Anda di halaman 1dari 45

AUDIT.

-
BERBASIS
RISIKO
Disampaikan oleh ; Emharri
Manda Nasution, SE, MM
Bogor, 29 April 2016

Peningkatan Kapasitas APIP


Kemenristek & Dikti dalam
MelakukanAudit Berbasis Risiko

1
PENDAHCJLCJAN

Agenda ^ KERANGKA KONSEPTUAL AUDIT


Pembe BERBASIS RISIKO

lajaran LANGKAH-LANGKAH 3
PROSES ABR.

2
Sesi I;

PENDAHULUAN

3
Diskusi Pendahuluan
ABR atau AIBR telah
menjadi trend dalam
perkembangan audit, sementara
hampir semua kegiatan yg G
dilaksanakan dal rangka
pengawasan, selalu ujung2nya
membuat THA.
Bagaimana pendapat anda ???
I
\

4
JENIS-JENIS AUDIT
Pemeriksaan
Keuangan
Pemeriksaan atas
UU no 15 Pemeriksaan Hal-hal Lain di
Thn 2004 Kinerja Bidang Keuangan
Pemeriksaan Peemeriksaan
Dengan Tujuan
Investigatif
Tertentu
Pemeriksaan atas
SPIP

Audit
Investigatif

Audit atas
Penyelenggaraan SPIP

Audit atas Hal-hal Lain


di Bidang Keuangan
'

Apa pendapat pakar ..?


David M. Griffiths, PhD, FCA.
(Risk Based Internal Auditing An Introduction - 2006)

4.1 What is risk based internal auditing?


I dont think risk based internal auditing is different from internal auditing. Or, in
other words, internal auditing is the same as risk based internal auditing and
should use the RBIA methodology.
This is a very controversial statement, as it implies that all the other
methodologies used by internal audit activities should be replaced - and that
includes all those standard audit programmes. There is more on this argument
in the section on the impact of RBIA.
Lets return to the definition of internal auditing:
Internal auditing provides an independent and objective
opinion to an organisations management as to whether its
risks are being managed to acceptable levels.

6
Pengertian Audit dan Audit Inter
(SAIPI)

adalah proses identifikasi masalah, analisis, dan


evaluasi yang dilakukan secara independen, objektif,
Audit dan profesional berdasarkan standar audit, untuk
menilai kebenaran, kecermatan, kredibilitas,
efektivitas, efisiensi, dan keandalan informasi
pelaksanaan tugas dan fungsi instansi pemerintah.

adalah kegiatan yang independen dan obyektif dalam


bentuk pemberian keyakinan [assurance activities] dan

Audi konsultansi [Consulting activities], yang dirancang untuk


memberi nilai tambah dan meningkatkan operasional
sebuah organisasi [auditi]. Kegiatan ini membantu
t organisasi [auditi] mencapai tujuannya dengan cara
menggunakan pendekatan yang sistematis dan teratur
untuk menilai dan meningkatkan efektivitas dari proses
inte manajemen risiko, kontrol [pengendalian], dan tata 7
kelola [sektor publik].
Pengertian Audit
Audit adalah proses kegiatan yang bertujuan
untuk meyakinkan tingkat kesesuaian antara
suatu kondisi yang menyangkut kegiatan dari
suatu entitas dgn kriterianya, dilakukan oleh
auditor yg kompeten dan independen dgn
mendapatkan dan mengevaluasi bukti-bukti
pendukungnya secara sistematis, analitis, kritis,
dan selektif, guna memberikan pendapat atau
simpulan dan rekomendasi kepada pihak yang
berkepentingan.
8
Sesi II;

KERANGKA KONSEPTUAL
AUDIT BERBASIS RISIKO
9
^

DEFINISI ABR (menurut IIA)

Sebuah metodologi yang menghubungkan audit internal


dengan seluruh kerangka manajemen risiko yang
memungkinkan proses audit internal mendapatkan
keyakinan memadai bahwa manajemen risiko organisasi
telah dikelola dengan memadai sehubungan dengan risiko
yang dapat diterima (risk appetite).
Assurance yang disediakan ABR (sumber : IIA-UK and Ireland)

