Peningkatan Kapasitas APIP Kemenristek & Dikti
dalam MelakukanAudit Berbasis Risiko
AUDIT
BERBASIS
RISIKO
Disampaikan oleh ;
Emharri Manda Nasution, SE, MM
Agenda
Pembe-lajaran
LANGKAH-LANGKAH
PROSES ABR
1
2
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
3
PENUTUP
PENUTUP
PENDAHULUAN
4
1
Diskusi Pendahuluan
ABR at au AI BR
t elah m enj adi t r end dalam
per kem bangan audit ,
sem ent ara ham pir sem ua
kegiat an yg dilak sanak an dalam
rangk a pengawasan,
selalu uj ung2nya m em buat THA.
Bagaim ana pendapat anda ???
JENIS-JENIS AUDIT
Penyelenggaraan SPI P
Pem er ik saan
Keuangan
Pem er ik saan
Dengan Tuj uan
Ter t ent u
Pem er ik saan at as
Hal- hal Lain di
Bidang Keuangan
Peem er ik saan
I nvest igat if
Pem er ik saan at as
SPI P
Apa pendapat pakar ..?
David M. Griffiths, PhD, FCA.
(Risk Based Internal Auditing An Introduction – 2006)
Pengertian Audit dan Audit Intern
(SAIPI)
• adalah proses identifikasi masalah, analisis, dan evaluasi yang
dilakukan secara independen, objektif, dan profesional berdasarkan
standar audit, untuk menilai kebenaran, kecermatan, kredibilitas,
efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan
fungsi instansi pemerintah.
Audit
• adalah kegiatan yang independen dan obyektif dalam bentuk
pemberian keyakinan [assurance activities] dan konsultansi [consulting
activities], yang dirancang untuk memberi nilai tambah dan
meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara
menggunakan pendekatan yang sistematis dan teratur untuk menilai
dan meningkatkan efektivitas dari proses manajemen risiko, kontrol
[pengendalian], dan tata kelola [sektor publik].
Pengertian Audit
Audit adalah proses kegiat an yang bert uj uan
unt uk
m e y a k in k a n
t ingkat kesesuaian ant ara
suat u
k on disi
yang m enyangkut kegiat an dari
suat u ent it as
dgn k r it e r ia n y a
, dilakukan oleh
audit or yg kom pet en dan independen dgn
m e n da pa t k a n da n m e n ge v a lu a si bu k t i- bu k t i
pendukungnya secara sist em at is, analit is, krit is,
dan selekt if, guna m em berikan pendapat at au
sim pu la n da n r e k om e n da si
kepada pihak
yang berkepent ingan.
KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
DEFINISI ABR (menurut IIA)
Sebuah metodologi yang menghubungkan audit internal
dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan
keyakinan memadai bahwa manajemen risiko organisasi
telah dikelola dengan memadai sehubungan dengan
risiko yang dapat diterima (risk appetite).
Risk Appetite
(menurut, David M. Griffiths, PhD, FCA.)
Selera Risiko = Tingkat risiko
yang dapat diterima oleh dewan
atau manajemen. Ini mungkin
diatur dalam kaitannya dengan
organisasi secara keseluruhan,
untuk berbagai kelompok risiko
atau tingkat risiko individu.
Risiko yang berada di atas risk
appetite dianggap ancaman bagi
suatu organisasi dalam mencapai
tujuannya.
