BAB 2 LANDASAN TEORI
1.1
Audit
1.1.1
Pengertian Audit Pengertian audit menurut Mulyadi (2010:9) adalah:
“Secara umum auditing adalah suatu proses sistematik untuk memperoleh dan mengevaluasi bukti secara objektif mengenai pernyataan-pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan tingkat kesesuaian anatara pernyataan-pernyataan tersebut dengan kriteria yang telah ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan”. Pengertian atau definisi menurut Arens et al (2010: 4) adalah: “Auditing is the accumulation and evaluation of evidence about information to determine and report on the degree of correspondence between the information and established criteria. Auditing should be done by a competent, independent person. Audit adalah pengumpulan dan evaluasi bukti tentang informasi untuk menentukan dan melaporkan derajat kesesuaian antara informasi itu dan kriteria yang telah ditetapkan. Auditing harus dilakukan oleh orang yang kompeten, independen dan berintegritas. Dari definisi-definisi tersebut diatas, dapat disimpulkan bahwa audit adalah menyangkut hal-hal sebagai berikut: a) Dalam audit dilakukan tindakan-tindakan menyimpulkan (accumulate), mengevaluasi (evaluate), menentukan (determine), dan melaporkan (report). b) Informasi-informasi yang dapat diukur dan kriteria-kriteria yang telah ditetapkan syarat dalam melakukan pemeriksaan adalah informasi yang terpercaya atau dapat dibuktikan kebenarannya dan kriteria standar yang dapat digunakan oleh auditor sebagai pedoman dalam mengevalusi informasiinformasi tersebut. c) Untuk memenuhi tujuan audit, auditor harus memperoleh bukti dengan kualitas dan jumlah yang mencukupi. Bukti (evidence) adalah setiap informasi yang digunakan auditor untuk menentukan apakah informasi yang diaudit dinyatakan sesuai dengan kriteria yang telah ditetapkan.
d) Pengumpulan dan pengevaluasian bukti, adanya bukti-bukti yang memadai baik dari segi jumlah maupun dari segi menu sangat diperlukan untuk menentukan kegiatan audit. Bahan bukti dapat terdiri dari bermacam bentuk yang berbeda termasuk peringatan lisan dari pihak yang diaudit (klien). Komunitas dengan pihak ketiga dan hasil pengamatan auditor. e) Auditor harus independen dan kompeten, independen berarti bebas dari pengaruh-pengaruh hingga batas-batas tertentu. Sedangkan kompeten berarti auditor harus mempunyai pengetahuan dan pengalaman yang cukup agar dapat memahami kriteria-kriteria yang dipergunakan. f) Pelaporan, Pelaporan hasil audit harus mampu memberikan informasi mengenai kesesuaian informasi yang diperiksa dengan kriteria yang telah ditetapkan.
1.1.2
Tipe Audit Mulyadi (2010: 30-32) menyatakan auditing umumnya digolongkan menjadi
3 golongan yaitu audit laporan keuangan, audit kepatuhan, dan audit operasional. 1. Audit Laporan Keuangan (Financial Statement Audit) Audit laporan keuangan adalah audit yang dilakukan oleh auditor independen terhadap laporan keuangan yang disajikan oleh kliennya untuk menyatakan pendapat mengenai kewajaran laporan keuangan tersebut. Dalam laporan keuangan ini, auditor independen menilai kewajaran laporan keuangan atas dasar kesesuaiannya dengan prinsip akuntansi berterima umum. 2. Audit Kepatuhan (Compliance Audit) Audit kepatuhan adalah audit yang tugasnya untuk menentukan apakah yang diaudit sesuai dengan kondisi atau peraturan tertentu. Audit kepatuhan banyak dijumpai dalam pemerintahan. 3. Audit Operasional (Operational Audit) Audit operasional merupakan review secara sistematik kegiatan organisasi atau bagian dari padanya, dalam hubungannya dengan tujuan tertentu. Tujuan audit operasional adalah untuk : a. Mengevaluasi kinerja b. Mengidentifikasi kesempatan untuk peningkatan c. Membuat rekomendasi untuk perbaikan atau tindakan lebih lanjut.
1.2
Audit Operasional
1.2.1
Pengertian Audit Operasional Audit operasional merupakan proses sistematis yang bertujuan untuk
mengkaji dan menilai prosedur operasi yang akan menghasilkan informasi bagi manajemen. Audit operasional atau pemeriksaan pengelolaan (management audit) menurut Kayo (2013:44) adalah suatu pemeriksaan yang independen, sistematis, selektif, dan analitis untuk menilai bagaimana cara pengelolaan atau operasi suatu organisasi diatur dan dilaksanakan dengan tujuan untuk membantu semua peringkat manajemen dalam pelaksanaan tugas yang lebih baik dengan memberikan informasi kelemahan yang dijumpai berikut usul-usul rekomendasi perbaikannya.
1.2.2
Jenis- jenis Audit Operasional Menurut Arens, Elder, Beasley (2010) pada dasarnya audit operasional
teebagi menjadi tiga jenis yaitu: fungsional, organisasi, dan penugasan khusus. Ketiga jenis audit operasional itu dapat diuraikan sebagai berikut: a) Fungsional Audit fungsional berkaitan dengan sebuah fungsi atau lebih dalam suatu organisasi. Ini dapat berhubungan misalnya dengan fungsi penggajian suatu divisi atau untuk
perusahaan
secara
keseluruhan. Keunggulan audit fungsional adalah
memungkinkan adanya spesialiasasi oleh auditor, kekurangan audit operasional adalah tidak dievaluasinya fungsi yang saling berkaitan. b) Organisasi Audit operasional tata suatu organisasi menyangkut keseluruhan unit organisasi, seperti departemen cabang atau anak perusahaan. Penekanan dana suatu organisasi adalah seberapa efisien fungsi-fungsi saling berinteraksi. Cara organisasi dan metode-metode untuk mengkoordinasikan yang ada sangat penting dalam audit jenis organisasi. c) Penugasan khusus Penugasan audit khusus timbul atas permintaan manajemen. Adanya variasi dalam audit seperti itu, contohnya mencakup penentuan penyebab tidak efektifnya sistem pengelolaan data elektronik (PDE), penyelidikan kemungkinan kecurangan dalam suatu divisi, dan membuat rekomendasi untuk mengurangi biaya produksi suatu barang.
