Laman

Rabu, 11 Mei 2016

Resume Jurnal Internal Audit and Risk Management in Public Sector Entities Between Tradion and Actuality

Journal: Internal Audit and Risk Management in Public Sector Entities, Between Tradition and Actuality
Penulis: Eugeniu Turlea dan Aurelia Stefanescu
Annales Universitatis Apulensis Series Oeconomica, 1 (1), 2009

Jurnal ini bertujuan untuk mengembangkan konsep risiko dan manajemen risiko sektor publik pada Romania. Secara umum, risiko adalah ketidakpastian dan dampak buruk jika terjadi. Menurut COSO, manajemen risiko adalah proses mengatur manajemen dan keseluruhan staf yang terlibat dalam rangka mengatur tujuan organisasi.



Jika identifikasi, evaluasi dan monitoring merupakan tugas dari manajemen lalu dimanakah peran audit internal dalam prosesnya? Terdapat lima peran internal audit dalam manajemen risiko:
  1. Memberikan jaminan terhadap proses manajemen risiko
  2. Memberikan jaminan atas risiko yang telah dievaluasi
  3. Mengevaluasi proses manajemen risiko 
  4. Mengevaluasi laporan risiko utama
  5. Mereviu manajemen dari risiko utama

Senin, 11 April 2016

(Reviu Jurnal) Enterprise Risk Management: The Challenge for the Public Sector

Jurnal: Enterprise Risk Management: the challenge for the public sector
Penulis: Dr. Orna Duggan
Journal Accountacy Ireland August 2008 Vol.38 no 4 page 25

Organisasi yang berevolusi, tumbuh yang menciptakan standar kualitas yang tinggi untuk pelanggannya biasanya sukses dalam memahami dan mengatur risiko mereka, walaupun belum secara formal. Formal yang dimaksud adalah meliputi kebijakan risiko dan identifikasi risiko yang dilihat sebagai elemen dalam pembentuk Good Corporate Governance.

Evolusi Manajemen Risiko

Manajemen risiko adalah proses integral dalam praktek membangun bisnis yang baik. Saat ini MR banyak dipakai di dalam dunia finance, health and safety, clinical and enviromental risk management. Karena efek dari bidang tersebut nyata terlihat dan dapat diukur ketika terjadi kerugian, berdampak kepada kehidupan manusia dan kebutuhan sumber daya.

Sedangkan untuk sektor yang lain, agak sulit dalam pengukurannya dan pengaturannya. Kemampuan dalam mengidentifikasi risiko, memahami implikasinya terhadap keputusan stratejik yang mempengaruhi organisasi tergantung dari pemahaman profil organisasi tersebut.

Pendekatan yang dapat diterima secara universal yang melibatkan mulai dari identifikasi, kuantifikasi, prioritas dan MR yang berkelanjutan yang terfasilitasi oleh pedoman dari Australia/New Zealand Standard - Risk Management (AS/NZS 4360 2004)

Manfaat dari MR:

Dalam sektor publik, dimana persyaratan kepatuhan (compliance) tumbuh lebih tinggi dibandingkan permintaan, akan mudah melihat MR sebagai tick-box exercise dengan compliance sebagai tujuan utama. Organisasi yang berinvestasi dalam penerapan MR, melihat inti dari proses manajemen yang sedang berlangsung yang dikaitkan dengan strategi dan aktivitas perusahaan, maka akan mendapatkan hasil yang powerful untuk jajaran board dan executive untuk mengatasi tantangan utama dalam mencapai standar yang lebih tinggi dibandingkan pencapaian terdahulu.


Implementasi RM - Tantangan dan Jebakan

ERM adalah proses standar dan relatif mudah.  Tantangan menerapkannya dalam RM organisasi adalah melakukan proses yang terstruktur, teratur dan berfokus utnuk mendapatkan manfaat yang maksimal. Untuk sukses, prosesnya harus:
  • Bersifat inklusif dan komprehensif 
  • Menghasilkan daftar risiko yang tidak berlebiha tapi pada saat yang sama menggambrkan realitas organsiasi secara komprehensif
  • Menggambarkan dengan jelas, risiko yang mewakili prioritas tertinggi bagi organisasi
  • Menyediakan mekanisme atau sistem untuk update secara terus-menerus yang disesuaikan dengan ukuran, sumber daya, sistem yang ada serta struktur organisasi.

