Upload
lekhuong
View
258
Download
4
Embed Size (px)
Citation preview
BAB 2
LANDASAN TEORI
1.1 Audit
1.1.1 Pengertian Audit
Pengertian audit menurut Mulyadi (2010:9) adalah:
“Secara umum auditing adalah suatu proses sistematik untuk memperoleh dan
mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan
dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian anatara
pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta
penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”.
Pengertian atau definisi menurut Arens et al (2010: 4) adalah:
“Auditing is the accumulation and evaluation of evidence about information to
determine and report on the degree of correspondence between the information and
established criteria. Auditing should be done by a competent, independent person.
Audit adalah pengumpulan dan evaluasi bukti tentang informasi untuk
menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang
telah ditetapkan. Auditing harus dilakukan oleh orang yang kompeten, independen
dan berintegritas.
Dari definisi-definisi tersebut diatas, dapat disimpulkan bahwa audit adalah
menyangkut hal-hal sebagai berikut:
a) Dalam audit dilakukan tindakan-tindakan menyimpulkan (accumulate),
mengevaluasi (evaluate), menentukan (determine), dan melaporkan (report).
b) Informasi-informasi yang dapat diukur dan kriteria-kriteria yang telah
ditetapkan syarat dalam melakukan pemeriksaan adalah informasi yang
terpercaya atau dapat dibuktikan kebenarannya dan kriteria standar yang
dapat digunakan oleh auditor sebagai pedoman dalam mengevalusi informasi-
informasi tersebut.
c) Untuk memenuhi tujuan audit, auditor harus memperoleh bukti dengan
kualitas dan jumlah yang mencukupi. Bukti (evidence) adalah setiap
informasi yang digunakan auditor untuk menentukan apakah informasi yang
diaudit dinyatakan sesuai dengan kriteria yang telah ditetapkan.
d) Pengumpulan dan pengevaluasian bukti, adanya bukti-bukti yang memadai
baik dari segi jumlah maupun dari segi menu sangat diperlukan untuk
menentukan kegiatan audit. Bahan bukti dapat terdiri dari bermacam bentuk
yang berbeda termasuk peringatan lisan dari pihak yang diaudit (klien).
Komunitas dengan pihak ketiga dan hasil pengamatan auditor.
e) Auditor harus independen dan kompeten, independen berarti bebas dari
pengaruh-pengaruh hingga batas-batas tertentu. Sedangkan kompeten berarti
auditor harus mempunyai pengetahuan dan pengalaman yang cukup agar
dapat memahami kriteria-kriteria yang dipergunakan.
f) Pelaporan, Pelaporan hasil audit harus mampu memberikan informasi
mengenai kesesuaian informasi yang diperiksa dengan kriteria yang telah
ditetapkan.
1.1.2 Tipe Audit
Mulyadi (2010: 30-32) menyatakan auditing umumnya digolongkan menjadi
3 golongan yaitu audit laporan keuangan, audit kepatuhan, dan audit operasional.
1. Audit Laporan Keuangan (Financial Statement Audit)
Audit laporan keuangan adalah audit yang dilakukan oleh auditor independen
terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat
mengenai kewajaran laporan keuangan tersebut. Dalam laporan keuangan ini, auditor
independen menilai kewajaran laporan keuangan atas dasar kesesuaiannya dengan
prinsip akuntansi berterima umum.
2. Audit Kepatuhan (Compliance Audit)
Audit kepatuhan adalah audit yang tugasnya untuk menentukan apakah yang
diaudit sesuai dengan kondisi atau peraturan tertentu. Audit kepatuhan banyak
dijumpai dalam pemerintahan.
3. Audit Operasional (Operational Audit)
Audit operasional merupakan review secara sistematik kegiatan organisasi
atau bagian dari padanya, dalam hubungannya dengan tujuan tertentu.
Tujuan audit operasional adalah untuk :
a. Mengevaluasi kinerja
b. Mengidentifikasi kesempatan untuk peningkatan
c. Membuat rekomendasi untuk perbaikan atau tindakan lebih lanjut.
1.2 Audit Operasional
1.2.1 Pengertian Audit Operasional
Audit operasional merupakan proses sistematis yang bertujuan untuk
mengkaji dan menilai prosedur operasi yang akan menghasilkan informasi bagi
manajemen. Audit operasional atau pemeriksaan pengelolaan (management audit)
menurut Kayo (2013:44) adalah suatu pemeriksaan yang independen, sistematis,
selektif, dan analitis untuk menilai bagaimana cara pengelolaan atau operasi suatu
organisasi diatur dan dilaksanakan dengan tujuan untuk membantu semua peringkat
manajemen dalam pelaksanaan tugas yang lebih baik dengan memberikan informasi
kelemahan yang dijumpai berikut usul-usul rekomendasi perbaikannya.
1.2.2 Jenis- jenis Audit Operasional
Menurut Arens, Elder, Beasley (2010) pada dasarnya audit operasional
teebagi menjadi tiga jenis yaitu: fungsional, organisasi, dan penugasan khusus.
Ketiga jenis audit operasional itu dapat diuraikan sebagai berikut:
a) Fungsional
Audit fungsional berkaitan dengan sebuah fungsi atau lebih dalam suatu organisasi.
Ini dapat berhubungan misalnya dengan fungsi penggajian suatu divisi atau
untuk perusahaan secara keseluruhan. Keunggulan audit fungsional adalah
memungkinkan adanya spesialiasasi oleh auditor, kekurangan audit operasional
adalah tidak dievaluasinya fungsi yang saling berkaitan.
b) Organisasi
Audit operasional tata suatu organisasi menyangkut keseluruhan unit organisasi,
seperti departemen cabang atau anak perusahaan. Penekanan dana suatu organisasi
adalah seberapa efisien fungsi-fungsi saling berinteraksi. Cara organisasi dan
metode-metode untuk mengkoordinasikan yang ada sangat penting dalam audit jenis
organisasi.
c) Penugasan khusus
Penugasan audit khusus timbul atas permintaan manajemen. Adanya variasi dalam
audit seperti itu, contohnya mencakup penentuan penyebab tidak efektifnya sistem
pengelolaan data elektronik (PDE), penyelidikan kemungkinan kecurangan dalam
suatu divisi, dan membuat rekomendasi untuk mengurangi biaya produksi suatu
barang.