Impact

11
Risk Appetite (menurut, David M. Griffiths, PhD, FCA.

Selera Risiko = Tingkat risiko


yang dapat diterima oleh Risiko yang berada di atas risk
dewan atau manajemen. Ini appetite dianggap ancaman
mungkin diatur dalam bagi suatu organisasi dalam
kaitannya dengan organisasi mencapai tujuannya.
secara keseluruhan, untuk
berbagai kelompok risiko atau
tingkat risiko individu.
Sifat Kerja Kegiatan Audit Intern

(Risk, Control,
Governance)

SA-IPI -> 3100 - Sifat Kerja Kegiatan Audit Intern Kegiatan Audit Intern
harus dapat mengevaluasi dan memberikan kontribusi pada perbaikan
tata kelola sektor publik, manajemen risiko, dan pengendalian intern
dengan menggunakan pendekatan sistematis dan disiplin.
Peran APIP dalam Penera
Pemahaman
Business Process
Pemahaman Tata Kelola
E
MR
Goal
Daftar Pemahama
Risiko Risk n PI

/
R i s k Management ^ Risk - Based Audit

,-t> \ :isk Profile Audit Planning
*
Action Plan Test of Control )

Report on Internal Audit------------------


Penanganan 14
Risiko = RTP
Audit Tradisional
1
KEBIJAKAN y AUDIT PELAPORAN

E
* Dimulai dengan kebijakan Berdasarkan * Laporan didasarkan
peraturan
* dan prosedur yang pada laporan
disetujui pengecualian
* Fokus pada

* Mempertimbangkan kepatuhan dan * Laporan difokuskan

apa peraturan secara operasional

yang dinyatakan oleh Berperan sebagai * Identifikasi


manajemen * polisi persoalan minor

* Secara historis * Simpulan didasarkan


difokuskan pada pada tingkat
proses keuangan kepatuhan/ kontrol
dan akuntansi 15
* Mulai dengan tujuan * Mempertimbangkan * Audit dilakukan Risiko diprioritaskan
yang telah risiko signifikan dengan pada tingkat strategik
ditetapkan. organisasi di masa mempertimbangkan dan operasional penting
Jika tujuan tidak ada, depan risiko dan melihat
Kualitatif dan penilaian
bisa membuat kontrol yang dihara pka
* Monitoring sikap atas profesional dipakai untuk
tujuan sendiri n/mitigasi
risiko pemeringkatan dan
sebagai bahan
* Pekerjaan akan kesimpulan risiko
pertimbangan aud it * Berperan sebagai mengikuti profil risiko
konsultan dan katalis Laporan menjadi suatu
* Peranan audit
* Audit adalah kualitatif dialog dan didiskusikan
mendukung tujuan * Audit merekomenda dan didasarkan pada dengan manajemen
bukan bertentangan sikan pemecahan penilaian profesional
masalah Rekomendasi bukan
* Tujuannya harus
* Audit mencakup resep tetapi adalah
mencakup sistem * Melakukan penilaian seluruh proses dan saran
proses dan unit ke rja risiko dari risk register sistem yang terdapat
dan skoring risiko
di organisasi

A
u
d
16 i
t
ubungan Perencanaan audit tahunan
dan audit Individu
Sesi III;

LANGKAH-LANGKAH
PROSES ABR
18
18
Tahapan
Managements
Risk Register
(If Available)

Risk Naive Risk Enable


Assess Risk Maturity
Risk Aware Risk Managed
I Stage 1
Risk Defined
31

Managements
Fasilitate Risk Risk Register Use Oganizations
Identification (amanded) Risk

^f

Audit Asign Risk to Stage 2
Risk and Audit Audit Committee
Universe Audit
Audit Plan
Universe (RAU) Report

