![Internal Audit Pengelolaan Risiko (Management Risk) [PDF]](https://pdfs.asia/img/200x200/internal-audit-pengelolaan-risiko-management-risk.jpg)
16 0 256 KB
Pengelolaan Risiko (Risk Management) Makalah ini dipresentasikan pada mata kuliah Internal Audit Dosen Pengampu: Fitri Yani Jalil, SE., M.Sc
Oleh: 1. Zavita Mufariza 11140820000090 2. Achmad Ryzky 11140820000104 3. Nisrina Azizza R. 11140820000109
Akuntansi Fakultas Ekonomi dan Bisnis Universitas Islam Negeri (UIN) Syarif Hidayatullah Jakarta 1438H / 2017 M
Pengelolaan Risiko (Risk Management) A. Risiko Bagi auditor internal, istilah risiko digunakan dalam proses audit dan proses manajemen resiko. Dalam proses audit risiko yang dimaksud adalah kemungkinan terjadinya salah saji material yang tidak dapat dideteksi oleh prosedur audit yang telah dilakukan auditor pada asersi di tingkat saldo rekening maupun transaksi. Contohnya, adalah secara tidak sadar, auditor tidak sengaja gagal memodifikasi pendapat atas laporan keuangan yang telah salah saji secara material karena adanya kesalahan atau kecurangan. Risiko audit sendiri terdiri dari risiko bawaan (inherent risk), risiko pengendalian (control risk), dan risiko deteksi (detection risk). Sementara itu risiko yang dimaksud dalam proses manajemen risiko, menurut Arthur Williams, adalah suatu variasi hasil-hasil yang dapat terjadi selama periode tertentu atau probabilitas suatu hasil/outcome yang berbeda dari yang diharapkan. Risiko ini juga dapat didefinisikan sebagai suatu ketidakpastian yang kemungkinan menghasilkan peristiwa kerugian. Investor dan manajemen pasti tidak menyukai ketidakpastian dan kejadian yang tidak dapat diprediksi. Hal ini yang mendasari mengapa manajemen perlu mengidentifikasi dan menilai risiko yang mungkin terjadi serta menentukan tindakan yang diperlukan untuk menangani risiko. Untuk mencapai tujuan organisasi , manajemen perlu mengendalikan kejadian dan mencapai kesempatan. Oleh karena itu, manajemen bertanggung jawab untuk mengidentifikasi dan mengelola risiko. Stakeholder, termasuk investor dan bagian lain yang terkait, sangat berkepentingan untuk memastikan bahwa kerangka manajemen resiko beroprasi secara efektif.
B. Kategori Risiko Risiko dapat dilihat dari berbagai perspektif. Tiap perspektif memberikan memberikan pengkategorian yang berbeda-beda terhadap risiko, misalnya: kepentingan diri, kondisi social, lingkungan, dan sebagainya. Perpektif Lingkup
Risiko
Kategori Financial/Asset Risk, yaitu risiko yang dapat terukur secara keuangan atau kalkulasi asset (yang disebut juga Tangible Risk) seperti risiko yang ditunjukan oleh angka-angka parameter/rasio keuangan
(likuiditas/turnover,
solvabilitas/leverage,
profabilitas/rentabilitas, net present value, dan sebagainya) Business/Operation Risk, yaitu risiko yang sulit diukur secara keuangan (Intangible Risk), tetapi tetap dapat ditelusuri sumbernya dan diukur dampaknya secara kuantitatif maupun kualitatif, seperti penurunan market-share atau brand awareness di masyarakat, pencapaian berbagai parameter bisnis, operasi dan pelayanan yang tidak sesuai target (on-time delivery, damage quality, zero accident,
Sumber Risiko
satisfaction level, dan sebagainya) Inherrent Risk, yaitu risiko yang terkandung dalam institusi bisnis, seperti
akuisisi
kepemilikan
shareholder,
Financial
Planning/Forecasting yang tidak tepat, minggatnya sejumlah star employee, penyelewengan tugas (disrepancy) oleh karyawan, birokrasi yang terlalu ‘gemuk’, service level yang rendah. Dan
sebagainya Environment Risk, yaitu risiko yang menjadi ancaman dari luar institusi bisnis, seperti pengaruh negative dari globalisasi (krisis energy/pangan, resesi), perubahan rezim politik atau regulasi pemerintah terkait bisnis, bencana alam, pembajakan Intellectual
Waktu
property milik perusahaan, dan sebagainya Actual/Current Risk, yaitu risiko yang dihadapi saat ini atau dampak
Terjadinya
yang langsung dirasakan, seperti kerugian investasi (atau akibat
Risiko
(dan
perubahan currency rate), asset yang raib (uang, persediaan, aset
Dampak dari
tetap, dan sebagainya), turnover penjualan yang menurun, complain
Risiko)
dari pelanggan, penceramahan limbah yang merugikan masyarakt
sekita, dan sebagainya.
