Audit

Internal
Berbasis
Risiko
 Definisi

“
Audit berbasis risiko/audit internal berbasis risiko adalah sebuah
metodologi yang menghubungkan audit internal dengan seluruh kerangka
manajemen risiko yang memungkinkan proses audit intern mendapatkan “
keyakinan memadai bahwa manajemen risiko organisasi telah dikelola
dengan memadai sehubungan dengan risiko yang dapat diterima/risk
appetite (Institute of Internal Auditors).

Dalam penerapan audit internal berbasis risiko terdapat beberapa faktor yang mempengaruhi.
Ukuran organisasi, regulasi, jenis industri dan budaya organisasi adalah beberapa faktor
penting yang ikut mendorong pengadopsian audit internal berbasis risiko baik pada
perencanaan secara individual maupun tahunan (Allegrini & D’Onza, 2003; Koutoupis &
Tsamis, 2009).
 Sejarah dan Latar Belakang

Adanya berbagai kegagalan di dunia bisnis Kondisi ini menunjukkan bahwa

menekankan adanya ketidakmampuan risiko merupakan faktor utama
manajemen dalam mengidentifikasi risiko yang dapat menghalangi
yang akan dihadapi perusahaan keberlangsungan organisasi.
(Grant & Visconti, 2006).

Lingkungan bisnis mewajibkan perusahaan untuk memiliki pengendalian internal yang

baik, mematuhi peraturan perundangan, dan menjalankan operasional secara efisien.

Berbagai hal ini mendorong profesi internal audit mulai berubah dari yang mula-mula
menggunakan pendekatan tradisional menjadi risk-based approach. Adanya pendekatan
risk based approach memungkinkan internal auditor untuk tetap mampu menjalankan
tugasnya dengan efektif dan efisien, mematuhi peraturan namun dengan mengurangi
effort dan biaya yang diperlukan (Deloitte, 2006)
Sejarah dan Latar Belakang
Menurut Paul J. Sobel (2015) perkembangan pendekatan audit dari waktu ke waktu
dapat disajikan sebagai berikut:
Perkembangan Pendekatan Audit
 Manfaat dan Kelebihan

1 Manajemen telah mengidentifikasi, menilai dan mengelola risiko di atas dan

di bawah selera risiko

2 Respon terhadap risiko telah efektif namun tidak berlebihan dalam

mengelola risiko melekat di dalam selera risiko.
Audit
Internal
Berbasis 3 Jika risiko residual tidaksejalan dengan selera risiko, tindakan diambil untuk
memperbaikinya.

Risiko
Efektivitas atas respon/tanggapan dan tindakan penyelesaian dalam proses
4 manajemen risiko, dipantau oleh manajemen untuk memastikan efektivitas
dilakukan secara berkelanjutan