1.2.3
Tujuan dan Elemen Audit Operasional Menurut Bayangkara (2011:3), tujuan audit operasional pada dasarnya adalah
untuk mengidentifikasi kegiatan program, dan aktivitas yang masih memerlukan perbaikan sehingga dengan rekomendasi yang diberikan nanti dapat dicapai perbaikan atas pengelolaan berbagai program dan aktivitas perusahaan tersebut. Elemen penting yang terkandung dalam tujuan audit operasional, yaitu kriteria (criteria), penyebab (cause), akibat (effect) (Bayangkara, 2011:4). a. Kriteria (criteria) Kriteria merupakan standar (pedoman, norma) bagi setiap individu/kelompok di dalam perusahaan dalam melakukan aktivitasnya. Kriteria dapat berupa peraturan pemerintah, kebijakan manajemen perusahaan, Standar Operating Procedure (SOP) dan lain sebagainya. b. Penyebab (Cause) Penyebab merupakan tindakan (aktivitas) yang dilakukan oleh setiap individu atau kelompok di dalam perusahaan. Penyebab dapat bersifat positif atau negatif. c. Akibat (effect) Akibat merupakan perbandingan antara penyebab dengan kriteria yang berhubungan dengan penyebab tersebut.
1.2.4
Ruang Lingkup Audit Operasional Audit operasional memiliki ruang lingkup yang lebih luas jika dibandingkan
dengan audit keuangan. Menurut Bayangkara (2011:7), audit operasional ditujukan untuk mencapai perbaikan atas berbagai program/aktivitas dalam pengelolaan perusahaan yang masih memerlukan perbaikan. Luas audit operasional lebih menekankan keyakinan pada efektivitas pengendalian manajemen yang dimiliki perusahaan. Dalam pelaporan pun, audit operasional belum mempunyai standar laporan yang baku sehingga masih dipengaruhi oleh kemampuan auditor dalam hal penyampian informasi.
1.2.5
Tahap-tahap dalam Audit Operasional Auditor dalam melaksanakan kegiatan memerlukan kerangka tugas sebagai
pedoman dalam melaksanakan pekerjaannya. Menurut Bayangkara (2011:10-11), secara garis besar tahap-tahap audit operasional dapat dikelompokkan menjadi lima, yaitu audit pendahuluan, review dan pengendalian manajemen, audit terinci, pelaporan, tindak lanjut. a) Audit Pendahuluan Audit pendahuluan dilakukan untuk mendapatkan informasi latar belakang terhadap objek yang diaudit. Disamping itu, pada tahapan ini juga dilakukan penelaahan terhadap berbagai peraturan, ketentuan, dan kebijakan berkaitan dengan aktivitas yang diaudit, serta menganalisis berbagai informasi yang telah diperoleh untuk mengindikasikan hal-hal yang potensial mengandung kelemahan pada perusahaan yang diaudit. Dalam audit ini auditor dapat menentukan beberapa tujuan audit sementara (tentative audit objective). b) Review dan Pengujian Pengendalian Manajemen Pada tahapan ini auditor melakukan review dan pengujian terhadap pengendalian manajemen objek audit, dengan tujuan untuk menilai efektifitas pengendalian manajemen dalam mendukung pencapaian tujuan perusahaan. Hasil pengujian pengendalian manajemen ini dapat mendukung tujuan audit sementara menjadi tujuan audit yang sesungguhnya (definitive audit objective), atau mungkin ada beberapa tujuan audit sementara yang gugur, karena tidak cukup bukti untuk mendukung tujuan audit tersebut. c) Audit Terinci Pada tahap ini auditor melakukan pengumpulan bukti yang cukup dan kompeten untuk mendukung tujuan audit yang telah ditentukan. Pada tahap ini dilakukan pengembangan temuan untuk mencari keterkaitan antara satu temuan dengan temuan yang lain dalam menguji permasalahan yang berkaitan dengan tujuan audit. Temuan yang cukup, relevan, dan kompeten dalam tahap ini disajikan dalam suatu kertas kerja audit atau working paper (WP) untuk mendukung kesimpulan audit yang dibuat dan rekomendasi yang diberikan.
d) Pelaporan Tahapan ini bertujuan mengkomunikasikan hasil audit termasuk rekomendasi yang diberikan kepada berbagai pihak yang berkepentingan. Rekomendasi harus disajikan dalam
bahasa
operasional
dan
mudah dimengerti serta menarik untuk
ditindaklanjuti. e) Tindak Lanjut Sebagai tahap akhir dari audit operasional, tindak lanjut bertujuan untuk mendorong pihak-pihak yang berwenang untuk melaksanakan tindak lanjut (perbaikan) sesuai dengan rekomendasi yang diberikan.
1.3
Audit Internal
1.3.1
Pengertian Audit Internal Menurut Sukrisno Agoes (2012:204) definisi dari audit internal adalah
sebagai berikut : “Internal audit (pemeriksaan intern) adalah pemeriksaan yang dilakukan oleh bagian internal audit perusahaan, terhadap laporan keuangan dan catatan akuntansi perusahaan maupun ketaatan terhadap kebijakan manajemen puncak yang telah ditentukan dan ketaatan terhadap peraturan pemerintah dan ketentuan-ketentuan dari ikatan profesi yang berlaku. Peraturan pemerintah misalnya peraturan di bidang perpajakan, pasar modal, lingkungan hidup, perbankan, perindustrian, investasi, dan lainlain”. International Professional Practices Framework (2013), memberikan definisi Audit Internal sebagai berikut: 1. An independent, objective assurance and consulting activity designed to add value and improve an organisation’s operations. 2. Helps an organisation accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. 3. Aims to enhance the effectiveness, economy and efficiency of operations. 4. Covers all the operations and systems of the organisation. Definisi tersebut menerangkan bahwa audit internal tidak hanya sebatas pemeriksaan yang berkaitan dengan keuangan, namun lebih jauh dari itu mencakup
review, evaluasi serta memberikan rekomendasi agar kegiatan perusahan menjadi efektif. IIA Standard menekankan lebih jauh mengenai aktivitas audit internal khususnya dalam manajemen risiko, pengendalian internal, dan tata kelola sebagai berikut: a. 2120 – Manajemen Risiko: “The internal audit activity should assist the organization by identifying and evaluating significant exposures to risk and contributing to the improvement of risk management and control systems”. Aktivitas audit internal harus mengevaluasi akibat dari risiko terkait dengan tata kelola perusahaan, operasional dan teknologi informasi sesuai dengan standar pengendalian internal. b. 2110 – Pengendalian Internal “The internal audit activity should assist the organization in maintaining effective controls by evaluating their effectiveness and efficiency and by promoting continuous improvement”. Pengembangan pengendalian internal secara berkesinambungan dilakukan dengan senantiasa mengevaluasi efektivitas dan efisiensinya. IIA Standard, Moeller (2009), Brink’s Modern Internal Auditing, p. 3, 7th edition juga memberikan definisi atas praktek audit internal sebagai berikut, “Internal auditing is an independent appraisal function established within an organization to examine and evaluate its activities as a service to the organization.”
