BAB II TINJAUAN PUSTAKA
2.1Audit Internal 2.1.1 Pengertian Audit Internal Audit internal terdapat pada perusahaan besar yang didalamnya tedapat banyak departemen, bagian, seksi atau satuan organisasi yang bertugas untuk dapat mendelegasikan wewenangnya kepada kepala unit – unit tertentu. Audit internal mempunyai peranan yang sangat penting di dalam mencapai tujuan perusahaan. Profesi audit internal terus mengalami perkembangan sesuai dengan tuntutan perkembangan di dalam dunia usaha. Semakin besar suatu perusahaan maka diperlukan rentang pengendalian yang luas pula , maka manajemen harus menciptakan suatu pengendalian intern yang efektif untuk mencapai pengelolaan yang optimal. Definisi menurut Sawyer (2005:10) mendefinisikan internal auditing sebagai : “Internal auditing is an independent appraisal function established within an organization to examine and evaluate its activities as a service to organization.” Menurut definisi tersebut Audit internal adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor internal terhadap operasi dan control yang berbeda – beda untuk menentukan apakah:
9
10
1) informasi keuangan dan operasi telah akurat dan dapat diandalkan; 2) risiko yang dihadapi perusahaan telah diidentifikasi dan diminimalisasi; 3) peraturan eksternal serta kebijakan dan prosedur internal yang bias diterima telah diikuti; 4) kriteria operasi yang memuaskan telah dipenuhi; 5) sumber daya telah digunakan secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif-semua dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.” Definisi audit internal menurut Sukrisno Agoes (2012:204) adalah sebagai berikut : "Internal audit (pemeriksaan intern) adalah pemeriksaan yang dilakukan oleh bagian internal audit perusahaan, terhadap laporan keuangan dan catatan akuntansi perusahaan maupun ketaatan terhadap kebijakan manajemen puncak yang telah ditentukan dan ketaatan terhadap peraturan pemerintah dan ketentuan - ketentuan dari ikatan profesi yang berlaku." Menurut The Institute of Internal Auditors (IIA) (2011:2) mendefinisikan audit internal sebagai berikut: "Internal auditing is independent, objective assurance and consulting activity designed to add value and improve an organization's operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance process." Dari berbagai definisi di atas dapat diartikan bahwa audit internal merupakan suatu aktivitas independen yang memberikan jaminan objektif dan
11
konsultasi yang dirancang untuk memberi nilai tambah dan meningkatkan operasi organisasi. Aktivitas ini juga membantu organisasi dalam mencapai tujuannya dengan pendekatan yang sistematis dan disiplin untuk mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendalian, dan proses tata kelola. Audit internal juga mencakup kegiatan pemberian konsultasi kepada pihak manajemen mengenai masalah yang dihadapinya.
2.1.2 Fungsi, Tujuan,dan Tanggung Jawab Audit Internal Fungsi audit internal kini sangat dibutuhkan dalam suau perusahaan. Tanpa adanya suatu fungsi audit internal perusahaan maka tidak adanya sumber informasi yang independen mengenai kinerja yang ada di perusahaan. Menurut Ardeno Kurniawan (2012:53) fungsi audit internal adalah: "Fungsi audit internal adalah memberikan berbagai macam jasa kepada organisasi termasuk audit kinerja dan audit operasional yang akan dapat membantu manajemen senior dan dewan komisaris di dalam memantau kinerja yang dihasilkan oleh manajemen dan para personil di dalam organisasi sehingga auditor internal dapat memberikan penilaian yang independen mengenai seberapa baik kinerja organisasi." Sedangkan fungsi audit internal menurut The Institute of Internal Auditors ( IIA) dalam Tampubolon (2006 : 23) dalam Performance Standard nomor 2100-1 yang menyatakan bahwa : "Fungsi dasar audit internal adalah kegiatan audit yang dilakukan internal perusahaan untuk mengevaluasi dan memberikan kontribusi dalam rangka peningkatan manajemen risiko serta kontrol internal yang baik." Menurut kedua pendapat tersebut bisa disimpulkan bahwa internal auditor berfungsi untuk memberikan jasanya kepada organisasi dan juga mengevaluasi
