AUDIT BERBASIS RISIKO dengan customer (1)
AUDIT
BERBASIS
RISIKO
Disampaikan oleh ;
Emharri Manda Nasution, SE, MM
Bogor, 29 April 2016
Peningkatan Kapasitas APIP Kemenristek & Dikti
dalam MelakukanAudit Berbasis Risiko
1
1
Agenda
Pembelajaran
PENUTUP
PENDAHULUAN
2
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
3
LANGKAH-LANGKAH
PROSES ABR
4
PENUTUP
2
Sesi I;
PENDAHULUAN
3
Diskusi Pendahuluan
ABR at au AI BR
t elah m enj adi t rend dalam
perkem bangan audit ,
sem ent ara ham pir sem ua
kegiat an yg dilaksanakan dalam
rangka pengawasan,
selalu uj ung2nya m em buat THA.
Bagaim ana pendapat anda ???
4
JENIS-JENIS AUDIT
Pem eriksaan
Keuangan
UU no 15
Thn 2004
JENI S
AUDI T
MENURUT
Pem eriksaan
Kinerj a
Pem eriksaan at as
Hal- hal Lain di
Bidang Keuangan
Pem eriksaan
Dengan Tuj uan
Tert ent u
Peem eriksaan
I nvest igat if
Pem eriksaan at as
SPI P
Audit
Kinerj a
PP 60 Thn
2008
Audit Dengan
Tuj uan Tert ent u
Audit
I nvest igat if
Audit at as
Penyelenggaraan SPI P
Audit at as Hal- hal Lain
di Bidang Keuangan
5
Apa pendapat pakar ..?
David M. Griffiths, PhD, FCA.
(Risk Based Internal Auditing An Introduction – 2006)
6
Pengertian Audit dan Audit Intern
(SAIPI)
Audit
• adalah proses identifikasi masalah, analisis, dan evaluasi yang
dilakukan secara independen, objektif, dan profesional berdasarkan
standar audit, untuk menilai kebenaran, kecermatan, kredibilitas,
efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan
fungsi instansi pemerintah.
Audit
intern
• adalah kegiatan yang independen dan obyektif dalam bentuk
pemberian keyakinan [assurance activities] dan konsultansi [consulting
activities], yang dirancang untuk memberi nilai tambah dan
meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara
menggunakan pendekatan yang sistematis dan teratur untuk menilai
dan meningkatkan efektivitas dari proses manajemen risiko, kontrol
[pengendalian], dan tata kelola [sektor publik].
7
Pengertian Audit
Audit adalah proses kegiat an yang bert uj uan
unt uk m e ya k ink a n t ingkat kesesuaian ant ara
suat u k ondisi yang m enyangkut kegiat an dari
suat u ent it as dgn k r it e r ia nya , dilakukan oleh
audit or yg kom pet en dan independen dgn
m e nda pa t k a n da n m e nge va lua si buk t i- buk t i
pendukungnya secara sist em at is, analit is, krit is,
dan selekt if, guna m em berikan pendapat at au
sim pula n da n r e k om e nda si kepada pihak
yang berkepent ingan.
8
Sesi II;
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
9
DEFINISI ABR (menurut IIA)
Sebuah metodologi yang menghubungkan audit internal
dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan
keyakinan memadai bahwa manajemen risiko organisasi
telah dikelola dengan memadai sehubungan dengan
risiko yang dapat diterima (risk appetite).
10
Assurance yang disediakan ABR ( sum ber : I I A- UK and I reland)
11
Risk Appetite (menurut, David M. Griffiths, PhD, FCA.)
Selera Risiko = Tingkat risiko
yang dapat diterima oleh dewan
atau manajemen. Ini mungkin
diatur dalam kaitannya dengan
organisasi secara keseluruhan,
untuk berbagai kelompok risiko
atau tingkat risiko individu.
Risiko yang berada di atas risk
appetite dianggap ancaman bagi
suatu organisasi dalam mencapai
tujuannya.
12
Sifat Kerj a Kegiatan Audit Intern
Manaj emen
Risiko
Tata
Kelola
Sektor
Publik
Pengen
-dalian
Intern
(Risk, Cont rol,
Governance)
SA-IPI 3100 - Sifat Kerja Kegiatan Audit Intern
Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan
kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko,
dan pengendalian intern dengan menggunakan pendekatan sistematis
dan disiplin.
