- PDF Free Download

Transkripsi

1 Lampiran 3

2

3

4

5

6

7

8

9

10

11 Lampiran 4 Tujuan RBA Tampubolon mengatakan (2005) bahwa Tujuan RBA adalah untuk memastikan bahwa identifikasi risiko telah dimitigasi ke tingkat yang dapat diterima (h.17). Dia juga menambahkan bahwa RBA membuat kebutuhan auditor lebih nyata dengan melihat pengawasan secara objektif (h. 17). Menurut Tunggal, A. (2007) Tujuan RBA secara lebih rinci adalah untuk memberi kepastian (assurance) kepada Komite Audit atau Dewan Komisaris dan Direksi, bahwa: 1. perusahaan telah memiliki proses manajemen risiko, dan proses tersebut telah dirancang dengan baik. 2. proses manajemen risiko dimaksud telah diintegrasikan oleh manajemen perusahaan kedalam semua tingkatan organisasi, mulai dari tingkat korporasi, divisi, sampai satuan kerja terkecil dan telah berfungsi sebagaimana yang diinginkan. 3. kerangka kerja kontrol (internal control framework) dan tata kelola yang baik yang ada telah tersedia secara cukup dan berfungsi secara baik guna mengendalikan risiko-risiko yang ada. 4. manajemen mampu mengidentifikasi dan menilai risiko yang ada secara baik, serta telah memberikan tanggapan terhadap risiko-risiko tersebut secara cukup dan efektif, guna menurunkan dampak serta kemungkinan terjadinya risiko ke tingkat yang dapat diterima oleh dewan komisaris dan direksi. (h. 119).

12 Menurut Dunil (2005) RBA menyediakan perusahaan dengan fungsi nilai tambah sebagai berikut: 1. Memberikan arah menuju risiko-risiko yang dapat mempengaruhi posisi keuangan dari suatu perusahaan. 2. Membantu bank dalam mengendalikan risiko-risiko bisnis. 3. Meningkatkan komunikasi antara auditor dan manajemen mengenai hal-hal penting dari risiko. 4. Meningkatkan tingkat pengidentifikasian risiko terhadap risiko yang mungkin tidak diperhatikan. 5. Meningkatkan tingkat pengidentifikasian kecurangan (fraud) dan jenis manipulasi lainnya. 6. Memperbaiki kualitas dan jangka waktu laporan. (h. 19) Griffiths (2006) menyebutkan bahwa: RBA directs scarce internal audit resources at checking the responses to the risks that present a serious threat to an organization and regulations are now requiring directors to ensure that these risks are properly managed. RBA thus provides directors with assurance that this is happening, or a warning that it isn t (p.6). Pernyataan ini juga didukung McNamee dan Selim (1999) yang menegaskan bahwa RBA meningkatkan kinerja audit internal dan manajemen risiko organisasi. Hal tersebut mengalokasi pengawasan dengan cara yang efektif, mereka menambahkan bahwa: Evaluating controls without first examining the purpose of the business process and its risks provide no context for the results. How can the internal auditor know which control out of proportion to their risk, and which are missing? Even

13 the staunchest advocates of control-based auditing must admit to its limitations (p.1). Ruang Lingkup RBA Mengacu pada pendapat Kannan (2004), fokus utama RBA adalah memberikan jaminan yang rasional kepada dewan dan manajemen tingkat atas mengenai tingkat ketepatan dan efektivitas manajemen risiko dan kerangka pengawasan pada kegiatan bank. Lebih lagi, kannan menegaskan bahwa lingkupan tepat RBA harus ditentukan oleh masing-masing bank mengenai bidang risiko rendah, medium, tinggi, sangat tinggi dan luar biasa tinggi. Menurut Griffiths, D (2006) Ruang lingkup RBA harus mencakup: 1. Tinjauan mengenai sistem-sistem yang ada untuk menjamin kepatuhan (compliance). 2. Mengidentifikasi potensi risiko-risiko bisnis yang melekat dan risiko pengawasan, jika ada. 3. Menyarankan berbagai tindakan korektif dan mengadakan tindak lanjut untuk memonitor aksi yang telah diadakan dalam hal ini. (h. 41). Penilaian Risiko Standar kinerja dari IIA nomor 2010.A1 menyatakan: Rencana kegiatan audit internal harus didasarkan atas penilaian risiko, yang paling kurang diadakan setiap setahun sekali. Masukan dari manajemen senior dan dewan harus turut dipertimbangkan dalam proses ini. Mengacu pada Tampubolon (2005), Penilaian risiko adalah suatu proses dengan apa auditor mengidentifikasi dan mengevaluasi jumlah risiko bagi bank dan kualitas mutu pengawasannya mengenai risiko-risiko tersebut. Penilaian risiko harus