Sabtu, 12 Maret 2016

Ikhtisar Jurnal (Internal Audit: Be a Key Player in the Risk Management Process)

Penulis: Margaret O'Reilly-Allen, CPA, PhD dan Lawrence Mawn, CPA, CIA
Jurnal: Pennsylvania CPA Journal; Fall 2011; 82,3; Proquest halaman 30

Saat ini manajemen risiko tidak hanya terbatas pada finansial dan operasional saja, tapi termasuk semua bidang baik demografi, etik, atau ancaman lingkungan yang dapat mengganggu kelangsungan hidup organisasi.


Peran Audit Internal pada Enterprise Risk Management

Menurut IIA dalam papernya berjudul The Role of Internal Audit in Risk Management (2009) bahwa peran utama internal audit pada ERM adalah memberikan assurance pada efektifitas manajemen risiko organisasi. IIA menjelaskan beberapa peranan auditor internal dalam ERM.

Enlist Top-Level Support

Manajemen puncak membentuk dasar dari aktivitas ERM dan mengimplementasikannya. Fungsi auditor internal dalam tahap ini yakni berkoordinasi dengan manajemen dalam memperkenalkan ERM di organisasi 

Communicate the Objectives

Manajemen memastikan tujuan dari ERM dan orang-orang dalam manajemen memahami hubungan antara tujuan strategik dan bagaimana mengelola risiko dapat berimplikasi pada pencapaian tujuan organisasi. Auditor internal dapat memfasilitiasi dalam meningkatkan kesadaran filosofi dari organnisasi misalnya mengadakan workshop.

Establish Appropriate Risk Management Framework 

Program ERM membutuhkan konsep menyeluruh terhadap manajemen risiko organisasi. Model yang luas digunakan yakni dari COSO dengan modelnya di paper Embracing Enterprise Risk Management: Practical Approach for Getting Started (2009) dan ISO Risk Management - Principles and Guidelines (2009). Ketika manajemen memutuskan akan menerapkan framework yang mana, auditor internal dapat bekerjasama dengan kelompok risiko lainnya dalam organisasi untuk mengembangkan dan mempromosikan bahasa manajemen risiko umum

Identify Events and Determine Risk Appetite

 Manajemen mengidentifikasi kejadian potensial baik internal maupun eksternal yang dapat membahayakan tujuan organisasi. Selanjutnya, menetapkan level risk appetite.

Assess and Measure

Manajemen harus melakukan pengukuran dalam mengidentifikasi risiko, melalui pendekatan kualitatif dan kuantitatif. Risk severity diukur berdasarkan tingkat tinggi, menengah atau rendah sedangkan likelihood diukur berdasarkan unlikely, possible dan probable.


Menurut IIA dalam A Call to Shareholder's Perspective on Internal Auidt, peran auditor internal di tahap ini yakni mempercepat risk assessment dengan memperluas risiko tahunan untuk mengembangkan proses penilaian ERM yang mencakup risiko strategi yang terkait dengan proses tata kelola.

Risk Response

Manajemen merespon risiko sesuai dengan risk appetite, dengan:
  • Menerima rsiko dan memonitor secara rutin
  • Menghindari risiko dengan mengeliminasi proces atau kegiatan yang dapat menyebabkan risiko
  • Menguranigi risiko dengan merubah proses
  • Mentransfer risiko

Controls

Kontrol dipilih berdasarkan risk appetite organisasi. Peran auditor internal untuk memperluas peran tradisional dengan mengevaluasi efektivitas dari proses manajemen risiko dan memberikan rekomendasi terhadap kontrol tersebut.

Monitor, Assure and Evaluate

Elemen penting untuk keberhasilan ERM pada tahap ini. Monitoring sebaiknya dilakukan oleh pemilik risiko dan manajemen. Auditor internal dapat memonitor secara keseluruhan dari proses dan mereviunya.