1.3.2
Tujuan Audit Internal Menurut Hery (2010:39) tujuan dari audit internal adalah sebagai berikut :
“Audit internal secara umum memiliki tujuan untuk membantu segenap anggota manajemen dalam menyelesaikan tanggung jawab mereka secara efektif, dengan memberi mereka analisis, penilaian, saran dan komentar yang objektif mengenai kegiatan atau hal-hal yang diperiksa”. Pada dasarnya tujuan dari audit internal adalah membantu manajemen di dalam suatu organisasi untuk menjalankan tugas dan wewenangnya secara sistematis, ekonomis, efektif dan efisien dengan cara memberikan analisis, penilaian, rekomendasi, konsultasi dan informasi sehubungan dengan aktivitas yang diperiksanya. Ruang lingkup audit internal mencakup bidang yang sangat luas dan
kompleks meliputi seluruh tingkatan manajemen baik yang sifatnya administratif maupun operasional.
1.3.3
Transformasi Fungsi Audit Internal Pergeseran peran audit internal dari fungsi pengujian kepatuhan (age of
control focus auditing) menjadi fungsi yang memberikan nilai tambah bagi upaya perusahaan mencapai sasaran dan mengelola risiko yang dihadapinya (age of risk based auditing). Sesuai dengan Jurnal penelitian oleh Ednan Ayvaz and Davut Pehlivanli yang berjudul “Enterprise Risk Management Based Internal Auditing and Turkey Practice” menunjukan bahwa risk based audit tidak hanya memberikan fungsi assurance namun juga sebagai konsultan dalam memberikan nilai tambah untuk mencapai tujuan perusahaan. Pergeseran peran audit internal dari fungsi pengujian kepatuhan (age of control focus auditing) menjadi fungsi yang memberikan nilai tambah bagi upaya perusahaan mencapai sasaran dan mengelola risiko yang dihadapinya (age of risk based auditing). Internal audit tidak lagi menjadi “polisi/watch dog” yang hanya melakukan inspeksi dan reperformance tetapi dengan melakukan risk based audit yaitu focus kepada mitigasi risiko dengan design/operation yang tepat dan processs level control. (Gambar 2.1)
Gambar 2.1 Transformasi Fungsi Internal Audit Sumber: Seminar Internal Audit (SNIA 2013)
1.4
Pengendalian Internal Menurut COSO (Committee of Sponsoring Organizations of the Treadway
Commission) (2013), “Pengendalian internal adalah suatu proses yang dilakukan oleh dewan entitas direksi, manajemen, dan personil lainnya dirancang untuk memberikan keyakinan memadai tentang pencapaian tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.” Pengendalian internal mencakup rencana organisasi dan semua metode yang terkoordinasi yang diterapkan, antara lain untuk mengamankan harta perusahaan, keakuratan dan keandalan sistem akuntansi dan keuangan, meningkatkan efisiensi operasional, dan mendorong ketaatan terhadap kebijakan manajerial yang telah ditetapkan. Sehingga pengendalian internal tidak sebatas pada fungsi akuntansi dan keuangan, melainkan mencakup keseluruhan fungsi pada perusahaan. Definisi ini juga diadopsi oleh Ikatan Akuntan Indonesia (IAI) yang dinyatakan dalam Standard Profesional Akuntan Publik, Pedoman Standar Akuntansi No. 69, Seksi 319 mengenai Pertimbangan Atas Pengendalian Internal Dalam Audit Laporan Keuangan sebagai berikut: “Pengendalian internal adalah suatu proses yang dijalankan oleh dewan komisaris, manajemen, dan personil lain entitas yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga golongan tujuan berikut ini: keandalan pelaporan keuangan, efektivitas dan efisiensi operasi, dan kepatuhan terhadap hukum dan peraturan yang berlaku.” Komponen Pengendalian Internal dalam Kerangka COSO 2013 Ada 17 prinsip-prinsip pengendalian internal dalam komponen pengendalian internal: I.
Lingkungan Pengendalian
1.
Menunjukkan komitmen terhadap integritas dan etika nilai-nilai.
2.
Tanggung jawab pengawasan pelatihan.
3.
Menetapkan struktur, wewenang, dan tanggung jawab.
4.
Menunjukkan komitmen untuk berkompetensi
5.
Meningkatkan akuntabilitas Lingkungan pengendalian adalah kondisi yang dibangun dan diciptakan dalam
suatu organisasi yang akan mempengaruhi efektivitas pengendalian. Kondisi lingkungan kerja dipengaruhi oleh beberapa hal, yaitu adanya penegakan integritas dan etika seluruh anggota organisasi, komitmen pimpinan manajemen atas
kompetensi, kepemimpinan manajemen yang kondusif, pembentukan struktur organisasi yang sesuai dengan kebutuhan, pendelegasian wewenang dan tanggung jawab yang tepat, penyusunan dan penerapan kebijakan yang sehat tentang pembinaan sumber daya manusia, perwujudan peran aparat pengawasan yang efektif, dan hubungan kerja yang baik dengan pihak ekstern.
II.
Penilaian Risiko
6.
Menentukan tujuan yang sesuai.
7.
Mengidentifikasi dan menganalisis risiko.
8.
Menilai risiko penyelewengan (fraud)
9.
Mengidentifikasi dan menganalisis perubahan yang signifikan. Risiko merupakan hal-hal yang berpotensi menghambat tercapainya tujuan.
Identifikasi terhadap risiko (risk identification) diperlukan untuk mengetahui potensipotensi kejadian yang dapat menghambat dan menghalangi terwujudnya tujuan organisasi. Setelah dilakukan identifikasi maka dilakukan analisis terhadap risiko meliputi analisis secara kuantitatif (quantitative risk analysis) dan kualitatif (qualitative risk analysis). Analisis risiko akan menentukan dampak kejadian, serta merupakan masukkan untuk mendapatkan cara mengelola risiko tersebut. III.
Aktivitas Pengendalian
10.
Memilih dan mengembangkan kegiatan pengendalian
11.
Memilih dan mengembangkan kontrol umum atas teknologi.
12.