12
untuk meningkatkan dan memberikan penilaian akan manajemen risiko maupun pengendalian di dalam organisasi. Tujuan dari
audit internal menurut Hery (2010: 39) adalah sebagai
berikut : "Audit internal secara umum memiliki tujuan untuk membantu segenap anggota manajemen dalam menyelesaikan tanggung jawab mereka secara efektif, dengan memberi mereka analisis, penilaian, saran, dan komentar yang objektif mengenai kegiatan atau hal - hal yang diperiksa." Tujuan dari audit intern adalah memberikan pelayanan kepada organisasi, dalam rangka membantu semua anggota organisasi tersebut. Bantuan yang diberikan sebagai tujuan akhir adalah agar semua anggota organisasi dapat melaksanakan tanggung jawab yang dibebankan kepadanya secara efektif, atau lebih jauh lagi mencapai efektivitas optimal. Menurut International Professional Practices Framework (IPPF) (2011) Attribute Standards 1000 tentang tujuan,wewenang, dan tanggung jawab audii internal adalah sebagai berikut : " The purpose, authority, and responsibility of the internal audit activity must be formally defined in an internal audit charter, consistent with the Definition of Internal Auditing, the Code of Ethics, and the Standards. The chief audit executive must periodically review the internal audit charter and present it to senior management and the board for approval." Menurut setandar tersebut tujuan, wewenang dan tanggung jawab aktivitas audit internal harus secara resmi ditetapkan dalam piagam audit internal selaras dengan definisi audit internal, kode etik, dan standar. Kepala eksekutif audit harus meninjau piagam audit internal secara periodik dan menyampaikannya kepada manajemen senior dan dewan untuk disetujui. Piagam audit internal itu sendiri
13
adalah dokumen formal yang mendefinisikan tujuan kegiatan audit internal, wewenang, dan tanggung jawab. Piagam ini menetapkan posisi dari kegiatan atau aktivitas audit internal di dalam organisasi, termasuk sifat kepala audit eksekutif yang berfungsi untuk melaporkan pelaporan yang berhubungan dengan dewan; kewenangan akses terhadap catatan, personel, dan fisik sifat yang relevan dengan kinerja keterlibatan; dan mendefinisikan ruang lingkup kegiatan audit internal
2.1.3 Ruang Lingkup Audit Internal Ruang lingkup audit internal mencakup bidang yang sangat luas dan kompleks meliputi seluruh tingkatan manajemen. Ruang lingkup audit internal sangat luas dikarenakan mencakup segala aspek perusahaan baik finansial maupun non-finansial. Berdasarkan standar 2100 kode etik profesional audit internal mengenai nature of work menurut The Institute of Internal Auditors (IIA) (2011) yaitu : " The internal audit activity should evaluate and contribute to the improvement of risk management, control, and governance processes using a systematic and disciplined approach." Pendapat IIA diatas dapat diartikan bahwa aktivitas audit internal harus mengevaluasi dan memberikan kontribusi untuk meningkatkan manajemen risiko, pengendalian, dan tata kelola dengan menggunakan pendekatan yang sistematis dan disiplin.
14
Menurut The Institute of Internal Auditors (IIA) Performance Standard 2110 yang dikutip dari K.H Spencer Pikett (2010:319) ruang lingkup audit internal yaitu : "The internal audit activity must evaluate risk exposures relating to the organization's governance, operations, and information systems." Menurut pendapat tersebut aktivitas audit internal harus mengevaluasi eksposur risiko yang berkaitan dengan tata kelola organisasi, operasi, dan sistem informasi organisasi. Khususnya dalam : a) Kendalan dan integritas informasi keuangan dan operasional b) Efektivitas dan efisiensi operasi c) Perlindungan aset, dan d) Kepatuhan terhadap hukum dan peraturan yang berlaku . 2.2 Risiko 2.2.1 Pengertian Risiko Menurut Kamus Besar Bahasa Indonesia, risiko merupakan akibat yg kurang menyenangkan (merugikan, membahayakan) dr suatu perbuatan atau tindakan. Risiko pada hakikatnya merupakan kejadian yang mempunyai dampak negatif terhadap sasaran atau tujuan perusahaan. Dalam kehidupan sehari - hari banyak hal yang tidak bisa kita tentukan, misalnya bencana alam, perubahan undang - undang, kematian dan lainnya. Menurut Wedana Yasa (2013) mendifinisikan risiko sebagai berikut : "Risiko adalah suatu potensi kejadian yang dapat merugikan yang disebabkan karena adanya ketidak pastian atas terjadinya suatu peristiwa, dimana
