BAB II TINJAUAN PUSTAKA
2.1
Audit Internal
2.1.1
Pengertian Audit Internal Akhir-akhir ini peran Audit Internal baik pada Badan Usaha Milik
Swasta maupun pada Badan Usaha Milik Negara semakin disadari sangat penting bagi perusahaan. Standar praktek internasional Audit Internal yang dikembangkan dan direkomendasikan oleh organisasi The Institute of Internal Internal Auditors menekan pentingnya peran fungsi Audit Internal sebagai pendukung strategis untuk memastikan tercapainya tujuan perusahaan. Mengingat pentingnya peran fungsi Audit Internal agar dapat menjalankan fungsinya dengan baik, maka keberadaan fungsi Audit Internal harus dinyatakan secara tertulis dalam suatu piagam dengan semua atributnya yang harus mendapatkan persetujuan dari manajemen senior perusahaan dan komisaris. Hal ini adalah dalam rangka mempertegas tujuan, wewenang dan tanggung jawab dari aktivitas Audit Internal tersebut, seperti yang dijelaskan oleh The Institue of Intenal Auditor Florida (2004:33), yaitu : “The purpose, authority and responsibility of the internal audit activity should be defined in a charter. The Chief Audit Executive (CAE) should seek approval of the charter by the senior management as well as acceptance by the board. The approval of the charter should be documented in the governing body minutes. The charter should: (a) Establish the internal audit activity’s position within organization; (b) authorize access to record’s, personnel, and physical properties relevant to the performance of enggagements; and (c) define the scope of internal audit activities.” Tujuan, wewenang dan tanggung jawab tersebut harus didokumentasikan secara resmi dan tertulis atas persetujuan dari manajemen senior. Dokumentasi tersebut berisikan mengenai (a) keberadaan dan fungsi Audit Internal didalam organisasi; (b) kewenangan melakukan hubungan dengan catatan atau dokumen, personel, dan properti organisasi yang berhubungan dengan pelaksanaan fungsi audit; (c) menentukan ruang lingkup aktivitas audit.
Sedangkan pengertian Audit Internal itu sendiri dikemukakan oleh Arens, et al (2003:732) dan juga The Professional Practice Framework by The IIA Research Foundation Januari 2004 ( The Institute of Internal Auditors ) sebagai berikut: “Internal Auditing is an independent and objectives assurance and consulting activity designed to add value and improve an organization’s operation. It helps an organization to accomplish it’s objectives by bringing a systematic, dissciplined approach to evaluate and improve the effectiveness of risk management, control and governance process. “ (Audit Internal adalah aktifitas konsultasi dan penjaminan yang obyektif dan independen yang dirancang untuk memberikan nilai tambah serta meningkatkan operasi organisasi guna membantu organisasi dalam mencapai tujuannya, dengan menggunakan suatu pendekatan yang terdisiplin dan sistematis untuk mengevaluasi dan meningkatkan efektifitas, manajemen risiko, pengendalian dan proses tata kelola perusahaan). Definisi Audit Internal tersebut diatas mengandung aspek-aspek spesifik yang mencerminkan keseluruhan prasyarat bagi terlaksananya fungsi Audit Internal yang efektif, yaitu: Independent Bahwa audit harus bebas dari pembatasan-pembatasan yang dapat mempengaruhi ruang lingkup dan objektivitas daripada auditor internal, penugasan serta fungsi dari Audit Internal itu sendiri.
Objectivity Adalah suatu sikap mental yang memungkinkan auditor internal untuk melaksanakan tugasnya tanpa bias, jujur dan berterus terang atas hasil kerjanya.
Appraisal Menyatakan keyakinan penilaian yang dibuat oleh auditor internal dalam membuat suatu kesimpulan pada saat mengevaluasi pekerjaan.
Internal Audit Activity Suatu departemen, divisi, tim konsultan atau praktisi lainnya yang memberikan suatu aktifitas konsultasi dan penjaminan yang obyektif dan independen guna memberikan nilai tambah dan meningkatkan aktifitas operasi organisasi.
Add Value Nilai tambah adalah suatu peningkatan kesempatan atau peluang dalam mencapai tujuan organisasi, peningkatan atau perbaikan aktivitas operasi, dan minimalisir risiko.
Assurance Services Adalah suatu aktivitas pemeriksaan yang objektif atas suatu bukti (evidence)
dengan tujuan memberikan suatu penilaian atau penaksiran
yang independen terhadap manajemen risiko, pengendalian internal, dan proses tata kelola.
Consulting Services Berhubungan dengan aktivitas pemeriksaan, pemberian saran dan masukan bagi klien (organisasi) untuk membantu
memberikan nilai
tambah dan meningkatkan tata kelola organisasi, menerapkan manajemen risiko,dan proses pengendalian dengan tidak meniggalkan tanggung jawab daripada klien (organisasi) itu sendiri.
Control Process Kebijakan, prosedur, dan aktivitas yang merupakan bagian dari kerangka kerja pengendalian, yang dirancang untuk memastikan bahwa setiap risiko tetap berada dalam batas toleransi risiko yang dibentuk melalui proses manajemen risiko.