1.2.3 Tujuan dan Elemen Audit Operasional
Menurut Bayangkara (2011:3), tujuan audit operasional pada dasarnya adalah
untuk mengidentifikasi kegiatan program, dan aktivitas yang masih memerlukan
perbaikan sehingga dengan rekomendasi yang diberikan nanti dapat dicapai
perbaikan atas pengelolaan berbagai program dan aktivitas perusahaan tersebut.
Elemen penting yang terkandung dalam tujuan audit operasional, yaitu kriteria
(criteria), penyebab (cause), akibat (effect) (Bayangkara, 2011:4).
a. Kriteria (criteria)
Kriteria merupakan standar (pedoman, norma) bagi setiap individu/kelompok di
dalam perusahaan dalam melakukan aktivitasnya. Kriteria dapat berupa peraturan
pemerintah, kebijakan manajemen perusahaan, Standar Operating Procedure (SOP)
dan lain sebagainya.
b. Penyebab (Cause)
Penyebab merupakan tindakan (aktivitas) yang dilakukan oleh setiap individu atau
kelompok di dalam perusahaan. Penyebab dapat bersifat positif atau negatif.
c. Akibat (effect)
Akibat merupakan perbandingan antara penyebab dengan kriteria yang berhubungan
dengan penyebab tersebut.
1.2.4 Ruang Lingkup Audit Operasional
Audit operasional memiliki ruang lingkup yang lebih luas jika dibandingkan
dengan audit keuangan. Menurut Bayangkara (2011:7), audit operasional ditujukan
untuk mencapai perbaikan atas berbagai program/aktivitas dalam pengelolaan
perusahaan yang masih memerlukan perbaikan. Luas audit operasional lebih
menekankan keyakinan pada efektivitas pengendalian manajemen yang dimiliki
perusahaan. Dalam pelaporan pun, audit operasional belum mempunyai standar
laporan yang baku sehingga masih dipengaruhi oleh kemampuan auditor dalam hal
penyampian informasi.
1.2.5 Tahap-tahap dalam Audit Operasional
Auditor dalam melaksanakan kegiatan memerlukan kerangka tugas sebagai
pedoman dalam melaksanakan pekerjaannya. Menurut Bayangkara (2011:10-11),
secara garis besar tahap-tahap audit operasional dapat dikelompokkan menjadi lima,
yaitu audit pendahuluan, review dan pengendalian manajemen, audit terinci,
pelaporan, tindak lanjut.
a) Audit Pendahuluan
Audit pendahuluan dilakukan untuk mendapatkan informasi latar belakang terhadap
objek yang diaudit. Disamping itu, pada tahapan ini juga dilakukan penelaahan
terhadap berbagai peraturan, ketentuan, dan kebijakan berkaitan dengan aktivitas
yang diaudit, serta menganalisis berbagai informasi yang telah diperoleh untuk
mengindikasikan hal-hal yang potensial mengandung kelemahan pada perusahaan
yang diaudit. Dalam audit ini auditor dapat menentukan beberapa tujuan audit
sementara (tentative audit objective).
b) Review dan Pengujian Pengendalian Manajemen
Pada tahapan ini auditor melakukan review dan pengujian terhadap pengendalian
manajemen objek audit, dengan tujuan untuk menilai efektifitas pengendalian
manajemen dalam mendukung pencapaian tujuan perusahaan. Hasil pengujian
pengendalian manajemen ini dapat mendukung tujuan audit sementara menjadi
tujuan audit yang sesungguhnya (definitive audit objective), atau mungkin ada
beberapa tujuan audit sementara yang gugur, karena tidak cukup bukti untuk
mendukung tujuan audit tersebut.
c) Audit Terinci
Pada tahap ini auditor melakukan pengumpulan bukti yang cukup dan kompeten
untuk mendukung tujuan audit yang telah ditentukan. Pada tahap ini dilakukan
pengembangan temuan untuk mencari keterkaitan antara satu temuan dengan temuan
yang lain dalam menguji permasalahan yang berkaitan dengan tujuan audit. Temuan
yang cukup, relevan, dan kompeten dalam tahap ini disajikan dalam suatu kertas
kerja audit atau working paper (WP) untuk mendukung kesimpulan audit yang dibuat
dan rekomendasi yang diberikan.
d) Pelaporan
Tahapan ini bertujuan mengkomunikasikan hasil audit termasuk rekomendasi yang
diberikan kepada berbagai pihak yang berkepentingan. Rekomendasi harus disajikan
dalam bahasa operasional dan mudah dimengerti serta menarik untuk
ditindaklanjuti.
e) Tindak Lanjut
Sebagai tahap akhir dari audit operasional, tindak lanjut bertujuan untuk mendorong
pihak-pihak yang berwenang untuk melaksanakan tindak lanjut (perbaikan) sesuai
dengan rekomendasi yang diberikan.
1.3 Audit Internal
1.3.1 Pengertian Audit Internal
Menurut Sukrisno Agoes (2012:204) definisi dari audit internal adalah
sebagai berikut :
“Internal audit (pemeriksaan intern) adalah pemeriksaan yang dilakukan oleh bagian
internal audit perusahaan, terhadap laporan keuangan dan catatan akuntansi
perusahaan maupun ketaatan terhadap kebijakan manajemen puncak yang telah
ditentukan dan ketaatan terhadap peraturan pemerintah dan ketentuan-ketentuan dari
ikatan profesi yang berlaku. Peraturan pemerintah misalnya peraturan di bidang
perpajakan, pasar modal, lingkungan hidup, perbankan, perindustrian, investasi, dan
lainlain”.