15
ketidak pastian itu merupakan kondisi yang menyebabkan tumbuhnya risiko yang bersumber dari berbagai aktivitias." Risiko dalam dunia bisnis dimana banyaknya ketidakpastian yang dihadapi maka tidak bisa diabaikan begitu saja terutama apabila risiko - risiko tersebut dapat berpengaruh terhadap pencapaian suatu tujuan organisasi. Maka risiko tersebut menjadi penting dan harus diperhatikan secara cermat agar berbagai tujuan organisasi yang ingin dicapai dapat terlaksana. Menurut COSO difinisi risiko yang dikutip dari Kurt F. Reding dkk. (2009:4-3) adalah sebagai berikut: "The possibility that an event will occur and adversly affect the achievement of an objective." Menurut definisi tersebut risiko bisa diartikan sebagai suatu kemungkinan peristiwa yang mungkin terjadi
yang dapat mempengaruhi tercapainya suatu
tujuan. Akan tetapi risiko tersebut bisa diidentifikasi sehingga memperkecil kemungkinan terjadinya yang akan berdampak buruk bagi organisasi. Dalam definisi risiko menurut COSO tertanam empat kunci utama, yaitu: 1. Risiko dimulai dengan perumusan strategi dan pengaturan tujuan Dalam upaya memperoleh tujuan dan strategi suatu organisasi, risiko mewakili hambatan yang dihadapi organisasi dalam mencapai tujuannya. 2. Risiko tidak dapat hanya mewakili di satu titik perkiraan saja Risiko memiliki berbagai kemungkinan yang mungkin dapat terjadi. Karena terdapat kemungkinan - kemungkinan yang dapat terjadi, maka hal
16
tersebut dapat membua ketidaktentuan suatu risiko dapat dipahami dan dievaluasi. 3. Risiko mungkin berhubungan dengan mencegah hal-hal buruk terjadi, atau gagal untuk memastikan hal-hal baik terjadi. Kebanyakan orang terfokus untuk mencegah hal buruk terjadi. Akan tetapi pada kenyataannya yang mencadi ancaman bagi organisasi adalah pada saat suatu pencapaian tujuan yang tidak tercapai terjadi, maka hal tersebut juga menjadi risiko bagi organisasi. 4. Risiko merupakan hal yang melekat pada setiap aspek di dalam kehidupan. risiko tersebut khususnya terkait dengan organisasi yang melakukan bisnisnya yang sering disebut risiko bisnis.
2.2.2 Jenis Risiko Terdapat berbagai risiko di dunia ini baik kematian, bencana alam, teknologi, sosial, ekonomi dll. Dalam dunia usaha pun terdapat berbagai macam risiko yang dihadapi, dan setiap perushaaan akan menghadapi risiko yang berbeda - beda. Menurut Linsley dan Shrives (2006) dikutip dari Nazila (2011) menyatakan bahwa risiko yang dihadapi perusahaan dibagi menjadi: "Risiko keuangan, Risiko keuangan merupakan risiko yang berkaitan dengan instrumen keuangan perusahaan seperti risiko pasar, kredit, likuiditas, serta tingkat bunga atas arus kas.Risiko operasi, yaitu berkaitan dengan kepuasan pelanggan, pengembangan produk, pencarian sumber daya, kegagalan produk, dan lingkungan. Risiko kekuasaan berkaitan dengan manajemen dan kepemimpinan, komunikasi, insentif kinerja. Risiko teknologi berkaitan dengan akses, ketersediaan, dan infrastruktur. Risiko integritas berkaitan dengan kecurangan manajemen dan karyawan,
17
tindakan ilegal, dan reputasi. Sedangkan risiko strategi berkaitan denganpengamatan lingkungan, industri, portofolio bisnis, pesaing, peraturan, politik dan kekuasaan." Setiap perusahaan memiliki cara mengukur berbeda terhadap risiko -risiko yang dihadapinya. Bagi perusahaan yang dapat mengukur risiko lebih baik berarti perushaan tersebut mengetahui seberapa besar tingkat risiko yang dihadapinya. Dengan demikian perusahaan dapat merencanakan bagaimana cara mengantisipasi risiko -risiko tersebut.
