manajemen risiko serta rekomendasi terhadap risk control system yang perlu dibangun dalam manajemen risiko di bank. Laporan ini menampilkan matrik micro risk assessment melalui scoring terhadap tingkat kehandalan pengendalian intern dan risk control system.
7. MONITORING AUDIT: Monitoring audit bukan semata ditujukan pada pemantauan tindak lanjut hasil temuan audit, namun lebih diarahkan pada off-site monitoring. Analisa dalam off-site monitoring bukan sekedar untuk mengetahui sejauh mana tindaklanjut telah dilakukan. Namun secara berkesinambungan juga untuk memantau perkembangan parameter inherent risk serta kondisi perubahan terhadap risk control system. Secara triwulanan, profil risiko bank akan dievaluasi kesesuaiannya dengan hasil off-site monitoring ini.
8. EVALUASI AUDIT: Untuk mendukung quality assurance, setiap pelaksanaan audit harus dilakukan evaluasi. Evaluasi tersebut bukan hanya dimaksudkan untuk menilai kekurangan-kekurangan dalam proses pelaksanaan audit yang telah dilakukan, namun juga untuk mendukung evaluasi kompetensi melalui analisa kebutuhan training/pelatihan para auditor.
7. MONITORING AUDIT: Monitoring audit bukan semata ditujukan pada pemantauan tindak lanjut hasil temuan audit, namun lebih diarahkan pada off-site monitoring. Analisa dalam off-site monitoring bukan sekedar untuk mengetahui sejauh mana tindaklanjut telah dilakukan. Namun secara berkesinambungan juga untuk memantau perkembangan parameter inherent risk serta kondisi perubahan terhadap risk control system. Secara triwulanan, profil risiko bank akan dievaluasi kesesuaiannya dengan hasil off-site monitoring ini.
8. EVALUASI AUDIT: Untuk mendukung quality assurance, setiap pelaksanaan audit harus dilakukan evaluasi. Evaluasi tersebut bukan hanya dimaksudkan untuk menilai kekurangan-kekurangan dalam proses pelaksanaan audit yang telah dilakukan, namun juga untuk mendukung evaluasi kompetensi melalui analisa kebutuhan training/pelatihan para auditor.
MACRO RISK ASSESSMENT
Dalam perencanaan audit tahunan auditor harus menyadari bahwa perencanaan audit ini tidak ditujukan untuk menemukan SEMUA kesalahan/permasalahan tapi untuk memberikan kesimpulan hasil audit berdarkan keyakinan yang memadai. Karena internal audit memiliki sumberdaya yang terbatas, maka harus dialokasikan secara produktif. Alokasi ini didasarkan pada suatu penilaian risiko yaitu Macro Risk Assessment yang menghasilkan suatu matrik yang menggambarkan kondisi risiko terhadap masing-masing area/aktivitas/cabang seperti contoh berikut:
Pada matrik di atas secara mudah auditor dapat memetakan kantor cabang-kantor cabang dan area/aktivitas-aktivitas yang memiliki risiko tinggi (berwarna merah). Dalam metodologi ini, obyek audit tidak harus dinilai untuk keseluruhan cabang. Dalam penerapannya, ada juga yang menggunakan penilaian terhadap aktivitas-aktivitas, misalnya perkreditan, penghimpunan dana, treasury, administrasi, akuntansi dan umum dan seterusnya. Macro risk assessment tersebut disusun melalui metodologi scoring terhadap aspek-aspek relative yang didefinisikan sehingga dapat menyimpulkan bahwa suatu cabang (atau suatu aktivitas) menjadi lebih berisiko secara relative dibandingkan cabang (atau aktivitas) yang lain. Umumnya aspek-aspek ini meliputi:
- Analisa eksposure (exposure analysis), yaitu identifikasi risiko yang difokuskan pada aset-aset yang mendukung proses bisnis/kegiatan, yaitu: - Aset financial (portfolio kredit, dana pihak ketiga dst); - Aset fisik; - Aset sumber daya manusia; - Aset tidak berwujud.
- Analisa lingkungan (environmental analysis), seperti - Suku bunga dan nilai tukar, - Regulasi atau peraturan pemerintah, - Kompetitor, - Nasabah dan debitur, - Teknologi, - Geografis, cuaca dan daerah, dll
- Skenario risiko (threat scenario), potensial fraud, kepatuhan dll.