International Professional Practices Framework (2013), memberikan definisi
Audit Internal sebagai berikut:
1. An independent, objective assurance and consulting activity designed to add
value and improve an organisation’s operations.
2. Helps an organisation accomplish its objectives by bringing a systematic,
disciplined approach to evaluate and improve the effectiveness of risk
management, control, and governance processes.
3. Aims to enhance the effectiveness, economy and efficiency of operations.
4. Covers all the operations and systems of the organisation.
Definisi tersebut menerangkan bahwa audit internal tidak hanya sebatas
pemeriksaan yang berkaitan dengan keuangan, namun lebih jauh dari itu mencakup
review, evaluasi serta memberikan rekomendasi agar kegiatan perusahan menjadi
efektif.
IIA Standard menekankan lebih jauh mengenai aktivitas audit internal
khususnya dalam manajemen risiko, pengendalian internal, dan tata kelola sebagai
berikut:
a. 2120 – Manajemen Risiko:
“The internal audit activity should assist the organization by identifying and
evaluating significant exposures to risk and contributing to the improvement of risk
management and control systems”. Aktivitas audit internal harus mengevaluasi
akibat dari risiko terkait dengan tata kelola perusahaan, operasional dan teknologi
informasi sesuai dengan standar pengendalian internal.
b. 2110 – Pengendalian Internal
“The internal audit activity should assist the organization in maintaining effective
controls by evaluating their effectiveness and efficiency and by promoting continuous
improvement”. Pengembangan pengendalian internal secara berkesinambungan
dilakukan dengan senantiasa mengevaluasi efektivitas dan efisiensinya.
IIA Standard, Moeller (2009), Brink’s Modern Internal Auditing, p. 3, 7th
edition juga memberikan definisi atas praktek audit internal sebagai berikut,
“Internal auditing is an independent appraisal function established within an
organization to examine and evaluate its activities as a service to the organization.”
1.3.2 Tujuan Audit Internal
Menurut Hery (2010:39) tujuan dari audit internal adalah sebagai berikut :
“Audit internal secara umum memiliki tujuan untuk membantu segenap anggota
manajemen dalam menyelesaikan tanggung jawab mereka secara efektif, dengan
memberi mereka analisis, penilaian, saran dan komentar yang objektif mengenai
kegiatan atau hal-hal yang diperiksa”.
Pada dasarnya tujuan dari audit internal adalah membantu manajemen di
dalam suatu organisasi untuk menjalankan tugas dan wewenangnya secara sistematis,
ekonomis, efektif dan efisien dengan cara memberikan analisis, penilaian,
rekomendasi, konsultasi dan informasi sehubungan dengan aktivitas yang
diperiksanya. Ruang lingkup audit internal mencakup bidang yang sangat luas dan
kompleks meliputi seluruh tingkatan manajemen baik yang sifatnya administratif
maupun operasional.
1.3.3 Transformasi Fungsi Audit Internal
Pergeseran peran audit internal dari fungsi pengujian kepatuhan (age of
control focus auditing) menjadi fungsi yang memberikan nilai tambah bagi upaya
perusahaan mencapai sasaran dan mengelola risiko yang dihadapinya (age of risk
based auditing). Sesuai dengan Jurnal penelitian oleh Ednan Ayvaz and Davut
Pehlivanli yang berjudul “Enterprise Risk Management Based Internal Auditing and
Turkey Practice” menunjukan bahwa risk based audit tidak hanya memberikan
fungsi assurance namun juga sebagai konsultan dalam memberikan nilai tambah
untuk mencapai tujuan perusahaan.
Pergeseran peran audit internal dari fungsi pengujian kepatuhan (age of control
focus auditing) menjadi fungsi yang memberikan nilai tambah bagi upaya
perusahaan mencapai sasaran dan mengelola risiko yang dihadapinya (age of risk
based auditing). Internal audit tidak lagi menjadi “polisi/watch dog” yang hanya
melakukan inspeksi dan reperformance tetapi dengan melakukan risk based audit
yaitu focus kepada mitigasi risiko dengan design/operation yang tepat dan processs
level control. (Gambar 2.1)
Gambar 2.1 Transformasi Fungsi Internal Audit
Sumber: Seminar Internal Audit (SNIA 2013)
1.4 Pengendalian Internal
Menurut COSO (Committee of Sponsoring Organizations of the Treadway
Commission) (2013), “Pengendalian internal adalah suatu proses yang dilakukan oleh
dewan entitas direksi, manajemen, dan personil lainnya dirancang untuk memberikan
keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi,
pelaporan, dan kepatuhan.”
Pengendalian internal mencakup rencana organisasi dan semua metode yang
terkoordinasi yang diterapkan, antara lain untuk mengamankan harta perusahaan,
keakuratan dan keandalan sistem akuntansi dan keuangan, meningkatkan efisiensi
operasional, dan mendorong ketaatan terhadap kebijakan manajerial yang telah
ditetapkan. Sehingga pengendalian internal tidak sebatas pada fungsi akuntansi dan
keuangan, melainkan mencakup keseluruhan fungsi pada perusahaan.
Definisi ini juga diadopsi oleh Ikatan Akuntan Indonesia (IAI) yang
dinyatakan dalam Standard Profesional Akuntan Publik, Pedoman Standar Akuntansi
No. 69, Seksi 319 mengenai Pertimbangan Atas Pengendalian Internal Dalam Audit
Laporan Keuangan sebagai berikut:
“Pengendalian internal adalah suatu proses yang dijalankan oleh dewan komisaris,
manajemen, dan personil lain entitas yang didesain untuk memberikan keyakinan
memadai tentang pencapaian tiga golongan tujuan berikut ini: keandalan pelaporan
keuangan, efektivitas dan efisiensi operasi, dan kepatuhan terhadap hukum dan
peraturan yang berlaku.”