Menyebarkan melalui kebijakan dan prosedur. Kegiatan pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko,
menetapkan dan melaksanakan kebijakan serta prosedur, serta memastikan bahwa tindakan tersebut telah dilaksanakan secara efektif. Tindakan-tindakan yang dilakukan untuk mengatasi risiko dapat dibagi menjadi 2 jenis tindakan yaitu tindakan pencegahan dan tindakan mitigasi. Tindakan pencegahan adalah tindakan yang dilakukan sebelum kejadian yang berisiko berlangsung, sedangkan tindakan mitigasi adalah tindakan yang dilakukan setelah kejadian berisiko berlangsung, dalam hal ini tindakan mitigasi berfungsi untuk mengurangi dampak yang terjadi. Tindakan-tindakan tersebut juga harus dilakukan evaluasi sehingga dapat dinilai keefektifan serta keefisienan tindakan tersebut.
IV.
Informasi dan Komunikasi
13.
Menggunakan informasi yang relevan.
14.
Berkomunikasi secara internal
15.
Berkomunikasi eksternal Informasi adalah data yang sudah diolah yang digunakan untuk pengambilan
keputusan dalam rangka penyelenggaraan tugas dan fungsi organisasi. Informasi yang berkualitas tentunya harus dikomunikasikan kepada pihak-pihak yang terkait. Penyampaian informasi yang tidak baik dapat mengakibatkan kesalahan interpretasi penerima informasi. V.
Monitoring
16.
Melakukan evaluasi berkelanjutan dan/atau terpisah.
17.
Mengevaluasi dan mengkomunikasikan kelemahan. Pemantauan (monitoring) adalah tindakan pengawasan yang dilakukan oleh
pimpinan manajemen dan pegawai lain yang ditunjuk dan bertanggung jawab dalam pelaksanaan tugas sebagai penilai terhadap kualitas dan efektivitas sistem pengendalian intern. Pemantauan dapat dilakukan dengan 3 cara yaitu pemantauan berkelanjutan (on going monitoring), evaluasi yang terpisah (separate evaluation), dan tindak lanjut atas temuan audit.
1.5 1.5.1
Risiko Pengertian Risiko Risiko merupakan sebuah ketidakpastian yaitu kejadian yang mungkin akan
terjadi jika tidak ada atau tidak tersedianya informasi yang memadai tentang apa yang akan terjadi di masa mendatang. Risiko dapat berdampak negatif terhadap tujuan perusahaan, dan lebih jauh dapat menimbulkan terjadinya kerugian atau ancaman bagi kelangsungan hidup perusahaan Standards for Professional Practice of Internal Auditing (2012), memberikan definisi risiko sebagai berikut: “risk is a probability that an event may adversely affect the organization or activity under audit” Pada dasarnya, definisi risiko mengarah pada suatu ketidakpastian atas terjadinya peristiwa dalam periode waktu tertentu. Peristiwa tersebut menyebabkan suatu kerugian baik kerugian kecil yang tidak berarti, maupun kerugian besar yang berpengaruh terhadap keberlangsungan hidup suatu perusahaan. Secara umum, risiko dapat didefinisikan sebagai suatu keadaan yang dihadapi oleh organisasi dengan
kemungkinan yang merugikan. Sehingga dapat dikatakan bahwa selama perusahaan mengalami kerugian walau sekecil apapun, hal tersebut dianggap risiko.
1.5.2
Jenis-Jenis Risiko SPAP (Standar Profesional Akuntan Publik) PSA Seksi 312 mendefinisikan
risiko audit sebagai risiko yang timbul karena auditor tanpa disadari tidak memodifikasi pendapatnya sebagaimana mestinya, atas suatu laporan keuangan yang mengandung salah saji material. Dalam pelaksanaan audit atas laporan keuangan sebuah perusahaan, di samping risiko audit, auditor juga akan menghadapi risiko lainnya seperti risiko kerugian praktek profesionalnya akibat dari tuntutan pengadilan, publikasi negatif, atau peristiwa lain yang mungkin timbul berkaitan dengan audit atas laporan keuangan yang dilakukan. Oleh karena itu, auditor harus selalu mempertimbangkan faktor risiko audit baik dalam tahap perencanaan audit, perancangan prosedur audit maupun dalam tahap evaluasi kewajaran penyajian laporan keuangan perusahaan. SPAP SA Seksi 312 mengharuskan auditor untuk selalu merencanakan auditnya sedemikian rupa, sehingga risiko audit dapat dibatasi pada tingkat yang rendah, yang menurut pertimbangan profesionalnya, memadai untuk menyatakan pendapat atas laporan keuangan. Risiko audit dapat dibagi menjadi tiga jenis yaitu : a. Risiko Bawaan (Inherent Risk): Kerentanan suatu saldo akun atau golongan transaksi terhadap suatu salah saji material, dengan asumsi bahwa tidak terdapat pengendalian yang terkait (maksudnya bahwa risiko bawaan timbul dengan asumsi pengedalian internal dalam perusahaan tidak ada. Jika pengendalian internal dalam perusahaan memadai serta efektif dalam pelaksanaannya dengan sendirinya risiko bawaan akan dapat diminimalisasi). Risiko salah saji dapat lebih besar pada saldo akun atau golongan transaksi tertentu dibandingkan dengan yang lain. Sebagai contoh, perhitungan yang rumit lebih mungkin disajikan salah jika dibandingkan dengan perhitungan yang sederhana. Uang tunai dalam perusahaan lebih mudah dicuri daripada persediaan. Suatu akun dalam laporan keuangan yang berasal dari estimasi akuntansi cenderung mengandung risiko yang lebih besar dibandingkan dengan akun yang sifatnya relatif rutin dan berisi data faktual. Perusahaan yang bergerak dalam bidang industri yang
memproduksi barang-barang high technology seperti misalnya handphone akan lebih berisiko terjadinya penumpukan persediaan yang usang karena tidak sesuai lagi dengan tuntutan pasar. b. Risiko Pengendalian (Control Risk): Risiko bahwa suatu salah saji material yang dapat terjadi dalam suatu asersi tidak dapat dicegah atau dideteksi secara tepat waktu oleh pengendalian intern entitas. Risiko ini merupakan fungsi efektivitas desain dan operasi pengendalian intern untuk mencapai tujuan entitas yang relevan dengan penyusunan laporan keuangan entitas. Beberapa risiko pengendalian akan selalu ada karena keterbatasan bawaan dalam setiap pengendalian internal. c. Risiko Deteksi (Detection Risk): Risiko bahwa auditor tidak dapat mendeteksi salah saji material yang terdapat dalam suatu asersi. Risiko deteksi merupakan fungsi efektivitas prosedur audit dan penerapannya oleh auditor. Risiko ini timbul sebagian karena ketidakpastian yang ada pada waktu auditor tidak memeriksa 100% saldo akun atau golongan transaksi, dan sebagian lagi karena ketidakpastian lain yang ada, walaupun saldo akun atau golongan transaksi tersebut telah diperiksa 100%. Ketidakpastian lain semacam itu bisa timbul karena auditor mungkin memilih suatu prosedur audit yang tidak sesuai, menerapkan secara keliru prosedur yang semestinya, atau menafsirkan secara keliru hasil audit. Ketidakpastian seperti ini dapat dikurangi sampai pada tingkat yang dapat diabaikan melalui perencanaan dan supervisi memadai serta pelaksanaan praktek audit yang sesuai dengan standar pengendalian mutu. Seperti yang dijelaskan dalam SPAP PSA seksi 312 p. 28 bahwa risiko bawaan dan risiko pengendalian berbeda dengan risiko deteksi. Adapun risiko bawaan dan risiko pengendalian tetap ada, terlepas dari dilakukan atau tidaknya audit atas laporan keuangan, sedangkan risiko deteksi berhubungan dengan prosedur audit dan dapat diubah oleh keputusan auditor itu sendiri. Risiko deteksi mempunyai hubungan yang terbalik dengan risiko bawaan dan risiko pengendalian. Semakin kecil risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin besar risiko deteksi yang dapat diterima. Sebaliknya, semakin besar adanya risiko bawaan dan risiko pengendalian yang diyakini oleh auditor, semakin kecil tingkat risiko deteksi yang dapat diterima.