2.1.2 Tujuan Audit Internal Tujuan Audit Internal sebenarnya sudah termaksud cukup jelas didalam definisi Audit Internal itu sendiri, yaitu membantu seluruh anggota manajemen agar dapat melaksanakan tanggung jawab secara efektif, dengan jalan memberikan analisis, penilaian, rekomendasi, saran dan keterangan dari operasi perusahaan yang diperiksanya. Tujuan Audit Internal yang dinyatakan oleh The Institute of Internal Auditors Florida (1995:3) dan The Institute of Internal Auditors U.K (1998:4) “ The objective of internal auditing is to assist the member of the organization in the effective disscharge of their responsibility. To this end, internal auditing furnishes them with analysis, appraisals, recommendation councel and information concerning the activities reviewed. The audit objective includes promoting effective control at reasonable cost “ (Tujuan Audit Internal adalah membantu para anggota organisasi agar dapat menjalankan tanggung jawabnya secara efektif, untuk mencapai tujuan tersebut, Audit Internal menyajikan hasil analisis, rekomendasi, petunjuk penilaian dan informasi yang berkaitan dengan aktifitas yang dikaji. Tujuan audit juga meliputi usaha untuk meningkatkan pengendalian yang efektif dengan biaya yang wajar). 2.1.3 Ruang Lingkup Audit Internal Di dalam The Professional Practice of Internal Auditing-1993, dinyatakan bahwa ruang lingkup Audit Internal meliputi pemeriksaan dan pengevaluasian atas kecukupan dan efektivitas dari sistem pengendalian organisasi serta mutu pelaksanaannya
di
dalam
melaksanakan
penugasan
yang
menjadi
tanggungjawabnya. Standar ini menegaskan bahwa fokus utama tugas dan tanggungjawab Audit Internal adalah pengendalian intern saja. Dalam perkembangannya, maka kegiatan Audit Internal yang dinyatakan oleh The IIA Florida (2004:159) The Nature of Work, standard 2100, adalah menjadi sebagai berikut: “The internal auditing activity should evaluate and contribute to the improvement of risk management , control, and governance processes using a systematic and disciplined approach“
Standar ini menegaskan bahwa secara umum aktivitas Audit Internal harus mengevaluasi dan memberikan kontribusi terhadap peningkatan pelaksanaan manajemen risiko, pengendalian dan proses tata kelola dalam mencapai tujuan perusahaan, sehingga jelas bahwa dalam The Professional Practices FrameworkJanuari 2004,
ruang lingkup dari Audit Internal lebih luas dari sekedar
pengendalian internal. Secara umum aktivitas Audit Internal mengevaluasi dan memberikan kontribusi terhadap peningkatan pelaksanaan manajemen risiko, pengendalian dan proses tata kelola meliputi tujuan-tujuan terkait dengan proses tata kelola organisasi, operasi, dan sistem informasi sebagai berikut : ●
Menelaah keandalan dan integritas atas informasi, baik informasi operasi maupun informasi keuangan serta cara yang dipergunakan untuk mengidentifikasi, mengukur, mengklasifikasi dan melaporkan informasi tersebut.
●
Menelaah berbagai sistem yang telah ditetapkan untuk memastikan kesesuaiannya dengan berbagai kebijaksanaan, rencana, prosedur, hukum, kontrak dan regulasi yang dapat berakibat penting terhadap kegiatan organisasi serta harus menentukan apakah organisasi telah mencapai kesesuaian dengan hal-hal tersebut.
●
Menilai ke-ekonomisan dan efesiensi penggunaan sumber daya manusia.
●
Menelaah berbagai cara yang dipergunakan untuk melindungi assets atau harta kekayaan organisasi, dan bila dipandang perlu mem-verifikasi keberadaan assets tersebut.
●
Menilai berbagai operasi, program untuk mengetahui apakah hasilnya akan konsisten dengan tujuan dan sasaran yang telah ditetapkan serta sesuai dengan yang direncanakan.
Secara spesifik ditegaskan bahwa aktivitas Audit Internal adalah harus membantu perusahaan dalam pengidentifikasian dan pengevaluasan terhadap timbulnya risiko dan memberikan kontribusi dalam menyempurnakan manajemen risiko dan sistem pengendaliannya yang berkenaan dengan :
● Reliability and integrity of financial and operational information. ● Effectiveness and efficiency of operations. ● Safeguargding of assets. ● Compliance wirh laws, regulation, and contracts. Dengan demikian sangat jelas bahwa salah satu peran Audit Internal adalah memantau dan mengevaluasi efektivitas dari sistem pengelolaan risiko perusahaan.
2.1.4
Pelaksanaan Audit Internal yang Memadai Fungsi Audit Internal harus dikelola sedemikian rupa agar dapat
memberikan kontribusi yang berarti bagi perusahaan. Hal ini ditegaskan dalam The Professional Practice Framework yang dikeluarkan oleh The Institue of Intenal Auditor Florida, 2004 tsebagai berikut: ” The chief audit executive should effectively manage the internal audit activity to ensure it adds value to the organization.” Standar ini menegaskan kembali bahwa dalam menjalankan aktivitas Audit Internal yang harus mengevaluasi dan memberikan kontribusi terhadap peningkatan pelaksanaan manajemen risiko, pengendalian dan proses tata kelola haruslah dilaksanakan secara sistimatis, seksama dan berisiplin. Oleh karena itu aktivitas pelaksanaan fungsi Audit Internal meliputi tahap-tahap sebagai berikut : •
Managing the Internal Audit Activity (Pengelolaan Aktivitas Audit) Kepala Audit Internal harus mengelola fungsi Audit Internal secara efektif untuk menjamin kontribusinya bagi perusahaan. Dalam tahap ini Kepala Audit Internal harus membuat perencanaan aktivitas Audit Internal (overall audit plan) yang disusun berdasarkan analisis terhadap risiko untuk keseluruhan prioritas aktivitas Audit Internal yang selaras dengan tujuan perusahaan, selain pengelolaan sumber daya, penetapan kebijakan dan prosedur serta pengkoordinasian aktivitas Audit Internal, dan pengkoordinasian. Perencanaan aktivitas Audit Internal demikian
harus dikomunikasikan dan mendapatkan persetujuan dari manajemen senior dan komite audit. •
Engagement Planning (Perencanaan Penugasan Audit) Dalam melaksanakan penugasan audit sebagai wujud pelaksanaan dari Perencanaan
Aktivitas
Audit
Internal,
Audit
Internal
harus
mengembangkan dan mencatat suatu rencana untuk setiap penugasan audit (audit program). Dalam hal ini termasuk dalam penentuan ruang lingkup audit, tujuan audit, waktu pelaksanaan audit dan pengalokasian sumber daya dalam setiap penugasan. •
Performing the Engagement (Pelaksanaan Penugasan Audit) Dalam melaksanakan penugasan audit, sesuai dengan audit program, Audit Internal harus mengidentifikasi, menganalisis, mengevaluasi dan mencatatnya dalam kertas kerja pemeriksaan (audit working papers) mengenai kecukupan informasi yang diperolehnya (audit fact findings) dalam rangka mencapai tujuan penugasan audit.