Komponen Pengendalian Internal dalam Kerangka COSO 2013
Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian
internal:
I. Lingkungan Pengendalian
1. Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2. Tanggung jawab pengawasan pelatihan.
3. Menetapkan struktur, wewenang, dan tanggung jawab.
4. Menunjukkan komitmen untuk berkompetensi
5. Meningkatkan akuntabilitas
Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam
suatu organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi
lingkungan kerja dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas
dan etika seluruh anggota organisasi, komitmen pimpinan manajemen atas
kompetensi, kepemimpinan manajemen yang kondusif, pembentukan struktur
organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung
jawab yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang
pembinaan sumber daya manusia, perwujudan peran aparat pengawasan yang efektif,
dan hubungan kerja yang baik dengan pihak ekstern.
II. Penilaian Risiko
6. Menentukan tujuan yang sesuai.
7. Mengidentifikasi dan menganalisis risiko.
8. Menilai risiko penyelewengan (fraud)
9. Mengidentifikasi dan menganalisis perubahan yang signifikan.
Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan.
Identifikasi terhadap risiko (risk identification) diperlukan untuk mengetahui potensi-
potensi kejadian yang dapat menghambat dan menghalangi terwujudnya tujuan
organisasi. Setelah dilakukan identifikasi maka dilakukan analisis terhadap risiko
meliputi analisis secara kuantitatif (quantitative risk analysis) dan kualitatif
(qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta
merupakan masukkan untuk mendapatkan cara mengelola risiko tersebut.
III. Aktivitas Pengendalian
10. Memilih dan mengembangkan kegiatan pengendalian
11. Memilih dan mengembangkan kontrol umum atas teknologi.
12. Menyebarkan melalui kebijakan dan prosedur.
Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko,
menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa
tindakan tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang
dilakukan untuk mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu
tindakan pencegahan dan tindakan mitigasi. Tindakan pencegahan adalah tindakan
yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan
mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung,
dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi.
Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai
keefektifan serta keefisienan tindakan tersebut.
IV. Informasi dan Komunikasi
13. Menggunakan informasi yang relevan.
14. Berkomunikasi secara internal
15. Berkomunikasi eksternal
Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan
keputusan dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi
yang berkualitas tentunya harus dikomunikasikan kepada pihak-pihak yang terkait.
Penyampaian informasi yang tidak baik dapat mengakibatkan kesalahan interpretasi
penerima informasi.
V. Monitoring
16. Melakukan evaluasi berkelanjutan dan/atau terpisah.
17. Mengevaluasi dan mengkomunikasikan kelemahan.
Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh
pimpinan manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam
pelaksanaan tugas sebagai penilai terhadap kualitas dan efektivitas sistem
pengendalian intern. Pemantauan dapat dilakukan dengan 3 cara yaitu pemantauan
berkelanjutan (on going monitoring), evaluasi yang terpisah (separate evaluation),
dan tindak lanjut atas temuan audit.
1.5 Risiko
1.5.1 Pengertian Risiko
Risiko merupakan sebuah ketidakpastian yaitu kejadian yang mungkin akan
terjadi jika tidak ada atau tidak tersedianya informasi yang memadai tentang apa
yang akan terjadi di masa mendatang. Risiko dapat berdampak negatif terhadap
tujuan perusahaan, dan lebih jauh dapat menimbulkan terjadinya kerugian atau
ancaman bagi kelangsungan hidup perusahaan
Standards for Professional Practice of Internal Auditing (2012), memberikan
definisi risiko sebagai berikut: “risk is a probability that an event may adversely
affect the organization or activity under audit”
Pada dasarnya, definisi risiko mengarah pada suatu ketidakpastian atas
terjadinya peristiwa dalam periode waktu tertentu. Peristiwa tersebut menyebabkan
suatu kerugian baik kerugian kecil yang tidak berarti, maupun kerugian besar yang
berpengaruh terhadap keberlangsungan hidup suatu perusahaan. Secara umum, risiko
dapat didefinisikan sebagai suatu keadaan yang dihadapi oleh organisasi dengan
kemungkinan yang merugikan. Sehingga dapat dikatakan bahwa selama perusahaan
mengalami kerugian walau sekecil apapun, hal tersebut dianggap risiko.
1.5.2 Jenis-Jenis Risiko
SPAP (Standar Profesional Akuntan Publik) PSA Seksi 312 mendefinisikan
risiko audit sebagai risiko yang timbul karena auditor tanpa disadari tidak
memodifikasi pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang
mengandung salah saji material. Dalam pelaksanaan audit atas laporan keuangan
sebuah perusahaan, di samping risiko audit, auditor juga akan menghadapi risiko
lainnya seperti risiko kerugian praktek profesionalnya akibat dari tuntutan
pengadilan, publikasi negatif, atau peristiwa lain yang mungkin timbul berkaitan
dengan audit atas laporan keuangan yang dilakukan. Oleh karena itu, auditor harus
selalu mempertimbangkan faktor risiko audit baik dalam tahap perencanaan audit,
perancangan prosedur audit maupun dalam tahap evaluasi kewajaran penyajian
laporan keuangan perusahaan.
SPAP SA Seksi 312 mengharuskan auditor untuk selalu merencanakan
auditnya sedemikian rupa, sehingga risiko audit dapat dibatasi pada tingkat yang
rendah, yang menurut pertimbangan profesionalnya, memadai untuk menyatakan
pendapat atas laporan keuangan.
Risiko audit dapat dibagi menjadi tiga jenis yaitu :
a. Risiko Bawaan (Inherent Risk):
Kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji
material, dengan asumsi bahwa tidak terdapat pengendalian yang terkait (maksudnya
bahwa risiko bawaan timbul dengan asumsi pengedalian internal dalam perusahaan
tidak ada. Jika pengendalian internal dalam perusahaan memadai serta efektif dalam
pelaksanaannya dengan sendirinya risiko bawaan akan dapat diminimalisasi). Risiko
salah saji dapat lebih besar pada saldo akun atau golongan transaksi tertentu
dibandingkan dengan yang lain. Sebagai contoh, perhitungan yang rumit lebih
mungkin disajikan salah jika dibandingkan dengan perhitungan yang sederhana.