Individual Audit
- j

Audit Report
Stage 3

Feedback Result
into RAU 19
LJ
Sumber : David Grifith Risk Based Internal Audit
Flash Back melaksanaka
n audit
berbasis
risiko individu
memberikan
mengidentifikasi jaminan
penugasan audit
r gambaran sejauh
menghasilkan
mana unit kerja
menentukan,
menilai, mengelola
annual audit plan
OPenugasan
Audit

o
dan memantau
Individual
risiko Penyusunan
indikasi keandalan Perencanaan (Micro Risk
daftar risiko Audit Assessment
Tahunan )
oPenilaian (Macro Risk
I
HT
Assessment)
Tingkat
Maturitas
Risiko
WATCHD
OGS 20
wake-up
Individual Audit
Tahap pelaksanaan AIBR
merupakan tahap lanjutan dari
tahap
Tahapperencanaan.
ini merupakan tahap
pekerjaan lapangan (field work)
berupa audit individual atas Unit
Layak Audit (ULA).
Performance Standard nomor 2300
Performing the Engagement:
Internal Auditors should identify,
analyze, evaluate and record
sufficient information to achieve the2121
engagement objectives
Tahapan Individual Audit

'-U

v,
A'.ij N
f*S

v*

PERENCANAAN PELAKSANAAN PELAPORAN


Penetapan tujuan dan lingkup Pengujian dan pengumpulan Penyampaian simpulan
penugasan Pemahaman auditi bukti sementara Penyusunan
Identifikasi dan penilaian Evaluasi bukti dan laporan Distributi
riitsiko Identifikasi pengambilan kesimpulan laporan Monitoring
pengendalian kunci Evaluasi Pengembangan temuan dan tindak lanjut
rekomendasi
pengendalian Penyusunan
rencana pengujian Penyusunan
program audit Pengalokasian
sumber daya
Tahapan Individual Audit

Determine engagement Conduct tests to Perform


objectives and scope
Understand the auditee, gather evidence. observations,
including auditee objectives Evaluate evidence evaluation and
and assertions.
Identfy and assess risks. gathered and reach escalation process.
Identify key control conclusions. Conduct interim
activities.
Develope and preliminary
Evaluate adequacy of
control design. observations and engagement
Create a test plan. formulate communications.
Develope a work program.
recomendations. Develope final
Allocate resources to the
engagement. engagement
communications.
Distribute formal
and informal final
communications.

23
Tahapan Individual Audit

* \

Actual RM f \

Update lingkup Expected RM


Diskusi & observasi
monitoring
penugasan
pengendalian

Update lingkup
penugasan

Audit
Database Verifikasi bukti

Nilai evaluasi Manajemen


residual risk Komite Audit

I 1 *
24
Simpulkan respon Hasil Audit
Sumber: IIA-UK & Ireland
gasan
Tahap 1. Perencanaan penu
'bpkp

berdasarkan perencanaan
audit tahunan yang telah
dihasilkan dan hasil penilaian
risk maturity tingkat organisasi
^ tentukan lingkup
penugasan audit individu

alokasi sumber daya


audit yaitu biaya, waktu,
SDM dan tingkat
kompetensi auditor yang
dibutuhkan serta jadwal
audit The Institute of Internal /\LJ
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL


Risk Maturity

Non Naive Aware Defined Managed Enable


Existe
nt 1
2 3 4 5
0

Consulting Assurance

AUDIT INTERNAL
26
Hubungan Maturity Level Dengan Control, Monitoring dan
Pendekatan Audit .

Level Control Monitoring Audit Approach


Manajemen memonitor bahwa
Semua risiko telah teridentifikasi semua respon dilakukan secara
En dan dinilai. tepat.
Adanya Reviu risiko secara teratur Semua manajer memberikan
abled Respon telah sesuai untuk jaminan terhadap efektivitas
mengelola risiko manajemen risiko dan penilaian
kinerja manajemen risiko
Assurance

\
Manajemen memonitor bahwa
Semua risiko telah teridentifikasi semua respon dilakukan secara
dan dinilai. tepat.
Mana
Adanya Reviu risiko secara teratur Hampir Semua manajer memberikan
ged
Respon telah sesuai untuk jaminan terhadap efektivitas
mengelola risiko manajemen risiko dan penilaian
kinerja manajemen risiko
Sebagian besar risiko telah Consultancy
De teridentifikasi dan dinilai. Beberapa bagian Manajemen
Adanya Reviu risiko secara teratur memonitor bahwa semua respon
fined Respon telah sesuai untuk dilakukan secara tepat
mengelola risiko