2.3 Manajemen Risiko 2.3.1 Pengertian Manajemen Risiko Menurut Georges Dionne (2013) manajemen risiko adalah : "Risk management is defined as a set of financial or operational activities that maximize the value of a company or a portofolio by reducing the costs assosiated with cash flow volatility." Menurut pengertian tersebut dikatakan bahwa manajemen risiko adalah serangkaian kegiatan keuangan atau operasional yang memaksimalkan nilai perusahaan atau portofolio dengan mengurangi biaya yang berkaitan dengan volatilitas arus kas. Sedangkan menurut Fahmi (2010:4) mendefinisikan manajemen risiko sebagai : "Manajemen resiko adalah suatu bidang ilmu yang membahas tentang bagaimana suatu organisasi menerapkan ukuran dalam memetakan berbagai permasalahan yang ada dengan menempatkan berbagai pendekatan manajemen secara komprehensif dan sistematis." Tujuan yang akan dicapai oleh manajemen risiko berbeda- beda seusai dengan bidang yang dipilih. Hal ini dapat berupa berbagai jenis ancaman yang dapat
18
disebabkan oleh lingkungan internal perusahaan maupun lingkungan eksternal perusahaan. 2.3.2 Tujuan Manajemen Risiko Tujuan dari manajemen risiko menurut Georges Dionne (2013) adalah: ”The goal of risk management is to create a reference framework that will allow companies to handle risk and uncertainty." Menurut pendapat tersebut dikatakan bahwa tujuan dari manajemen risiko adalah untuk menciptakan suatu acuan kerangka kerja yang akan memungkinkan perusahaan untuk menangani risiko dan ketidakpastian. Risiko terdapat pada hampir semua bentuk kegiatan keuangan dan ekonomi. Identifikasi risiko, penilaian, dan proses manajemen merupakan bagian dari pengembangan strategis perusahaan, dan manajemen risiko harus dirancang dan direncanakan pada dewan direksi.
2.4 ERM (Enterprise Risk Management) 2.4.1 Konsep ERM (Enterprise Risk Management) Dalam menciptakan nilai bagi pemangku kepentingan organisasi dihadapkan pada berbagai ketidakpastian. ERM (Enterprise Risk Management) disini memberikan kemampuan bagi organisasi untuk menangani berbagai ketidakpastian tersebut, baik risiko dan kesempatan secara efektif yang dapat meningkatkan kemampuan organisasi dalam mencapai tujuannya dan dapat membangun nilai bagi para pemangku kepentingan.
19
2.4.2 Pengertian ERM Menurut The Institute of Internal Auditors (2011) mendefinisikan ERM (Enterprise Risk Management) sebagai berikut: "Enterprise-wide risk management (ERM) is a structured, consistent and continous process across the whole organization for indentifying, assessing, deciding on responses to and reporting on opportunities and threats that affect the achievement of its objectives." Menurut definisi tersebut disebutkan bahwa ERM (Enterprise Risk Management) adalah proses yang terstruktur, konsisten, dan berkelanjutan yang di berlakukan di seluruh ogranisasi untuk mengidentifikasi, menilai, memutuskan berbagai tanggapan, dan melaporkan peluang dan ancaman yang dapat mempengaruhi pencapaian tujuan organisasi. Berdasarkan standar 2120 International Standards for the Profesional Practice of Internal Auditing (Standards) mengenai performance standards menurut The Institute of Internal Auditors (IIA) (2011) yaitu : "The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes." Menurut standar tersebut dinyatakan bahwa aktivitas audit internal harus mengevaluasi efektivitas dan berkontribusi dalam meningkatkan proses manajemen risiko. Untuk menentukan apakah proses manajemen risiko efektif adalah keputusan yang dihasilkan dari penilaian auditor internal bahwa : a) Tujuan organisasi mendukung dan sejalan dengan misi organisasi; b) Risiko signifikan telah diidentifikasi dan telah dinilai; c) Respon risiko yang tepat telah dipilih bahwa risiko selaras dengan risk appetite organisasi; dan
20
d) Informasi risiko yang relevan ditangkap dan dikomunikasikan secara tepat waktu kepada seluruh organisasi, staf, manajemen, dan dewan untuk melaksanakan tanggung jawab mereka. Committee of Sponsoring Organizations (COSO) dalam Kurt F. Reding dkk. (2009:4-4), (Enterprise Risk Management) ERM adalah: “A process, effected by an entity’s board of directors, management and other personnel applied in strategy setting and across the enterprise, designed to identify potential events that many affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives”. Dari definisi tersebut (Enterprise Risk Management) ERM adalah Suatu rangkaian proses yang berpengaruh pada sebuah entitas, jajaran direksi, pihak manajemen, dan personel lain yang diaplikasikan pada penetapan strategi perusahaan, yang dibuat untuk mengidentifikasi kejadian yang potensial dan dapat berpengaruh pada entitas, mengelola risiko yang dapat diterima, dan memberikan jaminan keamanan yang beralasan dalam rangka mencapai tujuan perusahaan. Dari definisi di atas (Enterprise Risk Management) ERM merefleksikan beberapa konsep fundamental tentang (Enterprise Risk Management ) ERM, yaitu : 1. Suatu proses, berkelanjutan dan mengalir diseluruh tingkat entitas. 2. Dipengaruhi oleh orang pada setiap tingkat didalam organisasi. 3. Ditetapkan pada penetapan strategi. 4. Ditetapkan pada seluruh perusahaan, pada setiap tingkat dan unit, serta termasuk mengambil tingkat entitas dalam mengambil suatu risiko.