13
Peran APIP dalam Penerapan ABR
Business Process
Pemahaman
MR
Daftar
Risiko
Pemahaman
Tata Kelola
Goal
Risk
Pemahaman
PI
Risk Management
Risk – Based Audit
Risk Profile
Audit Planning
Action Plan
Test of Control
Report on Internal Audit
Penanganan
Risiko = RTP
14
Audit Tradisional
15
Audit Internal Berbasis Risiko
16
Hubungan Perencanaan audit tahunan
dan audit Individu
17
Sesi III;
LANGKAH-LANGKAH PROSES
ABR
18
Tahapan Risk Based Audit
Management’s
Risk Register
(If Available)
Risk Naive
Risk Enable
Assess Risk Maturity
Risk Aware
Risk Managed
St a ge 1
Risk Defined
Fasilitate Risk
Identification
Management’s
Risk Register
(amanded)
Audit
Universe
Asign Risk to
Audit
Use Oganization’s
Risk
St a ge 2
Risk and Audit
Universe (RAU)
Audit Plan
Audit Committee
Report
Individual Audit
Audit Report
Feedback Result
into RAU
Sum ber : David Grifit h Risk Based I nt ernal Audit
St a ge 3
19
Flash Back
• gambaran sejauh
mana unit kerja
menentukan,
menilai, mengelola
dan memantau
risiko
• indikasi keandalan
daftar risiko
Penilaian
Tingkat
Maturitas
Risiko
• mengidentifikasi
penugasan audit
• menghasilkan
annual audit plan
Penyusunan
Perencanaan
Audit
Tahunan
(Macro Risk
Assessment)
• melaksanakan
audit berbasis
risiko individu
• memberikan
jaminan
Penugasan
Audit
Individual
(Micro Risk
Assessment)
20
Individual Audit
• Tahap pelaksanaan AIBR merupakan
tahap lanjutan dari tahap perencanaan.
• Tahap ini merupakan tahap pekerjaan
lapangan (field work) berupa audit
individual atas Unit Layak Audit (ULA).
• Performance Standard nomor 2300
Performing the Engagement:
“Internal Auditors should identify, analyze,
evaluate and record sufficient information
to achieve the engagement objectives”
21
Tahapan Individual Audit
PERENCANAAN
PELAKSANAAN
PELAPORAN
• Penetapan tujuan dan lingkup
penugasan
• Pemahaman auditi
• Identifikasi dan penilaian riitsiko
• Identifikasi pengendalian kunci
• Evaluasi pengendalian
• Penyusunan rencana pengujian
• Penyusunan program audit
• Pengalokasian sumber daya
• Pengujian dan pengumpulan
bukti
• Evaluasi bukti dan pengambilan
kesimpulan
• Pengembangan temuan dan
rekomendasi
• Penyampaian simpulan
sementara
• Penyusunan laporan
• Distributi laporan
• Monitoring tindak lanjut
22
Tahapan Individual Audit
PERENCANAAN
PELAKSANAAN
• Determine engagement
objectives and scope
• Understand the auditee,
including auditee objectives and
assertions.
• Identfy and assess risks.
• Identify key control activities.
• Evaluate adequacy of control
design.
• Create a test plan.
• Develope a work program.
• Allocate resources to the
engagement.
• Conduct tests to gather
evidence.
• Evaluate evidence
gathered and reach
conclusions.
• Develope observations
and formulate
recomendations.
PELAPORAN
• Perform observations,
evaluation and
escalation process.
• Conduct interim and
preliminary
engagement
communications.
• Develope final
engagement
communications.
• Distribute formal and
informal final
communications.
• Perform monitoring and
follow-up procedures.
23
Tahapan Individual Audit
Act ual RM
Expect ed RM
24
Tahap 1. Perencanaan penugasan
berdasarkan perencanaan audit
tahunan yang telah dihasilkan
dan hasil penilaian risk maturity
tingkat organisasi tentukan
lingkup penugasan audit
individu
alokasi sumber daya audit
yaitu biaya, waktu, SDM
dan tingkat kompetensi
auditor yang dibutuhkan
serta jadwal audit
25
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL
Risk Maturity
Non
Existent
Naive
0
1
Consulting
Aware
2
Defined
Managed
3
4
Enable
5
Assurance
AUDIT INTERNAL
26
H u bu n ga n M a t u r it y Le ve l D e n ga n Con t r ol, M on it or in g da n Pe n de k a t a n Au dit
Level
Control
Monitoring
Semua risiko telah teridentifikasi
dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Manajemen memonitor bahwa
semua respon dilakukan secara
tepat.
Semua manajer memberikan
jaminan terhadap efektivitas
manajemen risiko dan penilaian
kinerja manajemen risiko
Managed
Semua risiko telah teridentifikasi
dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Manajemen memonitor bahwa
semua respon dilakukan secara
tepat.
Hampir Semua manajer
memberikan jaminan terhadap
efektivitas manajemen risiko dan
penilaian kinerja manajemen risiko
Defined
Sebagian besar risiko telah
teridentifikasi dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Beberapa bagian Manajemen
memonitor bahwa semua respon
dilakukan secara tepat
Aware
Terdapat pengendalian tetapi tidak
terkait dengan risiko
Sedikit atau kurang adanya
monitoring
Naive
Terdapat pengendalian tetapi
bebarapa pengendalian tidak ada
atau tidak lengkap
Sangat kecil monitoring, jika adapun
sangat lemah
Enabled
Audit Approach
Assu r a n ce
Con su lt a n cy
Tidak dapat dilakukan RBIA.
