Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal (2)

Dibaca 7,464 kali

Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal (1)

6. Perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal menggunakan teknik penilaian risiko dalam pengembangan rencana Aktivitas Audit Internal  termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal. Penilaian risiko digunakan untuk mereview area-area yang dapat diaudit (auditable units) dan untuk kemudian dipilih area-area yang memiliki risiko terbesar ke dalam rencana Aktivitas Audit Internal.

7. Auditor Internal mungkin tidak memenuhi kualifikasi yang diperlukan untuk mengevaluasi setiap kategori risiko dan proses ERM di dalam organisasi (misalnya, audit internal terhadap kesehatan dan keselamatan kerja, audit lingkungan, atau instrumen keuangan yang kompleks). CAE harus memastikan untuk menggunakan auditor internal dengan keahlian khusus atau penyedia layanan eksternal untuk melakukan evaluasi dengan tepat.

8. Proses dan sistem manajemen risiko bisa diterapkan secara berbeda-beda di antara organisasi di seluruh dunia, sesuai dengan tingkat kematangan (maturity level) manajemen risiko pada organisasi yang bersangkutan. Apabila organisasi memiliki kegiatan manajemen risiko secara terpusat, peran kegiatan ini termasuk pula mengkoordinasikan dengan manajemen mengenai review  terus-menerus terhadap struktur pengendalian agar terus sesuai dengan selera risiko (risk appetite) yang terus bergerak.  Proses manajemen risiko yang digunakan di berbagai belahan dunia mungkin memiliki logika, struktur, dan terminologi yang berbeda. Oleh karena itu auditor internal perlu membuat penilaian terhadap proses manajemen risiko organisasi untuk kemudian menentukan bagian mana dari proses tersebut yang dapat digunakan dalam mengembangkan rencana Aktivitas Audit Internal dan bagian mana untuk perencanaan penugasan audit internal secara individual.

9. Faktor-faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi:

  • Risiko inheren – Apakah telah diidentifikasi dan dinilai?
  • Risiko residual – Apakah telah diidentifikasi dan dinilai?
  • Pengendalian mitigasi, rencana kontinjensi , dan aktivitas pemantauan – Apakah telah dikaitkan dengan peristiwa dan / atau risiko individual?
  • Daftar risiko (Risk register) – Apakah disusun secara sistematis, lengkap, dan akurat?
  • Dokumentasi – Apakah risiko dan kegiatan didokumentasikan?

Selain itu, auditor internal perlu berkoordinasi dengan penyedia layanan assurance lainnya serta mempertimbangkan apakah dapat menggunakan hasil pekerjaan mereka (diatur lebih lanjut dalam practice advisory mengenai Assurance Maps).

10. Piagam audit internal biasanya mengharuskan Aktivitas Audit Internal untuk fokus pada area-area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit internal perlu mengidentifikasi area-area yang memiliki risiko melekat tinggi, risiko residual tinggi, dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika Aktivitas Audit Internal mengidentifikasi adanya area-area risiko residual yang tidak dapat diterima (unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa dimasukkan rencana kegiatan, termasuk:

  • Kegiatan review /assurance Pengendalian – di mana auditor internal melakukan review kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa pengendalian telah berjalan dan risiko telah dikelola secara efektif.
  • Kegiatan Inquiry- di mana ketika manajemen organisasi mendapati pengendalian tertentu berada pada tingkatan yang tidak dapat diterima terkait dengan suatu kegiatan bisnis atau area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud.
  • Kegiatan konsultasi (Consulting) – di mana auditor internal menyarankan manajemen organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current risk) yang berada pada tingkatan tidak dapat diterima.

Auditor Internal juga mengidentifikasi pengendalian yang tidak perlu, tumpang tindih, berlebihan, atau kompleks sehingga tidak efisien dalam mengurangi risiko. Dalam kasus-kasus ini, biaya pengendalian mungkin lebih besar daripada manfaat yang didapatkan, sehingga desain pengendalian mungkin perlu diperbaiki.

Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal (3)