Potential/Hidden Risk, yaitu risiko yang mungkin saja muncul (atau dampak risiko yang akan dihadapi) pada waktu mendatang, seperti multiplier effect dari investasi di bidang property karena adanya skandal subprime mortgage di US, stock level yang berlebihan, berkurangnya jumlah cutomer base perusahaan secara perlahaan,
Skala Risiko
risiko kerugian karena musibah (force majeur), dan sebagainya. Manageable Risk, yaitu risiko yang belum terjadi tetapi telah diketahui pasti terjadi, atau dampaknya telah diukur sebagai tidak mampu ditanggung (paling tidak untuk beberapa waktu ke depan), sehingga sedapat mungkin harus dihindari, seperti risiko small business, yang didominasi brand ternama, dan risiko berinvestasi dalam bisnis yang belum dikenal baik (tidak ada informasi yang
cukup) Unmanaged risk, yaitu yang tidak dapat dihindari, baik karena sudah terjadi atau sangat mungkin terjadi, sehingga harus ditandatangani untuk menekan tingkat kemungkinan timbulnya risiko atau menekan besrnya dampak negaif yang ditimbulkannya
C. Pengelolaan Risiko (Risk Management) 1) Pengertian Berdasarkan pengertian, Pengelolaan Risiko (Risk Management) dalam bisnis secara sederhana dapat didefinisikan sebagai: “tindakan terencana dan berkesinambungan untuk mengantisipasi ketidakpastian di masa depan dengan cara mereduksi factor-faktor yang memungkinkan terjadinya risiko, atau menekan dampak dari risiko, berdasarkan
identifikasi/observasi,
pengukuran/analisis,
dan
penanganan/pengendalian atas faktor-faktor penyebab atau dampak risiko yang mungkin terjadi.” Pengelolaan/manajemen risiko dalam bisnis awalnya sering dijumpai pada industry jasa keuangan saja, mengingat ukuran kerugian yang paling mudah adalah uang. Singkatnya, manajemen risiko juga dikenal pada bisnis tertentu dikaitkan dengan keselamatan kerja (seperti mining exploration, construction project, building management) atau pencegahan risiko pencemaran hasil produksi dan penanganan limbah beracun pada manufaktur. Belakangan, para pebisnis di berbagai industri secara global semakin menyadari arti penting manajemen risiko. 2) Tujuan-Tujuan Manajemen Risiko Dalam mengevaluasi proses manajemen risiko, audit internal harus memformulasikan suatu opini mengenai tingkat kesesuaian antara proses dengan pencapaian. Tujuan-tujuan ini adalah :
Risiko yang muncul dari strategi dan aktivitas usaha diidentifikasi dan
diprioritaskan. Manajemen dan dewan komisaristelah menentukan tingkat risiko yang dapat diterima oleh organisasi, termasuk penerimaan risiko yang
dirancang untuk mencapai rencana strategis organisasi. Aktivitas penghindaran risiko dirancang dan diimplementasikan untuk mengurangi, atau justru mengelola risiko pada tingkat yang
ditentukan dapat diterima oleh manajemen dan dewan komisaris. Aktivitas-aktivitas pengawasan yang berkelanjutan dilaksanakan untuk secara periodik menilai ulang risiko dan efektivitas kontrol
untuk mengelola risiko. Dewan komisaris dan manajemen menerima laporan periodik mengenai hasil proses manajemen risiko. Proses tata kelola organisasi harus memberikan komunikasi periodik risiko, strategi risiko, dan
kontrol untuk pihak-pihak yang berkepentingan. 3) Dasar-Dasar Manajemen Risiko Proses manajemen risiko yang mendasar terdiri dari empat langkah atau sering disebut dengan siklus pengelolaan risiko (risk process cycle).