Maka audit menggunakan
pendekatan konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
dikembangkan Audit dengan
Faktor Risiko
Pendekatan Rencana Audit
Maturity
4 s.d 5
PKPT
Maturity
1 s.d ≤ 3
Risk
Register
Faktor Risiko
Risk Register
Yang Disusun
I/A dgn UPR
Matriks Risiko Dan Pengendalian
Risiko
Risiko A
Risiko B
Risiko A
Pengendalian Kunci
• Pengendalian A
• Pengendalian B
Prosedur Pengujian
• Prosedur A
• Prosedur B
• Pengendalian C
• Prosedur C
• Pengendalian E
• Prosedur E
• Pengendalian D
• Prosedur D
• Pengendalian F
• Prosedur F
• Pengendalian H
• Prosedur H
• Pengendalian G
• Pengendalian I
• Prosedur G
• Prosedur I
29
Penyusunan PKA
Perumusan AO – sisa risiko yg berpotensi
terjadi vs kegagalan pengendalian kunci
Mengidentifikasi bukti –bukti yang
dibutuhkan (rekocuma) utk mendukung
masalah yg akan diungkapkan
Memilih teknik audit yang tepat
Menyusun kalimat yang akan dituangkan
dalam PKA
30
pengujian
Bukti audit yg
diperoleh
permintaan
31
Tahap 2. Penilaian tingkat kematangan risiko tiap
auditable unit
No
Uraian
1
Tujuan organisasi terdokumentasi dan dipahami dengan baik
2
Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3
Proses identifikasi risiko telah ditetapkan dan dipatuhi
4
Sistem skoring untuk penilaian risiko telah ditetapkan
5
Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6
Respon atas risiko telah ditetapkan dan diimplementasikan
7
Risk appetite telah ditetapkan dengan sistem skoring
8
Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
9
Manajemen telah menetapkan model pemantauan atas proses, respon dan action
plan risiko.
10
Risk register diupdate secara periodik
Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum
ditekan pada tingkat yang dapat diterima
11
12
13
Skor (0 - 2)
Kegiatan yang bersifat proyek/program selalu dinilai risikonya
Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya
termasuk dalam uraian tugas dan tanggung jawab pegawai.
14
Manajer memberikan jaminan efektifitas pengelolaan risiko
15
Setiap manager dinilai kinerjanya dalam mengelola risiko
Jumlah
32
Tahap 3. Simpulan hasil penilaian level tingkat
auditable unit dan Update lingkup penugasan
• berdampak terhadap lingkup dan waktu penugasan
audit individu
• Penilaian atas level risiko ≥ level risiko yang
diharapkan maka penugasan dilanjutkan sesuai
rencana audit
• Penilaian atas level risiko ≤ level risiko yang
diharapkan , maka update ruang lingkup dan
waktu penugasan/ menghentikan penugasan
CONSULTING
33
Tahap 4. Diskusi dan observasi
pengendalian
• mendapatkan gambaran sistem pengendalian internal organisasi dari
sudut pandang manajemen dan melihat penerapannya di lapangan
• memberikan simpulan bahwa rancangan pengendalian telah memadai
yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh
organisasi
• Penekanan pengujian tergantung pada tingkat maturity level risiko
auditable unit
• Contoh:
Tujuan tiap auditable
unit
Risiko
Control
Simpulan
auditor
Perencanaan P BJ
Jumlah pengadaan Pemborosan
karena
BJ
sesuai pengadaan
kebutuhan
kebutuhan
Ketepatan waktu
pengadaan Memadai
uang Rencana
jumlah disusun berdasarkan daftar
melebihi kebutuhan barang yang
diusulkan oleh user
B/J terlambat diadakan Pemantauan oleh supervisi Memadai
34
oleh
rekanan
dari internal secara periodik
deadline kontrak
Tahap 5. Verifikasi dan pengujian bukti
• memberikan kesimpulan yang menyatakan pengendalian mana yang
sudah berfungsi, mana yang kemungkinan akan berfungsi di masa
datang, dan mana yang tidak berfungsi
• menitikberatkan terhadap pengendalian-pengendalian yang mempunyai
pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang
memiliki “control score” yang tinggi
• tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan
ketepatan operasi pengendalian, bukan untuk menemukan kesalahan
• Contoh:
Risiko
Pemborosan uang
karena
jumlah
pengadaan
melebihi kebutuhan
Control
Pengujian auditor
Simpulan auditor
Rencana
pengadaan Telusuri daftar kebutuhan Memadai
disusun
berdasarkan barang dan konfirmasi kepada
daftar kebutuhan barang user
yang diusulkan oleh user
B/J
terlambat Pemantauan
oleh Cek laporan bulanan supervisi Memadai
diadakan
oleh supervisi internal secara internal dan konfirmasi pada
rekanan
dari periodik
rekanan
deadline kontrak
35
Dokumentasi hasil
audit
• pengendalian yang
diuji
• metode pengujian
• ukuran sampel yang
diambil
• hasil pengujian
• simpulan pengujian
Penilaian atas
Residual Risk
• Sisa risiko setelah
manajemen mengambil
tindakan-tindakan
untuk mengurangi
likelihood dan dampak
yang ditimbulkan dari
sebuah kejadian
• untuk memutakhiran
daftar risiko
36
respon risiko
proses MR
SIMPULAN
rancangan
pengendalian
penerapan
pengendalian
37
Observation Evaluation and Escalation Process
No
Observation (s) ?