21
5. Dirancang untuk mengidentifikasi kejadian potensial yang apabila terjadi akan berdampak terhadap entitas dan untuk mengelola risiko dalam tingkat selera risiko yang telah ditetapkan. 6. Memberikan keyakinan beralasan pada pihak manajemen dan dewan komisaris dari entitas. 7. Mengungkit pencapaian tujuan dalam satu kategori atau lebih yang saling terpisah dan tetap saling berpotongan.
2.4.3 Komponen ERM (Enterprise Risk Management) Berdasarkan Committee of Sponsoring Organizations (COSO) 2004 ERM (Enterprise Risk Management) terdiri dari 8 komponen yang saling berhubungan. Kedelapan komponen ini berasal dari cara manajemen menjalankan perusahaan dan terintegrasi dengan proses manajemen. Komponen ini diantara lain, yaitu: 1.
Lingkungan Internal (Internal Environtment) Internal environment menetapakan dasar bagi organisasi dalam melihat risiko, termasuk filisophy manajemen risiko. Komponen ini menciptakan fondasi untuk pengendalian internal yang efektif, mendirikan “tone at the up” dan mempresentasikan elemen dari struktur Corporate Govermance. Internal environment mempengaruhi organisasi dalam upaya penetapan strategi dan tujuan, struktur aktivitas bisnis, dan identifikasi, penilaian serta respon atas risiko. Isu yang berkembang berkenaan dengan komponen internal environment akan diterapkan pada seluruh organisasi. Adapun elemen dalam internal environment yang harus menjadi perhatian antara lain:
22
a. Risk Management Philosophy, kepercayaan yang dibagi antara setiap personil pada organisasi dalam melihat suatu risiko. b. Risk Appetite, besaran jumlah risiko yang dapat diterima oleh organisasi dalam upaya mencapai goals dan objectives. c. Board Of Director, harus melakukan pengawasan (overses) manajemen memeriksa secara teliti setiap rencana, kinerja, aktivitas, serta menyetujui strategi organisasi, me-review hasil laporan keuangan, dan berinteraksi dengan Auditor Internal dan eksternal. d. Integrity and Ethical Values, organisasi harus menekankan budaya,
integritas,
dan
komitmen
terhadap
nilai
etika.
Perusahaan yang dikelola dengan baik akan mengetahui bahwastandar etika berperilaku adalah good business. Organisasi secara aktif harus menekankan integritas sebagai dasar prinsip beroperasi dengan terus mengajari dan mewajibkan perilaku berintegritasserta mencontohkan dalam pembuatan keputusan. Karena personel organisasi akan cenderung mengadopsi perilaku top manajemen atas risiko dan pengendalian. e. Commitment To Competence, organisasi harus berkomitmen terhadap kompetensi dengan memilikipersonel yang kompeten yang didasari oleh pengetahuan, pengakaman, pelatihan, dan keterampilan.