5 Pelaporan dan klasifikasi risiko telah disajikan secara lengkap, akurat dan tepat.

Sasaran yang ingin dicapai dalam penerapan audit internal berbasis risiko:
Mengidentifikasi risiko
kegagalan, kekeliruan
dan kecurangan serta
memberikan
rekomendasi bagi
auditi untuk perbaikan
operasinya.
Sasaran
Memberikan dasar yang
kuat bagi tim audit
dalam memberikan
pendapat atas laporan
keuangan dengan
mempertimbangkan
risiko salah saji yang
terkait dengan risiko
kegagalan, kekeliruan,
dan kecurangan
Kerangka untuk
meningkatkan efisiensi
(menekan biaya audit
dengan mengurangi tes
substantif), efektivitas
(mengidentifikasi dan
fokus pada area-area
yang berisiko) dan
kualitas audit (menekan
kesalahan audit)
 Penyusunan Risiko
Agar penerapan manajemen risiko berjalan baik, terdapat beberapa hal yang perlu diperhatikan
sebagai berikut:
01 On going process
Manajemen risiko dilaksanakan secara terus-menerus
dan dimonitor secara berkala. Manajemen risiko
bukanlah suatu kegiatan yang dilakukan sesekali (one
time event).
02 Effected by people
Manajemen risiko ditentukan oleh pihak-pihak yang
berada di lingkungan organisasi.
03 Applied in strategy setting
Manajemen risiko telah disusun sejak dari perumusan
strategi organisasi oleh manajemen puncak organisasi.
Dengan penggunaan manajemen risiko, strategi yang
disiapkan di sesuaikan dengan risiko yang dihadapi oleh
masing-masing bagian/unit organisasi.
04 Applied across the enterprise
Strategi yang telahdipilih berdasarkan manajemen risiko
diaplikasikan dalam kegiatan operasional dan mencakup
seluruh bagian/unit pada organisasi. Mengingat risiko masing-
masing bagian berbeda, maka penerapan manajemen risiko
berdasarkan penentuan risiko oleh masing-masing bagian.
05 Designed to indetify potential events
Manajemen risiko dirancang untuk mengidentifikasi kejadian
atau keadaan yang secara potensial menyebabkan
terganggunya pencapaian tujuan organisasi.
06 Provide reasonable assurance
Risiko yang dikelola dengan tepat dan wajar akan menyediakan
jaminan bahwa kgiatan dan pelayanan oleh organisasi dapat
berlangsung secara optimal.
07 Geared to achieve objectives
Manajemen risiko diharapkan dapat menjadi pedoman bagi
organisasi dalam mencapai tujuan yang telah ditentukan.
 Penyusunan Risiko
Manajemen risiko yang dilakukan secara baik dan efektif akan mampu memberikan manfaat bagi organisasi
sebagai berikut:

1. Membantu pencapaian tujuan organisasi.

2. Mencapai kesinambungan pemberian pelayanan kepada stakeholder, sehingga meningkatkan kualitas dan nilai organisasi.
3. Mencapai hasil yang lebih baik berupa efisiensi dan efektivitas pelayanan, seperti meningkatkan pelayanan kepada publik
dan atau meningkatkan penggunaan sumber daya yang lebihbaik (masyarakat, informasi, dana dan peralatan)
4. Memberikan dasar penyusunan rencana strategis sebagai hasil dari pertimbangan yang terstruktur terhadap unsur kunci
risiko.
5. Menghindari biaya-biaya tidak terduga karena organisasi telah mengidentifikasi dan mengelola risiko yang tidak diperlukan,
termasuk biaya dan waktu yang dihabiskan dalam suatu perkara.
6. Menghindari pemborosan, dan membuka peluang bagi organisasi untuk memberikan pelayanan terbaik.
7. Mencapai pengambilan keputusan yang terbuka dan berjalannya proses manajemen.
8. Meningkatkan akuntabilitas dan good governance.
9. Mengubah pandangan terhadap risiko menjadi lebih terbuka, ada toleransi terhadap kesalahan, tetapi tidak terhadap
kekeliruan yang disembunyikan. Perubahan pandangan ini memungkinkan organisasi belajar dari kesalahan masa lalunya
untuk terus memperbaiki kinerjanya.
10. Organisasi akan lebih fokus dalam melaksanakan kebijakan-kebijakannya sehingga dapat meminimalkan “gangguan-
gangguan” yang tidak dikehendaki.
Sumber: Perka BPKP 6/2018
Dalam tahapan melakukan pengimplementasian audit internal berbasis
risiko,
terdapat 3 tahapan yang harus dilakukan

Penilaian Maturitas
Risiko

Penyusunan

Penyusunan
PKPT
 Penilaian Maturitas Manajemen Risiko

Tahap pertama dalam perencanaan audit internal berbasis risiko adalah penilaian atas level maturitas risiko.
Dalam tahap ini terdapat 3 tujuan menurut IIA yaitu:

3
 Penilaian Maturitas Manajemen Risiko
Penilaian maturitas manajemen risiko dilaksanakan oleh internal auditor dapat dilakukan dengan
menggunakan kuesioner lima belas pernyataan
Penilaian Maturitas Manajemen Risiko

