7
Tolerate
Artinya manajemen mentoleransi adanya risiko tersebut dalam
organisasi, dan hanya berfokus pada antisipasi bila risiko tersebut
benar‐benar terjadi.
Transfer
Risiko bisa ditransfer kepada pihak lain, sehingga pihak lain yang
akan mengelola
risiko tersebut atau pihak lain yang menanggung kerugian bila
risiko tersebut benar-benar terjadi,
Terminate
menghilangkan aktivitas yang menghasilkan risiko tersebut
Treat
Membatasi risiko yakni dengan cara mengendalikannya sehingga
kemungkinan terjadinya risiko seminimal mungkin atau sampai
dengan tingkat yang masih dapat diterima.
Mengidentifikasi risiko kegagalan, kekeliruan,
dan kecurangan, serta memberikan rekomendasi
bagi auditi untuk perbaikan operasinya.
Memberikan dasar yang kuat bagi tim audit
dalam memberikan pendapat atas laporan
keuangan dengan mempertimbangkan risiko
salah saji yang terkait dengan risiko kegagalan,
kekeliruan, dan kecurangan.
Kerangka untuk meningkatkan efisiensi
(menekan biaya audit dengan mengurangi tes
substantif), efektivitas (mengindentifikasi dan
fokus pada area‐area yang berisiko), dan kualitas
audit (menekan kesalahan audit)
• Dimulai dengan • Berdasarkan • Laporan didasarkan
kebijakan dan peraturan pada laporan
prosedur yang • Fokus pada pengecualian
disetujui kepatuhan dan • Laporan difokuskan
• Mempertimbangkan peraturan secara operasional
apa yang dinyatakan • Berperan sebagai • Identifikasi
oleh manajemen polisi persoalan minor
• Sampling, uji • Simpulan didasarkan
transaksi pada tingkat
• Secara historis kepatuhan/ kontrol
difokuskan pada
proses keuangan dan
akuntansi
• Mulai dengan • • Audit dilakukan • Risiko
tujuan yang telah Mempertimbangkan Dengan diprioritaskan
ditetapkan. risiko signifikan mempertimbangkan pada tingkat
Jika tujuan tidak ada, organisasi di masa risiko dan melihat strategik
bisa membuat tujuan depan kontrol yang dan operasional
diharapkan/mitigasi
sendiri sebagai • Monitoring sikap penting
• Pekerjaan akan
bahan Pertimbangan atas risiko • Kualitatif dan
mengikuti profil risiko
audit • Berperan sebagai • Audit adalah penilaian profesional
• Peranan audit konsultan dan katalis kualitatif dan dipakai untuk
mendukung tujuan • Audit didasarkan pada pemeringkatan dan
bukan bertentangan merekomendasikan penilaian profesional kesimpulan risiko
• Tujuannya harus pemecahan masalah • Audit mencakup • Laporan menjadi
mencakup sistem • Melakukan seluruh proses dan suatu dialog dan
proses dan unit kerja penilaian risiko dari sistem yang terdapat didiskusikan dengan
risk register dan di organisasi manajemen
skoring risiko • Audit bukan hanya • Rekomendasi
menanyakan apakah bukan
organisasi melakukan resep tetapi adalah
sesuatu dengan benar
saran
tapi juga apakah
melakukan sesuatu
dengan tepat
Mgt Risk
Register
Naive Enabled
Assess RM
Maturity
Aware Managed
Defined
Stage 1
Mgt Risk Use
Facilited Risk Register organisation’s
Identification (amanded) Risk
Stage 2
Risk and Audit
Audit Committee
Universe Audit Plan
Report
(RA U)
Individual Audit
Feedback result
Sumber : David Grifith Risk Based Internal Audit Into RAU AIBR-SUPRIYADI 03/03/2015 14
PEDOMAN BAGI AUDIT INTERNAL
PERENCANAAN ORGANISASI, MANAJEMEN RISIKO
DAN RISK BASED AUDIT
PERENCANAAN ORGANISASI
MANAJEMEN RISIKO
17
Risiko level entitas – macro assessment
• Pengembangan Audit Universe
• Penentuan Risk Factors & Bobotnya
• Penentuan Scala Risk Factors
• Assessment atas Audit Unit
• Penyusunan Risk-Based Annual Audit Plan
Penentuan Prioritas
Jadwal Audit
Anggaran Audit
Monitoring
20
Evaluasi
Start Pemaham
Rancangan
an Proses I/C
Evaluasi
Pemaham
PKPT an Risiko
Pelaksanaan
I/C
ST Penentua Penilaian
Individu n Prioritas Risiko
al Audit Residual
Risiko
Identifikasi Repor
UTB Risiko
Utama t
3/3/2015 21
SIKLUS RISK BASED AUDIT
PERENCANAAN
1
AUDIT TAHUNAN
PELAPORAN HASIL
7
AUDIT TAHUNAN
PERENCANAAN
2
AUDIT INDIVIDUAL
PEMANTAUAN TINDAK
6
LANJUT HASIL AUDIT
SURVEI
3
PENDAHULUAN
PELAPORAN
5
HASIL AUDIT
PELAKSANAAN AUDIT
4
(FIELD WORK)
Risk naïve - berarti organisasi belum membangun
manajemen risiko sama sekali atau sudah ada
manajemen risiko namun masih sangat lemah.
Risk aware - berarti organisasi relatif sudah
membangun manajemen risiko namun belum
diterapkan atau penerapannya belum memadai
Risk defined - berarti organisasi relatif sudah
membangun manajemen risiko namun penerapannya
masih banyak kelemahan.
Risk managed - berarti organisasi sudah membangun
manajemen risiko dan telah diterapkan dengan baik
meskipun masih terdapat beberapa kelemahan dalam
pelaksanaannya.
Risk enabled - berarti organisasi sudah membangun
manajemen risiko dan telah diterapkan dengan baik.
Auditor internal harus bertemu dengan pimpinan
organisasi, untuk mengetahui proses‐proses apa
saja yang telah dilakukan dalam rangka
membangun manajemen risiko organisasi
evaluasi mengenai bagaimana pemahaman
organisasi mengenai risiko dan cara
mengelolanya.
mengumpulkan berbagai informasi yang terkait
dengan risiko, seperti tujuan organisasi, proses
dalam mengukur risiko, risk appetite yang dianut
organisasi, bagaimana manajemen
mempertimbangkan risiko, dan lainnya
TINGKAT KEMATANGAN PENERAPAN MR
VERSUS PERAN AUDIT INTERNAL
Risk Maturity
Consulting Assurance
AUDIT INTERNAL
30
QUESTIONS ..????
31