Uang tunai dalam perusahaan lebih mudah dicuri daripada persediaan. Suatu akun
dalam laporan keuangan yang berasal dari estimasi akuntansi cenderung
mengandung risiko yang lebih besar dibandingkan dengan akun yang sifatnya relatif
rutin dan berisi data faktual. Perusahaan yang bergerak dalam bidang industri yang
memproduksi barang-barang high technology seperti misalnya handphone akan lebih
berisiko terjadinya penumpukan persediaan yang usang karena tidak sesuai lagi
dengan tuntutan pasar.
b. Risiko Pengendalian (Control Risk):
Risiko bahwa suatu salah saji material yang dapat terjadi dalam suatu asersi tidak
dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian intern entitas.
Risiko ini merupakan fungsi efektivitas desain dan operasi pengendalian intern untuk
mencapai tujuan entitas yang relevan dengan penyusunan laporan keuangan entitas.
Beberapa risiko pengendalian akan selalu ada karena keterbatasan bawaan dalam
setiap pengendalian internal.
c. Risiko Deteksi (Detection Risk):
Risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat dalam
suatu asersi. Risiko deteksi merupakan fungsi efektivitas prosedur audit dan
penerapannya oleh auditor. Risiko ini timbul sebagian karena ketidakpastian yang
ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi,
dan sebagian lagi karena ketidakpastian lain yang ada, walaupun saldo akun atau
golongan transaksi tersebut telah diperiksa 100%. Ketidakpastian lain semacam itu
bisa timbul karena auditor mungkin memilih suatu prosedur audit yang tidak sesuai,
menerapkan secara keliru prosedur yang semestinya, atau menafsirkan secara keliru
hasil audit. Ketidakpastian seperti ini dapat dikurangi sampai pada tingkat yang dapat
diabaikan melalui perencanaan dan supervisi memadai serta pelaksanaan praktek
audit yang sesuai dengan standar pengendalian mutu.
Seperti yang dijelaskan dalam SPAP PSA seksi 312 p. 28 bahwa risiko
bawaan dan risiko pengendalian berbeda dengan risiko deteksi. Adapun risiko
bawaan dan risiko pengendalian tetap ada, terlepas dari dilakukan atau tidaknya audit
atas laporan keuangan, sedangkan risiko deteksi berhubungan dengan prosedur audit
dan dapat diubah oleh keputusan auditor itu sendiri. Risiko deteksi mempunyai
hubungan yang terbalik dengan risiko bawaan dan risiko pengendalian. Semakin
kecil risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin
besar risiko deteksi yang dapat diterima. Sebaliknya, semakin besar adanya risiko
bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin kecil tingkat
risiko deteksi yang dapat diterima.
Terdapat 4 (empat) kategori risiko utama pada manajemen risiko diantaranya
adalah:
a. Risiko Strategis
Risiko ini terkait erat sehubungan dengan implementasi suatu strategi atau keputusan
di masa mendatang yang diambil oleh perusahaan dalam menghadapi perubahan
kondisi eksternal atau perkembangan proses bisnis perusahaan
b. Risiko Operasional
Merupakan risiko langsung maupun tidak langsung yang timbul akibat kegagalan
atau tidak memadainya proses pengendalian, baik yang disebabkan oleh sumber daya
manusia, sistem, maupun kejadian-kejadian eksternal perusahaan. Risiko ini terkait
erat dengan kegiatan operasional perusahaan sehari-hari.
c. Risiko Keuangan
Merupakan risiko kerugian yang timbul secara langsung dalam bidang keuangan,
yang antara lain disebabkan oleh fluktuasi nilai tukar mata uang, perubahan tingkat
suku bunga, dan ketidakmampuan pihak kreditur dalam mengembalikan
kewajibannya.
d. Risiko Hazard
Risiko ini biasanya berkaitan dengan keadaan bahaya, seperti tindakan teroris,
kondisi sosial politik, dan keadaan cuaca, maupun risiko yang berkaitan dengan
adanya gugatan hukum oleh pihak lain.
1.5.3 Sumber Risiko
Menurut sumber atau penyebab timbulnya, risiko dibagi 2 kelompok, yaitu:
1. Risiko Eksternal
Risiko yang berasal dari luar perusahaan, seperti fluktuasi harga, persaingan dalam
bisnis. Risiko eksternal dapat memaksa terjadinya perubahan pada praktek dan
strategi operasional perusahaan dan menunjukkan pentingnya rencana kontijensi atas
setiap perubahan yang terjadi di luar kendali perusahaan.
2. Risiko Internal
Risiko internal bersumber dari dalam perusahaan itu sendiri, seperti kerusakan aset
perusahaan, gangguan atas fasilitas pengolahan sistem informasi yang dapat
berdampak negatif terhadap keseluruhan aktivitas operasional yang ada. Kualitas
personil dan metode pelatihan personil yang ada dapat mempengaruhi tingkat
pengendalian dalam perusahaan. Selain itu penyalahgunaan aset perusahaan akibat
adanya penyalahgunaan wewenang oleh personil juga dapat menimbulkan risiko bagi
internal perusahaan.
1.5.4 Penilaian Risiko
Risk assessment (penilaian risiko) adalah metode yang sistematis untuk
menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak.
Risk assessment merupakan kunci dalam perencanan pemulihan bencana. Penilaian
risiko, proses menganalisis dan menafsirkan risiko terdiri dari tiga kegiatan dasar
yaitu: (1) menentukan ruang lingkup dan metodologi penilaian, (2) mengumpulkan
dan menganalisis data, dan (3) menafsirkan hasil analisis risiko.