•
Communicating Results (Pelaporan Hasil Penugasan Audit) Berdasarkan informasi yang diperoleh dalam tahap performing the engagement, Audit Internal harus mengkomunikasikan hasil-hasil dari penugasannya berupa laporan audit yang berisi penjelasan tentang tujuan dan ruang lingkup audit, kesimpulan dan rekomendasi serta pernyataan tindak lanjut yang akan dilaksanakan oleh auditee. Laporan audit harus dikomunikasikan dan disampaikan kepada pihak-pihak yang memang dapat dan akan menindak lanjuti rekomendasi Audit Internal.
•
Monitoring Progress (Pemantauan Pelaporan Hasil Penugasan Audit) Selain mengkomunikasikan hasil-hasil dari penugasan audit, kepala audit harus menetapkan dan memelihara suatu sistem untuk memantau disposisi dari hasil komunikasi kepada manajemen mengenai keyakinan bahwa laporan audit sudah ditindak lanjuti oleh auditee.
2.1.5 Audit Internal Yang Efektif Untuk mendapatkan pemahaman yang baik mengenai fungsi Audit Internal yang efektif, maka terlebih dahulu perlu dipahami pengertian dari efektif itu sendiri. Menurut Arens et al. (2003:738) “effectiveness refers to accomplishment of objectives...........” sedangkan menurut Reider (1999:7) “......is the organization achieving results or benefit based on stated goal and objective or some other measurable criteria” Berdasarkan kedua referensi diatas dapat disimpulkan bahwa pada hakekatnya efektivitas (effectiveness) adalah menunjukan hal-hal yang ingin dicapai atau diraih oleh suatu organisasi. Dengan perkataan lain, apabila suatu organisasi dapat mencapai tujuan dan sasaran organisasinya, maka organisasi tersebut dikatakan efektif. Untuk melihat fungsi Audit Internal yang efektif, maka perlu diukur dari indikasi-indikasinya. Menurut William. E. Perry dalam bukunya Improving Audit Productivity dikemukakan sbb: ”The bottomline of auditing is the value that it brings to the organization. The Value can be expressed in terms of: ● ● ● ● ● ●
Return on Investment Prevention of losses, such as fraud prevention. Early detection of losses. Cost avoidance through better recommendations. Satisfaction of legal requirements. Reduction of fees of public accountants.
Pendapat diatas melihat efektivitas fungsi Audit Internal dari sisi apabila berperan serta dalam memberikan nilai tambah bagi perusahaan berupa enam hal tersebut diatas, hal serupa juga dikemukakan oleh Sawyer’s dalam The Practice of Modern Internal Auditing, The IIA Florida , dimana menunjukan efektivitas fungsi Audit Internal melalui indikasi nilai tambah yang dapat diberikan oleh fungsi Audit Internal seperti: • • • • •
Informasi keuangan dan operasi telah akurat dan dapat diandalkan. Risiko terhadap perusahaan (risk to the enterprise) telah teridentifikasi dan diminimalisasi. Kebijakan internal dan prosedur serta regulasi telah dijalankan dan ditaati. Standar kepuasan telah terpenuhi. Sumber daya telah digunakan secara ekonomis dan efesien.
•
Tujuan organisasi telah tercapai secara efektif. Apabila digali lebih lanjut tentunya masih ada beberapa pendapat dari
penulis lainnya dengan bermacam perspektif. Dalam hal ini penulis memilih menggunakan pertimbangan profesionalisme, karena komunitas ekonomi pada dasarnya mengharapkan tingkat profesionalisme yang tinggi dari para profesional seperti halnya profesi Audit Internal, seperti dinyatakan oleh Rattlif (1998:42) yang mengemukakan sebagai berikut: Professionalism in internal auditing may be considered at three level: The professional in general; Internal Auditing department; Individual Practitioners. Secara lebih spesifik The IIA menyatakan: The IIA has taken four important steps in promoting a high degree of professionalism among internal auditors and their departments in organizations around the world. Berdasarkan pernyataan ini, maka The IIA mengembangkan dan mengadopsi • • • •
A Statement of Responsibilities of Internal Auditing Standard for the Professional Practices of internal auditing A Code of ethic for internal auditors. A Program of Auditor Certification. Akan tetapi menurut perkembangan yang terbaru yaitu menurut The
Professional Practices Framework, 2004,
keempat pernyataan tersebut
disempurnakan menjadi tiga, yaitu : ●
Code of Ethics. pedoman berperilaku bagi auditor internal yang mencakup prinsip, integritas, objektivitas, confidentialitas dan kompetensi.