Terdapat 4 (empat) kategori risiko utama pada manajemen risiko diantaranya adalah: a. Risiko Strategis Risiko ini terkait erat sehubungan dengan implementasi suatu strategi atau keputusan di masa mendatang yang diambil oleh perusahaan dalam menghadapi perubahan kondisi eksternal atau perkembangan proses bisnis perusahaan b. Risiko Operasional Merupakan risiko langsung maupun tidak langsung yang timbul akibat kegagalan atau tidak memadainya proses pengendalian, baik yang disebabkan oleh sumber daya manusia, sistem, maupun kejadian-kejadian eksternal perusahaan. Risiko ini terkait erat dengan kegiatan operasional perusahaan sehari-hari. c. Risiko Keuangan Merupakan risiko kerugian yang timbul secara langsung dalam bidang keuangan, yang antara lain disebabkan oleh fluktuasi nilai tukar mata uang, perubahan tingkat suku
bunga,
dan
ketidakmampuan pihak
kreditur
dalam
mengembalikan
kewajibannya. d. Risiko Hazard Risiko ini biasanya berkaitan dengan keadaan bahaya, seperti tindakan teroris, kondisi sosial politik, dan keadaan cuaca, maupun risiko yang berkaitan dengan adanya gugatan hukum oleh pihak lain.
1.5.3
Sumber Risiko Menurut sumber atau penyebab timbulnya, risiko dibagi 2 kelompok, yaitu:
1. Risiko Eksternal Risiko yang berasal dari luar perusahaan, seperti fluktuasi harga, persaingan dalam bisnis. Risiko eksternal dapat memaksa terjadinya perubahan pada praktek dan strategi operasional perusahaan dan menunjukkan pentingnya rencana kontijensi atas setiap perubahan yang terjadi di luar kendali perusahaan. 2. Risiko Internal Risiko internal bersumber dari dalam perusahaan itu sendiri, seperti kerusakan aset perusahaan, gangguan atas fasilitas pengolahan sistem informasi yang dapat berdampak negatif terhadap keseluruhan aktivitas operasional yang ada. Kualitas
personil dan metode pelatihan personil yang ada dapat mempengaruhi tingkat pengendalian dalam perusahaan. Selain itu penyalahgunaan aset perusahaan akibat adanya penyalahgunaan wewenang oleh personil juga dapat menimbulkan risiko bagi internal perusahaan.
1.5.4
Penilaian Risiko Risk assessment (penilaian risiko) adalah metode yang sistematis untuk
menentukan apakah suatu organisasi memiliki resiko yang dapat diterima atau tidak. Risk assessment merupakan kunci dalam perencanan pemulihan bencana. Penilaian risiko, proses menganalisis dan menafsirkan risiko terdiri dari tiga kegiatan dasar yaitu: (1) menentukan ruang lingkup dan metodologi penilaian, (2) mengumpulkan dan menganalisis data, dan (3) menafsirkan hasil analisis risiko. 1. Menentukan Ruang Lingkup dan Metodologi Penilaian Langkah pertama dalam melakukan risk assessment adalah mengidentifikasi sistem yang sedang dipertimbangkan, bagian sistem yang akan di analisis, dan metode analisis yang akan digunakan. Assessment dapat difokuskan pada area tertentu baik yang tingkat risikonya tidak diketahui maupun yang tingkat risikonya tinggi. Mendefinisikan ruang lingkup dan batasan dapat membantu peghematan biaya. Faktor yang mempengaruhi ruang lingkup: a. Fase dalam siklus hidup sistem, misalnya lebih baik mengembangkan sistem baru daripada mengembangkan sistem yang sudah ada. b. Kepentingan relatif dari sistem di bawah pemeriksaan, sistem yang lebih penting seharusnya di analisis lebih menyeluruh. c. Besar dan jenis sistem yang mengalami perubahan sejak analisis risiko terakhir. Metodologi bisa berbentuk formal atau informal, rinci atau sederhana, tingkat tinggi atau rendah, kuantitatif atau kualitatf, atau kombinasi dari semuanya. Tidak ada metode tunggal yang terbaik untuk semua pengguna dan semua lingkungan. Cara menentukan batasan, ruang lingkup, dan metodologi akan memiliki konsekuensi besar dalam jumlah total usaha yang dihabiskan pada manajemen risiko dan jenis serta kegunaan dari hasil penilaian itu. Batasan dan ruang lingkup harus
dipilih dengan cara yang akan memberikan hasil yang jelas, spesifik, dan berguna untuk sistem dan lingkungan.