14 mendokumentasikan kegiatan bisnis serta risiko-risiko yang bersangkutan. Ini dipakai dalam mengidentifikasi, mengukur dan menentukan prioritas risiko, sehingga kebanyakkan sumber audit terfokus pada bidang yang dapat diaudit yang memiliki score/tingkat risiko tinggi. Hasil dari penilaian risiko ini merupakan pedoman untuk membuat rencana dan siklus audit serta ruang lingkup dan tujuan dari masing-masing program audit. Melalui RBA dewan dan para auditor menggunakan hasil penilaian risiko untuk memfokus pada bidang-bidang berisiko paling tinggi dan untuk menetapkan prioritas untuk pekerjaan audit. Departemen audit tidak dapat mengabaikan bidangbidang yang telah ditentukan berisiko rendah. Program RBA yang efektif akan menjamin pencakupan audit yang sesuai untuk seluruh kegiatan bank yang dapat diaudit. (h ). Pengendalian internal Sebagaimana dibicarakan sebelumnya, salah satu unsur audit internal adalah pengendalian/pengawasan internal. Principle 4 of the Framework of Internal Control Systems in Banking Organizations (Basel Committee on Banking Supervision, 1998) menentukan bahwa: An effective internal control system requires that the material risks that could adversely affect the achievement of the bank s goals are being recognized and continually assessed. This assessment should cover all risks facing the bank and the consolidated banking organization (that is, credit risk, country and transfer risk, market risk, interest rate risk, liquidity risk, operational risk, legal risk and reputational risk). Internal control may need to be revised to appropriately address any new or previously uncontrolled risks.

15 Di samping itu, prinsip 10 memerlukan bahwa tingkat efektivitas dari pengawasan internal bank harus dimonitor terus dengan dasar yang juga terus menerus. Memonitor risiko kunci harus menjadi bagian dari kegiatan bank sehari-hari maupun penilaian berkala oleh garis bisnis dan audit internal. ORCA (Objectives, Risks, Controls, and Audit Procedures) Pendekatan RBA mencakup penetapan tujuan, penilaian risiko, serta prosedur pengawasan dan audit. Dimana dalam audit tradisional, prosedur audit ditentukan pada tingkat sangat awal, lalu dilanjutkan dengan penetapan tujuan-tujuan audit, pengawasan, dan risiko. Pernyataan ini didukung oleh Baraba, Service Risiko Bisnis Manajer Senior dari Ernest & Young. Dia menganjurkan bahwa tahap awal dari RBA adalah untuk menentukan tujuan-tujuan perusahaan, dilanjutkan dengan mengidentifikasi risiko, pengawasan internal, dan pendekatan audit. Gambar L.1 Transformasi dari pendekatan audit tradisional ke pendekatan RBA A O C R O R C A Audit Tradisional Risk-Based Audit O = Objectives ; R = Risks ; C = Controls ; A = Audit procedures Sumber: Tampubolon (2005)

16 Pendekatan Tujuh Langkah ke RBA Di samping ORCA, RBA dapat diterapkan dengan menggunakan pendekatan tujuh langkah menurut FSA Times of the Institute of Internal Auditors (2006). Langkahlangkah ini terdaftar sebagai berikut: 1. Memahami lingkungan bisnis selain merencanakan proses, memahami proses bisnis adalah kunci awal yang kritis untuk mencapai RBA yang efektif. Pada langkah ini, auditor diharapkan untuk mendapatkan arus balik dari manajemen dan komite audit, meninjau tujuan bisnis, dan mengidentifikasi risiko-risiko khusus yang dapat menyebabkan manajemen tidak dapat mencapai tujuan bisnis perusahaan, serta mengevaluasi pengawasan yang telah ditetapkan manajemen untuk memitigasi/mengurangi risiko-risiko ini. Pengertian menyeluruh mengenai risiko seperti risiko kredit, risiko tingkat bunga, risiko operasional, dan selanjutnya membiarkan auditor berkonsentrasi pada faktor-faktor risiko. 2. Penilaian risiko terdahulu (preliminary risk assesment) dalam metode ini, tingkat risiko dan tepatnya pengawasan dalam berbagai proses fungsional jika suatu unit bisnis telah ditentukan. Dalam menjalankan ini, fokus adalah pada profil bisnis, struktur manajemen, perubahan organisasi, dan keperhatian khusus manajemen dan komite audit. Preliminary risk assessment membantu auditor dalam mengevaluasi desain pengawasan untuk menentukan ruang lingkup audit yang dikehendaki. Pada tahap ini, kesanggupan tiap fungsi

17 desain pengawasan dalam mengurangi risiko melekat dievaluasi. Pada akhir penilaian, tingkat risiko rendah, medium, atau tinggi ditentukan. 3. Membangun rencana audit tiga tahunan menunjuk pada penilaian risiko preliminer yang telah diterapkan, maka dibuat perencanaan audit tiga tahunan. Dengan masukan dari manajemen, komite audit, atau bahkan keperluan pengaturan, maka bidang berisiko rendah akan diaudit tiap tiga tahun, bidang risiko medium diaudit tiap dua tahun, dan bidang risiko tinggi tiap tahun. Rencana audit tiga tahunan harus diperbaharui (update) tiap tahun dan perubahan-perubahan harus dibuat berdasarkan faktor-faktor risiko yang baru atau disesuaikan. Hasilnya, hal ini akan membiarkan auditor internal untuk bertindak flexible dalam lingkungan risiko yang dinamis. Tabel L.1 Contoh dari rencana audit tiga tahunan untuk bank dengan menggunakan pendekatan tujuh langkah Audit Aggregate Audit Year 2003 Year 2004 Year 2005 Cycle/area Risk from Frequency Risk (1, 2, or 3 Assessment year Matrix rotation) Lending Operations Commercial M 2 X X Loans