Best practices yang dilaksanakan oleh bank yang tidak terlalu kompleks, aspek-aspek yang umum digunakan difokuskan terhadap: Volume (lending dan funding), kompleksitas (jumlah transaksi, karyawan, jaringan kantor dll), kualitas asset (NPL, PPA), pertumbuhan, internal control, dan hasil audit periode sebelumnya. Aspek-aspek ini disebut sebagai faktor risiko yang diberikan bobot kontribusi terhadap pengukuran risiko. Contoh bobot volume adalah 20%. Artinya bahwa suatu cabang yang memiliki eksposure kredit atau dana pihak ketiga yang lebih besar maka akan mengandung 20% risiko yang lebih tinggi dibandingkan dengan cabang lainnya. Demikian seterusnya.
MICRO RISK ASSESSMENT
Berbeda dengan macro risk assessment untuk mendukung perencanaan audit sehingga lebih fokus terhadap cabang/aktivitas yang berisiko, micro risk assessment lebih melihat individual risk terhadap obyek audit yang diprioritaskan selama pelaksanaan audit. Sebagai contoh adalah kantor cabang A (yang secara macro risk assessment memiliki risk level terbesar). Auditor harus melakukan pengukuran/pengujian terhadap kecukupan pengendalian intern dan risk control system yang ada-untuk memitigasi risiko (yang secara macro telah dinilai high risk).
Micro risk assessment ini dilakukan dalam pelaksanaan audit untuk mengukur kehandalan pengendalian intern dan risk control system dari seluruh business process. Disinilah risk based internal audit dikembangkan, yaitu bukan melakukan audit terhadap risiko (yang tidak mungkin di audit) namun audit terhadap kecukupan/kehandalan risk control system (seluruh business process) untuk memitigasi risiko yang ada.
Secara umum, core business dan micro risk profile cabang A digambarkan sebagai berikut:
Masing-masing core process (misalnya perkreditan) akan terdiri dari beberapa sub proses (misalnya 13 sub-proses, diantaranya perjanjian kredit dan pengikatan agunan). Masing-masing sub-proses ini memiliki potential risk yang erat berhubungan (misalnya risiko pemberian kredit fiktif atau topengan). Cabang A telah memiliki sejumlah key control untuk memitigasi potential risk ini, misalnya kebijakan, sistem dan prosedur yang mengatur bahwa setiap pemberian kredit telah didahului dengan perjanjian kredit yang sah dan sempurna. Key control yang merupakan bagian risk control system inilah yang akan diuji oleh auditor dalam pengukuran micro risk assessment melalui prosedur-prosedur audit.
Hasil pengujian auditor yang menghasilkan observasi atau temuan audit akan mengurangi nilai kehandalan risk control system dan rating pengendalian intern. Misalnya: dari hasil pengujian diperoleh fakta bahwa lebih dari 20% sampling menunjukkan bahwa perjanjian kredit belum ditandatangani oleh pihak bank dan belum terdapat perpanjangan atas perjanjian yang telah jatuh tempo. Dalam metodologi, kondisi ini tergolong temuan mayor sehingga terhadap aktivitas yang berisiko tinggi akan berdampak signifikan. Temuan ini mengurangi nilai kehandalan risk control system. Kertas kerja audit akan tampak sebagai berikut:
KESIMPULAN:
Melalui metodologi internal audit risk assessment dalam risk based audit, akan diperoleh manfaat utama yaitu efektivitas dan efisiensi pelaksanaan audit, sehingga sumber daya audit, kompetensi, waktu serta perhatian akan lebih fokus terhadap upaya untuk mendukung penerapan risk management. Manfaat ini termasuk:
- Perencanaan audit disusun secara lebih reliable berdasarkan metodologi yang jelas, bukan hanya berdasarkan ‘insting’ dan perkiraan apalagi tidak jelas dan sama dari tahun ke tahun.
- Pelaksanaan audit lebih mengarah pada pengujian terhadap kehandalan risk control system, dan bukan hanya sekedar mencari-cari temuan yang tidak jelas berada di business process apa, apa risikonya, dan bagaimana dampaknya terhadap penilaian pengendalian intern.
- Profil risiko dan rating pengendalian intern auditee lebih mudah ditampilkan dalam laporan hasil audit sehingga penentuan tindak lanjut serta keputusan/disposisi menjadi lebih jelas.
- Auditor, auditee serta manajemen akan lebih memahami business process-risk and control yang menjadi fokus penilaian audit. Sehingga apabila auditee ‘ingin memperoleh nilai’ rating pengendalian intern yang handal, maka sudah jelas seluruh key control yang harus dipenuhinya. Kondisi ini akan mendukung penerapan control self assessment dan risk assessment oleh satuan kerja manajemen risiko.
- Metodologi ini akan memberikan dasar yang jelas dan memadai untuk dikembangkan lebih lanjut sehingga lebih fokus terhadap konsidi keragaman Auditee.
Last Updated (Friday, 27 January 2012 03:00)
Most Views
|
KAP News
|
Who we are
Who we are