1. Menentukan Ruang Lingkup dan Metodologi Penilaian
Langkah pertama dalam melakukan risk assessment adalah mengidentifikasi
sistem yang sedang dipertimbangkan, bagian sistem yang akan di analisis, dan
metode analisis yang akan digunakan. Assessment dapat difokuskan pada area
tertentu baik yang tingkat risikonya tidak diketahui maupun yang tingkat risikonya
tinggi. Mendefinisikan ruang lingkup dan batasan dapat membantu peghematan
biaya.
Faktor yang mempengaruhi ruang lingkup:
a. Fase dalam siklus hidup sistem, misalnya lebih baik mengembangkan sistem
baru daripada mengembangkan sistem yang sudah ada.
b. Kepentingan relatif dari sistem di bawah pemeriksaan, sistem yang lebih
penting seharusnya di analisis lebih menyeluruh.
c. Besar dan jenis sistem yang mengalami perubahan sejak analisis risiko
terakhir.
Metodologi bisa berbentuk formal atau informal, rinci atau sederhana, tingkat
tinggi atau rendah, kuantitatif atau kualitatf, atau kombinasi dari semuanya. Tidak
ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan.
Cara menentukan batasan, ruang lingkup, dan metodologi akan memiliki
konsekuensi besar dalam jumlah total usaha yang dihabiskan pada manajemen risiko
dan jenis serta kegunaan dari hasil penilaian itu. Batasan dan ruang lingkup harus
dipilih dengan cara yang akan memberikan hasil yang jelas, spesifik, dan berguna
untuk sistem dan lingkungan.
2. Mengumpulkan dan Menganalisis Data
Sebuah upaya manajemen risiko harus fokus pada bidang-bidang yang
menghasilkan konsekuensi terbesar bagi organisasi seperti menyebabkan kerugian
yang besar. Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis
komponen risiko secara terpisah. Misalnya, impact dan likelihoods dapat di analisa
bersama-sama dengan risk matrix. Risk matrix dapat membantu untuk menentukan
strategi dari manajemen risiko. Adapun strategi manajemen risiko dapat terdiri dari
beberapa teknik:
a) Menghindari Risiko
Jika kita mengambil suatu keputusan maka kita akan berusaha untuk menghindari
risiko, sehingga semua aktivitas yang menimbulkan risiko yang dimaksud akan
dihindari sama sekali. Sebagai contoh, petani yang memutuskan untuk tidak
menanam tanaman tertentu oleh karena kondisi lingkungan yang tidak
memungkinkan dan adanya kemungkinan kegagalan panen yang sangat tinggi.
b) Meminimalkan Risiko
Jika kita mengambil suatu keputusan maka kita akan berusaha untuk meminimalisir
risiko, entah itu mengurangi probabilitasnya, atau pun mengurangi dampak yang
ditimbulkan. Sebagai contoh adalah melakukan safety training atau menggunakan
perangkat yang aman di lingkungan kerja guna meminimalisir risiko kecelakaan
kerja.
c) Membiarkan Risiko
Jika kita mengambil suatu keputusan dengan membiarkan suatu risiko yang akan
terjadi, karena memang kecenderungannya risiko tersebut jarang terjadi atau tingkat
keparahannya memang cenderung rendah. Sebagai contoh, sebuah ritel yang
membiarkan customer yang memang bukan target market utama untuk berpindah ke
kompetitor.
d) Transfer Risiko
Jika kita mengambil langkah untuk mentransfer risiko yang mungkin terjadi ke
perusahaan asuransi, yang nantinya akan memberikan ganti rugi jika suatu risiko
terjadi. Biasanya, risiko yang dipindahkan adalah risiko yang punya dampak
keparahan sangat hebat. Sebagai contoh peristiwa kebakaran, kematian, kendaraan,
rumah dan sebagainya.
e) Menafsirkan Hasil Analisis Risiko
Penilaian risiko digunakan untuk mendukung dua fungsi terkait yaitu penerimaan
risiko dan pemilihan biaya kontrol yang tepat. Untuk mencapai fungsi-fungsi
tersebut, penilaian risiko harus menghasilkan output yang bernilai, yang
mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan
interpretasi risiko untuk risiko yang paling signifikan adalah cara lain dalam proses
manajemen risiko yang difokuskan untuk mengurangi upaya menyeluruh sementara
masih menghasilkan hasil yang bermanfaat. Jika risiko diinterpretasikan secara
konsisten di seluruh organisasi, hasilnya dapat digunakan untuk memprioritaskan
sistem yang harus diamankan. Untuk menganalisis risiko dapat dilakukan formulasi
risk assessment yaitu judgment atas impact dan likelihood.
Gambar 2.2 Risk Assesment berdasarkan kriteria Impact dan Likelihood
Sumber: Seminar Internal Audit (SNIA 2013)
Penilaian risiko berdasarkan pada tujuan dan strategi perusahaan, Risiko
dinilai berdasarkan seberapa besar dampaknya bagi perusahaan (impact) serta
seberapa seringnya risiko akan terjadi di masa yang akan datang (likelihood).
Gambar 2.3 Definisi Kriteria Impact
Sumber: Seminar Internal Audit (SNIA 2013)
Kriteria impact terbagi menjadi 5 (lima kriteria), yaitu sangat tinggi (critical),
tinggi (high), sedang (medium)), rendah (low), dan sangat rendah (insignificant).
Berdasarkan kriteria diatas perusahaan dapat melakukan penilaian seberapa besar
dampak risiko jika risiko tersebut terjadi.
Gambar 2.4 Definisi Kriteria Likelihood
Sumber: Seminar Internal Audit (SNIA 2013)
Kriteria likelihood terbagi menjadi 5 (lima) kriteria yaitu sering sekali
(certain), sering (high), sedang (medium)), jarang (low), dan sangat jarang (rare).
Berdasarkan kriteria diatas perusahaan dapat melakukan penilaian seberapa sering
kemungkinan terjadinya risiko.