If there are no observations made in the course
of the evaluation process, by definition impact
is insignificant and likelihood is remote
Yes
If there are one or more observations made in the
course of the evaluation process, by definition impact
and likelihood must be determined
Determine COSO Category
Affected by Each Observation
Formal communication to
senior management is
necessary to indicate that
no observations were
identified.
Complience
Operations
Classify Each Observation
Is the control designed
inadequately ?
Observation; a finding,
determination, or judgement
derived from the internal
auditor’s test results from an
assurance or consulting
engagement
Financial Reporting
Is the control operating
ineffectively ?
Determine Impact and
Likelihood of Each Observation
Insignificant
magnitude OR
remote likelihood
More than Insignificant
magnitude AND more
than remote likelihood
Assessment
Insignificant
Significant
Material
38
Observation Evaluation and Escalation Process
Insignificant
magnitude OR
remote likelihood
More than Insignificant
magnitude AND more
than remote likelihood
Assessment
Insignificant
No key control
activities
involved
Significant
Material
No key control involved but
adequate compensating
controls exist
After all observations have been clssified, the internal audit function must use judgement to determine if the
observations identified, either singularly or in the aggregate, are insignificant, significant, or material.
If observations, either singularly or in
the aggregate, are assessed
insignificant with no key control
activities compromised,
communication of any obeservations
relating to secondray control activities
will be informal and does not need to
include senior management.
However, a formal communication to
senior management is still necessary
to indicate that no observation relating
the primary control activities were
identified.
If observations, either
singularly or in the aggregate,
are assessed insignificant
with key control activities
compromised but adequate
compensating controls exist,
communication will be formal
and must be made to senior
management. However, a
formal communication to
senior management and the
organization’s independent
outside auditor.
If observations,
either singularly or
in the aggregate, are
assessed significant,
communication will
be formal and need
to include senior
management, the
organization’s
independent outside
auditor, and the
audit committee.
If observations, either singularly or
in the aggregate, are assessed
material, communication will be
formal and need to include
management, the audit committee,
organization’s independent outside
auditor, and if the observations
relate to internal control over
financial reporting the
communication must be provided to
other interested parties, as defined
by reporting laws in the countries in
which the organization operates. 39
Observation Summary
• Condition (facts) = factual evidence and description of control
as they exist (what is). What was found through testing.
• Criteria = standard, measures, expectations, policy, or
procedures used in making the evauatio (what should exist).
• Cause = what allowed or caused the condition to exist (the
why)
• Effect = risk or exposure encountered the condition is not
consistent with the criteria (what could go wrong, both oast
and possible future impact). Considers both the impact
(financial, reputational, safety, etc) and the likelihood.
• Recommendation = What the internal audit function
recommends. This recommendation must reconcile with
management’s solution as discussed during the preliminary
communication process.
40
Cat at an; obsevat ion = finding = t em uan
UNSUR-UNSUR temUaN haSil aUdit
• KONDISI Fakta
• KRITERIA Hal yg harus dipedomani
• SEBAB Pelaku yg mendorong Kondisi ≠
kriteria
• AKIBAT / DAMPAK Pengaruh thd tujuan,
organisasi, atau sth.
• REKOMENDASI Menghilangkan penyebab
dan meminimalkan akibat
41
TIPS...
THA ; Kondisi ≠ Kriteria
Kondisi – Kriteria = Akibat akibat = temuan
Kondisi – Kriteria = Penyebab
Akibat = Penyebab
Rekomendasi – Penyebab = 0 (menghilangkan
penyebab)
• Rekomendasi > Akibat
• Rekomendasi – Akibat > 0 (meminimalkan
akibat) menghilangkan output dan
meminimalkan outcome
42
•
•
•
•
•
Sesi IV;
PENUTUP
43
Pendekatan audit berbasis risiko bukan berarti
menggantikan pendekatan audit konvensional yang
dijalankan oleh lembaga audit intern (APIP) yang
sudah berjalan selama ini.
Pendekatan ini hanya membawa suatu metodologi
audit yang dapat dijalankan oleh auditor intern
dalam pelaksanaan penugasan auditnya melalui
pendekatan dan pemahaman atas risiko yang
harus diantisipasi, dihadapi, atau dialihkan oleh
manajemen guna mencapai tujuan.
44
sekian
erim a
Kasih
...