23
f. Organizational Structure, struktur yang mendefinisikan garis otoritas, tanggung jawab, dan pelaporan. Struktur memberikan kerangka
keseluruhan
dalam
perencanaan,
pengarahan
pelaksanaan, pengendalian, dan monitoring operasi. g. Assigment Of Authority and Responsibility, manajemen harus dapat meyakinkan pegawai memahami tujuan entitas, menguasai otoritas, dan tanggung jawab untuk setiap bisnis, memberikan semangat atas setiap inisiatif dalam penyelsaian masalah, dan memberikan akuntabilitas dalam upaya mencapai tujuan bisnis. h. Human Resources Standard, standar sumberdaya manusia harus dirancang, karena pegawai adalahpengendalian terkuat dan terlemah
dalam
organisasi.
Organisasi
dapat
mengimplementasikan kebijakan dan pelaksanaan sumber daya manusia mengenai rekruitmen, pelatihan, kompensasi, evaluasi, konseling, promosi, dan penghentian pegawai. 2.
Penentuan Tujuan (Objective Setting) Tujuan perusahaan ditentukan pada strategic level, dan tujuan ini untuk membangun dasar untuk operasi, pelaporan, dan tujuan kepatuhan. Setiap entias akan menghadapi berbagai macam risiko dari luar maupun dari dalam.
ERM (Enterprise Risk Management) memastikan bahwa
manajemen memilki proses untuk menetapkan tujuan dan tujuan yang
24
dipilih atau yang ditetapkan tersebut selaras dengan tujuan perusahaan dan risk appetite-nya. 3. Identifikasi Kejadian (Event identification) Setiap kejadian yang berdampak positif ataupun negatif bagi organisasi baik dari lingkungan internal maupun eksternal harus dapat diidentifikasi oleh pihak manajemen. 4. Penilaian Risiko (Risk Assasement) Penilaian risiko memungkinkan suatu entitas dapat mempertimbangkan sejauh mana peristiwa potensial berdampak pada pencapaian tujuan. Manajemen mengkaji kejadian dari dua perspektif - kemungkinan dan dampak - dan biasanya menggunakan kombinasi metode kualitatif dan kuantitatif. Dampak positif dan negatif dari kejadian yang potensial harus diperiksa, secara individual maupun secara kategori, di seluruh entitas. 5. Respon Terhadap Risiko (Risk Response) Setelah
melakukan
penilaian
risiko,
maka
manajemen
akan
mempertimbangkan respon risiko yang sesuai. Manajemen dapat memilih respon risiko dengan: 1. Avoid Risk, menghentikan semua aktivitas yang meningkatkan risiko terhadap organisasi 2. Reduce
Risk,
mengambil
tindakan
untuk
mengurangi
kemungkinan dan dampak dari risiko. 3.
Sharing Risk, mengurangi kemungkinan dan dampak dari risiko dengan cara memindahkan atau berbagi risiko dengan pihak lain.
25
4. Accept Risk, tidak mengambil tindakan sama sekali atas kemungkinan dan dampak dari risiko.” 6. Kegiatan Pengendalian (Control Activities) Kegiatan pengendalian terdiri dari berbagai kebijakan dan prosedur yang dapat membantu memastikan bahwa respon terhadap risiko dilakukan. Kegiatan pengendalian dilaksanakan di seluruh organisasi, pada seluruh tingkatan dan seluruh fungsi yang ada di dalam organisasi. 7. Informasi dan Komunikasi (Information and Communication) Informasi yang relevan diidentifikasi, diambil, dan dikomunikasiakn dalam bentuk dan waktu yang memungkinkan setiap orang menjalankan tanggung jawabnya. Arah komunikasi dapt bersifat internal maupun eksternal. Alat komunikasi dapt berupa memo, manual, e-mail, bulletin. 8. Pengawasan (Monitoring) Keseluruhan proses ERM (Enterprise Risk Management) diawasi dan dimodifikasi apabila perlu. Pengawasan khususnya dilakukan pada kegiatan yang berjalan terus menerus, melalui evaluasi secara khusus, atau dengan keduanya. Kedelapan komponen ini sangat penting karena dengan kedelapan komponen
tersebut
organisasi
dapat
memberikan
pendekatan
untuk
mengidentifikasi, menganalisis, menanggapi, dan memantau risiko dan peluang dari dalam lingkungkan internal dan eksternal yang dihadapi organisasi.