1.6 Peran Audit Internal dalam Manajemen Risiko
Peran audit internal dalam manajemen risiko pada setiap entitas berbeda-
beda. Ini disebabkan karena karakteristik usaha dan risiko yang dihadapi oleh
masing-masing entitas pun berbeda satu sama lain. Peran tersebut juga akan terus
berkembang seiring perkembangan kompleksitas operasi perusahaan da manajemen
risiko yang dilaksanakan oleh perusahaan.
Nature of work dari audit internal menurut Practice Advisory yang
dikeluarkan oleh IIA Standard 2100 - Nature of Work, mencakup mengevaluasi dan
berkontribusi untuk pengembangan proses manajemen risiko, pengendalian, dan tata
kelola menggunakan pendekatan yang sistematis.
Prinsip dari practice advisory ini adalah bahwa fungsi audit internal memiliki
peran kunci dalam proses manajemen risiko pada organisasi, sehubungan dengan
mempraktekan audit internal sesuai dengan standard. Practice advisory ini
menyediakan pedoman bagi internal auditor untuk menentukan perannya dalam
proses manajemen risiko pada organisasi dan kesesuaian terhadap standar.
1.7 Audit Berbasis Risiko (Risk Based Audit)
Awalnya aktivitas audit internal hanya berfokus pada pemeriksaan terhadap
tingkat kepatuhan para pelaksana terhadap ketentuan-ketentuan yang ada
(compliance). Kondisi kegiatan bisnis yang semakin berkembang dan kompleks di
sisi lain memberikan tekanan bagi perusahaan untuk memanfaatkan sumber daya
yang terbatas secara efektif dan efisien.
Risk based audit merupakan suatu pendekatan yang memungkinkan bagi
audit internal untuk memenuhi espektasi tersebut. Risk based audit memungkinkan
audit internal untuk memprioritaskan audit dalam bentuk yang sistematis dan
terkoordinir. Sementara pada kenyataannya audit internal selalu memfokuskan
tindakan pada area yang paling berisiko dalam organisasi, hal tersebut merupakan
hasil dari pertimbangan internal auditor atas penilaian risiko.
Maribeth A. Wollard, CPA (2015) memberikan definisi risk-based auditing
sebagai berikut:
“Risk based auditing can be defined as identifying the risk of material misstatement
in areas of the financial statement and subsequently determining the most efficient
and appropriate effort to be applied to each area. First, the auditor needs to identify
areas where there is a high risk of material mistatement; those are the areas that will
require the application of more procedures. Secondly, the auditor should determine
how to reduce the procedures applied to the areas identified as low-risk. In addition,
the following should also be analyzed to identify the risk of material misstatement:
The client's business risk (risk that an event will adversely affect the company's goals
and objectives How management mitigates those risks, and The areas of risk that
management has not addressed at all”.
Salah satu model risk-based auditing yang dapat digunakan adalah model
yang diperkenalkan oleh The Committee of Sponsoring Organizations of the
Treadway Commissions Enterprise Risk Management (COSO ERM). Model COSO
menunjukkan hubungan antara risiko organisasi dengan perencanaan audit.Model
COSO yang menggambarkan pendekatan pengendalian internal dari perspektif
tujuan organisasi, risiko yang dihadapi dalam mencapai tujuan organisasi dan
selanjutnya pengendalian yang diperlukan untuk menekan risiko. Manajemen
bertanggung jawab untuk menentukan tujuan organisasi yang hendak dicapai serta
berupaya untuk mencapainya secara optimal dengan menggunakan sumber daya
yang tersedia.
Menurut COSO ERM (2004), risk management (manajemen risiko) dapat
diartikan sebagai:
“a process, effected by an entity’s board of directors, management and other
personnel, applied in strategy setting and across the enterprise, designed to identify
potential events that may affect the entity, manage risk to be within its risk appetite,
and provide reasonable assurance regarding the achievement of entity objectives.”
Dari definisi risk management diatas dapat kita artikan menjadi beberapa bagian
yaitu :
a. On going proces
Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara berkala.
Manajemen risiko bukanlah suatu kegiatan yang dilakukan sesekali (one time event).
b. Effected by people
Manajemen risiko ditentukan oleh pihak-pihak yang berada di lingkungan organisasi.
Untuk lingkungan institusi Pemerintah, manajemen risiko dirumuskan oleh pimpinan
dan pegawai institusi/departemen yang bersangkutan.
c. Applied in strategy setting
Manajemen risiko telah disusun sejak dari perumusan strategi organisasi oleh
manajemen puncak organisasi. Dengan penggunaan manajemen risiko, strategi yang
disiapkan disesuaikan dengan risiko yang dihadapi oleh masing-masing bagian/unit
dari organisasi.
d. Applied across the enterprise
Strategi yang telah dipilih berdasarkan manajemen risiko diaplikasikan dalam
kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi. Mengingat
risiko masing-masing bagian berbeda, maka penerapan manajemen risiko
berdasarkan penentuan risiko oleh masing - masing bagian.
e. Designed to identify potential events
Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang
secara potensial menyebabkan terganggunya pencapaian tujuan organisasi.
f. Provide reasonable assurance
Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa
kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal.
g. Geared to achieve objectives
Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam
mencapai tujuan yang telah ditentukan.
Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai
ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh
positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian
tujuan organisasi sangat tergantung pada kemampuan manajemen untuk
mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat
merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan
mengoptimalkan kesempatan.
Upaya manajemen untuk mengidentifikasi risiko dan menekan risiko serta
mengoptimalkan kesempatan tersebut biasa dikenal sebagai Manajemen Risiko (Risk
Management).
1. Dua hal utama yang harus dipahami oleh Internal Auditor:Aspek pengendalian
dari setiap proses bisnis yang terkait
2. Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran
perusahaan.
Peran audit internal dalam praktek audit berbasis risiko antara lain:
1. Mulai dari memfokuskan pekerjaan audit pada risiko signifikan perusahaan,
yang telah diidentifikasi oleh fungsi manajemen risiko perusahaan dan
melakukan audit atas proses manajemen risiko lintas organisasi guna
memastikan pengelolaan risiko yang telah diidentifikasi.
