AUDIT INTERNAL BERBASIS

MANAJEMEN RISIKO
DEFINISI INTERNAL AUDIT
❑ Kegiatan assurance dan konsultasi yang independen
dan obyektif yang dirancang untuk memberi nilai
tambah dan peningkatan operasi suatu organisasi.
❑ Fungsi Internal Audit membantu organisasi mencapai
tujuannya melalui pendekatan sistematis dan
terstruktur untuk mengevaluasi dan meningkatkan
efektifitas manajemen risiko, pengendalian (control)
dan proses tata kelola perusahaan (corporate
governance).
The Core Function of Internal Audit
Pergeseran Fungsi Internal Audit

Watchdog Assurance &

(Penilaian Consultancy
Independen) (Risk Management)
Assurance dan Consultancy
❑ ASSURANCE
Pemeriksaan secara objektif suatu bukti untuk tujuan
memberikan penilaian independen atas governance,
manajemen risiko, dan proses pengendalian bagi organisasi.
Salah satu bentuk kegiatan assurance adalah kegiatan Audit
dengan menggunakan metodologi berbasis risiko (Audit Internal
Berbasis Risiko)
❑ CONSULTANCY
Pemberian pelayanan secara profesional oleh internal auditor
melalui evaluasi yang sistematis dan disiplin (konseptual) dari
kebijakan, prosedur dan operasi manajemen yang dijalankan
untuk memastikan tercapainya tujuan organisasi, dan melalui
rekomendasi untuk perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat
internal auditor atas manajemen risiko, pengendalian, dan tata
kelola organisasi.
Definisi Audit Internal Berbasis Risiko
(AIBMR)
Metodologi audit yang dilakukan oleh Auditor
Internal untuk memberikan suatu opini yang independen
dan obyektif kepada manajemen organisasi apakah
risiko-risiko yang dikelola oleh manajemen telah berada
pada tingkat yang dapat diterima.
TUJUAN DAN MANFAAT
AUDIT INTERNAL BERBASIS
MANAJEMEN RISIKO
(AIBMR)
 Fungsi Internal Audit adalah Memberikan
Opini Obyektif dan Independen pada
Manajemen Organisasi Manajemen Organisasi “Apakah Risiko
Memiliki Tujuan yang Telah Dikelola pada Tingkat yang
Dapat Diterima?”

Tujuan Utama dari Fungsi Internal Audit

TUJUAN adalah Membantu Organisasi
Mencapai Tujuan.

Pengendalian Internal
merupakan Proses
Mengelola Risiko

TUJUAN AIBMR
Risiko merupakan Peristiwa
yang Menghambat
Pencapaian Tujuan
MANFAAT AIBMR

Inherent
Risk
Consequence

RBIA Provides Assurance

Control that these controls are
operating effectively

Residual
Risk
Risk Appetite

Likelihood
RBIA = Risk-Based Internal Auditing
PERBANDINGAN PENDEKATAN
AIBMR DENGAN AUDIT
SEBELUMNYA
Sebelum Risk Based Audit (1)

Test Of Potential Substantive

Control Findings
Control Risk Test
Sebelum Risk Based Audit (2)

Inherent
Risk ➢ Auditor mempertimbangkan
risiko dari sudut pandang
sendiri
Control ➢ Fokus Utama adalah tujuan
audit tercapai secara efisien
Risk ➢ Keterkaitan dengan tujuan
organisasi secara keseluruhan

