AUDIT

BERBASIS
RISIKO
Disampaikan oleh ;
Emharri Manda Nasution, SE, MM
Bogor, 29 April 2016

Peningkatan Kapasitas APIP Kemenristek & Dikti

dalam MelakukanAudit Berbasis Risiko

1
 PENUTUP
1 PENDAHULUAN

Agenda
2 KERANGKA KONSEPTUAL
Pembe- AUDIT BERBASIS RISIKO
lajaran
LANGKAH-LANGKAH
3
PROSES ABR

4 PENUTUP

2
Sesi I;

PENDAHULUAN

3
 Diskusi Pendahuluan

ABR atau AIBR

telah menjadi trend dalam
perkembangan audit,
sementara hampir semua
kegiatan yg dilaksanakan dalam
rangka pengawasan,
selalu ujung2nya membuat THA.
Bagaimana pendapat anda ???

4
 JENIS-JENIS AUDIT
Pemeriksaan
Keuangan
Pemeriksaan atas
UU no 15 Pemeriksaan
Hal-hal Lain di
Thn 2004 Kinerja
Bidang Keuangan
Pemeriksaan
Peemeriksaan
Dengan Tujuan
Investigatif
JENIS Tertentu
AUDIT Pemeriksaan atas
MENURUT SPIP
Audit
Kinerja Audit
PP 60 Thn Investigatif
2008
Audit Dengan Audit atas
Tujuan Tertentu Penyelenggaraan SPIP

Audit atas Hal-hal Lain

di Bidang Keuangan
5
Apa pendapat pakar ..?
David M. Griffiths, PhD, FCA.
(Risk Based Internal Auditing An Introduction 2006)

6
 Pengertian Audit dan Audit Intern
(SAIPI)

adalah proses identifikasi masalah, analisis, dan evaluasi yang

dilakukan secara independen, objektif, dan profesional berdasarkan
Audit standar audit, untuk menilai kebenaran, kecermatan, kredibilitas,
efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan
fungsi instansi pemerintah.

adalah kegiatan yang independen dan obyektif dalam bentuk

pemberian keyakinan [assurance activities] dan konsultansi [consulting
Audit activities], yang dirancang untuk memberi nilai tambah dan
meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini
membantu organisasi [auditi] mencapai tujuannya dengan cara
intern menggunakan pendekatan yang sistematis dan teratur untuk menilai
dan meningkatkan efektivitas dari proses manajemen risiko, kontrol
[pengendalian], dan tata kelola [sektor publik].

7
Pengertian Audit
Audit adalah proses kegiatan yang bertujuan
untuk meyakinkan tingkat kesesuaian antara
suatu kondisi yang menyangkut kegiatan dari
suatu entitas dgn kriterianya, dilakukan oleh
auditor yg kompeten dan independen dgn
mendapatkan dan mengevaluasi bukti-bukti
pendukungnya secara sistematis, analitis, kritis,
dan selektif, guna memberikan pendapat atau
simpulan dan rekomendasi kepada pihak
yang berkepentingan.

8
Sesi II;

KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
9
DEFINISI ABR (menurut IIA)

Sebuah metodologi yang menghubungkan audit internal

dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan
keyakinan memadai bahwa manajemen risiko organisasi
telah dikelola dengan memadai sehubungan dengan
risiko yang dapat diterima (risk appetite).

10
Assurance yang disediakan ABR (sumber : IIA-UK and Ireland)

11
Risk Appetite (menurut, David M. Griffiths, PhD, FCA.)

Selera Risiko = Tingkat risiko

yang dapat diterima oleh dewan
Risiko yang berada di atas risk
atau manajemen. Ini mungkin
appetite dianggap ancaman bagi
diatur dalam kaitannya dengan
suatu organisasi dalam mencapai
organisasi secara keseluruhan,
tujuannya.
untuk berbagai kelompok risiko
atau tingkat risiko individu.

12
 Sifat Kerja Kegiatan Audit Intern

Tata
Kelola
Mana- Sektor
jemen Publik
Risiko
Pengen
-dalian
Intern

(Risk, Control,
Governance)

SA-IPI 3100 - Sifat Kerja Kegiatan Audit Intern

Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan
kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko,
dan pengendalian intern dengan menggunakan pendekatan sistematis
dan disiplin.
13
 Peran APIP dalam Penerapan ABR
Business Process Pemahaman
Pemahaman Tata Kelola
MR
Goal
Daftar Pemahaman
Risiko Risk PI