Report and Communicate Results

Laporan yang efektif sebaiknya memberikan umpan balik terhadap semua risiko yang telah diidentifikasi, melakukan kontrol dalam memitigasi risiko dan melakukan koreksi apabila diperlukan. Auditor internal dapat melakukan penyesuaian (customize) dalam rangka memenuhi kebutuhan organisasi.

Definisi Risiko

Tanggung jawab mengidentifikasi dan mengelola risiko adalah pada manajemen, namun auditor internal juga memegang peran kunci untuk memberikan jaminan bahwa risiko tersebut telah dikelola dengan baik. Pasal 11 PP No 60 Tahun 2008 menjelaskan bahwa APIP harus meningkatkan efektivitas manajemen risiko dalam penyelenggaraan tugas dan fungsi instansi pemerintah sehingga dapat mengoptimalkan peran assurance dan consulting terkait manajemen risiko.

Manajemen risiko menjadi kebutuhan yang strategis dan menentukan perbaikan kinerja organisasi karena risiko berkaitan dengan kemungkinan terjadinya kegagalan dan kerugian bagi organisasi. Manajemen risiko perlu dievaluasi secara periodik melalui aktivitas pengendalian.

Definisi Risiko

  • Risiko adalah suatu kejadian yang mungkin terjadi dan apabila terjadi akan memberikan dampak negatif pada pencapaian tujuan instansi pemerintah (PP Nomor 60 Tahun 2008)
  • Risiko adalah peluang terjadinya bencana, kerugian atau hasil yang buruk. (BSMR, 2007)
  • Risk is a concept used to express uncertainty about events and/or their outcomes that could have a material effect on the goals of the organization (Risk Management, Changing the Auditor Paradigm, Namee dan Salim 1998)
  • Risk is events with a negative impact represent risks, which can prevent value creation or erode existing value (COSO)

Pada ranah publik, meminimaliasi manajemen risiko tertera pada UU, Keputusan Menteri dan Arsitektur Perbankan Indonesia (API). UU No 1 Tahun 2004 tentang Perbendaharaan Negara Pasal 58 ayat 1 menyebutkan "Dalam rangka meningkatan kinerja, transparansi dan akuntabilitas pengelolaan keuangan negara, Presiden selaku Kepala Pemerintahan mengatur dan menyelenggarakan SPI di lingkungan pemerintahan secara menyeluruh."

  • Risk management: the culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effects. (AS/NZ Standard 4360: 2004)
  • Risk management: a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, manage risk to be within its risk appetite, and provide reasonable assurance regarding the achievement of entity. (COSO)

Proses Manajemen Risiko

 Menurut COSO, manajemen risiko dibagi menjadi 8 tahap:

  1. Internal Environment. Berkaitan dengan lingkungan dimana instansi pemerintah berada dan beroperasi.
  2. Objective Setting. Tujuan ditetapkan supaya dapat diidentifikasi, diakses dan dikelola risiko terkait.
  3. Event Identification. Mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan eksternal maupun internal yang mempengaruhi pencapaian tujuan organisasi.
  4. Risk Assessment. Menilai sejauh mana dampak dari kejadian dapat menganggu pencapaian dari tujuan. Dianalisis dalam dua perspektif, likelihood (kemungkinan peluang) dan consequence (dampak atau besaran dari terealisasinya risiko). Besarnya risiko atas kejadian organisasi merupakan perkalian keduanya. Penilaian risiko menggunakan teknik kualitatif atau/dan kuantitatif.
  5. Risk Response. Organisasi menentukan sikap atas hasil penilaian risiko. Risk response dapat berupa avoidance, reduction, sharing, acceptance.
  6. Control Activities. Penyusunan kebijakan dan prosedur untuk menjamin risk response terlaksana dengan efektif. Aktivitas pengendalian memerlukan lingkungan pengendalian yang meliputi: 1. Integritas dan nilai etika 2. Kompetensi 3. Kebijakan dan praktik-praktik SDM 4. Budaya organisasi 5. Filosifi dan gaya kepemimpinan 6. Struktur organisasi dan 7. wewenang dan tanggung jawab.
  7. Information and Communication. Menyamaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang efektif.
  8. Monitoring. 