Empat
langkah
proses
manajemen
risiko
tersebut
harus
diimplementasikan pada semua tingktan orgnisasi perusahaan dan dengan partisipasi manajemen dan karyawan pada tiap tingkatan tersebut. Dengan kata lain, proses manajemen risiko dilakukan pada tingkatan korporasi, anak perusahaan, unit bisnis, bahkan divisi atau bagian. siklus pengelolaan risiko (risk process cycle), yaitu: 1. Identifikasi Risiko Manajemen harus mengidentifikasi semua resiko yang mungkin mempengaruhi keberhasilan organisasi, mulai dari risiko yang berdampak kecil sampai yang mempunyai dampak yang signifikan. Proses identifikasi harus dilakukan dengan hati-hati dan mendalam untuk mengidentifikasi potensi risiko yang ada di area operasi dalam suatu rentan waktu. Identifikasi sebaiknya dilakukan dari level tertinggi perusahaan sehingga menghasilkan daftar risiko yang ada ditingkat korporasi. Daftar risiko tersebut nantinya menjadi acuan dalam proses identifikasi untuk level di bawahnya. Berikut ini merupakan contoh risiko yang mungkin terjadi pada perusahaan level korporasi: 1. Risiko factor internal, meliputi strategi dan hak cipta 2. Risiko factor eksternal, meliputi industry, kondisi ekonomi, dan pesaing. 3. Risiko proses, meliputi pasokan persediaan, kepuasan pelanggan, dan siklus waktu produksi. 4. Risiko kepatuhan, meliputi risiko lingkungan, perubahan aturan perundangan, dan perubahan kebijakan dan operasi. 5. Risiko SDM, meliputi rsisiko sumberdaya manusia, perputaran tenaga kerja, insentif kinerja, dan pelatihan. 2. Penilaian Risiko Penilaian risiko dilakukan untuk memetakan risik berdasarkan kemungkinan keterjadiannya dan dampak yang ditimbulkan bila risiko ini terjadi. Meliputi proses engumpulan, seleksi, dan analisis informasi factual yang relevan dengan setiap jenis risiko beserta dampaknya. 3. Pengembangan Hasil, Prioritas Risiko dan Perencanaan Respons
Disini, hasil analisis dari langkah yang ketiga kemudian dikembangkan sehingga menghasilkan informasi yang berguna untuk peramalan (forecasting) terhadap tingkat kemungkinan risiko ke depan. Penilaian risiko menghasilkan nilai status risiko yang menunjukkan probabilitas keterjadian risiko dan dampak yang muncul apabila risiko tersebut terjadi. Manajemen perlu menggunakan hasil penilaian risiko untuk menentukan respon resiko tersebut. Untuk memetakan prioritas risiko, terlebih dahulu harus ditentukan kriteria penerimaan risiko. Kriteria penerimaan resiko harus disesuaikan dan didasarkan pada kecenderungan dan selera risiko (risk appetite). Manajemen dapat merespon risiko dengan lima tindakan berikut : 1) Menerima risiko, yaitu kemungkinan terjadinya risiko dan dampak yang ditimbulkan. Manajemen dapat menerima risiko yang tergolong sangat rendah, misalnya risiko pengunduran diri sebagian karyawan yang berdampak rendah pada perusahaan. 2) Mengurangi kemungkinan terjadinya risiko (preventif), yaitu dengan menyusun dan mengimplementasikan pengendalian yang memadai untuk mencegah atau mengurangi kemungkinan terjadinya risiko, misalnya mencegah terjadina produk cacat dengan mengimplementasikan standar kualita yang tinggi dalam proses produksi. 3) Mengurangi dampak yang dapat ditimbulkan oleh risiko yang
kemungkinan
terjadi
(mitigatif),
yaitu
dengan
menyiapkan prosedur penanggulangan dampak risiko, misalnya dengan menggunakan lindung nilai harga komodits bahan baku. 4) Berbagi risiko (sharing), yaitu dengan membagi risiko dengan pihak lain, misalnya dengan menggunakan asuransik kebakaran untuk gedung atau bangunan. 5) Menghindari risiko, yaitu terjadinya