●
International Standards for the Professional Practice of Internal Auditing. adalah pedoman internasional pelaksanaan fungsi audit internal.
●
Practices Advisories. adalah interpretasi lebih jauh mengenai International Standards for the Professional Practice of Auditing
Internal
Menurut The IIA, kontribusi Internal Auditor dalam rangka pencapaian fungsi Audit Internal yang efektif , antara lain : •
Compliance With Standard of Conduct Auditor internal harus patuh terhadap pedoman standar profesi.
•
Knowledge, Skills, and Disciplines Auditor Internal harus memiliki pengetahuan, kecakapan, dan kedisiplinan terhadap kinerja internal audit.
•
Human relations and Communications Auditor internal harus cakap dalam berkomunikasi dan berinteraksi dengan orang lain secara efektif.
•
Continuing Education Auditor internal harus memelihara kompetensinya melalui pembelajaran yang kontinyu.
•
Due Professional Care Auditor Internal harus melatih diri untuk bertindak secara professional dalam pelaksanaan Audit Internal.
Berdasarkan kerangka diatas, maka dapat disimpulkan bahwa fungsi Audit Internal yang efektif adalah yang seyogyanya dalam melaksanakan fungsinya dapat memenuhi ketiga hal diatas atau telah sesuai dengan The Professional Practices Framework. 2.2
Konsepsi tentang Risiko
2.2.1
Pengertian Risiko Sebelum krisis moneter (Juli 1997), hampir seluruh bank swasta bisa
dipastikan tidak begitu memperhatikan dengan yang namanya risiko. Risiko merupakan potensi terjadinya suatu peristiwa-peristiwa yang dapat menimbulkan kerugian yang tidak diharapkan terjadi, dan kaitannya dengan bisnis adalah merupakan
suatu
mempengaruhi
kondisi
atau
ancaman
yang
secara langsung
akan
atau berdampak buruk terhadap kemampuan perusahaan dalam
mencapai tujuannya.
Pasca krisis ekonomi, banyak pengusaha dan perusahaan, baik perbankan maupun non-perbankan yang tersadar. Mereka menyadari ternyata bisnisnya selama ini tidak dikelola dengan baik, salah satu penyebabnya adalah keprihatinan yang berhubungan dengan persepsi negatif terhadap risiko, sehingga dalam perkembangannya manajemen risiko bukan lagi hanya dominasi perusahaan asuransi dan perbankan saja, namun sudah menjadi kebutuhan pada entitas nonperbankan, baik yang berorientasi profit maupun non-profit. Memahami konsep risiko secara luas merupakan dasar yang esensi untuk memahami konsep dan teknik manajemen risiko. Subjek risiko sangatlah luas dan kompleks sehingga menimbulkan pengertian yang berbeda pula seperti yang dikemukakan oleh Herman Darmawi (2002:19), dengan beberapa definisi risiko sebagai berikut : 1. Risk is the chance of loss (Risiko adalah kans kerugian). Chance of loss biasanya dipergunakan untuk menunjukkan suatu keadaan dimana terdapat suatu keterbukaan terhadap kerugian atau suatu kemungkinan terjadinya kerugian. 2. Risk is the possibility of loss (kemungkinan kerugian). “ Possibility ” adalah probabilitas suatu peristiwa yang berada diantara nol dan 1, definisi ini barangkali sangat mendekati dengan pengertian risiko yang dipakai sehari-hari, akan tetapi definisi ini sangat longgar sehingga tidak cocok dipakai dalam analisis secara kuantitatif. 3. Risk is a uncertainty (Risiko adalah suatu ke-tidak-pastian). Tampaknya ada kesepakatan bahwa risiko berhubungan dengan ketidakpastian, karena risiko memang timbul karena adanya ketidak pastian. Kondisi yang tidak pasti timbul karena : •
Jarak waktu dimulai perencanaan atas kegiatan sampai kegiatan itu berakhir, makin panjang jarak waktu maka semakin besar ke-tidak pastiannya.
•
Keterbatasan tersedianya informasi yang diperlukan.
•
Keterbatasan pengetahuan / keterampilan / teknik pengambilan keputusan.
•
dan sebagainya. Selain itu dapat juga dikatakan bahwa risiko utama dari setiap organisasi
atau perusahaan adalah risiko usaha ( business risk ).