With You, We Build Public Trust
45
BERBASIS
RISIKO
Disampaikan oleh ;
Emharri Manda Nasution, SE, MM
Bogor, 29 April 2016
Peningkatan Kapasitas APIP Kemenristek & Dikti
dalam MelakukanAudit Berbasis Risiko
1
1
Agenda
Pembelajaran
PENUTUP
PENDAHULUAN
2
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
3
LANGKAH-LANGKAH
PROSES ABR
4
PENUTUP
2
Sesi I;
PENDAHULUAN
3
Diskusi Pendahuluan
ABR at au AI BR
t elah m enj adi t rend dalam
perkem bangan audit ,
sem ent ara ham pir sem ua
kegiat an yg dilaksanakan dalam
rangka pengawasan,
selalu uj ung2nya m em buat THA.
Bagaim ana pendapat anda ???
4
JENIS-JENIS AUDIT
Pem eriksaan
Keuangan
UU no 15
Thn 2004
JENI S
AUDI T
MENURUT
Pem eriksaan
Kinerj a
Pem eriksaan at as
Hal- hal Lain di
Bidang Keuangan
Pem eriksaan
Dengan Tuj uan
Tert ent u
Peem eriksaan
I nvest igat if
Pem eriksaan at as
SPI P
Audit
Kinerj a
PP 60 Thn
2008
Audit Dengan
Tuj uan Tert ent u
Audit
I nvest igat if
Audit at as
Penyelenggaraan SPI P
Audit at as Hal- hal Lain
di Bidang Keuangan
5
Apa pendapat pakar ..?
David M. Griffiths, PhD, FCA.
(Risk Based Internal Auditing An Introduction – 2006)
6
Pengertian Audit dan Audit Intern
(SAIPI)
Audit
• adalah proses identifikasi masalah, analisis, dan evaluasi yang
dilakukan secara independen, objektif, dan profesional berdasarkan
standar audit, untuk menilai kebenaran, kecermatan, kredibilitas,
efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan
fungsi instansi pemerintah.
Audit
intern
• adalah kegiatan yang independen dan obyektif dalam bentuk
pemberian keyakinan [assurance activities] dan konsultansi [consulting
activities], yang dirancang untuk memberi nilai tambah dan
meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara
menggunakan pendekatan yang sistematis dan teratur untuk menilai
dan meningkatkan efektivitas dari proses manajemen risiko, kontrol
[pengendalian], dan tata kelola [sektor publik].
7
Pengertian Audit
Audit adalah proses kegiat an yang bert uj uan
unt uk m e ya k ink a n t ingkat kesesuaian ant ara
suat u k ondisi yang m enyangkut kegiat an dari
suat u ent it as dgn k r it e r ia nya , dilakukan oleh
audit or yg kom pet en dan independen dgn
m e nda pa t k a n da n m e nge va lua si buk t i- buk t i
pendukungnya secara sist em at is, analit is, krit is,
dan selekt if, guna m em berikan pendapat at au
sim pula n da n r e k om e nda si kepada pihak
yang berkepent ingan.
8
Sesi II;
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
9
DEFINISI ABR (menurut IIA)
Sebuah metodologi yang menghubungkan audit internal
dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan
keyakinan memadai bahwa manajemen risiko organisasi
telah dikelola dengan memadai sehubungan dengan
risiko yang dapat diterima (risk appetite).
10
Assurance yang disediakan ABR ( sum ber : I I A- UK and I reland)
11
Risk Appetite (menurut, David M. Griffiths, PhD, FCA.)
Selera Risiko = Tingkat risiko
yang dapat diterima oleh dewan
atau manajemen. Ini mungkin
diatur dalam kaitannya dengan
organisasi secara keseluruhan,
untuk berbagai kelompok risiko
atau tingkat risiko individu.
Risiko yang berada di atas risk
appetite dianggap ancaman bagi
suatu organisasi dalam mencapai
tujuannya.
12
Sifat Kerj a Kegiatan Audit Intern
Manaj emen
Risiko
Tata
Kelola
Sektor
Publik
Pengen
-dalian
Intern
(Risk, Cont rol,
Governance)
SA-IPI 3100 - Sifat Kerja Kegiatan Audit Intern
Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan
kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko,
dan pengendalian intern dengan menggunakan pendekatan sistematis
dan disiplin.