Sifat Kerj a Kegiatan Audit Intern
(Risk, Cont rol ,
Governance)
Pengen
-dalian
Int ern
Mana-j emen
Risiko
Tat a
Kelola
Sekt or
Publik
SA-IPI
3100 - Sifat Kerja Kegiatan Audit Intern
Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan
Peran APIP dalam Penerapan ABR
Business Process
Goal
Risk
Risk Management
Risk Profile
Action Plan
Risk – Based Audit
Audit Planning
Test of Control
Report on Internal Audit
Daftar
Tata Kelola
Audit Internal Berbasis Risiko
LANGKAH-LANGKAH PROSES
ABR
Sesi III;
Tahapan Risk Based Audit
Management’s Risk Register
(If Available)
Management’s Risk Register
(amanded)
Audit Plan
Audit Report
Feedback Result into RAU Asign Risk to
Audit
Individual Audit Assess Risk Maturity
Risk Defined
Audit Committee Report Risk and Audit
Universe (RAU) Audit Universe Risk Naive
Risk Aware
Fasilitate Risk Identification
Risk Enable
Risk Managed
Use Oganization’s Risk
St a ge 1
St a ge 2
St a ge 3
Flash Back
(Macro Risk
Assessment)
Penugasan
Audit
Individual
(Micro Risk
Assessment)
• gambaran sejauh
mana unit kerja
menentukan,
menilai, mengelola
dan memantau
risiko
• indikasi keandalan
daftar risiko
• mengidentifikasi
penugasan audit
• menghasilkan
annual audit plan
• melaksanakan
audit berbasis
risiko individu
• memberikan
jaminan
Individual Audit
• Tahap pelaksanaan AIBR merupakan
tahap lanjutan dari tahap perencanaan.
• Tahap ini merupakan tahap pekerjaan
lapangan (field work) berupa audit
individual atas Unit Layak Audit (ULA).
• Performance Standard nomor 2300
PERENCANAAN
• Penetapan tujuan dan lingkup penugasan
• Pemahaman auditi
• Identifikasi dan penilaian riitsiko • Identifikasi pengendalian kunci • Evaluasi pengendalian
• Penyusunan rencana pengujian • Penyusunan program audit • Pengalokasian sumber daya
PELAKSANAAN
• Pengujian dan pengumpulan bukti
• Evaluasi bukti dan pengambilan kesimpulan
• Pengembangan temuan dan rekomendasi
PELAPORAN
• Penyampaian simpulan sementara
• Penyusunan laporan • Distributi laporan • Monitoring tindak lanjut
Tahapan Individual Audit
PERENCANAAN
• Determine engagement objectives and scope • Understand the auditee,
including auditee objectives and assertions.
• Identfy and assess risks. • Identify key control activities. • Evaluate adequacy of control
design.
• Create a test plan.
• Develope a work program. • Allocate resources to the
engagement.
PELAKSANAAN
• Conduct tests to gather
evidence.
• Evaluate evidence
gathered and reach
conclusions.
• Develope observations
and formulate
recomendations.
PELAPORAN
• Perform observations,
evaluation and
escalation process.
• Conduct interim and
preliminary
engagement
communications.
• Develope final
engagement
communications.
• Distribute formal and
informal final
communications.
• Perform monitoring and
follow-up procedures.
Tahapan Individual Audit
Act ual RM
Expect ed RM
Tahap 1. Perencanaan penugasan
berdasarkan perencanaan audit
tahunan yang telah dihasilkan
dan hasil penilaian risk maturity
tingkat organisasi
tentukan
lingkup penugasan audit
individu
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL
AUDIT INTERNAL
Risk Maturity
0
1
2
3
4
5
Non
Existent
Naive
Aware
Defined
Managed
Enable
Consulting
Assurance
Level
Control
Monitoring
Audit Approach
Semua risiko telah teridentifikasi dan dinilai.
Adanya Reviu risiko secara teratur Respon telah sesuai untuk
mengelola risiko
Semua risiko telah teridentifikasi dan dinilai.
Adanya Reviu risiko secara teratur Respon telah sesuai untuk
mengelola risiko
Sebagian besar risiko telah teridentifikasi dan dinilai.
Adanya Reviu risiko secara teratur Respon telah sesuai untuk
mengelola risiko
Terdapat pengendalian tetapi tidak terkait dengan risiko
Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap
Manajemen memonitor bahwa semua respon dilakukan secara tepat.
Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko
Manajemen memonitor bahwa semua respon dilakukan secara tepat.
Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko
Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat
Sedikit atau kurang adanya monitoring
Sangat kecil monitoring, jika adapun sangat lemah
Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko
Assu r a n ce
Con su lt a n cy
Pendekatan Rencana Audit
PKPT
Maturity
4 s.d 5
Risk
Register
Maturity
1 s.d
≤
3
Faktor Risiko
Risk Register
Yang Disusun
Matriks Risiko Dan Pengendalian
Risiko
Pengendalian Kunci
Prosedur Pengujian
Risiko A
•
Pengendalian A
•
Pengendalian B
•
Pengendalian C
•
Prosedur A
•
Prosedur B
•
Prosedur C
Risiko B
•
Pengendalian D
•
Pengendalian E
•
Pengendalian F
•
Prosedur D
•
Prosedur E
•
Prosedur F
Risiko A
•
Pengendalian G
•
Pengendalian H
•
Pengendalian I
•
Prosedur G
•
Prosedur H
Penyusunan PKA
Perumusan AO – sisa risiko yg berpotensi
terjadi vs kegagalan pengendalian kunci
Mengidentifikasi bukti –bukti yang
dibutuhkan (rekocuma) utk mendukung
masalah yg akan diungkapkan
Memilih teknik audit yang tepat
Menyusun kalimat yang akan dituangkan
dalam PKA
Bukti audit yg
diperoleh
pengujian
Tahap 2. Penilaian tingkat kematangan risiko tiap
auditable unit
No
Uraian
Skor (0 - 2)
1
Tujuan organisasi terdokumentasi dan dipahami dengan baik
2
Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3
Proses identifikasi risiko telah ditetapkan dan dipatuhi
4
Sistem skoring untuk penilaian risiko telah ditetapkan
5
Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6
Respon atas risiko telah ditetapkan dan diimplementasikan
7
Risk appetite telah ditetapkan dengan sistem skoring
8
Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
9
Manajemen telah menetapkan model pemantauan atas proses, respon dan action
plan risiko.
10
Risk register diupdate secara periodik
11
Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum
ditekan pada tingkat yang dapat diterima
12
Kegiatan yang bersifat proyek/program selalu dinilai risikonya
13
Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya
termasuk dalam uraian tugas dan tanggung jawab pegawai.
14
Manajer memberikan jaminan efektifitas pengelolaan risiko
15
Setiap manager dinilai kinerjanya dalam mengelola risiko
Jumlah
Tahap 3. Simpulan hasil penilaian level tingkat
auditable unit dan Update lingkup penugasan
• berdampak terhadap lingkup dan waktu penugasan
audit individu
• Penilaian atas level risiko
≥
level risiko yang
diharapkan maka
penugasan dilanjutkan sesuai
rencana audit
• Penilaian atas level risiko
≤
level risiko yang
diharapkan , maka
update ruang lingkup dan
Tahap 4. Diskusi dan observasi
pengendalian
•
mendapatkan gambaran sistem pengendalian internal organisasi dari
sudut pandang manajemen dan melihat penerapannya di lapangan
•
memberikan simpulan bahwa rancangan pengendalian telah memadai
yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh
organisasi
•
Penekanan pengujian tergantung pada tingkat maturity level risiko
auditable unit
•
Contoh:
Tujuan tiap auditable
unit
Risiko
Control
Simpulan
auditor
Perencanaan P BJ
Jumlah pengadaan
BJ
sesuai
kebutuhan
Pemborosan
uang
karena
jumlah
pengadaan
melebihi
kebutuhan
Rencana
pengadaan
disusun berdasarkan daftar
kebutuhan
barang
yang
diusulkan oleh user
Memadai
Ketepatan waktu
B/J terlambat diadakan
oleh
rekanan
dari
deadline kontrak
Pemantauan oleh supervisi
Tahap 5. Verifikasi dan pengujian bukti
•
memberikan kesimpulan yang menyatakan pengendalian mana yang
sudah berfungsi, mana yang kemungkinan akan berfungsi di masa
datang, dan mana yang tidak berfungsi
•
menitikberatkan terhadap pengendalian-pengendalian yang mempunyai
pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang
memiliki “control score” yang tinggi
•
tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan
ketepatan operasi pengendalian, bukan untuk menemukan kesalahan
•
Contoh:
Risiko
Control
Pengujian auditor
Simpulan auditor
Pemborosan uang
karena
jumlah
pengadaan
melebihi kebutuhan
Rencana
pengadaan
disusun
berdasarkan
daftar kebutuhan barang
yang diusulkan oleh user
Telusuri
daftar
kebutuhan
barang dan konfirmasi kepada
user
Memadai
B/J
terlambat