2.2.2 Ruang Lingkup Risiko Bisnis Secara umum risiko didefinisikan sebagai bentuk-bentuk peristiwa yang mempunyai pengaruh terhadap kemampuan seseorang atau sebuah institusi untuk mencapai tujuannya (Tampubolon, 2004, h.19). Selaras dengan pendapat ini adalah pendapat Benston yang dikutip oleh Tampubolon (2004, h.21) yang menyatakan risiko sebagai kemungkinan bahwa suatu peristiwa atau serangkaian peristiwa dapat terjadi. Biasanya berupa peristiwa yang negatif atau yang tidak diinginkan. Risiko bisnis merupakan suatu kondisi yang melibatkan eksposure atas peristiwa-peristiwa yang mempunyai dampak buruk terhadap tujuan perusahaan, atau menurut Earl Ollson ( 2002:37) Business risks is “ The risk of failing to achieve business target due to inapropriate strategies, inadequate resource or changes in the economic or competitive envieonment. “ menurut kutipan tersebut yang dimaksud risiko bisnis adalah risiko kegagalan dalam mencapai tujuan atau target bisnis yang disebabkan oleh strategi yang tidak tepat, sumberdaya yang tidak mencukupi, perubahan ekonomi atau ketatnya persaingan. Risiko ini
merupakan kombinasi kemungkinan-kemungkinan peristiwa
yang akan terjadi dengan besaran konsekuensi-konsekuensinya
(Chandrarin,
Akuntansi, 2005), Cakupan risiko bisnis demikian meliputi rentang risiko yang dihadapi oleh perusahaan dewasa ini yang mempunyai potensi untuk mempengaruhi aspek sosial, lingkungan dan akuntabilitas keuangan. Lebih lanjut risiko bisnis suatu perusahaan dapat melibatkan peristiwa-peristiwa yang potensial berdampak pada investasi, pendapatan, kesejahteraan sosial, keselamatan dan kesehatan karyawan, lingkungan alam, reputasi perusahaan, teknologi, keamanan,
lingkungan politik, properti dan kewajiban perundang-undangan dari suatu organisasi Menurut Bowden et.a (2001) ruang lingkup risiko bisnis adalah sangat luas, dan tergantung pada aktivitas-aktivitas yang berada dalam perusahaan, banyaknya risiko dapat dikurangi atau diperluas sebagaimana dijelaskan dalam lima contoh dibawah ini: •
Risiko Strategis merupakan risiko kegagalan perencanaan. Risiko ini meliputi: strategi pemasaran, dan akuisisi yang lemah, perubahan perilaku konsumen yang tidak diharapkan, serta perubahan perundang-undangan dan politik.
•
Risiko Keuangan
merupakan risiko kegagalan pengendalian
keuangan. Risiko ini dapat timbul dari: operasi pendanaan, lemahnya
penilaian
kredit
dan
lemahnya
counterparty
(ketidakmampuan mitra dalam memenuhi kontrak), fraud dan pengendaliannya, kegagalan sistemik, serta manajemen piutang dan persediaan yang buruk. •
Risiko Operasional
merupakan risiko dari tindakan manusia, baik
yang disengaja maupun yang tidak disengaja. Risiko ini meliputi: Kekeliruan sistem, praktek-praktek tidak sehat,rutinitas karyawan, kerusakan yang disengaja. •
Risiko Komersial merupakan risiko interupsi bisnis. Risiko ini dapat berasal dari kehilangan karyawan kunci, kegagalan pemasok, serta isu-isu yang berkaitan dengan hukum dan kepatuhan.
•
Risiko Teknik merupakan risiko kegagalan aktiva-aktiva berwujud. Contohnya melputi kegagalan/keerusakan peralatan dan infra struktur, dampak kebakaran dan fisikal, ledakan dan atau sabotase, pencemaran dan bencana alam.
Sedangkan pendapat lainnya mengenai ruang lingkup risiko bisnis adalah seperti dikemukakan oleh Arthur Anderson yang mengemukakannya sebagai The Arthur Anderson Business Risk Model sebagai berikut:
ENVIRONMENT RISK PRICE RISK OPERATION RISK
FINANCIAL RISK
LIQUIDITY RISK
EMPOWERMENT RISK CREDIT RISK
BUSINESS RISK MODEL
PROCESS RISK
INFORMATION PROCESSING/ TECHNOLOGY RISK INTEGRITY RISK PROCESS/OPERATIONAL INFORMATION RISK
INFORMATION FOR DECISION MAKING RISK
BUSINESS REPORTING INFORMATION ENVIRONMENT/ STRATEGIC INFORMATION
Gambar 2.1 : The Arthur Anderson Business Risk Model Beberapa diantaranya dapat dijelaskan sebagai berikut: •
Environment Risk
merupakan risiko
kekuatan-kekuatan
eksternal
yang
yang terjadi apabila ada dapat
mempengaruhi
kelangsungan model bisnis perusahaan, termasuk dasar-dasar yang mengendalikan strategi dan tujuan menyeluruh yang mendefinisikan model tersebut. •
Process Risk merupakan risiko dimana proses bisnis perusahaan dalam kondisi: tidak memperbaharui aset-aset perusahaan secara efektif; tidak didefinisikan secara jelas; disesuaikan dengan strategi yang mendorong model bisnis perusahaan secara tidak tepat; tidak menghasilkan sesuatu yang efektif dan efisien dalam memenuhi kebutuhan pelanggan; tidak menciptakan nilai; tidak mencari nilai dengan mengekspose aktiva-aktiva keuangan, fisik, informasi dan intelektual yang sangat penting untuk mengatasi kerugian yang tak dapat
diterima,
penyimpanganan.
menghadapi
risiko,
penyalahgunaan
atau
•
Information for decision making risk merupakan risiko dimana informasi yang digunakan untuk mendukung pelaksanaan model bisnis, laporan internal & eksternal tentang kinerja dan evaluasi yang terus-menerus mengenai keefektifan dari model bisnis perusahaan menunjukan tidak relevan atau tidak dapat diandalkan. Risiko ini berkaitan dengan setiap aspek dari aktivitas-aktivitas yang menghasilkan nilai perusahaan.
•
Operation Risk
merupakan risiko dimana operasi-operasi tidak
efisien dan efektif dalam hal: melaksanakan model bisnis perusahaan;
memuaskan
pelanggan;
mencapai
tujuan-tujuan
kinerja, pengeluaran biaya, waktu dan kualitas perusahaan •
Financial Risk merupakan risiko dimana aliran kas dan risikorisiko keuangan tidak dikelola secara efektif untuk: memaksimalkan ketersediaan kas; menurunkan ketidak-pastian nilai mata uang, suku bunga,
kredit
dan
risiko-risiko
keuangan
lainnya.
atau
;
meningkatkan dana kas secara cepat dan tanpa menimbulkan kehilangan nilai terhadap apapun yang sangat diperlukan •
Empowerment Risk merupakan risiko dimana para manajer dan pekerja: tidak diarahkan secara tepat; tidak tahu apa yang harus dilakukan jika mereka harus melakukan; melampaui batas-batas kewenangan yang diberikan; diberi insentif untuk melakukan sesuatu yang salah.