Risk Management Risk Based Audit

Risk Profile Audit Planning

Action Plan Test of Control

Report on Internal Audit

Penanganan 14
Risiko = RTP
Audit Tradisional

15
Audit Internal Berbasis Risiko

16
Hubungan Perencanaan audit tahunan
dan audit Individu

17
Sesi III;

LANGKAH-LANGKAH PROSES
ABR
18
 Tahapan Risk Based Audit
Managements
Risk Register
(If Available)

Risk Naive Risk Enable

Assess Risk Maturity
Risk Aware Risk Managed Stage 1
Risk Defined

Managements
Fasilitate Risk Risk Register Use Oganizations
Identification (amanded) Risk

Audit Asign Risk to

Universe Audit

Stage 2
Risk and Audit Audit Committee
Universe (RAU) Audit Plan Report

Individual Audit

Audit Report
Stage 3

Feedback Result
into RAU 19
Sumber : David Grifith Risk Based Internal Audit
 Flash Back melaksanakan
audit berbasis
risiko individu
memberikan
mengidentifikasi jaminan
penugasan audit
gambaran sejauh
mana unit kerja menghasilkan
menentukan, annual audit plan Penugasan
menilai, mengelola Audit
dan memantau Individual
risiko Penyusunan (Micro Risk
indikasi keandalan Perencanaan Assessment)
daftar risiko Audit
Tahunan
(Macro Risk
Penilaian
Assessment)
Tingkat
Maturitas
Risiko

20
Individual Audit
Tahap pelaksanaan AIBR merupakan
tahap lanjutan dari tahap perencanaan.
Tahap ini merupakan tahap pekerjaan
lapangan (field work) berupa audit
individual atas Unit Layak Audit (ULA).
Performance Standard nomor 2300
Performing the Engagement:
Internal Auditors should identify, analyze,
evaluate and record sufficient information
to achieve the engagement objectives

21
Tahapan Individual Audit

PERENCANAAN PELAKSANAAN PELAPORAN

Penetapan tujuan dan lingkup Pengujian dan pengumpulan Penyampaian simpulan
penugasan bukti sementara
Pemahaman auditi Evaluasi bukti dan pengambilan Penyusunan laporan
Identifikasi dan penilaian riitsiko kesimpulan Distributi laporan
Identifikasi pengendalian kunci Pengembangan temuan dan Monitoring tindak lanjut
Evaluasi pengendalian rekomendasi
Penyusunan rencana pengujian
Penyusunan program audit
Pengalokasian sumber daya

22
Tahapan Individual Audit

PERENCANAAN PELAKSANAAN PELAPORAN

Determine engagement Conduct tests to gather Perform observations,
objectives and scope evaluation and
Understand the auditee,
evidence.
including auditee objectives and Evaluate evidence escalation process.
assertions. gathered and reach Conduct interim and
Identfy and assess risks. preliminary
conclusions.
Identify key control activities. engagement
Evaluate adequacy of control Develope observations
design. and formulate communications.
Create a test plan. recomendations. Develope final
Develope a work program. engagement
Allocate resources to the communications.
engagement.
Distribute formal and
informal final
communications.
Perform monitoring and
follow-up procedures.

23
 Tahapan Individual Audit

Actual RM
Expected RM

24
 Tahap 1. Perencanaan penugasan

berdasarkan perencanaan audit

tahunan yang telah dihasilkan
dan hasil penilaian risk maturity
tingkat organisasi tentukan
lingkup penugasan audit
individu

alokasi sumber daya audit

yaitu biaya, waktu, SDM
dan tingkat kompetensi
auditor yang dibutuhkan
serta jadwal audit
25
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL

Risk Maturity

Non Naive Aware Defined Managed Enable

Existent
0 1 2 3 4 5

Consulting Assurance

AUDIT INTERNAL
26
Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control Monitoring Audit Approach
Manajemen memonitor bahwa
Semua risiko telah teridentifikasi semua respon dilakukan secara
dan dinilai. tepat.
En-
Adanya Reviu risiko secara teratur Semua manajer memberikan
abled Respon telah sesuai untuk jaminan terhadap efektivitas
mengelola risiko manajemen risiko dan penilaian Assurance
kinerja manajemen risiko

Manajemen memonitor bahwa

Semua risiko telah teridentifikasi
dan dinilai.
Mana-
Adanya Reviu risiko secara teratur
ged
Respon telah sesuai untuk
mengelola risiko
Sebagian besar risiko telah
teridentifikasi dan dinilai.
De-
Adanya Reviu risiko secara teratur
fined Respon telah sesuai untuk
mengelola risiko
semua respon dilakukan secara
tepat.
Hampir Semua manajer
memberikan jaminan terhadap
efektivitas manajemen risiko dan
penilaian kinerja manajemen risiko
Beberapa bagian Manajemen
memonitor bahwa semua respon Consultancy
dilakukan secara tepat