18 Consumer M 2 X Loans Real Estate M 2 X X Loans Credit H 1 X X X Administration Secondary L 3 X Marketing Treasury Management Securities M 2 X X Cash L 3 X Management Asset/Liquidity M 2 X X Management Wire Transfer H 1 X X X Automated H 1 X X X Clearing House Borrowings L 3 X and Repurchase Agreements

19 Accounting and Financial Reporting General M 2 X X Accounting Financial M 2 X Reporting Deposit M 2 X Operations Branch M 2 X X Operations Bank Administration Human M 2 X X Resources Payroll L 3 X Purchasing L 3 X Insurance M 2 X X Coverage High (H); Medium (M); Low (L) Sumber: the FSA Times Second Quarter 2006, Vol. 5, No Menyelesaikan penilaian risiko sekunder

20 Tahap ini meliputi penilaian apakah efektivitas desain pengawasan beroperasi seperti yang dikehendaki. Untuk itu, auditor internal diharuskan untuk menjalankan observasi seperti wawancara mendalam dan berjalan terus. Pada tahap ini, auditor internal diperbolehkan untuk merubah rencana audit dengan membandingkan pendekatan audit dengan risiko-risiko yang ada. 5. Penerapan program audit internal mengikuti perubahan rencana audit berdasarkan penilaian risiko sekunder maka rencana audit itu diselesaikan dan auditor siap untuk memulai dengan pekerjaan audit di lapangan. Suatu program audit standar mengarahkan proses audit dan menentukan prosedur audit mana yang harus dilaksanakan berdasarkan penilaian risiko sekunder. Secara logis, semakin tinggi penilaian risiko, maka lebih terperinci prosedur audit yang harus dijalankan. 6. Mengadakan rapat keluar resmi (Formal Exit Meeting) sebelum meninggalkan lapangan audit, auditor diharapkan untuk mengadakan rapat keluar resmi ini adalah untuk menyampaikan pada manajemen operasi dan senior, hal-hal yang telah dicatat selama audit berlangsung maupun praktek yang terbaik yang dianjurkan untuk memperbaiki pengawasan efisiensi dan kinerja operasional. Rapat keluar resmi ini juga berguna bagi auditor internal dan manajemen untuk membahas rekomendasi-rekomendasi untuk perbaikan dan untuk menjawab hal-hal yang masih dipertanyakan. 7. Pelaporan dan Komunikasi Mengikuti langkah ke enam, sebuah rencana pelaporan disampaikan kepada manajemen operasi untuk memperoleh rencana untuk mengadakan koreksi.

21 Rencana laporan ini harus mendaftar semua temuan dan rekomendasi, dan digolongkan sebagai berisiko tinggi, medium, atau rendah. Awalnya, laporan ini dikeluarkan dalam bentuk rencana agar dapat terjadi komunikasi terus menerus antara auditor internal dan manajemen operasi. Dalam tahap akhir ini, seharusnya tidak ada keganjilan, karena masing-masing fakta harus disetujui selama pekerjaan lapangan dan rapat keluar resmi. Rencana aksi manajemen harus dipersiapkan dengan mendaftarkan tindakan-tindakan khusus berfokus pada apa yang diperoleh dan direkomendasi, dengan manajemen menunjuk siapa yang bertanggung jawab mengenai rencana itu dan menetapkan tanggal dimana kegiatan sudah harus diselesaikan. Untuk maksud penilaian rencana aksi manajemen, maka auditor internal harus menilai apakah risiko yang diidentifikasi akan dapat diolah dengan baik dan apakah jadwal pelaksanaan adalah rasional. Laporan akhir dikeluarkan pada seluruh pejabat manajemen operasi, senior dan eksekutif bersangkutan, maupun anggota-anggota komite audit. Laporan akhir ini mencakup semua temuan dan rekomendasi yang dipersiapkan oleh auditor internal maupun rencana aksi manajemen. Dalam pembahasan mengenai laporan audit dan untuk mengusulkan tiap arus balik kritis, maka rapat-rapat antara auditor internal dan komite audit harus diatur untuk dilaksanakan secara berkala. Auditor internal akan secara teratur menyediakan laporan pengawasan yang dapat digunakan oleh manajemen dan komite audit untuk menyusur temuan-temuan audit internal yang kritis, tindak lanjut mengenai hasilnya, dan tinjauan singkat mengenai efektivitas manajemen risiko dan penyelesaian semua temuan yang berarti. Pelaporan tindak lanjut harus berlangsung terus sampai apa yang yang dipermasalahkan telah diselesaikan dan disetujui.