Audit Risk
Risk Based Internal Audit
Policies
• Dimulai dgn kebijakan dan prosedur
yg disetujui.
• Mempertimbangkan apa yg
manajemen nyatakan seharusnya
dilakukan.
Objectives
• Mulai dengan objektif yang telah
ditetapkan.
• Jika objektifnya tidak ada maka
bisa membuat objektif sendiri
sebagai bahan pertimbangan audit
• Peranan audit mendukung objekif
bukan bertentangan
• Objektifnya harus mencakup
sistem, proses dan departemen
Audit
• Berdasarkan peraturan
• Fokus pada kepatuhan dan
peraturan
• Berperan sebagai polisi
• Contoh uji transaksi
• Secara historis difokuskan pada
proses keuangan dan akuntansi
• Rekomendasi tidak
mengharuskan tetapi
menyarankan
Risks
• Mempertimbangkan risiko
signifikan perusahaan di masa
depan
• Monitoring risk response
• Berperan sbg konsultan internal
dan katalis
• Audit merekomendasikan
pemecahan masalah
• Melakukan penilaian risiko dari
risk register dan skoring risiko
Reporting
• Laporan didasarkan pada laporan
pengecualian
• Laporan difokuskan secara
operasional
• Laporan pada tingkat bawah
• Identifikasi persoalan minor
• Mudah merespon mengenai fokus
pada sistem dan departemen-
departemen tersendiri
• Konklusi didasarkan pada tingkat
kepatuhan/ operasi dari kontrol
Audit Reporting
• Audit bekerja mempertimbangkan risiko dan akan • Risiko diprioritaskan pada tingkat
melihat kontrol yang diharapkan/ tindakan mitigasi strategik dan operasional
penting.
• Pekerjaan akan mengikuti profil risiko, bila suatu
risiko di kelola melalui beberapa departemen, audit • Kualitatif dan penilaian
akan mempertimbangkan bagaimana menilai dan profesional dipakai untuk
bekerja melalui departemen-departemen tersebut pemeringkatan dan kesimpulan
risiko
• Audit adalah kualitatif dan didasarkan pada
penilaian profesional. • Laporan menjadi suatu dialog
dan didiskusikan dengan
• Audit mencakup seluruh proses dan sistem yang
terdapat di institusi tersebut
manajemen
• Audit bukan hanya menanyakan apakah • Rekomendasi bukan resep tetapi
adalah saran
perusahaan melakukan sesuatu dgn benar
(kepatuhan/pengendalian operasi) ,tapi juga
apakah melakukan sesuatu dengan tepat
(efektifitas/desain kontrol).
Perbandingan AIBMR dengan Metode Audit Sebelumnya

No Proses Audit Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya

1 Audit Universe Semua kegiatan dan proses Terutama area yang menyangkut
bisnis keuangan tetapi juga termasuk ketaatan
terhadap peraturan dan perundangan dan
operasi

2 Tujuan Audit Memberikan opini terhadap kondisi Melakukan penilaian atas pelaksanaan
apakah risiko telah dikelola sesuai pengendalian intern, peningkatan
dengan tingkat yang dapat efisiensi operasi
diterima
3 Program Kerja Audit ditujukan atas risiko Audit berdasar rencana rutin, tidak
Audit Tahunan signifikan mengutamakan pada tingkatan risiko

4 Jenis Audit Audit terhadap proses bisnis Membedakan antara keuangan,

berjalan operasional, ketaatan dan yang lainnya
Perbandingan AIBMR dengan Metode Audit Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
5 Keterlibatan Melibatkan unit auditan pada seluruh Melibatkan hanya sedikit, mungkin pada
Unit Auditan tahapan mulai dari perencanaan s.d saat rencana, dan pada saat akhir audit
pelaksanaan audit, karena auditan untuk menyetujui hasil temuan audit
merupakan pemilik risiko dan saja.
bertanggung jawab atas seluruh risiko
6 Pekerjaan Memastikan bahwa organisasi telah Sesuai dengan program kerja, yang
Lapangan mengidentifikasi semua risikonya dan dimungkinkan tidak jelasnya tujuan yang
mengendalikan risiko tersebut ditetapkan, dan disini hanya dilakukan
pengujian saja.
7 Tujuan Tujuan pengujian pengendalian adalah Tujuan pengujian pengendalian adalah
Pengujian menguji apakah pengendalian risiko menilai apakah pengendalian sudah
sudah dapat memitigasi risiko pada memadai dalam rangka menentukan
tingkat yang dapat diterima. scope/luas pengujian substantif.
Perbandingan AIBMR dengan Metode Audit Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
8 Laporan Hasil Memberikan opini kepada manajemen Melaporkan penilaian atas pelaksanaan
Audit apakah risiko telah dikelola sampai pengendalian intern yang berjalan atau
pada acceptable level, dan dilaporkan tidak. Dalam laporan tidak memberikan
jika tidak maka laporan memberikan gambaran indikasi proporsi risiko yang
gambaran indikasi proporsi jumlah telah ditangani.
pengendalian risiko yang sudah dan
belum memitigasi risiko.
9 Rekomendasi Rekomendasi diberikan dalam rangka Rekomendasi dibuat untuk memperbaiki
Audit fungsi internal auditor sebagai temuan kelemahan.
konsultan, sedangkan seluruh
tanggung jawab ada di manajemen
Tahapan Audit
❑ Tahap 1 : Penilaian Risk Management Maturity
❑ Tahap 2 : Penyusunan PKPT (Program Kerja
Pengawasan Tahunan)
❑ Tahap 3 : Penugasan Individual Audit
Tahap 1 : Penilaian Risk Management
Maturity
1. Tujuan penilaian tingkat kematangan manajemen risiko adalah
untuk mengidentifikasi tingkat kematangan penerapan manajemen
risiko dan menentukan kemungkinan dilakukannya AIBR pada
perusahaan.
2. Tingkat kematangan manajemen risiko menurut David Griffiths
terdiri dari Risk Naive, Risk Aware, Risk Defined, Risk Managed, dan
Risk Enabled.
3. Penilaian dilakukan dengan menggunakan kuesioner survai tingkat
kematangan manajemen risiko ataupun wawancara dan workshop.
 Merancang Pendekatan Audit
Risk Maturity Pengertian Pendekatan Audit