Terdapat pengendalian tetapi tidak
Aware terkait dengan risiko
Terdapat pengendalian tetapi
Naive bebarapa pengendalian tidak ada
atau tidak lengkap
Sedikit atau kurang adanya Tidak dapat dilakukan RBIA.
monitoring Maka audit menggunakan
pendekatan konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
Sangat kecil monitoring, jika adapun dikembangkan Audit dengan
sangat lemah Faktor Risiko
Pendekatan Rencana Audit

Maturity Risk
4 s.d 5 Register
PKPT
Faktor Risiko
Maturity
1 s.d 3 Risk Register
Yang Disusun
I/A dgn UPR
 Matriks Risiko Dan Pengendalian

Risiko Pengendalian Kunci Prosedur Pengujian

Risiko A Pengendalian A Prosedur A
Pengendalian B Prosedur B
Pengendalian C Prosedur C
Risiko B Pengendalian D Prosedur D
Pengendalian E Prosedur E
Pengendalian F Prosedur F
Risiko A Pengendalian G Prosedur G
Pengendalian H Prosedur H
Pengendalian I Prosedur I 29
 Penyusunan PKA
Perumusan AO sisa risiko yg berpotensi
terjadi vs kegagalan pengendalian kunci

Mengidentifikasi bukti bukti yang

dibutuhkan (rekocuma) utk mendukung
masalah yg akan diungkapkan

Memilih teknik audit yang tepat

Menyusun kalimat yang akan dituangkan

dalam PKA

30
 pengujian

Bukti audit yg
diperoleh
permintaan

31
Tahap 2. Penilaian tingkat kematangan risiko tiap
auditable unit
No Uraian Skor (0 - 2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3 Proses identifikasi risiko telah ditetapkan dan dipatuhi
4 Sistem skoring untuk penilaian risiko telah ditetapkan
5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6 Respon atas risiko telah ditetapkan dan diimplementasikan
7 Risk appetite telah ditetapkan dengan sistem skoring
8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action
plan risiko.
10 Risk register diupdate secara periodik
11 Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum
ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya
termasuk dalam uraian tugas dan tanggung jawab pegawai.
14 Manajer memberikan jaminan efektifitas pengelolaan risiko
15 Setiap manager dinilai kinerjanya dalam mengelola risiko 32
Jumlah
Tahap 3. Simpulan hasil penilaian level tingkat
auditable unit dan Update lingkup penugasan

berdampak terhadap lingkup dan waktu penugasan

audit individu
Penilaian atas level risiko level risiko yang
diharapkan maka penugasan dilanjutkan sesuai
rencana audit
Penilaian atas level risiko level risiko yang
diharapkan , maka update ruang lingkup dan
waktu penugasan/ menghentikan penugasan
CONSULTING
33
Tahap 4. Diskusi dan observasi
pengendalian
mendapatkan gambaran sistem pengendalian internal organisasi dari
sudut pandang manajemen dan melihat penerapannya di lapangan
memberikan simpulan bahwa rancangan pengendalian telah memadai
yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh
organisasi
Penekanan pengujian tergantung pada tingkat maturity level risiko
auditable unit
Contoh:

Tujuan tiap auditable Simpulan

Risiko Control
unit auditor
Perencanaan P BJ
Jumlah pengadaan Pemborosan uang Rencana pengadaan Memadai
karena jumlah disusun berdasarkan daftar
BJ sesuai pengadaan melebihi kebutuhan barang yang
kebutuhan kebutuhan diusulkan oleh user

Ketepatan waktu B/J terlambat diadakan Pemantauan oleh supervisi Memadai

oleh rekanan dari internal secara periodik 34
deadline kontrak
Tahap 5. Verifikasi dan pengujian bukti
memberikan kesimpulan yang menyatakan pengendalian mana yang
sudah berfungsi, mana yang kemungkinan akan berfungsi di masa
datang, dan mana yang tidak berfungsi
menitikberatkan terhadap pengendalian-pengendalian yang mempunyai
pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang
memiliki control score yang tinggi
tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan
ketepatan operasi pengendalian, bukan untuk menemukan kesalahan
Contoh:

Risiko Control Pengujian auditor Simpulan auditor

Pemborosan uang Rencana pengadaan Telusuri daftar kebutuhan Memadai
karena jumlah disusun berdasarkan barang dan konfirmasi kepada
pengadaan daftar kebutuhan barang user
melebihi kebutuhan yang diusulkan oleh user
B/J terlambat Pemantauan oleh Cek laporan bulanan supervisi Memadai
diadakan oleh supervisi internal secara internal dan konfirmasi pada
rekanan dari periodik rekanan
35
deadline kontrak
 Dokumentasi hasil Penilaian atas
audit Residual Risk
pengendalian yang Sisa risiko setelah
diuji manajemen mengambil
metode pengujian tindakan-tindakan
ukuran sampel yang untuk mengurangi
diambil likelihood dan dampak
yang ditimbulkan dari
hasil pengujian
sebuah kejadian
simpulan pengujian
untuk memutakhiran
daftar risiko