risiko,
misalnya
keselamatan jiwa dalam operasi. 4. Pemantauan Risiko
menghindari dengan
atau
mencegah
menerapkan
prinsip
Organisasi perlu melakukan pemantauan dan peninjauan atas risiko-risiko yang telah diidentifikasi, risiko baru yang muncul, probabilitas tiap-tiap risiko, dan dampak yang ditimbulkannya. Pemantauan dapat dilakukan secara periodik sesuai dengan kondisi lingkungan internal dan eksternal organisasi. Untuk organisasi yang lingkungannya cenderung statis maka pemantauan risiko dapat dilakukan tiap tahun atau beberapa tahun. Sementara untuk lingkungan yang dinamis pemantauan hendaknya dilakukan dalam kurun waktu yang lebih pendek, seperti semesteran atau triwulanan. 4) Proses Manajemen Risiko Dalam AS/NZS ISO 31000:2009 manajemen risiko terdiri dari tujuh roses utama. Pada dasarnya proses manajemen risiko dalam AS/NZS ISO 31000:2009 memiliki beberapa kesamaan dengan proses yang telah dijelaskan dalam dasar-dasar manajemen risiko, tetapi AS/NZS ISO 31000:2009 memiliki tiga proses yang tidak ada dalam dasar-dasar manajemen risiko, yaitu proses komunikasi dan konsultasi, penyusunan konteks, serta pemantauan dan peninjauan. a. Konsultasi dan Komunikasi Proses manajemen risiko membutuhkan konsultasi dan komunikasi dengan pemegang sakaham internal secara tepat pada setiap tingkatan maupun keseluruhan proses manajemen risiko. Tujuan penanggung jawab merupakan perwujudan dari tujuan para pemegang saham. Oleh karena itu, manajer perlu berkonsultasi dan berkomunikasi dengan para pemegang saham untuk memastikan bahwa tujuan para pemegang saham telah menjadi bagian dari rangkaian proses manajemen risiko. b. Menyusun konteks Sebelum melakukan proses penilaian risiko, manajemen konteks manajemen risiko, baik internal maupun eksternal saat proses berlangsung. Kriteria evaluasi harus disusun dan struktur analisis harus didefinisikan. c. Mengidentifikasikan risiko Dalam proses identifikasi risiko, manajemen mengidentifikasi dimana, kapan, mengapa, dan bagaimana kejadian risiko dapat dicegah dan menurunkan kecurangan serta meningkatkan kemungkinan pencapaian tujuan. d. Menganalisis risiko
Daftar risiko yang diperoleh dari proses identifikasi risiko dianalisi dengan mengidentifikasi pengendalian yang sedang berlangsung dan memperkirakan keterjadian risiki dan akibat yang mungkin timbul dari risiko tersebut. Analisis ini harus memperhatikan akibat dan bagaimana hal tersebut dapat terjadi. e. Mengevaluasi risiko Perkiraan tingkat risiko yang telah diperoleh dari proses analisis risiko dibandingkan dengan kriteria yang telah ditetapkan dan mempertimbangkan selisih antara kemungkinan hasil menguntungkan atau merugikan. Hal tersebut memberikan panduan untuk membuat keputusan mengenai skala prioritas, isi, dan respons yang diperlukan atas risiko tersebut. f. Menyatakan risiko Mengembangkan dan mengimplementasikan strategi biaya yang efektif dan menjalankan perencanaan untuk meningkatkan laba potensial dan mengurangi biaya potensial. g. Memantau dan meninjau Manajemen perlu memonitor efektifitas setiap langkah dalam proses manajemen risiko. Hal itu penting untuk peningkatan keberlanjutan. Risiko dan efektifitas tindakan yang dilakukan sebagai respon atas risiko dapat mengukur kebutuhan memantau peta risiko untuk meyakinkan bahwa perubahan berbagai hal tidak mengubah skala prioritas.