2. Mengumpulkan dan Menganalisis Data Sebuah upaya manajemen risiko harus fokus pada bidang-bidang yang menghasilkan konsekuensi terbesar bagi organisasi seperti menyebabkan kerugian yang besar. Sebuah metodologi manajemen risiko tidak selalu perlu menganalisis komponen risiko secara terpisah. Misalnya, impact dan likelihoods dapat di analisa bersama-sama dengan risk matrix. Risk matrix dapat membantu untuk menentukan strategi dari manajemen risiko. Adapun strategi manajemen risiko dapat terdiri dari beberapa teknik: a) Menghindari Risiko Jika kita mengambil suatu keputusan maka kita akan berusaha untuk menghindari risiko, sehingga semua aktivitas yang menimbulkan risiko yang dimaksud akan dihindari sama sekali. Sebagai contoh, petani yang memutuskan untuk tidak menanam
tanaman tertentu
oleh
karena
kondisi
lingkungan
yang tidak
memungkinkan dan adanya kemungkinan kegagalan panen yang sangat tinggi. b) Meminimalkan Risiko Jika kita mengambil suatu keputusan maka kita akan berusaha untuk meminimalisir risiko, entah itu mengurangi probabilitasnya, atau pun mengurangi dampak yang ditimbulkan. Sebagai contoh adalah melakukan safety training atau menggunakan perangkat yang aman di lingkungan kerja guna meminimalisir risiko kecelakaan kerja. c) Membiarkan Risiko Jika kita mengambil suatu keputusan dengan membiarkan suatu risiko yang akan terjadi, karena memang kecenderungannya risiko tersebut jarang terjadi atau tingkat keparahannya memang cenderung rendah. Sebagai contoh, sebuah ritel yang membiarkan customer yang memang bukan target market utama untuk berpindah ke kompetitor. d) Transfer Risiko Jika kita mengambil langkah untuk mentransfer risiko yang mungkin terjadi ke perusahaan asuransi, yang nantinya akan memberikan ganti rugi jika suatu risiko terjadi. Biasanya, risiko yang dipindahkan adalah risiko yang punya dampak
keparahan sangat hebat. Sebagai contoh peristiwa kebakaran, kematian, kendaraan, rumah dan sebagainya. e) Menafsirkan Hasil Analisis Risiko Penilaian risiko digunakan untuk mendukung dua fungsi terkait yaitu penerimaan risiko dan pemilihan biaya kontrol yang tepat. Untuk mencapai fungsi-fungsi tersebut, penilaian risiko harus menghasilkan output yang bernilai, yang mencerminkan apa yang benar-benar penting bagi organisasi. Membatasi kegiatan interpretasi risiko untuk risiko yang paling signifikan adalah cara lain dalam proses manajemen risiko yang difokuskan untuk mengurangi upaya menyeluruh sementara masih menghasilkan hasil yang bermanfaat. Jika risiko diinterpretasikan secara konsisten di seluruh organisasi, hasilnya dapat digunakan untuk memprioritaskan sistem yang harus diamankan. Untuk menganalisis risiko dapat dilakukan formulasi risk assessment yaitu judgment atas impact dan likelihood.
Gambar 2.2 Risk Assesment berdasarkan kriteria Impact dan Likelihood Sumber: Seminar Internal Audit (SNIA 2013)
Penilaian risiko berdasarkan pada tujuan dan strategi perusahaan, Risiko dinilai berdasarkan seberapa besar dampaknya bagi perusahaan (impact) serta seberapa seringnya risiko akan terjadi di masa yang akan datang (likelihood).
Gambar 2.3 Definisi Kriteria Impact Sumber: Seminar Internal Audit (SNIA 2013)
Kriteria impact terbagi menjadi 5 (lima kriteria), yaitu sangat tinggi (critical), tinggi (high), sedang (medium)), rendah (low), dan sangat rendah (insignificant). Berdasarkan kriteria diatas perusahaan dapat melakukan penilaian seberapa besar dampak risiko jika risiko tersebut terjadi.
Gambar 2.4 Definisi Kriteria Likelihood Sumber: Seminar Internal Audit (SNIA 2013) Kriteria likelihood terbagi menjadi 5 (lima) kriteria yaitu sering sekali (certain), sering (high), sedang (medium)), jarang (low), dan sangat jarang (rare). Berdasarkan kriteria diatas perusahaan dapat melakukan penilaian seberapa sering kemungkinan terjadinya risiko.
1.6
Peran Audit Internal dalam Manajemen Risiko Peran audit internal dalam manajemen risiko pada setiap entitas berbeda-
beda. Ini disebabkan karena karakteristik usaha dan risiko yang dihadapi oleh masing-masing entitas pun berbeda satu sama lain. Peran tersebut juga akan terus berkembang seiring perkembangan kompleksitas operasi perusahaan da manajemen risiko yang dilaksanakan oleh perusahaan. Nature of work dari audit internal menurut Practice Advisory yang dikeluarkan oleh IIA Standard 2100 - Nature of Work, mencakup mengevaluasi dan berkontribusi untuk pengembangan proses manajemen risiko, pengendalian, dan tata kelola menggunakan pendekatan yang sistematis. Prinsip dari practice advisory ini adalah bahwa fungsi audit internal memiliki peran kunci dalam proses manajemen risiko pada organisasi, sehubungan dengan mempraktekan audit internal sesuai dengan standard. Practice advisory ini menyediakan pedoman bagi internal auditor untuk menentukan perannya dalam proses manajemen risiko pada organisasi dan kesesuaian terhadap standar.
