Risk Rating dalam Risk Based Internal Audit Perbankan

Perkembangan paradigma internal audit, peraturan dan ketentuan dari regulator serta pesatnya perkembangan teknologi informasi adalah beberapa contoh faktor yang menempatkan fungsi internal auditor perbankan (Satuan Kerja Audit Intern Bank/SKAI) untuk mendukung efektivitas penerapan manajemen risiko. Ekpektasi manajemen terhadap peranan fungsi assurance dan consulting yang independen dan obyektif untuk mendukung pencapaian tujuan organisasi, dihadapkan pada keterbatasan sumber daya yang dimiliki.

Kondisi ini menuntut SKAI agar berfungsi secara efektif dan efisien serta fokus terhadap kecukupan dan efektivitas struktur pengendalian intern sebagai sistem pengendalian risiko (risk control system). Hingga akhirnya berkembanglah metodologi internal audit berbasis risiko. Melalui pendekatan audit berbasis risiko, seluruh internal audit process ini akan lebih ditekankan untuk mengukur (assessment) dan memprioritaskan risiko, sebagai dasar menguji (testing) dan mengevaluasi (evaluation) keandalan dan efektivitas risk control system untuk membantu manajemen dalam pengambilan keputusan terkait prioritas risiko.

Selain optimalisasi alokasi sumberdaya dan kegiatan SKAI lebih fokus terhadap prioritas risiko, dalam penerapannya, internal audit berbasis risiko membawa manfaat antara lain:

  1. Efektivitas Fungsi Audit. Pendekatan audit berbasis risiko akan mengungkapkan sumber permasalahan yang menjadi risiko/temuan audit berdasarkan pada aspek risk control system yang menuntut tindak lanjut dari seluruh lapisan manajemen sehingga menekan timbulnya permasalahan yang terjadi berulang-ulang.
  2. Fokus pada prioritas risiko. Dengan pendekatan audit berbasis risiko, maka auditor dapat lebih fokus untuk melaksanakan prosedur audit terhadap aktivitas berisiko, sedangkan auditee dan manajemen akan lebih fokus terhadap temuan hasil audit dengan prioritas risiko yang signifikan.
  3. Prosedur pengujian yang efisien. Suatu proses bisnis (business process) yang telah diidentifikasi riskonya dan pengendalian intern yang ada (built in risk control system). Atas dasar tingkat risiko, auditor akan melakukan pengujian terhadap keandalan dan efektivitas pengendalian intern yang terkait untuk memitigasi risiko tersebut.

Namun demikian di sisi lain, untuk memperoleh manfaat-manfaat tersebut SKAI harus memiliki pemahaman komprehensif terhadap business process perusahaan/bank. Selain itu, untuk membantu dalam proses pengukuran risiko (risk assessment) maka SKAI harus memiliki metodologi yang memadai untuk pengukuran risiko sebagai dasar pelaksanaan fungsi internal audit berbasis risiko.  If you can’t measure it, you can’t manage it.

Dalam metodologi risk based internal audit, pengukuran risiko merupakan bagian terpenting di dalam perencanaan audit serta pelaksanaan audit. Pengukuran ini umumnya dilakukan dengan mengkuantifikasi melalui rating. Dalam perencanaan audit, SKAI mengukur risiko terhadap seluruh obyek audit (cabang/capem/divisi), untuk menentukan obyek audit mana yang relatif berisiko sehingga dapat memprioritaskan rencana audit. Metodologi ini umumnya disebut Macro Risk Assessment.

Dalam pelaksanaan audit, SKAI melakukan pengukuran risiko akhir (residual risk) dengan menilai  sejauh mana kecukupan dan efektivitas pengendalian risiko masing-masing obyek audit. Metodologi ini dapat disebut Micro Risk Assessment.

 

 

MACRO RISK ASSESSMENT

Rencana internal audit menjadi sangat penting di dalam pendekatan audit berbasis risiko. Tahapan seleksi auditee menjadi sangat penting karena akan menentukan prioritas audit, alokasi sumber daya (berapa auditor, berapa lama), dan program audit (semakin berisiko maka program audit semakin kompleks dan komprehensif).

Melalui pengukuran risiko secara macro, maka auditee (atau activity) dapat diseleksi dan diprioritaskan di dalam rencana audit. Internal audit dapat fokus dan memprioritaskan perhatian dan rencana audit serta alokasi sumber daya terhadap auditee dengan tingkat risiko tinggi.