Kriteria untuk mengkonversi total skor dalam penentuan

level maturitas manajemen risiko auditable unit

0- Level 1 - Risk
7 Naive
8- Level 2 - Risk Aware
14
15- Level 3 - Risk
20 Defined
21- Level 4 - Risk
25 Managed
>2 Level 5 - Risk
6 Enable
Penilaian Maturitas Manajemen Risiko

Kriteria umum level maturitas manajemen risiko untuk setiap level

Belum Penerapan Kebijakan dan Pendekatan MR Manajemen risiko

mengembangkan manajemen risiko strategi MR sudah secara menyeluruh dan pengendalian
pendekatan formal masih silo dibangun dan telah intern telah
dalam penerapan (terpisah-pisah) dikomunikasikan dikembangkan dan terintegrasi
manajemen risiko selera risiko juga dikomunikasikan sepenuhnya dalam
telah ditetapkan proses bisnis

Mendorong Mendorong Fasilitasi untuk Assurance atas Assurance atas

penerapan penerapan internalisasi Proses proses manajemen
manajemen risiko manajemen risiko manajemen risiko Manajemen Risiko risiko
terintegrasi
 Penilaian Maturitas Manajemen Risiko

Hasil penilaian maturitas risiko digunakan sebagai bahan pertimbangan dalam menentukan pendekatan
audit yang akan digunakan internal auditor sebagai berikut:
1. Jika tingkat kematangan manajemen risiko organisasi berada pada level naive atau aware maka
auditor internal tidak dapat meyakini sepenuhnya risk register yang sudah disusun organisasi.
2. Dalam menjalankan peran konsultasinya, auditor internal tidak dapat mengidentifikasi resiko tanpa
keterlibatan pihak manajemen karena pemilik dan penanggung jawab risiko adalah manajemen.
3. Pada kondisi risk defined, pelaksanaan audit diawali dengan verifikasi apakah proses manajemen
risiko sudah berjalan dengan efektif. Tahapan pengawasan lebih detail diperlukan untuk
meyakinkan bahwa semua resiko sudah diidentifikasi dan pengendalian terhadap resiko tersebut
telah berjalan efektif.
4. Pada kondisi risk managed dan enable, auditor internal menggunakan risk register yang disusun
oleh manajemen dan pekerjaan audit tidak lagi diarahkan untuk mengembangkan kesalahan
penetapan risiko atau kelemahan pengendalian. Perhatian khusus diarahkan pada proses
manajemen risiko dan verifikasi terhadap pemantauan manajemen atas risiko-risiko kunci dalam
organisasi.
 Penilaian Maturitas Manajemen Risiko
Menurut IIA, berdasarkan hasil penilaian maturitas risiko, terdapat beberapa strategi yang dapat
diterapkan, diantaranya:
 Penyusunan Audit Universe

“ Audit universe atau semesta audit adalah daftar semua kemungkinan

audit yang dapat dilakukan atas entitas-entitas audit (area
pengawasan/auditable units). Audit universe memuat sejumlah
entitas/unit organisasi yang diaudit. Sedangkan Area pengawasan
(auditable unit) adalah bagian dari organisasi, yang baik secara nyata
maupun potensial, dapat mengandung risiko pada tingkatan yang “
memerlukan adanya pengendalian dan audit. Auditable unit dapat berupa
bagian dari struktur organisasi, proyek, kegiatan, dan aset organisasi.
 Penyusunan Audit Universe
Tahapan penyusunan audit universe yaitu:

auditable
unit.
S
auditable unit.
M

audit
universe.
 Penyusunan Risiko Komposit

area pengawasan 1

area pengawasan 4

area pengawasan 2
area pengawasan 3

Besaran risiko: Diisi dengan nilai setiap risiko yang diperoleh berdasarkan nilai hasil perpotongan antara level dampak dan level
kemungkinan berdasarkan matriks analisis risiko.