1.7
Audit Berbasis Risiko (Risk Based Audit) Awalnya aktivitas audit internal hanya berfokus pada pemeriksaan terhadap
tingkat kepatuhan para pelaksana terhadap ketentuan-ketentuan yang ada (compliance). Kondisi kegiatan bisnis yang semakin berkembang dan kompleks di sisi lain memberikan tekanan bagi perusahaan untuk memanfaatkan sumber daya yang terbatas secara efektif dan efisien. Risk based audit merupakan suatu pendekatan yang memungkinkan bagi audit internal untuk memenuhi espektasi tersebut. Risk based audit memungkinkan audit internal untuk memprioritaskan audit dalam bentuk yang sistematis dan terkoordinir. Sementara pada kenyataannya audit internal selalu memfokuskan
tindakan pada area yang paling berisiko dalam organisasi, hal tersebut merupakan hasil dari pertimbangan internal auditor atas penilaian risiko. Maribeth A. Wollard, CPA (2015) memberikan definisi risk-based auditing sebagai berikut: “Risk based auditing can be defined as identifying the risk of material misstatement in areas of the financial statement and subsequently determining the most efficient and appropriate effort to be applied to each area. First, the auditor needs to identify areas where there is a high risk of material mistatement; those are the areas that will require the application of more procedures. Secondly, the auditor should determine how to reduce the procedures applied to the areas identified as low-risk. In addition, the following should also be analyzed to identify the risk of material misstatement: The client's business risk (risk that an event will adversely affect the company's goals and objectives How management mitigates those risks, and The areas of risk that management has not addressed at all”. Salah satu model risk-based auditing yang dapat digunakan adalah model yang diperkenalkan oleh The Committee of Sponsoring Organizations of the Treadway Commissions Enterprise Risk Management (COSO ERM). Model COSO menunjukkan hubungan antara risiko organisasi dengan perencanaan audit.Model COSO yang menggambarkan pendekatan pengendalian internal dari perspektif tujuan organisasi, risiko yang dihadapi dalam mencapai tujuan organisasi dan selanjutnya pengendalian yang diperlukan untuk menekan risiko. Manajemen bertanggung jawab untuk menentukan tujuan organisasi yang hendak dicapai serta berupaya untuk mencapainya secara optimal dengan menggunakan sumber daya yang tersedia. Menurut COSO ERM (2004), risk management (manajemen risiko) dapat diartikan sebagai: “a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, manage risk to be within its risk appetite, and provide reasonable assurance regarding the achievement of entity objectives.” Dari definisi risk management diatas dapat kita artikan menjadi beberapa bagian yaitu : a. On going proces
Manajemen risiko dilaksanakan secara terus menerus dan dimonitor secara berkala. Manajemen risiko bukanlah suatu kegiatan yang dilakukan sesekali (one time event). b. Effected by people Manajemen risiko ditentukan oleh pihak-pihak yang berada di lingkungan organisasi. Untuk lingkungan institusi Pemerintah, manajemen risiko dirumuskan oleh pimpinan dan pegawai institusi/departemen yang bersangkutan. c. Applied in strategy setting Manajemen risiko telah disusun sejak dari perumusan strategi organisasi oleh manajemen puncak organisasi. Dengan penggunaan manajemen risiko, strategi yang disiapkan disesuaikan dengan risiko yang dihadapi oleh masing-masing bagian/unit dari organisasi. d. Applied across the enterprise Strategi yang telah dipilih berdasarkan manajemen risiko diaplikasikan dalam kegiatan operasional, dan mencakup seluruh bagian/unit pada organisasi. Mengingat risiko masing-masing bagian berbeda, maka penerapan manajemen risiko berdasarkan penentuan risiko oleh masing - masing bagian. e. Designed to identify potential events Manajemen risiko dirancang untuk mengidentifikasi kejadian atau keadaan yang secara potensial menyebabkan terganggunya pencapaian tujuan organisasi. f. Provide reasonable assurance Risiko yang dikelola dengan tepat dan wajar akan menyediakan jaminan bahwa kegiatan dan pelayanan oleh organisasi dapat berlangsung secara optimal. g. Geared to achieve objectives Manajemen risiko diharapkan dapat menjadi pedoman bagi organisasi dalam mencapai tujuan yang telah ditentukan. Dalam proses penggunaan sumber daya, manajemen menghadapi berbagai ketidakpastian yang dapat menimbulkan dampak negatif (risiko) atau pengaruh positif (kesempatan) bagi organisasi. Kaitan antara ketidakpastian dan pencapaian tujuan
organisasi
sangat
tergantung
pada
kemampuan
manajemen
untuk
mengidentifikasi ketidakpastian tersebut sehingga selanjutnya manajemen dapat merancang langkah-langkah dan prosedur pengendalian untuk menekan risiko dan mengoptimalkan kesempatan.
Upaya manajemen untuk mengidentifikasi risiko dan menekan risiko serta mengoptimalkan kesempatan tersebut biasa dikenal sebagai Manajemen Risiko (Risk Management). 1. Dua hal utama yang harus dipahami oleh Internal Auditor:Aspek pengendalian dari setiap proses bisnis yang terkait 2. Risiko dan faktor-faktor pengendalian guna mendukung pencapaian sasaran perusahaan. Peran audit internal dalam praktek audit berbasis risiko antara lain: 1. Mulai dari memfokuskan pekerjaan audit pada risiko signifikan perusahaan, yang telah diidentifikasi oleh fungsi manajemen risiko perusahaan dan melakukan audit atas proses manajemen risiko lintas organisasi guna memastikan pengelolaan risiko yang telah diidentifikasi. 2. Untuk berperan aktif sebagai konsultan internal yang melakukan pelatihan dan edukasi bagi karyawan lini dalam memastikan efektivitas pengendalian internal 3. Untuk memberikan dukungan dan partisipasi aktif dalam proses pengendalian internal perusahaan Metodologi audit berbasis risiko diilustrasikan dalam 3 tahap besar, yaitu: 1
Penilaian Risiko Tahapan yang digunakan untuk menentukan frekuensi, intensitas, dan waktu
audit dengan cara mengidentifikasi, mengukur, dan menentukan prioritas risiko agar keterbatasan sumber daya yang dimiliki oleh perusahaan dapat dioptimalkan ke wilayah risiko yang tinggi. Tahap ini dapat ditiadakan, bila profil risiko yang dihasilkan oleh unit manajemen risiko sudah tersedia dan dapat diandalkan. Pada tahap ini, internal auditor juga perlu menetapkan kriteria unit yang dapat diaudit, antara lain: a. Unit tersebut memberikan kontribusi yang berdampak cukup besar pada tujuan perusahaan b. Justifikasi biaya pengendalian atas unit yang memiliki potensi kerugian yang lebih besar daripada biaya yang dikeluarkan untuk pengendalian termasuk biaya audit 2
Penyusunan Program Audit Internal Berdasarkan hasil penilaian risiko, masing-masing unit yang dapat diaudit
untuk ditetapkan nilai akhirnya menggunakan faktor risiko seperti:
a. Audit Assurance Melihat relevansi hasil kajian audit periode sebelumnya atas area yang memiliki risiko dengan rating tinggi b. Materiality Mengkaji area yang memiliki dampak risiko tinggi dengan menggunakan parameter keuangan maupun non keuangan c. Residual Risk Nilai risiko yang telah memperhitungkan faktor positif yang dimiliki perusahaan seperti pengendalian internal d. Audit Judgement Pertimbangan auditor internal atas perubahan sistem dan prosedur, restrukturisasi organisasi yang mempunyai dampak kepada area tertentu 3
Pelaksanaan Program Audit Internal a. Mengkaji keselarasan sasaran unit operasional, direktorat, dan individu dengan tujuan perusahaan. Audit internal harus memastikan bahwa tujuan bisnis sudah diterapkan secara efektif dan telah dikomunikasikan ke seluruh tingkatan dalam organisasi. b. Mengevaluasi efektivitas ketersediaan, kuantifikasi, dan penerapan selera dan batasan risiko (corporate risk appetite and risk tolerance) berdasarkan kebijakan dan prosedur dalam perusahaan. Auditor internal harus dapat memberikan keyakinan bahwa manajemen bekerja dalam parameter risiko yang telah ditetapkan. c. Mendeteksi analisis kesenjangan praktik manajemen risiko dan prosedurnya berdasarkan kerangka kerja yang telah ditetapkan. Auditor internal harus melakukan evaluasi terhadap proses implementasi kerangka kerja penerapan manajemen risiko yang telah didokumentasikan dan diyakini dapat memfasilitasi perubahan dinamis perusahaan. d. Menguji efektivitas dan perlindungan terhadap informasi dan akses terhadap pengendalian. Auditor internal harus memahami rancangan pengendalian dan ketepatannya sehubungan dengan bagaimana suatu tindakan pengendalian tersebut dilakukan secara konsisten sesuai dengan arah dan kebijakan perusahaan.