Dalam pengukuran ini, SKAI membutuhkan parameter-parameter risiko dari obyek audit atau auditee. Sebagai contoh parameter volume-jumlah kredit yang diberikan. Semakin besar porsi jumlah kredit yang diberikan oleh suatu cabang, maka semakin besar risiko yang dikandungnya (vice versa).

Parameter lain yang digunakan sebagai contoh adalah, kualitas aktiva produktif, pertumbuhan, kompleksitas, permasalahan terkait pengendalian intern, serta kondisi temuan audit periode sebelumnya. Setiap parameter risiko tersebut diberikan kontribusi bobot penilaian-nya terhadap keseluruhan. Misalnya volume, kualitas aktiva produktif dan pertumbuhan masing-masing dibobot 15%. Demikian seterusnya.

Langkah selanjutnya adalah menentukan criteria rating masing-masing parameter. Sebagai contoh, rating akan dibuat 1 (risiko rendah) sampai dengan 4 (paling berisiko). Misal, untuk rating kualitas aktiva produktif auditee/cabang, apabila NPL >=5% ratingnya 4, apabila 3%=<NPL<5% ratingnya 3, apabila 1%=<NPL<3% ratingnya 2 dan NPL<1% ratingnya 1. Demikian selanjutnya untuk kriteria rating masing-masing parameter risiko lainnya.

 

Setelah seluruh auditee (cabang/divisi/aktivitas) diukur rating seluruh parameter risikonya, maka hasil akhirnya adalah macro risk profile yang berisi tentang gambaran seluruh auditee beserta masing-masing risikonya. Berdasarkan profile tersebut, SKAI dapat menyusun prioritas risiko untuk perencanaan auditnya.

MICRO RISK ASSESSMENT

Micro risk assessment ini dilaksanakan oleh auditor selama pelaksanaan audit untuk menentukan rating pengendalian intern/ risk control system auditee. Hasil assessment inilah yang menjadi rapor cabang/auditee yang kita audit. Apakah cabang memiliki pengendalian intern dan manajemen risiko yang cukup (satisfactory), perlu ditingkatkan (need improvement) ataukah kurang (unsatisfactory).

Konsep awalnya adalah bahwa setiap kantor cabang memiliki core process. Masing-masing core proses ini memiliki beberapa sub proses yang lebih detail. Masing-masing sub-proses ini memiliki risiko yang melekat. Terhadap risiko-risiko ini sebenarnya terdapat design pengendalian intern/ risk manajemen untuk memitigasi risiko. Auditor akan melakukan serangkaian program audit untuk menguji kecukupan pengendalian intern ini. Permasalahan/kelemahan/temuan audit baik yang bersifat major maupun minor akan mempengaruhi rating.

Bagi auditor, Bank adalah audit universe yang terdiri dari sekumpulan obyek audit.  Obyek audit ini antara lain adalah salah satu kantor cabang.

Suatu kantor cabang akan memiliki core business process, antara lain perkreditan, penghimpunan dana, jasa-jasa, administrasi/akuntansi dan Umum. Setiap core proses terdiri dari aktivitas-aktivitas sub-proses yang lebih detail yang memiliki potensi risiko melekat lebih specific. Terhadap risiko tersebut, telah di design pengendalian intern (key control) untuk memitigasi risiko inherent yang ada tersebut (risk control system).

Auditor harus melakukan pengujian terhadap keterandalan/ kecukupan key control tersebut melalui serangkaian prosedur-prosedur audit.

Temuan-temuan audit yang diperoleh oleh auditor dari pengujian-pengujian tersebut akan diperhitungkan didalam menentukan rating pengendalian intern. Asumsinya, semakin tinggi dampak dan frekuensi dari temuan audit maka akan semakin berisiko (major), dan pengendalian intern semakin lemah.

Auditor melaksanakan prosedur audit dengan tujuan untuk melakukan pengujian terhadap keterandalan/kecukupan pengendalian intern di dalam memitigasi risiko inheren (Risk Control System) yang ada di dalam setiap business process Bank.Setiap temuan audit harus dievaluasi sejauh mana risikonya-yaitu sesering apa frekuensinya (likelyhood) dan sebesar apa dampaknya (impact). Semakin sering dan atau semakin besar dampak dari temuan audit maka suatu temuan audit dapat dikategorikan temuan major.

Inilah metodologi pengukuran risiko yang umumnya dilaksanakan oleh SKAI Bank untuk merencanakan audit serta melaksanakan audit agar lebih fokus untuk mendukung penerapan manajemen risiko.