Rata-rata Level Dampak (RLD): Rata-rata nilai dampak pada area pengawasan yang diperoleh dari hasil perhitungan jumlah seluruh nilai
dampak dari risiko teridentifikasi dalam setiap area pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan.
Rata-rata Level Kemungkinan (RLK): Rata-rata nilai keterjadian pada area pengawasan yang diperoleh dari hasil perhitungan jumlah
seluruh nilai keterjadian dari risiko teridentifikasi dalam setiap area pengawasan dibagi dengan jumlah risiko dalam setiap area pengawasan.
 Penyusunan Faktor Risiko

Sumber: IIA Government survey sebagaimana dikutip Internal Audit Community of Practice (IA CoP)
 Penyusunan Faktor Risiko

Contoh hasil perhitungan Faktor Risiko:

 Penyusunan Faktor Risiko

Setelah diketahui nilai komposit risk register dan nilai risk factor kemudian hitung bobot
proporsinya dengan mempertimbangkan skor maturitas MR pada area pengawasan terpilih
 Perencanaan Audit Secara Periodik
Flow of audit work
Overall Audit
Source where Strategy
possible
Internal audit reports

Identify responses
on which Assurance
Risk Register Requirements
assurance is
required

Prioritise and List of responses

categorise by category with
responses priority & risk data

Link responses List of audits

to audit showing responses Respon risiko lain yang memerlukan kegiatan assurance
assignments risks and priority
data adalah:
• Rencana aksi untuk mengurangi besaran risiko yang
Draw up the
dipindahkan maupun risiko di luar/di atas selera risiko
Periodic Audit Audit Plan yang ditangani.
Plan
• Monitoring untuk memastikan bahwa proses dan rencana
aksi telah dilakukan sesuai yang diharapkan (IIA,2014)

Management Report Audit

Commitee
Perencanaan Audit Secara Periodik
Penetapan jenis pengawasan
 Penyusunan PKPT

Langkah penyusunan PKPT:

• Memilih area pengawasan yang menjadi fokus
pengawasan internal auditor. Pilih area
pengawasan (auditable unit) terpilih yang telah
ditetapkan bersama antara internal auditor dan
manajemen.
• Alokasi sumber daya manusia.
• Alokasi anggaran.
 Pelaksanaan Audit Individual

Persiapan Audit Individu

a. Rekonfirmasi Kematangan Manajemen Risiko Auditable
Unit
b. Pemahaman Risiko Utama Auditable Unit
PELAKSANAAN c. Penetapan Metode Audit
AUDIT d. Penyusunan Program Kerja Audit
INDIVIDUAL

Pelaksanaan Audit Individual

a. Fasilitasi Penerapan Manajemen Risiko
b. Pelaksanaan audit lanjutan
 Perencanaan Audit Secara Periodik

Rekonfirmasi Maturitas Manajemen Risiko:

• Menetapkan metode audit intern yang tepat
(assurance atau consulting).
• Untuk memastikan apakah nilai maturitas
manajemen risiko atau nilai maturitas SPI level
entitas masih konsisten dengan nilai maturitas
manajemen risiko di tingkat auditable unit.

No Total Skor Maturitas Risiko Simpulan Level

1 0-7 Risk Naive (level 1)

2 8-14 Risk Aware (level 2)

3 15-20 Risk Defined (level 3)

4 21-25 Risk Managed (level 4)

5 >26 Risk Enable (level 5)

 Perencanaan Audit Secara Periodik

Pemahaman Risiko Utama Auditable Unit Penyusunan Program Kerja Audit

Tim audit perlu mengidentifikasi risiko utama dari Program kerja audit intern berbasis risiko merupakan dokumen
auditable unit sehingga audit dapat difokuskan pada yang berisi langkah kerja sebagai panduan bagi tim audit dalam
risiko utama yang dihadapi oleh auditable unit tersebut. melaksanakan kegiatan audit intern di lapangan.