26
2.5 Kerangka Pemikiran Perkembangan dunia usaha di era globalisasi ini sangat pesat sehingga setiap pihak yang terkait harus mampu mengikuti perubahan - perubahan yang terjadi. Audit internal di dalam organisasi berperan untuk memberikan suatu pendekatan disiplin yang sistematis untuk mengevaluasi dan meningkatkan keefektivan manajemen risiko, pengendalian dan proses pengaturan dan pengelolaan organisasi. Audit internal mempunyai fungsi sebagai penilai yang independen dan objektif di suatu perusahaan yang dapat membantu dalam hal memberikan jaminan dan konsultasi yang dapat membantu organisasi mencapai tujuannya. Sutu tujuan organisasi dapat tercermin dari visi dan misi organisasi tersebut. Menurut Committee of Sponsoring Organizations of the Tradeway Commissions (COSO) 2004 terdapat 4 tujuan organisasi: (1) Strategic objectives, (2) Operations objectives, (3) Reporting objectives, (4) Compliance objectives. Suatu organisasi tidak dapat memenuhi tujuan - tujuan tersebut tanpa efektivitas dari manajemen risiko, kontrol dan tata kelola perusahaan. Maka jasa assurance (jaminan keyakinan) dan konsultasi yang diberikan auditor dapat membantu menambah nilai perusahaan guna mencapai tujuannya. Salah satunya dengan mendorong efektivitas (Enterprise Risk Management) ERM perusahaan untuk menilai peluang dan risiko yang akan dihadapi. (Enterprise Risk Management) ERM dapat membantu organisasi dalam menangani berbagai risiko dan peluang secara efektif. (Enterprise Risk Management) ERM menurut COSO 2004 “Enterprise Risk Management is a process, effected by an entity’s board of
27
directors, mangement and other personnel, applied is strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.” Dari definisi diatas ERM (Enterprise Risk Management) dipengaruhi oleh individu pada semua tingkatan di dalam organisasi dan mampu memberikan jaminan yang rasuinal bagi manajemen dan dewan direksi suatu organisasi. ERM (Enterprise Risk Management) pun dirancang untuk dapat mengidentifikasi peristiwa potensial yang dapat mempengaruhi oganisasi. Suatu sistem dalam penilaian dan pengelolaan resiko dapat dikatakan efektif apabila semua resiko bisnis perusahaan dapat dinilai dan dikelola sampai dengan tingkat yang dapat diterima oleh semua elemen perusahaan. Efektifitas menurut Hidayat (1986) yang menjelaskan bahwa : “Efektifitas adalah suatu ukuran yang menyatakan seberapa jauh target (kuantitas,kualitas dan waktu) telah tercapai. Dimana makin besar presentase target yang dicapai, makin tinggi efektifitasnya.” ERM (Enterprise Risk Management) bisa dikatakan efektif apabila delapan komponen ERM (Enterprise Risk Management) ada dan berfungsi, delapan komponen ERM (Enterprise Risk Management) antara lain: event identification, risk assessment, risk response, control activities, information, internal environment, objective setting, communication and monitoring. Kedelapan komponen ini diturunkan dari bagaimana manajemen menjalankan perusahaan dan diintegrasikan dengan proses manajemen. Kedelapan
28
komponen ini diperlukan untuk mencapai tujuan-tujuan perusahaan, baik tujuan strategis, operasional, pelaporan keuangan, maupun kepatuhan terhadap ketentuan perundang-undangan. Berdasarkan kerangka pemikiran tersebut penulis merumuskan hipotesis sebagai berikut : "Audit internal yang memadai dapat menunjang tercapainya efektivitas ERM (Enterprise Risk Management). Dari uraian diatas maka dapat digambarkan kerangka pemikiran yaitu sebagai berikut: Gambar 2.1 Bagan Kerangka Pemikiran Audit Internal Perusahaan
Tujuan Perusahaan
Risiko
Enterprise Risk Management
Efektivitas
Kualifikasi Audit Internal yang Memadai : • Independensi dan Objektivitas • Kompetensi • Program Audit • Pelaksanaan Audit • Komunikasi Hasil Penugasan Audit • Pemantauan Tindak Lanjut
Komponen ERM : • Lingkungan internal • Penentuan Tujuan • Identifikasi Kejadian • Penilaian Risiko • Respon Terhadap Risiko • Aktivitas Pengendalian • Informasi dan Komunikasi • Monitoring