Risk Naive Tidak ada pendekatan formal yang Memperkenalkan manajemen risiko dan audit
dikembangkan dalam pengelolaan didasarkan pada penilaian risiko audit dan
risiko atau Faktor Risiko

Risk Aware Pengembangan manajemen risiko Memperkenalkan Manajemen Risiko secara

masih terpisah-pisah atau perbagian
Risk Defined Perusahaan sudah memiliki dan
mengkomunikasikan strategi dan
kebijakan serta risk appetite dalam
penerapan Manajemen Risiko
Risk Managed Perusahaan telah mengembangkan
dan mengkomunikasikan manajemen
risiko secara enterprises-wide
enterprise-wide dan audit didasarkan atas
penilaian risiko audit dan atau Faktor Risiko
Memfasilitasi dan kerjasama dengan unit
manajemen risiko dan memanfaatkan hasil
risk assessment manajemen jika sudah
dipandang memadai dalam melakukan audit
Audit proses manajemen risiko dan
menggunakan hasil asesmen risiko yang
sudah cukup memadai

Risk Enabled Manajemen Risiko dan Internal Control Audit proses manajemen risiko dan
sudah menyatu dalam seluruh operasi menggunakan hasil asesmen risiko yang
sudah cukup memadai
Risk Maturity
• Provide consultation on Risk Management Framework
Risk Naive • Fasilitasi Identifikasi Risiko
• Audit Planning Berbasis Risiko

• Fasilitasi Identifikasi Risiko

Risk Aware • Audit Planning Berbasis Risiko
• Audit Program berbasis Risiko

• Fasilitasi kompilasi Risk Profile ke dalam Risk Register

Risk Defined • Provide consultation for the unit where Risk
Management implementation is poor

Risk • Reviu Risk Register

• Reviu manajemen risiko
Enabled/Managed
 Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control
Semua risiko telah teridentifikasi dan
dinilai.
Enabled Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Semua risiko telah teridentifikasi dan
dinilai.
Managed Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Sebagian besar risiko telah
teridentifikasi dan dinilai.
Defined Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Terdapat pengendalian tetapi tidak
Aware terkait dengan risiko
Terdapat pengendalian tetapi bebarapa
Naive pengendalian tidak ada atau tidak
lengkap
Monitoring Audit Approach
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Semua manajer memberikan jaminan
terhadap efektivitas manajemen risiko
dan penilaian kinerja manajemen risiko
Assurance
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Hampir Semua manajer memberikan
jaminan terhadap efektivitas
manajemen risiko dan penilaian kinerja
manajemen risiko
Beberapa bagian Manajemen Assurance
memonitor bahwa semua respon
dilakukan secara tepat
Consultancy
Sedikit atau kurang adanya monitoring Tidak dapat dilakukan RBIA. Maka
audit menggunakan pendekatan
konsultasi untuk memperkenalkan
RM hingga tercapainya Defined. Maka
perlu dikembangkan Audit dengan
Sangat kecil monitoring, jika adapun
sangat lemah
Faktor Risiko
Tahap 2: PERENCANAAN AUDIT
 Penyusunan Annual Audit Plan
Start ML : Maturity Level
RM : Risk management
RR : Risk Register
UPR : Unit Pemilik Risiko
Menilai ML RM ULA : Unit Layak Audit
PKPT : Program Kerja Pengawasan Tahunan