•
Information Processing/Technology Risk
merupakan risiko
dimana teknologi informasi yang digunakan perusahaan: tidak dilaksanakan sebagaimana yang dimaksud; mengkompromikan integritas dan keandalan data & informasi; mengekspos aset-aset penting terhadap kehilangan atau penyalahgunaan yang sangat memungkinkan;
mengekspose
kemampuan
perusahaan
untuk
mempertahankan operasi proses-proses penting •
Integrity Risk
merupakan risiko yang timbul dari kecurangan
manajemen, kecurangan pekerja, illegal act & irregularities setiap
atau semua diantaranya dapat menyebabkan kehilangan reputasi di lingkungan pasar. Dengan adanya pemetaan atas ruang lingkup risiko bisnis atau business risk model, hal ini mengindikasikan bahwa risiko dalam bisnis harus dikelola, dimana manajemen perlu menaksir, mengidentifikasi risiko-risiko bisnisnya dan mengembangkan serta membangun suatu sistem manajemen risiko, baik operasional maupun strategik. Namun demikian, sekalipun perusahaan mengasuransikan risikonya pada perusahaan asuransi, akan tetapi tetap tidak bisa sepenuhnya menjamin bahwa perusahaan akan terlindungi secara keseluruhan, karena sebagian besar risiko perusahaan harus dihadapi sendiri oleh perusahaan itu sendiri dan tidak bisa dialihkan kepada persahaan asuransi, hal inilah yang menyebabkan manajemen risiko menjadi suatu keharusan dalam perusahaan.
2.2.3 Sumber Risiko Menentukan sumber risiko adalah hal penting, karena mempengaruhi cara penanggulangan dari risiko tersebut, menurut Herman Darmawi (2002:28) sumber risiko antara lain : a. Risiko Sosial Sumber risiko utama adalah masyarakat, artinya adalah bahwa tindakan orang – orang menciptakan kejadian yang menyebabkan penyimpangan yang merugikan dari harapan kita. b. Risiko Fisik Ada banyak sumber risiko fisik yang sebagian besar adalah fenomena alam, sedangkan lainnya disebabkan oleh kesalahan manusia. Banyak risiko yang kompleks sumbernya tetapi termasuk kategori fisik, contohnya adalah kebakaran , kebanjiran, gempa bumi, dan lain–lain. c. Risiko Ekonomi 2.3 Enterprise Risk Management 2.3.1 Pengertian Manajemen Risiko Manajemen risiko baru menjadi perhatian sungguh-sungguh, baik di sektor publik maupun di sektor swasta, terutama pada perusahaan perbankan adalah
sejak Bank Indonesia mengeluarkan regulasi tentang penerapan manajemen risiko bagi bank umum, tepatnya peraturan Bank Indonesia No. 5/8/PBI/2003 tanggal 19 Mei 2003, bahwa terhitung 1 Januari 2004 semua bank nasional, daerah, koperasi dan cabang bank asing di Indonesia wajib menerapkan manajemen risiko secara efektif dalam operasionalnya sehari-hari (Tampubolon, 2004). Salah satu pasal dalam ketentuan Bank Indonesia tersebut setidaknya ada empat bidang, yaitua: (1) pengawasan aktif dewan komisaris dan direksi; (2) kecukupan kebijakan, prosedur, dan penetapan limit; (3) kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian, serta sistem informasi manajemen risiko; dan (4) sistem pengendalian yang menyeluruh. “Manajemen risiko adalah upaya untuk mengidentifikasi, menganalisis, dan mengelola risiko sedemikian rupa sehingga perusahaan senantiasa dapat menerapkan pengendalian atas kondisi saat ini maupun mengantisipasi potensi risiko yang mungkin timbul sehingga perusahaan dapat memenuhi tujuan dan sasarannya.” ( Daniri, 2005) Kemudian di dalam Canadian Integrated Risk Management Framework (2001), dinyatakan pula bahwa : ” Risk management is a systematic approach to setting the best course of action under uncertainty by identifying, assessing, understanding, acting on and communicating risk issues”. Sedangkan menurut Bowden Adrian, R (2001) : “ The process of planning, organizing, directing, and controlling the resources and activities of an organization in order to minimize the adverse impacts on accident losses to that organization at least possible cost.” yang artinya : suatu proses perencanaan, pengorganisasian, pengarahan, dan pengendalian sumber daya dan kegiatan suatu organisasi dalam rangka menekan dampak kurang baik dari kejadian yang merugikan organisasi pada tingkat biaya sekecil-kecilnya.