13
Peran APIP dalam Penerapan ABR
Business Process
Pemahaman
MR
Daftar
Risiko
Pemahaman
Tata Kelola
Goal
Risk
Pemahaman
PI
Risk Management
Risk – Based Audit
Risk Profile
Audit Planning
Action Plan
Test of Control
Report on Internal Audit
Penanganan
Risiko = RTP
14
Audit Tradisional
15
Audit Internal Berbasis Risiko
16
Hubungan Perencanaan audit tahunan
dan audit Individu
17
Sesi III;
LANGKAH-LANGKAH PROSES
ABR
18
Tahapan Risk Based Audit
Management’s
Risk Register
(If Available)
Risk Naive
Risk Enable
Assess Risk Maturity
Risk Aware
Risk Managed
St a ge 1
Risk Defined
Fasilitate Risk
Identification
Management’s
Risk Register
(amanded)
Audit
Universe
Asign Risk to
Audit
Use Oganization’s
Risk
St a ge 2
Risk and Audit
Universe (RAU)
Audit Plan
Audit Committee
Report
Individual Audit
Audit Report
Feedback Result
into RAU
Sum ber : David Grifit h Risk Based I nt ernal Audit
St a ge 3
19
Flash Back
• gambaran sejauh
mana unit kerja
menentukan,
menilai, mengelola
dan memantau
risiko
• indikasi keandalan
daftar risiko
Penilaian
Tingkat
Maturitas
Risiko
• mengidentifikasi
penugasan audit
• menghasilkan
annual audit plan
Penyusunan
Perencanaan
Audit
Tahunan
(Macro Risk
Assessment)
• melaksanakan
audit berbasis
risiko individu
• memberikan
jaminan
Penugasan
Audit
Individual
(Micro Risk
Assessment)
20
Individual Audit
• Tahap pelaksanaan AIBR merupakan
tahap lanjutan dari tahap perencanaan.
• Tahap ini merupakan tahap pekerjaan
lapangan (field work) berupa audit
individual atas Unit Layak Audit (ULA).
• Performance Standard nomor 2300
Performing the Engagement:
“Internal Auditors should identify, analyze,
evaluate and record sufficient information
to achieve the engagement objectives”
21
Tahapan Individual Audit
PERENCANAAN
PELAKSANAAN
PELAPORAN
• Penetapan tujuan dan lingkup
penugasan
• Pemahaman auditi
• Identifikasi dan penilaian riitsiko
• Identifikasi pengendalian kunci
• Evaluasi pengendalian
• Penyusunan rencana pengujian
• Penyusunan program audit
• Pengalokasian sumber daya
• Pengujian dan pengumpulan
bukti
• Evaluasi bukti dan pengambilan
kesimpulan
• Pengembangan temuan dan
rekomendasi
• Penyampaian simpulan
sementara
• Penyusunan laporan
• Distributi laporan
• Monitoring tindak lanjut
22
Tahapan Individual Audit
PERENCANAAN
PELAKSANAAN
• Determine engagement
objectives and scope
• Understand the auditee,
including auditee objectives and
assertions.
• Identfy and assess risks.
• Identify key control activities.
• Evaluate adequacy of control
design.
• Create a test plan.
• Develope a work program.
• Allocate resources to the
engagement.
• Conduct tests to gather
evidence.
• Evaluate evidence
gathered and reach
conclusions.
• Develope observations
and formulate
recomendations.
PELAPORAN
• Perform observations,
evaluation and
escalation process.
• Conduct interim and
preliminary
engagement
communications.
• Develope final
engagement
communications.
• Distribute formal and
informal final
communications.
• Perform monitoring and
follow-up procedures.
23
Tahapan Individual Audit
Act ual RM
Expect ed RM
24
Tahap 1. Perencanaan penugasan
berdasarkan perencanaan audit
tahunan yang telah dihasilkan
dan hasil penilaian risk maturity
tingkat organisasi tentukan
lingkup penugasan audit
individu
alokasi sumber daya audit
yaitu biaya, waktu, SDM
dan tingkat kompetensi
auditor yang dibutuhkan
serta jadwal audit
25
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL
Risk Maturity
Non
Existent
Naive
0
1
Consulting
Aware
2
Defined
Managed
3
4
Enable
5
Assurance
AUDIT INTERNAL
26
H u bu n ga n M a t u r it y Le ve l D e n ga n Con t r ol, M on it or in g da n Pe n de k a t a n Au dit
Level
Control
Monitoring
Semua risiko telah teridentifikasi
dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Manajemen memonitor bahwa
semua respon dilakukan secara
tepat.
Semua manajer memberikan
jaminan terhadap efektivitas
manajemen risiko dan penilaian
kinerja manajemen risiko
Managed
Semua risiko telah teridentifikasi
dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Manajemen memonitor bahwa
semua respon dilakukan secara
tepat.
Hampir Semua manajer
memberikan jaminan terhadap
efektivitas manajemen risiko dan
penilaian kinerja manajemen risiko
Defined
Sebagian besar risiko telah
teridentifikasi dan dinilai.
Adanya Reviu risiko secara teratur
Respon telah sesuai untuk
mengelola risiko
Beberapa bagian Manajemen
memonitor bahwa semua respon
dilakukan secara tepat
Aware
Terdapat pengendalian tetapi tidak
terkait dengan risiko
Sedikit atau kurang adanya
monitoring
Naive
Terdapat pengendalian tetapi
bebarapa pengendalian tidak ada
atau tidak lengkap
Sangat kecil monitoring, jika adapun
sangat lemah
Enabled
Audit Approach
Assu r a n ce
Con su lt a n cy
Tidak dapat dilakukan RBIA.