e. Menyediakan jaminan independen dan berfungsi sebagai konsultan internal dalam rangka memastikan pencapaian tujuan perusahaan. Auditor internal harus memberikan jaminan yang obyektif kepada Direksi bahwa risiko bisnis telah dikelola secara tepat dan pengendalian internal tela berjalan secara efektif.
1.8
Proses Manajemen Risiko Pemahaman manajemen risiko memungkinkan manajemen untuk terlibat
secara efektif dalam menghadapi uncertainty dengan risiko dan peluang yang berhubungan dan meningkatkan kemampuan organisasi untuk memberikan nilai tambah. Menurut COSO ERM (2004), proses manajemen risiko dapat dibagi ke dalam 8 komponen (tahap). Sebagaimana dijelaskan pada komponen-komponen dari risiko dapat dijelaskan sebagai berikut:
Gambar 2.5 Risk Management Model Coso Sumber: Sumber: Institute Internal Auditor
1. Internal environment (Lingkungan internal) Komponen ini berkaitan dengan lingkungan dimana instansi Pemerintah berada dan
beroperasi.
Cakupannya
adalah
risk-management
philosophy
(kultur
manajemen tentang risiko), integrity (integritas), risk-perspective (perspektif terhadap risiko), risk-appetite (selera atau penerimaan terhadap risiko), ethical values (nilai moral), struktur organisasi, dan pendelegasian wewenang
2. Objective setting (Penentuan tujuan) Manajemen harus menetapkan objectives (tujuan-tujuan) dari organisasi agar dapat mengidentifikasi, mengakses, dan mengelola risiko. Objective dapat diklasifikasikan menjadi strategic objective dan activity objective. Strategic objective di perusahaan berhubungan dengan pencapaian dan peningkatan kinerja dalam jangka menengah dan panjang, dan merupakan implementasi dari visi dan misi perusahaan tersebut. Sementara itu, activity objective dapat dipilah menjadi 3 kategori, yaitu (1) operations objectives; (2) reporting objectives; dan (3) compliance objectives. 3. Event identification (Identifikasi risiko) Komponen ini mengidentifikasi kejadian-kejadian potensial baik yang terjadi di lingkungan internal maupun eksternal organisasi yang mempengaruhi strategi atau pencapaian tujuan dari organisasi. 4. Risk assessment (Penilaian risiko) Komponen ini menilai sejauh mana dampak dari events (kejadian atau keadaan) dapat mengganggu pencapaian dari objectives. Besarnya dampak dapat diketahui dari inherent dan residual risk, dan dapat dianalisis dalam dua perspektif, yaitu: likelihood (kecenderungan atau peluang) dan impact/consequence (besaran dari terealisirnya risiko). Dengan demikian, besarnya risiko atas setiap kegiatan organisasi merupakan perkalian antara likelihood dan consequence. 5. Risk response (Sikap atas risiko) Organisasi harus menentukan sikap atas hasil penilaian risiko. Risk response dari organisasi dapat berupa: a. Avoidance,
yaitu
dihentikannya
aktivitas
atau
pelayanan
yang
menyebabkan risiko b.
Reduction, yaitu mengambil langkah-langkah mengurangi likelihood atau impact dari risiko
c. Sharing, yaitu mengalihkan atau menanggung bersama risiko atau sebagian dari risiko dengan pihak lain d. Acceptance, yaitu menerima risiko yang terjadi (biasanya risiko yang kecil), dan tidak ada upaya khusus yang dilakukan. 6. Control activities (Aktifitas-aktifitas pengendalian)
Komponen ini berperan dalam penyusunan kebijakan-kebijakan (policies) dan prosedur-prosedur untuk menjamin risk response terlaksana dengan efektif. Aktifitas pengendalian memerlukan lingkungan pengendalian yang meliputi: a. Integritas dan nilai etika b. Kompetensi c. Kebijakan dan praktik-praktik SDM d. Budaya organisasi e. Filosofi dan gaya kepemimpinan manajemen f. Struktur organisasi g. Wewenang dan tanggung jawab. 7. Information and communication (Informasi dan komunikasi) Fokus dari komponen ini adalah menyampaikan informasi yang relevan kepada pihak terkait melalui media komunikasi yang sesuai. Faktor-faktor yang perlu diperhatikan dalam penyampaiaan informasi dan komunikasi adalah kualitas informasi, arah komunikasi, dan alat komunikasi. Informasi yang disajikan tergantung dari kualitas informasi yang ingin disampaikan, dan kualitas informasi dapat dipilah menjadi: (1) appropriate; (2) timely; (3) current; (4) accurate; dan (5) accessible. Arah komunikasi dapat bersifat internal dan eksternal. Sedangkan alat komunikasi berupa diantaranya manual, memo, buletin, dan pesan-pesan melalui media elektronis. 8. Monitoring Monitoring dapat dilaksanakan baik secara terus menerus (ongoing) maupun terpisah (separate evaluation). Aktifitas monitoring ongoing tercermin pada aktivitas supervisi, rekonsiliasi, dan aktivitas rutin lainnya. Monitoring terpisah biasanya dilakukan untuk penugasan tertentu (kasuistis). Pada monitoring ini ditentukan scope tugas, frekuensi, proses evaluasi metodologi, dokumentasi, dan action plan.