2.3.2 Pengertian Enterprise Risk Management Pengertian mengenai Enterprise Risk Management berkembang dari konsep manajemen risiko dalam lingkup yang lebih luas (company wide). Menurut Ernst &Young, 2005, Business Risk Service : Enterprise Risk Management adalah sebagai berikut: Enterprise Risk Management adalah suatu
proses yang sistematis dalam mengkoordinasikan antara setiap manajemen risiko yang ada di dalam suatu organisasi. Sedangkan dalam COSO Report, 2004 mengemukakan sebagai sebagai berikut: Enterprise Risk Management is a process, effected by an entity’s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives. (Enterprise Risk Management adalah suatu proses yang dipengaruhi oleh dewan komisaris, manajemen, dan personil lainnya yang diaplikasikan untuk menentukan strategi perusahaan secara keseluruhan, yang didesain untuk mengidentifikasi kejadian-kejadian potensial yang mungkin dapat mempengaruhi organisasi, mengelola risiko agar selalu berada dalam batas toleransi risiko serta memberikan jaminan yang wajar berkaitan dengan pencapaian tujuan perusahan). Enterprise Risk Management diyakini sebagai inisiatif penting untuk mempertahankan kelanggengan perusahaan, khususnya dalam dunia kompetisi yang tidak pasti. Menurut Antonius Alijoyo (2006:8), yang terpenting dalam memahami karakteristik utama Enterprise Risk Management adalah masuknya cakupan risiko dari semua sumber (finansial, operasional, strategik dan lain-lain) yang memperlakukan risiko-risiko perusahaan secara kolektif dan terpadu, serta koordinasi strategi manajemen risiko. Sedangkan mengacu pada Enterprise Risk Management (ERM) sesuai dengan definisi dari COSO-Report yang mencerminkan konsep fundamental penanganan risiko entitas perusahaan adalah sebagai berikut : • ERM adalah sebuah proses atau merupakan cara untuk mencapai tujuan, bukan tujuan itu sendiri. • Dipengaruhi oleh manusia dan bukan hanya sekedar kebijakan, survei dan format, tetapi melibatkan orang pada setiap tingkatan dalam sebuah organisasi. • Berlaku dalam penetapan strategi, mencerminkan sikap proaktif dalam melihat, memperlakukan dan memberdayakan risiko di dalam organisasi, terutama yang berdampak luas dan strategik.
• Berlaku diseluruh perusahaan
pada setiap tingkatan dan unit, yang
meliputi pendekatan pandangan prinsip ‘portofolio’ di tingkat entitas terhadap penanganan risiko organisasi. • Dirancang untuk mengenali peristiwa yang berpotensi mempengaruhi entitas dan mengelola risiko dalam jangkauan risikonya. • Memberikan jaminan yang wajar bagi dewan perusahaan dan manajemen organisasi tersebut.
2.3.3 Enterprise Risk Management yang Efektif Elemen-elemen
enterprise riks management menurut Committee
Sponsoring Organizations of the Treadway Commission
(ERM FrameWork
2004) adalah sebagai berikut: Enterprise Risk Management consists of eight interrelated components, which complement the way management runs the enterprise and are integrated with other management processes. The components are linked and serve as criteria for determining whether Enterprise Risk Management is effective. Elemen-elemen enterprise riks management tersebut adalah sebagai berikut : (1).
Internal Environment Manajemen menetapkan filosofi mengenai risiko dan membakukan suatu risk appetite. Lingkungan internal ini ditetapkan sebagai fondasi mengenai bagaimana risiko dan pengendalian dipandang dan dipahami oleh orang-orang dalam suatu organisasi, sehingga faktor manusia merupakan faktor penggerak dalam menjalankan organisasi yang menjadi faktor penentu bagi faktor-faktor lainnya.
(2)
Objective Setting Enterprise Risk Management memberikan jaminan bahwa manajemen memiliki suatu proses yang memadai dalam menetapkan tujuannya dan atas tujuan yang dipilihnya tersebut dapat mendukung dan selaras dengan visi dan misi perusahaan serta konsisten dengan risk appetite perusahaan.
(3)
Event Identification Manajemen mengidentifikasikan interrelasi diantara kejadian potensial dan dapat mengkategorikan kejadian-kejadian tersebut agar dapat menciptakan dan
memperkuat suatu risiko-risiko yang lazim terjadi (a
common risk language) di perusahan dan membentuk suatu dasar untuk mempertimbangkan kejadian - kejadian dari perspektif portofolio. (4)
Risk Assessment Risiko-risiko teridentifikasi (identified risks) merupakan penganalisisan untuk membentuk suatu dasar dalam menentukan bagaimana risiko-risiko harus dikelola. Suatu risiko biasanya melekat dengan tujuan-
tujuan
tertentu yang akan dipengaruhinya, sehingga perlu dinilai baik yang bersifat (5)
inherent risks, maupun residual risks.
Risk Response Manajemen memilih pendekatan atau perangkat tindakan-tindakan untuk menyelaraskan penilaian risiko-risiko dengan risk apettite, dalam hubungannya dengan strategi dan tujuan perusahaan., kemudian mengidentifikasi dan mengevaluasi kemungkinan-kemungkinan tindaklanjutnya
(responses)
terhadap
resko-risiko
tersebut,
seperti:
penghindaran, penerimaan, pengurangan, dan pengalihan risiko. (6)
Control Activities Kebijakan-kebijakan
dan
posedur-prosedur
yang
ditetapkan
dan
dilaksanakan untuk membantu meyakinkan bahwa pengelolaan terhadap risk responses yang dipilih dapat dilaksanakan secara efektif. (7)
Information and Communication Informasi yang relevan diidentifikasi, dikumpulkan dan diolah serta dikomunikasikan memungkinan jawabnya.
dalam
pengguna
Komunikasi
bentuk
dan
informasi yang
dalam
dapat
efektif
batas
waktu
melaksanakan
harus
timbul
yang
tanggung
dalam
suatu
pengertian yang lebih luas, universal, dan mencakup perusahaan sebagai keseluruhan.