Kamis, 10 Maret 2016

Hubungan Perencanaan Audit Tahunan dan Audit Individu


Perencanaan makro menghasilkan perencanaan audit tahunan, dan ketika penguasan audit secara individual dilakukan, maka tim auditor melakukan penilaian risiko atas penugasan audit ntuk menentukan urutan prioritas ringkat risiko perbagian sehingga pengalokasian sumber daya untuk penugasan audit dapat dilakukan secara tepat, efisien dan efektif. Tujuan dari audit individu yakni memberikan jaminan bahwa risiko telah dikelola dengan benar.

Audit Berbasis Resiko

Definsi Audit Berbasis Risiko menurut IIA:
Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite)
Sasaran yang ingin dicapai dalam penerapan audit berbasis risiko:
  • Mengidentifikasi risiko kegagalan, kekeliuran dan kecurangan serta memberikan rekomendasi bagi auditi untuk perbaikan operasinya;
  • Memberikan dasar yang kuat bagi tim adit dalam memberikan atas laporan keuangan dengan mempertimbangkan risiko salah saji yang terkait dengan risiko kegagalan, kekeliruan dan kecurangan
  • Kerangka untuk meningkatna efisiensi (menekan biaya audit dengn mengurangi tes substantif) efektivitas (mengidentifikasi dan fokus pada area-area yang berisiko),dan kualitas audit (menekan kesalahan audit).
 Tahapan Audit Berbasis Risiko:
  1. Penilaian tingkat maturitas risiko
  2. Perencanaan audit periodik
  3. Penugasan audit individu

Rabu, 09 Maret 2016

Peran Auditor Internal dalam Manajemen Risiko



(Pusdiklatwas BPKP)

Menurut IIA, audit internal adalah kegiatan penjaminan dan konsultasi yang bersifat independen dan objektif dan dirancang untuk memberikan nilai tambah bagi organisasi dengan meningkatkan kegiatan operasi organisasi untuk mencapai tujuannya, melalui suatu pendekatan yang sistematis dan teratur untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian dan proses pengelolaan.

Mengidentifikasi risiko adalah tugas manajemen dan peran auditor internal adalah menyatakan kecukupan aktivitas dan efektivitas manajemen risiko yang dijalankan oleh manajemen. Terdapat lima peran inti dari internal audit dalam kerangka manajemen risiko:
  1. Memberikan assurance (jaminan) bahwa proses yang dilakukan oleh manajemen untuk mengidentifikasi semua risiko yang signifikan adalah efektif;
  2. Memberikan assurance (jaminan) bahwa risiko telah diberi score dan diurutkan berdasarkan prioritas oleh manajemen;
  3. Mengevaluasi proses manajemen risiko, untuk memastikan bahwa respon terhadap risiko telah tepat dan sesuai kebijakan organisasi;
  4. Mengevaluasi pelaporan risiko utama;
  5. Meninjau pengelolaan risiko utama oleh manajemen.

Pada sektor publik, pengendalian internal berperan untuk pengendalian interan atas uang masyarakat, aset dan sumber daya lainnya, memacu tercapainya pendapatan pajak serta mengalokasikan sumber daya sesuai kebutuhan. Hasil yang bisa diberikan oleh internal audit di sektor publik, misalnya:
  • Reviu budaya pengendalian organisasi
  • Tujuan evaluasi kerangka pengendalian intern dan risiko saat ini
  • Penilaian pencapaian target dan sasaran organisasi

RISIKO TEKNOLOGI INFORMASI

Perubahan pada teknologi informasi akan merubah cara kerja organisasi dan menimbulkan risiko baru dan proses pengendaliannya misalnya risiko mulai dari pemilihan jenis TI, kerahasiaan informasi, fraud dll. Auditor internal dituntut untuk meningkatkan pemahaman dan keterampilan di bidang TI. Jadi, internal auditor harus:
  • Memasukkan sistem informasi organisasi dalam perencanaan audit tahunan;
  • Mengidentifikasi dan menilai risiko TI organisasi;
  • Menilai tata kelola, manajemen risiko dan pengendalian teknis atas TI;
  • Menggunakan teknik audit berbasis teknologi informasi dalam pelaksanaan penugasan