LAPORAN TAHUNAN | 2014 | ANNUAL REPORT 264 1. Memahami risk universe atau cakupan risiko yang terdapat pada organisasi, termasuk di dalamnya berapa banyak entitas yang dapat diaudit yang berada pada organisasi serta mengetahui estimasi tingkat risiko entitas tersebut berdasarkan tingkatan probability dan tingkatan signifikansinya. 2. Melakukan proses identifikasi pada kebutuhan akan audit internal dari sekian banyak entitas Perusahaan yang dapat diaudit. Meskipun dalam sebuah entitas dianggap tidak terlalu berisiko untuk dilakukan internal control, tetapi jika pihak komite internal manajer senior bersikeras meminta untuk dilakukan audit pada pihak tersebut, maka pihak auditor diharapkan mampu untuk melakukan audit. Terdapat tiga cara untuk menentukan tingkat kegentingan pada entitas Perusahaan untuk dilakukan audit. Ketiga tahapan tersebut adalah: a. Menentukan kebutuhan akan audit pada entitas, dengan melakukan penilaian pada entitas tersebut. Nilai 1 jika memang pada entitas tersebut perlu dilakukan audit pada periode tersebut dan nilai 0 jika ternyata memang tidak membutuhkan audit. b. Menentukan tingkat signifikansi jika pada entitas terkait memang akan dilakukan audit. Dengan memberikan penilaian dari 0,01 hingga 0,99, maka akan ditentukanlah tingkat signifikansi hasil daripada entitas yang diaudit berdasarkan keputusan bersama daripada para auditor. Semakin tinggi penilaiannya semakin tinggilah hasilnya. c. Menentukan kemungkinan kegagalan pada internal audit jika dilakukan pada entitas yang bersangkutan. Dengan penilaian antara 0,01 hingga 0,99, maka akan ditentukan tingkat kegalalan proses internal audit yang dilakukan pada entitas yang bersangkutan. 3. Langkah selanjutnya dari proses identifikasi adalah mengembangkan program audit yang didasarkan pada berbagai macam entitas yang menjadi kandidat yang dalam pelaksanaan internal audit. 4. Berdasarkan pada berbagai macam program audit yang akan dilakukan yang didasarkan pada berbagai macam kebutuhan entitas, maka selanjutnya, dikembangkanlah 1. Understanding the risk universe or scope of risks inherent in the organization, including how many auditable entities in the organization, and finding out the estimated risk level of these entities based on probability and significance levels. 2. Identifying the need for an internal audit of the Company’s auditable entities. Although in an entity the internal control is deemed not too risky to do, if senior managers of internal committee insist to do an audit on the said entities, then the auditor will be able to perform the audit. There are three ways to determine the degree of urgency of the Company entities for audit. The three stages are: a. Determine the entity’s need for audit by conducting an assessment on the entity. Score 1 is given if the entities need to be audited for the said period and score 0 if an audit is not required. b. Determining the level of significance if the relevant entity would indeed be audited. By providing scoring from 0.01 to 0.99, the significance level of outcome resulted from the entity being audited by a joint decision of the auditors. A higher assessment will produce higher assessment result. c. Determine the probability of failure in internal audit if it is done in the concerned entity. With scoring from 0.01 to 0.99, failure level of the internal audit process conducted in the concerned entity will be determined. 3. The next step of the identification process is to develop an audit program based on a wide variety of entities which become candidates in the implementation of internal audit. 4. Based on a wide range of audit programs that will be conducted based on various needs of the entities, the next step is developing an audit implementation plan in general, MANAJEMEN RISIKO Risk Management