Ya
ML
Scoring Auditable
Naive, Penyusunan Menyusun
Aware, Risk Unit
Faktor Risiko PKPT
Defined Factor (ULA)

Tidak

Identifikasi Grouping Auditable Menyusun

Filtering RR
Risiko RR Unit (ULA) Planning
LANGKAH PERENCANAAN AUDIT
- Pengembangan audit universe (daftar unit-unit
auditee)
• Identifikasi
• Penentuan faktor–faktor Risiko
• Penilaian Nilai Risiko Global
- Penentuan kebijakan penilaian dan frekuensi
audit
- Alokasi Sumber Daya Audit (SDM, Waktu,
Anggaran)
1. Pengembangan Audit Universe
(Daftar Unit–unit Auditee)

Identifikasi
Pertimbangan dalam penetapan Audit Universe
Sumbangan terhadap tujuan program, atau concern perusahaan dan
stakeholders lainnya.
✓Cukup Besar
✓Cukup Penting
Bahan untuk pertimbangan penetapan Audit Universe :
✓Dokumen
25 Perencanaan,
✓Struktur Organisasi,
✓Statistik Daerah/Nasional,
✓Diskusi dengan Pihak Eksekutif,
✓Peraturan yang berkenaan dengan pembentukan unit,
✓Peraturan perundang – undangan dari Kementerian BUMN,
✓Brainstorming dan lain sebagainya
Penentuan Unit Layak Audit (ULA)
dengan Faktor Risiko
❑ Obyek audit dalam Audit Universe selanjutnya akan diskor dan diurutkan rangkingnya.
❑ Audit Intern akan menetapkan obyek audit dengan skor di atas nilai tertentu yang akan
diprioritaskan dan dipilih sebagai Unit Layak Audit.

1 2 3
Pilih Faktor-Faktor Evaluasi Setiap
Pilih Skala untuk
Risiko yang Cocok Komponen dan
Mulai Merepresentasikan
dengan Kegiatan Tentukan Skor dari
Kekuatan/Kelemahan
Operasi Skala yang Dipilih

Selesai 5 4
Jumlahkan Skor (#5) Kembangkan Bobot
Kalikan Skor Faktor
setiap Komponen untuk Setiap Faktor
(#3) dengan
untuk mendapatkan Risiko berdasarkan
Bobot (#4)
Risiko Total Dampaknya

Menggunakan dan Menimbang Faktor-Faktor Risiko

 CONTOH FAKTOR RISIKO
1 Kualitas Internal Kontrol 11 System Komputer
2 Kompetensi Manajemen 12 Audit Terakhir
3 Integritas Manajemen 13 Tekanan dari manajemen
4 Ukuran unit (Rp) 14 Hubungan dg pemerintah
5 Perubahan Sistem 15 Tingkat Moral karyawan
Akuntansi
6 Kompleksitas Operasi 16 Rencana Audit dari
Auditor eksternal
7 Likuiditas Aset 17 Faktor Politis
8 Perubahan Personil Kunci 18 Kebutuhan independensi
9 Kondisi ekonomi unit 19 Jarak dari Kantor Pusat
10 Pertumbuhan yang Pesat
Penentuan Score
Asumsi diambil 4 Faktor Risiko
Faktor Risiko Score Faktor Risiko Score

Dana yang dikelola Kompetensi & Integritas Pimpinan Unit

Di bawah 1 Milyar 1 Sangat Kompeten 1

1 Milyar – 5 Milyar 2 Kompeten 2

5 Milyar – 25 Milyar 3 Sedang 3

25 Milyar – 50 Milyar 4 Kurang Kompeten 4
Di atas 50 Milyar 5 Tidak Kompeten 5

Jumlah Temuan Audit sebelumnya Kondisi Internal Control

0 sampai 1 1 Baik sekali (tidak ada cttn penting) 1

2 sampai 3 2 Baik (Kurang dari 2 cttn penting) 2

Sedang (3-5 catatan penting) 3

4 sampai 5 3
Jelek (5-7 catatan penting) 4
6 sampai 10 4
Jelek sekali (lebih dr 7 catatan
Lebih dari 10 5 5
penting)
 Contoh Hasil Skor Faktor Risiko
TEMUAN
INTERNAL DANA YANG KOMPETENSI
AUDITEE
CONTROL DIKELOLA PIMPINAN
AUDIT JUMLAH
SEBELUMNYA