D. Metode Analitis 1. Pembuatan Bagan Alir Pembuatan bagan Alir (flowcharting) adalah sebuah metode analisis efisiensi dan kontrol operasi. Bagan alir adalahh penyajian grafik dua dimensi dari sebuah operasi dalam hal aliran aktivitas melalui proses. Bagan alir merupakan sarana komunikasi antara auditor dengan karyawan operasional. Auditor dapat melakukan observasi tentang metode, risiko, dan kontrol pada bagan alir. Jika bagan alir sudah dibuat, maka bagan tersebut siap untuk ditelaah, dianalisis, dan diperbaharui pada audit selanjutnya. Bagan alir juga membantu pengembangan dan pemeliharaan program audit. 2. Kuisioner Kontrol Internal Kuisioner pertanyaan terbuka menanyakan pertanyaan-pertanyaan yang membutuhkan tanggapan naratif dari responden. Kuisioner seperti ini mencari informasi untuk memperluas pemahaman auditor. ICQ dimulai dari jawaban yang diketahui atau diinginkan dan membutuhkan jawaban “ya” atau “tidak” disertai komentar. ICQ membutuhkan jawaban yang langsung dan tepat mengenai ketaatan dengan prosedur-prosedur yang diharapkan. ICQ digunakan untuk evaluasi berkelanjutan atas control yang ada dan dapat digunakan dalam analisis ICQ juga biasanya dikembangkan setelah sebuah aktivitas atau proses teah dianalisis dan control yang sesuai telah diharapkan. ICQ merupakan uji ketaatan yang dimaksudkan untuk memastikan bahwa control masih diterapkan dan bahwa risiko dapat dievaluasi. Pertanyaan
Jawaba n cek Ya
Apakah cek dibandingkan dengan nota Tidak pembayaran
Apakah Ya setoran bank sesuai dengan dan pembayaran sebelum Tidak diserahkan ke
Komentar
Metode
Dikerjakan Oleh Ini merupakan Tanya jawab JEL bagian untuk Observasi meyakinkan penguji jumlah yang diterima akan dikreditkan kea kun pelanggan Jika keduanya Tanya jawab MRE tidak sesuai, Observasi setoran Pengujian diverifikasi dan dikirim ke bank untuk dikreditkan secepat mungkin
bank?
3. Analisis matrix Analisis matrix diperkenalkan dalam control computer dan audit (Computer Control and Audit). Meskipun metodologi tersebut diperkenalkan pada konsep audit EDP, analisis matrix tersebut dapat digunakan untuk analisis control di aktivitas manapun. Suatu matriks kontrol merupakan alat untuk membandingkan kontrol dengan resiko guna memastikan bahwa setiap resiko memiliki kontrol yang layak. Matriks kontrol juga mengakui bahwa kontrol tertentu bisa memberikan perlindungan untuk lebih dari satu resiko. Risiko Kontrol Primer 1. Individu yang tidak memiliki a. ID pengguna dan kata sandi otorisasi di dalam organisasi dibutuhkan untuk mengakses bisa mengakses catatan system computer. computer. 2. Individu yang tidak memiliki b. Alat modern dihubungkan otorisasi diluar organisasi bisa hanya jika pengguna eksternal mengakses catatan computer. yang dikenal memintaakses dan tidak disambungkan di akhir sesi. 3. Individu yang tidak memiliki c. Laporan usaha yang gagal otorisasi bisa mencoba dihasilkan dari system mendapatkan akses ke catatan pengaman, dan laporan tersebut computer, dan bisa berhasil di diperiksa setiap hari oleh masa depan meskipun belum pegawai pengamanan data. masuk 4. Kontrol Preventif dan Detektif Kontrol preventif mencegah terjadinya kejadian yang tida diinginkan. Kontrol detektif mendeteksinya sehingga tindakkan korektif bisa dilakukan. Laporan pengamanan harian adalah kontrol detektif. Kontrol tersebut mengungkapkan upaya orang-orang tidak bertanggung jawab untuk masuk ke system. Kontrol detektif membutuhkan 4 tindakan. Tindakan pertama adalah menemukan masalh atau resiko yang ada, tindakan yang kedua adalah mengidentifikasi kejadian dan menentukan