36
respon risiko proses MR

SIMPULAN

rancangan penerapan
pengendalian pengendalian

37
 Observation Evaluation and Escalation Process

No
Observation (s) ? Yes

If there are no observations made in the course If there are one or more observations made in the
of the evaluation process, by definition impact course of the evaluation process, by definition impact
is insignificant and likelihood is remote and likelihood must be determined

Determine COSO Category

Affected by Each Observation

Formal communication to
senior management is Operations Complience Financial Reporting
necessary to indicate that
no observations were
Classify Each Observation
identified.
Is the control designed Is the control operating
inadequately ? ineffectively ?
Determine Impact and
Likelihood of Each Observation
Observation; a finding,
determination, or judgement Insignificant More than Insignificant
magnitude OR magnitude AND more
derived from the internal remote likelihood than remote likelihood
auditors test results from an
Assessment
assurance or consulting
engagement Insignificant Significant Material
38
 Observation Evaluation and Escalation Process
Insignificant More than Insignificant
magnitude OR magnitude AND more
remote likelihood than remote likelihood

Assessment
Insignificant
Significant Material

No key control No key control involved but

activities adequate compensating
involved controls exist

After all observations have been clssified, the internal audit function must use judgement to determine if the
observations identified, either singularly or in the aggregate, are insignificant, significant, or material.

If observations, either singularly or in If observations, either If observations, If observations, either singularly or

the aggregate, are assessed
insignificant with no key control
activities compromised,
communication of any obeservations
relating to secondray control activities
will be informal and does not need to
include senior management.
However, a formal communication to
senior management is still necessary
to indicate that no observation relating
the primary control activities were
identified.
singularly or in the aggregate,
are assessed insignificant
with key control activities
compromised but adequate
compensating controls exist,
communication will be formal
and must be made to senior
management. However, a
formal communication to
senior management and the
organizations independent
outside auditor.
either singularly or in the aggregate, are assessed
in the aggregate, are material, communication will be
assessed significant, formal and need to include
communication will management, the audit committee,
be formal and need organizations independent outside
to include senior auditor, and if the observations
management, the relate to internal control over
organizations financial reporting the
independent outside communication must be provided to
auditor, and the other interested parties, as defined
audit committee. by reporting laws in the countries in
which the organization operates. 39
 Observation Summary
Condition (facts) = factual evidence and description of control
as they exist (what is). What was found through testing.
Criteria = standard, measures, expectations, policy, or
procedures used in making the evauatio (what should exist).
Cause = what allowed or caused the condition to exist (the
why)
Effect = risk or exposure encountered the condition is not
consistent with the criteria (what could go wrong, both oast
and possible future impact). Considers both the impact
(financial, reputational, safety, etc) and the likelihood.
Recommendation = What the internal audit function
recommends. This recommendation must reconcile with
managements solution as discussed during the preliminary
communication process.
40
Catatan; obsevation = finding = temuan
UNSUR-UNSUR temuan hasil audit

KONDISI Fakta
KRITERIA Hal yg harus dipedomani
SEBAB Pelaku yg mendorong Kondisi
kriteria
AKIBAT / DAMPAK Pengaruh thd tujuan,
organisasi, atau sth.
REKOMENDASI Menghilangkan penyebab
dan meminimalkan akibat
41
TIPS...
THA ; Kondisi Kriteria
Kondisi Kriteria = Akibat akibat = temuan
Kondisi Kriteria = Penyebab
Akibat = Penyebab
Rekomendasi Penyebab = 0 (menghilangkan
penyebab)
Rekomendasi > Akibat
Rekomendasi Akibat > 0 (meminimalkan
akibat) menghilangkan output dan
meminimalkan outcome 42
Sesi IV;

PENUTUP

43
Pendekatan audit berbasis risiko bukan berarti
menggantikan pendekatan audit konvensional yang
dijalankan oleh lembaga audit intern (APIP) yang
sudah berjalan selama ini.

Pendekatan ini hanya membawa suatu metodologi

audit yang dapat dijalankan oleh auditor intern
dalam pelaksanaan penugasan auditnya melalui
pendekatan dan pemahaman atas risiko yang
harus diantisipasi, dihadapi, atau dialihkan oleh
manajemen guna mencapai tujuan.

44
 sekian
erima
Kasih
...

With You, We Build Public Trust

45