Bagian A 2 2 3 2 9

Bagian B 4 5 3 3 15

Bagian C 3 3 4 4 14

Bagian D 4 2 3 2 11

Bagian E 5 5 1 2 13

62
Rangking Audit Unit
Rangking Audit Unit disusun berdasarkan audit unit yang mempunyai risiko
paling tinggi sampai rendah, dari contoh di atas adalah sebagai berikut :

No. UNIT SCORE

1. Bagian B 15
2. Bagian C 14
3. Bagian E 13
4. Bagian D 11
5. Bagian A 9

62
 Risk-Based Internal Audit Planning
Annual Planning
Audit
Database
Start

Daftar Matriks
Inventarisasi Tentukan Faktor Isi sel Matriks Matriks yg
Auditable Rencana
Auditable Unit Risiko*) Rencana Audit telah Terisi
Unit Audit

Identifikasi Hitung Total Prioritized Tetapkan dan

Alokasikan Auditable Urutkan
Aktivitas non Hari Audit isikan Skala
Aktivitas Unit prioritas audit
Audit Tersedia Skoring

Dratt Persetujuan
Rencana IA Pleno
Rencana IA End
Tahunan pembahasan
Tahunan

*) Item dan jumlah faktor risiko disesuaikan dengan kebutuhan

Alokasi Sumber Daya Audit
(SDM, Waktu, Anggaran)
Hal – hal yang harus diperhatikan :
❖ Identifikasi jumlah auditor berdasarkan tingkat keterampilan dan
pengalaman yang diperlukan untuk setiap pemeriksaan,
❖ Identifikasi kebutuhan untuk menggunakan tenaga ahli external,
❖ Hitung hari kerja yang tersedia dalam satu tahun setelah dikurangi hari
cuti dan hari libur,
❖ Perhitungkan waktu bagi auditor untuk melakukan pendidikan dan
pelatihan,
❖ Perhitungkan waktu auditor untuk melakukan kegiatan pemeriksaan
lain dan penugasan khusus lainnya,
❖ Perhatikan tarif transportasi dan tarif biaya perjalanan dinas,
❖ Perhatikan sarana pendukung dan peralatan yang dibutuhkan.
32
❖ Dsb.
 Risk-Based Internal Audit Planning
Engagement Planning and Performance
Start

Pemahaman Tersedia Minta risk Risk Profile Tetapkan

Risk Profil Yes
Tujuan dan risk profile ke RM/ auditable Prioritas area
unit andal?
proses AU profile? Yes Auditee audit

No
No Lakukan micro
risk Lakukan
Evaluasi
assessment analytical
inherent risk
procedure

Dratt Substantive Identifikasi dan

Matriks Simpulkan Yes Control Yes Control
test of control evaluasi
temuan hasil pengujian Effective? Cukup?
operation control design
No
No

Bahas temuan
Bahas usul Usulkan
dengan
modifikasi modifikasi
auditee
control control

Terbitkan
End
laporan audit
PROSES RISK ASSESSMENT
1. Menetapkan tujuan unit
2. Menetapkan aktivitas utama pendukung tujuan
3. Mengidentifikasi segala hal yang dapat menghambat pencapaian tujuan unit
(What Can Go Wrong Analysis / WcGW)
4. Menetapkan besaran kemungkinan terjadinya (likelihood) dan dampaknya
(Consequency)
5. Tuangkan dalam daftar risiko

6. Hitung skor untuk masing-masing risiko

7. Tuangkan dalam peta risiko
8. Identifikasi risiko signifikan
9. Pertimbangkan risk appetite dan risk tolerance
10. Identifikasi Control yang sudah ada
11. Tetapkan risiko residual
12. Hitung skor risiko residual
13. Tetapkan action plan dan Penanggung Jawab (PIC)