Maka audit menggunakan
pendekatan konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
dikembangkan Audit dengan
Faktor Risiko
Pendekatan Rencana Audit
Maturity
4 s.d 5
PKPT
Maturity
1 s.d ≤ 3
Risk
Register
Faktor Risiko
Risk Register
Yang Disusun
I/A dgn UPR
Matriks Risiko Dan Pengendalian
Risiko
Risiko A
Risiko B
Risiko A
Pengendalian Kunci
• Pengendalian A
• Pengendalian B
Prosedur Pengujian
• Prosedur A
• Prosedur B
• Pengendalian C
• Prosedur C
• Pengendalian E
• Prosedur E
• Pengendalian D
• Prosedur D
• Pengendalian F
• Prosedur F
• Pengendalian H
• Prosedur H
• Pengendalian G
• Pengendalian I
• Prosedur G
• Prosedur I
29
Penyusunan PKA
Perumusan AO – sisa risiko yg berpotensi
terjadi vs kegagalan pengendalian kunci
Mengidentifikasi bukti –bukti yang
dibutuhkan (rekocuma) utk mendukung
masalah yg akan diungkapkan
Memilih teknik audit yang tepat
Menyusun kalimat yang akan dituangkan
dalam PKA
30
pengujian
Bukti audit yg
diperoleh
permintaan
31
Tahap 2. Penilaian tingkat kematangan risiko tiap
auditable unit
No
Uraian
1
Tujuan organisasi terdokumentasi dan dipahami dengan baik
2
Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3
Proses identifikasi risiko telah ditetapkan dan dipatuhi
4
Sistem skoring untuk penilaian risiko telah ditetapkan
5
Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6
Respon atas risiko telah ditetapkan dan diimplementasikan
7
Risk appetite telah ditetapkan dengan sistem skoring
8
Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
9
Manajemen telah menetapkan model pemantauan atas proses, respon dan action
plan risiko.
10
Risk register diupdate secara periodik
Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum
ditekan pada tingkat yang dapat diterima
11
12
13
Skor (0 - 2)
Kegiatan yang bersifat proyek/program selalu dinilai risikonya
Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya
termasuk dalam uraian tugas dan tanggung jawab pegawai.
14
Manajer memberikan jaminan efektifitas pengelolaan risiko
15
Setiap manager dinilai kinerjanya dalam mengelola risiko
Jumlah
32
Tahap 3. Simpulan hasil penilaian level tingkat
auditable unit dan Update lingkup penugasan
• berdampak terhadap lingkup dan waktu penugasan
audit individu
• Penilaian atas level risiko ≥ level risiko yang
diharapkan maka penugasan dilanjutkan sesuai
rencana audit
• Penilaian atas level risiko ≤ level risiko yang
diharapkan , maka update ruang lingkup dan
waktu penugasan/ menghentikan penugasan
CONSULTING
33
Tahap 4. Diskusi dan observasi
pengendalian
• mendapatkan gambaran sistem pengendalian internal organisasi dari
sudut pandang manajemen dan melihat penerapannya di lapangan
• memberikan simpulan bahwa rancangan pengendalian telah memadai
yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh
organisasi
• Penekanan pengujian tergantung pada tingkat maturity level risiko
auditable unit
• Contoh:
Tujuan tiap auditable
unit
Risiko
Control
Simpulan
auditor
Perencanaan P BJ
Jumlah pengadaan Pemborosan
karena
BJ
sesuai pengadaan
kebutuhan
kebutuhan
Ketepatan waktu
pengadaan Memadai
uang Rencana
jumlah disusun berdasarkan daftar
melebihi kebutuhan barang yang
diusulkan oleh user
B/J terlambat diadakan Pemantauan oleh supervisi Memadai
34
oleh
rekanan
dari internal secara periodik
deadline kontrak
Tahap 5. Verifikasi dan pengujian bukti
• memberikan kesimpulan yang menyatakan pengendalian mana yang
sudah berfungsi, mana yang kemungkinan akan berfungsi di masa
datang, dan mana yang tidak berfungsi
• menitikberatkan terhadap pengendalian-pengendalian yang mempunyai
pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang
memiliki “control score” yang tinggi
• tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan
ketepatan operasi pengendalian, bukan untuk menemukan kesalahan
• Contoh:
Risiko
Pemborosan uang
karena
jumlah
pengadaan
melebihi kebutuhan
Control
Pengujian auditor
Simpulan auditor
Rencana
pengadaan Telusuri daftar kebutuhan Memadai
disusun
berdasarkan barang dan konfirmasi kepada
daftar kebutuhan barang user
yang diusulkan oleh user
B/J
terlambat Pemantauan
oleh Cek laporan bulanan supervisi Memadai
diadakan
oleh supervisi internal secara internal dan konfirmasi pada
rekanan
dari periodik
rekanan
deadline kontrak
35
Dokumentasi hasil
audit
• pengendalian yang
diuji
• metode pengujian
• ukuran sampel yang
diambil
• hasil pengujian
• simpulan pengujian
Penilaian atas
Residual Risk
• Sisa risiko setelah
manajemen mengambil
tindakan-tindakan
untuk mengurangi
likelihood dan dampak
yang ditimbulkan dari
sebuah kejadian
• untuk memutakhiran
daftar risiko
36
respon risiko
proses MR
SIMPULAN
rancangan
pengendalian
penerapan
pengendalian
37
Observation Evaluation and Escalation Process
No
Observation (s) ?