Penetapan Metode Audit

• Jika hasil rekonfirmasi kematangan manajemen
risiko masih sama, maka lingkup dan metode audit
individu yang akan diterapkan sama dengan
rencana awal (sesuai dengan PKPT).
• Jika hasil rekonfirmasi kematangan manajemen
risiko hasilnya lebih rendah atau lebih tinggi dari
penilaian kematangan manajemen risiko pada tahap
perencanaan, maka tim audit perlu menyesuaikan
lingkup dan metode pengawasan berdasarkan hasil
penilaian yang terakhir.
 Perencanaan Audit Secara Periodik
Pelaksanaan Audit Individu

Fasilitasi Penerapan Manajemen Risiko Pelaksanaan Audit Lanjutan

• Level 1 dan 2 lebih difokuskan bagaimana
membangun manajemen risiko.
• Level 3, fasilitasi diarahkan untuk
menginternalisasi penerapan manajemen
risiko dalam proses bisnis organisasi.
• Level 4 dan 5, fasilitasi bukan lagi menjadi
kewajiban, namun lebih didasarkan pada
kebutuhan organisasi, jika manajemen risiko
sudah berjalan dengan baik, maka kebutuhan
fasilitasi manajemen risiko akan semakin
berkurang.
 Pengkomunikasian Hasil Audit Individu
Sesuai dengan IPPF 2420 tentang Kualitas Komunikasi, komunikasi yang disampaikan harus:
1. Akurat, komunikasi hasil audit yang didasarkan atas
fakta, didukung dengan bukti yang memadai, dan
bebas dari kesalahan maupun distorsi.
2. Objektif, berarti adil, tidak memihak, tidak berat
sebelah, dan merupakan hasil dari pemikiran adil dan
seimbang atas seluruh fakta dan keadaan yang
relevan.
3. Jelas, berarti mudah dipahami dan logis, terhindar dari
pemakaian istilah teknis yang tidak penting dan
menyajikan seluruh informasi yang signifikan dan
relevan.
4. Ringkas, berarti langsung pada masalahnya, serta
menghindari uraian yang tidak perlu, detail yang
berlebihan, pengulangan, dan terlalu panjang.
5. Konstruktif, membantu auditi dan mengarah pada
perbaikan yang diperlukan.
6. Lengkap, tidak meninggalkan hal-hal penting bagi
pengguna hasil audit dan telah mencakup seluruh
informasi dan observasi yang signifikan dan relevan untuk
mendukung kesimpulan dan rekomendasi.
7. Tepat waktu, komunikasi hasil pengawasan yang
dilaksanakan tepat pada waktunya dan bermanfaat,
sehingga memungkinkan manajemen dapat melakukan
tindakan koreksi yang tepat. Jika terdapat isu yang sangat
signifikan sebelum penugasan berakhir, Tim Audit dapat
mempertimbangkan penyampaian laporan hasil
pengawasan sementara kepada pihak manajemen (auditi)
dan/atau pihak lain yang terkait.
 Pengkomunikasian Hasil Audit Individu
Bentuk Laporan
Laporan hasil pengawasan intern, baik
bentuk surat maupun bab, setidaknya harus
memuat:
• Dasar audit
• Latarbelakang
• Tujuan/sasaran, ruang lingkup dan
metodologi
• Pernyataan bahwa penugasan telah
dilaksanakan sesuai dengan standar
audit
• Kriteria yang digunakan
• Simpulan dan rekomendasi
• Tanggapan auditi
• Pelaporan informasi rahasia apabila ada
Atribut Temuan
• Kriteria, standar, ukuran atau ekspektasi yang digunakan dalam
melakukan evaluasi/verifikasi.
• Kondisi, bukti faktual dan penjelasan atas pengendalian yang
ditemukan auditor intern dalampelaksanaan pengujian (apa yang
benar-benar ada).
• Sebab, alasan perbedaan antara kondisi yang diharapkan dengan
kondisi aktual (mengapa terjadi perbedaan).
• Akibat, risiko atau ancaman yang dihadapi oleh organisasi auditi dan
atau lainnya karena kondisi tidak sama seperti kriteria (kemungkinan
permasalahan baik di masa lalumaupun masa depan) dengan
mempertimbangkan dampak (finansial, reputasi, keamanan, dan lain-
lain) dan keterjadian.
• Temuan yang dilaporkan juga dapat memasukkan saran, penjelasan
oleh auditi, dan informasi yang mendukung jika tidak dikecualikan di
tempat lain.
Pengkomunikasian Hasil Audit Individu