29
2.6 Peranan Audit Internal dalam Meningkatkan ERM (Enterprise Risk Management) Untuk mencapati tujuan organisasi maka organisasi akan menghadapi berbagai ketidakpastian. Dengan kondisi tersebut organisasi bisa saja tidak dapat mencapai tujuannya dikarenakan tidak bisa mengidentifikasi berbagai risiko yang dapat mempengaru pencapaian tujuan organisasi. Audit internal di dalam organisasi berfungsi dalam menunjang pengelolaan ERM (Enterprise Risk Management) di dalam organisasi. Audit internal di dalam organisasi mempuyai peran peting dalam mengevaluasi efektivitas dan memberikan rekomendasi untuk memberikan peningkatan dalam pengelolaan ERM (Enterprise Risk Management). Peranan auditor internal dalam manajemen risiko antara perusahaan yang satu dengan yang lainnya berbeda - beda, hal ini dikarenakan adanya risiko yang dihadapi oleh perusahaan yang berbeda. Menurut Arwina (2014) menyatakan bahwa bahwa : "Peranan Internal Audit dalam suatu perusahaan terhadap manajemen risiko akan berubah sepanjang waktu mengikuti perkembangan kompleksitas manajemen risiko yang dilaksanakan dalam perusahaan." Menurut The Institute Internal Auditors (IIA) (2009) menyatakan bahwa peran audit internal di dalam ERM (Enterprise Risk Management) adalah : "Indeed, research has shown that board directors and internal auditor agree that the two most important ways that internal auditing provides value to the organization are in proving objective assurance that the mayor business risk are being managed appropriately and providing assurance that the risk management and internal control framework is operating effectively."
30
Menurut pernyataan tersebut dikatakan riset menunjukan bahwa dua cara yang paling penting bahwa audit internal memberikan nilai bagi organisasi dalam mebuktikan jaminan yang objektif bahwa risiko bisnis yang paling utama telah dikelola denghan tepat dan memberikan jaminan bahwa manajemen risiko dan kerangka kerja pengendalian internal beroperasi secara efektif. Gambar 2.2 Peran Audit Internal Dalam ERM (Enterprise Risk Management)
Berikut beberapa peran inti audit internal, yaitu: 1. Memberikan jaminan dalam proses manajemen risiko. 2. Memberikan jaminan bahwa risiko telah benar - benar dievaluasi. 3. Mengevaluasi proses manajemen risiko. 4. Mengevaluasi pelaporan risiko utama. 5. Mereview manajemen risiko utama.
31
Berikut peran audit internal yang sah dengan upaya perlindungan: 1. Memfasilitasi indentifikasi dan evaluasi risiko. 2. Membina manajemen dalam merespon risiko. 3. Mengkoordinasi aktivitas ERM (Enterprise Risk Management). 4. Memelihara dan mengembangkan ERM (Enterprise Risk Management) framework. 5. Memperjuangkan pembentukan ERM (Enterprise Risk Management). 6. Mengembangkan strategi ERM untuk persetujuan dewan. Peran ini menunjukan jasa konsultan dapat meningkatkan tata kelola perusahaan, manajemen risiko, dan proses pengendalian. Sejauh mana layanan tersebut akan tergantung pada sumber daya yang tersedia bagi dewan dan kedewasaan risiko organisasi. Terdapat juga peran - peran yang tidak boleh dilakukan oleh internal auditng, yaitu: 1. Mengatur risk appetite. 2. Memaksakan proses manajemen risiko. 3. Jamaninan manjemen terhadap risiko (yaitu, menjadi sumber peran untuk jaminan manajemen risiko yang dikelola secara efektif - ini akan dianggap melakukan fungsi manajemen). 4. mengambil (membuat) keputusan respon risiko. 5. Mengiplementasikan respon risiko demi untuk kepentingan manajemen. 6. Akuntabilitas manajemen risiko.
32
Peran ini, tidak boleh dilakukan oleh fungsi audit internal karena peran ini mewakili tanggung jawab manajemen yang dapat mengganggu indepensi dan objektivitas auditor internal. Pada saat menentukan peran fungsi audit internal di dalam ERM (Enterprise Risk Management) Chief Audit Executive (CAE) harus mengevaluasi apakah setiap aktivitas menimbulkan ancaman bagi independensi ataupun objetivitas dari fungsi internal audit.
33