(8)
Monitoring Keseluruhan proses Enterprise Risk Management harus dipantau, dan dimodifikasi sesuai dengan kebutuhannya. Pemantauan (monitoring) dilakukan dengan cara pengamatan terhadap kegiatan manajemen yang sedang berlangsung kemudian dilakukan evaluasi terpisah terhadap proses enterpris risk management tersebut. Apabila kedelapan elemen dalam Enterprise Risk Management dapat
diterapkan dan dilaksanakan dalam suatu perusahaan sebagaimana mestinya, maka dapat disimpulkan bahwa pada hakekatnya Enterprise Risk Management telah dapat diterapkan secara efektif.
2.4
Peranan Audit Internal dalam menunjang penerapan Enterprise Risk Management yang Efektif Sebagaimana dikemukakan dalam paragraf sebelumnya, bahwa dalam
perkembangannya kegiatan Audit Internal yang dinyatakan oleh The IIA Florida (2004:159) The Nature of Work, standard 2100, adalah: “The internal auditing activity should evaluate and contribute to the improvement of risk management , control, and governance processes using a systematic and disciplined approach“ Standar ini menegaskan bahwa peran Audit Internal dengan manajemen risiko sangat erat, begitu juga dalam definisi Audit Internal yang dikemukakan oleh The IIA (2004), bahwa Audit Internal adalah aktifitas konsultasi dan penjaminan yang obyektif dan independen yang dirancang untuk memberikan nilai tambah serta meningkatkan operasi organisasi guna membantu organisasi dalam mencapai tujuannya, dengan menggunakan suatu pendekatan yang terdisiplin dan sistematis untuk mengevaluasi dan meningkatkan efektifitas, manajemen risiko, pengendalian dan proses tata kelola perusahaan. Berdasarkan standar tersebut diatas yang menunjukkan bahwa fungsi Audit Internal memiliki peran yang signifikan dalam penaksiran risiko (risk assesment), dengan kata lain disimpulkan bahwa peran Audit Internal dalam menunjang penerapan Enterprise Risk Management yang efektif adalah memberikan
penjaminan yang objektif kepada perusahaan bahwa setiap risiko bisnis (keybusiness risk) telah dikelola dengan tepat dan juga fungsi pengendalian internal telah berjalan secara efektif. Sesuai dengan Nature of Work Audit Internal dan di dalam COSO Framework mengenai ERM, yang menyatakan bahwa di dalam aktivitas Audit Internal terdapat proses manajemen risiko maka aktivitas Audit Internal dalam proses manajemen risiko diantaranya adalah : •
Kepala Audit harus memperoleh dan memahami ekspektasi manajemen dan dewan direksi terhadap aktivitas Audit Internal didalam proses manjemen risiko yang dilakukan oleh. Pemahaman tersebut harus dikodifikasikan kedalam charter Audit Internal dan komite audit.
•
Auditor internal berperan dalam mengevaluasi efektifitas dan rekomendasi perbaikan atas ERM, diantaranya termasuk evaluasi terhadap keandalan pelaporan, efektifitas dan efesiensi operasi, serta kepatuhan terhadap hukum dan peraturan.
•
Didalam melaksanakan tanggung jawabnya, auditor internal membantu manajemen dan dewan direksi serta komite audit dengan memeriksa, mengevaluasi, melaporkan dan merekomendasikan perbaikan terhadap kecukupan serta efektifitas dari ERM.
•
Audit Internal berperan memberikan nasehat (advice), dan mendorong atau mendukung keputusan manajemen mengenai risiko sebagai kebalikan dari pengambilan keputusan atas manajemen risiko oleh manajemen
Sementara itu, pada bulan September 2004, Committee of Sponsoring Organizations
of
the
Treadway Commission
(COSO)
Enterprise
Risk
Management – Integrated Framework, The Institute of Internal Auditors (IIA), berkoordinasi dengan IIA-UK, telah menerbitkan suatu “position paper” mengenai “The Role of Internal Audit in Enterprise-wide Risk Management”. Tulisan ini bertujuan membantu Kepala Audit Internal dalam merespon isu-isu mengenai Enterprise Risk Management. Tulisan ini menyarankan cara-cara bagi Audit Internal dalam memelihara objektivitas dan independensinya sesuai dengan
Standards for the Professional Practice of Internal Auditing (Standards) manakala memberikan jasanya, sebagai berikut: “Internal auditing's core role with regard to ERM is to provide objective assurance to the board on the effectiveness of an organization's ERM activities to help ensure key business risks are being managed appropriately and that the system of internal control is operating effectively Faktor-faktor utama yang harus dipertimbangkan dan yang tidak diperkenankan bagi Audit Internal dalam memelihara independensi dan obyektivitas dalam memperbaiki dan menyempurnakan proses Enterprise Risk Management sesuai “a position papaer”adalah sebagai berikut: a.
Peran utama Audit Internal dalam proses ERM adalah: • • • • • • • • • • •
b.
Giving assurance that risks are correctly evaluated. Evaluating risk management processes. Evaluating the reporting of key risks. Reviewing the management of key risks. Facilitating identification and evaluation of risks. Coaching management in responding to risks. Coordinating ERM activities. Consolidating the reporting on risks. Maintaining and developing the ERM framework. Championing establishment of ERM. Developing risk management strategy for board approval
Peran yang tidak boleh dijalankan oleh Audit Internal dalam proses ERM. • • • • • •
Setting the risk appetite Imposing risk management processes Management assurance on risks. Taking decisions on risk responses. Implementing risk responses on management's behalf. Accountability for risk management.
Meskipun demikian, The IIA menekankan bahwa organisasi sepenuhnya mengerti bahwa manajemen tetap bertanggung jawab terhadap risk management.