apa yang harus dilakukan. Tindakan ketigaadalah oreksi. Tindakan terkahir adalah pengecekan terhadap tindakan korektif untuk melihat apakahkejadian atau resiko yang tida diinginkan telah diperbaiki atau di netralkan. Kontrol preventif biasanya lebih disukai daripada kontrol detektif karena kotrol preventif lebih efisien dan tidak menghabiskan banyak waktu. Kontrol preventif bisa mengamankan setiap resiko yang mungkin muncul 5. Metodologi Ilustratif COSO Kontrol internal adalah sebuah proses, yang dipengaruhi oleh dewan direksi perusahaan, manajemen, dan karyawan lainnya, untuk memberikan keyakinan yang wajar mengenai pencapaian tujuan dalam kategori-kategori berikut ini: Efektivitas dan efisiensi oprasi. Keandalan pelaporan keuangan. Ketaatan dengan hukum dan aturan yang berlaku Kontrol internal terdiri dari lima komponen yang saling berkaitan. Komponen ini berasal dari cara manajemen menjalankan bisnis, dan di integrasikan dengan proses manajemen. Komponen-komponen tersebut adalah a) Lingkungan kontrol Inti dari suatu bisnis adalah orang-orangnya, karaktreristiknya integritas nilai-nilai etika, dan lingkungan tempat mereka bekerja. Hal tersebut merupakan mesin penggerak perusahaan dan merupakan fondasi segala sesuatu ditetapkan. b) Penentuan risiko Perusahaan harus
menetapkan
tujuan
sehingga
aktivitas-aktivitas
organisasi beroperasi secara harmonis. Perusahaan juga harus menetapkan mekanisme untuk mengidentifikasi, menganalisis, dan mengelola risko terkait. c) Aktivitas control Kebijakan dan prosedur yang ditetapkan dan dijalankan perusahaan membantu mengidentifikasi dan memastikan risiko apa yang akan dihadapi terhadap tujuan perusahaan. d) Informasi dan komunikasi Hal ini memungkinkan karyawan perusahaan mendapatkan dan menukar informasi yang diperlukan untuk melaksanakan, mengelola, dan mengendalikan operasinya. e) Pengawasan
Keseluruhan proses harus dimonitor sehingga sstem dapat bereaksai secara dinamis dan berubah seiring dengan perubahan kondisi. 6. Motode Courtney Metode ini dikembangkan oleh Robert Courtney, metode ini melibatkan perhitungan yang melibatkan nilai uang (dollar ke rupiah) ke risiko-risiko potensial, dan estimasi yang terbuat dari frekuensi risiko yang bisa menciptakan kesulitan. Penggunaan metode ini secara eksplisit membutuhkan seseorang untuk membuat estimasi yang juga harus disepakati dengan manajemen. Dampak potensial dari sebuah kejadian diberikan nilai dari 1 sampai 7. E. Sistem Evaluasi Risiko Untuk mengurangi risiko dan meningkatkan efektifitas, beberapa organisasi telah mengembangkan system evaluasi risiko berdasarkan jawaban atas pertanyaan dan analisis yang dapat mereka simpulkan. Hasil dari temuan dan pertanyaan didiskusikan dan divalidasi berdasarkan pengalaman lampau dan melaui pembahasan dengan manajemen dan pegawai audit internal. Aspek pentingnya adalah penentuan jawaban spesifik dan bobotnya. Sebagai contoh, sebuah orgnisasi harus mempertimbangkan volume transaksi yang merupakan indikator potensial. Hal ini bervariasi menurut ukuran organisasi . Nantinya hasil dari proses manajemen risiko adalah sebuah skor risiko yang nantinya akan digunakan untuk membuat rencana audit.