2. Untuk berperan aktif sebagai konsultan internal yang melakukan pelatihan dan
edukasi bagi karyawan lini dalam memastikan efektivitas pengendalian internal
3. Untuk memberikan dukungan dan partisipasi aktif dalam proses pengendalian
internal perusahaan
Metodologi audit berbasis risiko diilustrasikan dalam 3 tahap besar, yaitu:
1 Penilaian Risiko
Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu
audit dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar
keterbatasan sumber daya yang dimiliki oleh perusahaan dapat dioptimalkan ke
wilayah risiko yang tinggi. Tahap ini dapat ditiadakan, bila profil risiko yang
dihasilkan oleh unit manajemen risiko sudah tersedia dan dapat diandalkan.
Pada tahap ini, internal auditor juga perlu menetapkan kriteria unit yang dapat
diaudit, antara lain:
a. Unit tersebut memberikan kontribusi yang berdampak cukup besar pada
tujuan perusahaan
b. Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang
lebih besar daripada biaya yang dikeluarkan untuk pengendalian termasuk
biaya audit
2 Penyusunan Program Audit Internal
Berdasarkan hasil penilaian risiko, masing-masing unit yang dapat diaudit
untuk ditetapkan nilai akhirnya menggunakan faktor risiko seperti:
a. Audit Assurance
Melihat relevansi hasil kajian audit periode sebelumnya atas area yang
memiliki risiko dengan rating tinggi
b. Materiality
Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan
parameter keuangan maupun non keuangan
c. Residual Risk
Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki
perusahaan seperti pengendalian internal
d. Audit Judgement
Pertimbangan auditor internal atas perubahan sistem dan prosedur,
restrukturisasi organisasi yang mempunyai dampak kepada area tertentu
3 Pelaksanaan Program Audit Internal
a. Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu
dengan tujuan perusahaan. Audit internal harus memastikan bahwa tujuan
bisnis sudah diterapkan secara efektif dan telah dikomunikasikan ke seluruh
tingkatan dalam organisasi.
b. Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan
batasan risiko (corporate risk appetite and risk tolerance) berdasarkan
kebijakan dan prosedur dalam perusahaan. Auditor internal harus dapat
memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko
yang telah ditetapkan.
c. Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya
berdasarkan kerangka kerja yang telah ditetapkan. Auditor internal harus
melakukan evaluasi terhadap proses implementasi kerangka kerja penerapan
manajemen risiko yang telah didokumentasikan dan diyakini dapat
memfasilitasi perubahan dinamis perusahaan.
d. Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap
pengendalian. Auditor internal harus memahami rancangan pengendalian dan
ketepatannya sehubungan dengan bagaimana suatu tindakan pengendalian
tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan
perusahaan.
e. Menyediakan jaminan independen dan berfungsi sebagai konsultan internal
dalam rangka memastikan pencapaian tujuan perusahaan. Auditor internal
harus memberikan jaminan yang obyektif kepada Direksi bahwa risiko bisnis
telah dikelola secara tepat dan pengendalian internal tela berjalan secara
efektif.
1.8 Proses Manajemen Risiko
Pemahaman manajemen risiko memungkinkan manajemen untuk terlibat
secara efektif dalam menghadapi uncertainty dengan risiko dan peluang yang
berhubungan dan meningkatkan kemampuan organisasi untuk memberikan nilai
tambah. Menurut COSO ERM (2004), proses manajemen risiko dapat dibagi ke
dalam 8 komponen (tahap). Sebagaimana dijelaskan pada komponen-komponen dari
risiko dapat dijelaskan sebagai berikut:
Gambar 2.5 Risk Management Model Coso
Sumber: Sumber: Institute Internal Auditor
1. Internal environment (Lingkungan internal)
Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada
dan beroperasi. Cakupannya adalah risk-management philosophy (kultur
manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif
terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical
values (nilai moral), struktur organisasi, dan pendelegasian wewenang
2. Objective setting (Penentuan tujuan)
Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat
mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan
menjadi strategic objective dan activity objective. Strategic objective di perusahaan
berhubungan dengan pencapaian dan peningkatan kinerja dalam jangka menengah
dan panjang, dan merupakan implementasi dari visi dan misi perusahaan tersebut.
Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu (1)
operations objectives; (2) reporting objectives; dan (3) compliance objectives.
3. Event identification (Identifikasi risiko)
Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di
lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau
pencapaian tujuan dari organisasi.
4. Risk assessment (Penilaian risiko)
Komponen ini menilai sejauh mana dampak dari events (kejadian atau keadaan)
dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari
inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu:
likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari
terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan
organisasi merupakan perkalian antara likelihood dan consequence.
5. Risk response (Sikap atas risiko)
Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari
organisasi dapat berupa:
a. Avoidance, yaitu dihentikannya aktivitas atau pelayanan yang
menyebabkan risiko
b. Reduction, yaitu mengambil langkah-langkah mengurangi likelihood
atau impact dari risiko
c. Sharing, yaitu mengalihkan atau menanggung bersama risiko atau
sebagian dari risiko dengan pihak lain
d. Acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang
kecil), dan tidak ada upaya khusus yang dilakukan.
6. Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperan dalam penyusunan kebijakan-kebijakan (policies) dan
prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas
pengendalian memerlukan lingkungan pengendalian yang meliputi:
a. Integritas dan nilai etika
b. Kompetensi
c. Kebijakan dan praktik-praktik SDM
d. Budaya organisasi
e. Filosofi dan gaya kepemimpinan manajemen
f. Struktur organisasi
g. Wewenang dan tanggung jawab.
7. Information and communication (Informasi dan komunikasi)
Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada
pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu
diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas
informasi, arah komunikasi, dan alat komunikasi. Informasi yang disajikan
tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi
dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5)
accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat
komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui
media elektronis.
8. Monitoring
Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah
(separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas
supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya
dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope
tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.