diadakan
oleh
rekanan
dari
deadline kontrak
Pemantauan
oleh
supervisi internal secara
periodik
Cek laporan bulanan supervisi
internal dan konfirmasi pada
rekanan
Memadai
Dokumentasi hasil
audit
• pengendalian yang
diuji
• metode pengujian
• ukuran sampel yang
diambil
• hasil pengujian
• simpulan pengujian
Penilaian atas
Residual Risk
• Sisa risiko setelah
manajemen mengambil
tindakan-tindakan
untuk mengurangi
likelihood dan dampak
yang ditimbulkan dari
sebuah kejadian
• untuk memutakhiran
daftar risiko
respon risiko
proses MR
rancangan
pengendalian
penerapan
pengendalian
Observation Evaluation and Escalation Process
Observation (s) ?
If there are no observations made in the course of the evaluation process, by definition impact
is insignificant and likelihood is remote
If there are one or more observations made in the course of the evaluation process, by definition impact
and likelihood must be determined
No Yes
Formal communication to senior management is necessary to indicate that
no observations were identified.
Operations Complience Financial Reporting
Determine COSO Category Affected by Each Observation
Is the control designed inadequately ?
Is the control operating ineffectively ? Classify Each Observation
More than Insignificant magnitude AND more than remote likelihood Insignificant
magnitude OR remote likelihood
Determine Impact and Likelihood of Each Observation
Insignificant Significant Material
Assessment
Observation; a finding,
determination, or judgement
derived from the internal
auditor’s test results from an
assurance or consulting
engagement
Observation Evaluation and Escalation Process
More than Insignificant magnitude AND more than remote likelihood Insignificant
magnitude OR remote likelihood
Insignificant
Material Significant
Assessment
No key control activities involved
No key control involved but adequate compensating
controls exist
If observations, either singularly or in the aggregate, are assessed
insignificant with no key control activities compromised,
communication of any obeservations relating to secondray control activities will be informal and does not need to include senior management.
However, a formal communication to senior management is still necessary to indicate that no observation relating the primary control activities were identified.
If observations, either
singularly or in the aggregate, are assessed insignificant with key control activities compromised but adequate compensating controls exist, communication will be formal and must be made to senior management. However, a formal communication to senior management and the organization’s independent outside auditor.
If observations, either singularly or in the aggregate, are assessed significant, communication will be formal and need to include senior management, the organization’s independent outside auditor, and the audit committee.
If observations, either singularly or in the aggregate, are assessed material, communication will be formal and need to include
management, the audit committee, organization’s independent outside auditor, and if the observations relate to internal control over financial reporting the
communication must be provided to other interested parties, as defined by reporting laws in the countries in
Observation Summary
• Condition (facts)
= factual evidence and description of control
as they exist (what is). What was found through testing.
• Criteria
= standard, measures, expectations, policy, or
procedures used in making the evauatio (what should exist).
• Cause
= what allowed or caused the condition to exist (the
why)
• Effect
= risk or exposure encountered the condition is not
consistent with the criteria (what could go wrong, both oast
and possible future impact). Considers both the impact
(financial, reputational, safety, etc) and the likelihood.
• Recommendation
= What the internal audit function
recommends. This recommendation must reconcile with
management’s solution as discussed during the preliminary
communication process.
Cat at an; obsevat ion = finding = t em uan