If there are no observations made in the course
of the evaluation process, by definition impact
is insignificant and likelihood is remote
Yes
If there are one or more observations made in the
course of the evaluation process, by definition impact
and likelihood must be determined
Determine COSO Category
Affected by Each Observation
Formal communication to
senior management is
necessary to indicate that
no observations were
identified.
Complience
Operations
Classify Each Observation
Is the control designed
inadequately ?
Observation; a finding,
determination, or judgement
derived from the internal
auditor’s test results from an
assurance or consulting
engagement
Financial Reporting
Is the control operating
ineffectively ?
Determine Impact and
Likelihood of Each Observation
Insignificant
magnitude OR
remote likelihood
More than Insignificant
magnitude AND more
than remote likelihood
Assessment
Insignificant
Significant
Material
38
Observation Evaluation and Escalation Process
Insignificant
magnitude OR
remote likelihood
More than Insignificant
magnitude AND more
than remote likelihood
Assessment
Insignificant
No key control
activities
involved
Significant
Material
No key control involved but
adequate compensating
controls exist
After all observations have been clssified, the internal audit function must use judgement to determine if the
observations identified, either singularly or in the aggregate, are insignificant, significant, or material.
If observations, either singularly or in
the aggregate, are assessed
insignificant with no key control
activities compromised,
communication of any obeservations
relating to secondray control activities
will be informal and does not need to
include senior management.
However, a formal communication to
senior management is still necessary
to indicate that no observation relating
the primary control activities were
identified.
If observations, either
singularly or in the aggregate,
are assessed insignificant
with key control activities
compromised but adequate
compensating controls exist,
communication will be formal
and must be made to senior
management. However, a
formal communication to
senior management and the
organization’s independent
outside auditor.
If observations,
either singularly or
in the aggregate, are
assessed significant,
communication will
be formal and need
to include senior
management, the
organization’s
independent outside
auditor, and the
audit committee.
If observations, either singularly or
in the aggregate, are assessed
material, communication will be
formal and need to include
management, the audit committee,
organization’s independent outside
auditor, and if the observations
relate to internal control over
financial reporting the
communication must be provided to
other interested parties, as defined
by reporting laws in the countries in
which the organization operates. 39
Observation Summary
• Condition (facts) = factual evidence and description of control
as they exist (what is). What was found through testing.
• Criteria = standard, measures, expectations, policy, or
procedures used in making the evauatio (what should exist).
• Cause = what allowed or caused the condition to exist (the
why)
• Effect = risk or exposure encountered the condition is not
consistent with the criteria (what could go wrong, both oast
and possible future impact). Considers both the impact
(financial, reputational, safety, etc) and the likelihood.
• Recommendation = What the internal audit function
recommends. This recommendation must reconcile with
management’s solution as discussed during the preliminary
communication process.
40
Cat at an; obsevat ion = finding = t em uan
UNSUR-UNSUR temUaN haSil aUdit
• KONDISI Fakta
• KRITERIA Hal yg harus dipedomani
• SEBAB Pelaku yg mendorong Kondisi ≠
kriteria
• AKIBAT / DAMPAK Pengaruh thd tujuan,
organisasi, atau sth.
• REKOMENDASI Menghilangkan penyebab
dan meminimalkan akibat
41
TIPS...
THA ; Kondisi ≠ Kriteria
Kondisi – Kriteria = Akibat akibat = temuan
Kondisi – Kriteria = Penyebab
Akibat = Penyebab
Rekomendasi – Penyebab = 0 (menghilangkan
penyebab)
• Rekomendasi > Akibat
• Rekomendasi – Akibat > 0 (meminimalkan
akibat) menghilangkan output dan
meminimalkan outcome
42
•
•
•
•
•
Sesi IV;
PENUTUP
43
Pendekatan audit berbasis risiko bukan berarti
menggantikan pendekatan audit konvensional yang
dijalankan oleh lembaga audit intern (APIP) yang
sudah berjalan selama ini.
Pendekatan ini hanya membawa suatu metodologi
audit yang dapat dijalankan oleh auditor intern
dalam pelaksanaan penugasan auditnya melalui
pendekatan dan pemahaman atas risiko yang
harus diantisipasi, dihadapi, atau dialihkan oleh
manajemen guna mencapai tujuan.
44
sekian
erim a
Kasih
...
With You, We Build Public Trust
45