Terdapat pengendalian tetapi tidak Sedikit atau kurang adanya Tidak dapat dilakukan RBIA. Maka
Aware terkait dengan risiko monitoring audit menggunakan pendekatan
L konsultasi untuk
memperkenalkan RM hingga
tercapainya Defined. Maka perlu
Terdapat pengendalian tetapi
Sangat kecil monitoring, jika adapun dikembangkan Audit dengan
Naive bebarapa pengendalian tidak ada
sangat lemah Faktor Risiko
atau tidak lengkap
Pendekatan Rencana Audit

Maturi Risk
ty 4 Register
s.d 5 Faktor Risiko

Maturit
y 1 s.d Risk
Register
<3 Yang
Disusun I/A
dgn UPR
^ 'bpkp

Matriks Risiko Dan Pengendalian


Risiko Pengendalian Kunci Prosedur Pengujian
Risiko A
Pengendalian ProsedurA
A Prosedur
Pengendalian B
Risiko B
B
Pengendalian Prosedur
Pengendalian
D C
D
C
Pengendalian Prosedur
Risiko A
E
Pengendalian E
Prosedur
Pengendalian
G Prosedur F
G
F
Pengendalian Prosedur 29
Penyusunan PKA
Perumusan AO - sisa risiko yg berpotensi
terjadi vs kegagalan pengendalian kunci

Mengidentifikasi bukti -bukti yang


*
dibutuhkan (rekocuma) utk mendukung
masalah yg akan diungkapkan

Memilih teknik audit yang tepat


Verifikasi
Observasi/ Cek
Uji/lesl
Pengamat
Fooling
an
Cross
Fooling
Inventarisa / Bukti Bukti Vouching
si/ pengujian p,^ Dokumei Trasir
Opname Scanning
Rekonsilias
Inspeksi i
Bukti audit
V Bukti Bukti yg
diperoleh
permint Keterang Anali
aan an sis
Konfirmas\ Analisis
i \ Evaluasi
Invesligasi
Perminta
Pembanding
an an 31
Keterang
Tahap 2. Penilaian tingkat kematangan risiko tiap.
auditable unit bpkp Skor (0 -
No Uraian 2)
Tujuan organisasi terdokumentasi dan dipahami dengan
1 baik
Manajemen telah memahami risiko dan tanggung jawab atas
2 risiko tersebut
3 Proses identifikasi risiko telah ditetapkan dan dipatuhi
4 Sistem skoring untuk penilaian risiko telah ditetapkan
Seluruh risiko telah dinilai dengan sistem skoring yang telah
5 ditetapkan
6 Respon atas risiko telah ditetapkan dan diimplementasikan

7 Risk appetite telah ditetapkan dengan sistem skoring


Risiko telah dibagi tanggung jawabnya dan
8
didokumentasikan dalam risk register
9 Manajemen telah menetapkan model pemantauan atas
proses, respon dan action plan risiko.
10 Risk register diupdate secara periodik
Manajer melaporkan kepada pimpinan puncak bila terdapat
11
risiko yang belum ditekan pada tingkat yang dapat diterima
Kegiatan yang bersifat proyek/program selalu dinilai
12 risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko
dan mengelolanya termasuk dalam uraian tugas dan
tanggung jawab pegawai.
Tahap 3. Simpulan hasil penilaian level tingkat^

auditable unit dan Update lingkup penugasan

berdampak terhadap lingkup dan waktu


penugasan audit individu
Penilaian atas level risiko > level risiko yang
diharapkan maka penugasan dilanjutkan sesuai
rencana audit
Penilaian atas level risiko < level risiko yang
diharapkan , maka ^ update ruang lingkup dan
waktu penugasan/ menghentikan penugasan ^
CONSULTING
33
Tahap 4. Diskusi dan o
pengendalian
mendapatkan gambaran sistem pengendalian internal
organisasi dari sudut pandang manajemen dan melihat
penerapannya
memberikan disimpulan
lapanganbahwa rancangan pengendalian
telah memadai yaitu mampu mengurangi risiko pada tingkat
yang dapat diterima oleh organisasi
Penekanan pengujian tergantung pada tingkat maturity
level risiko auditable unit
Contoh:

Tujuan tiap auditable Simpulan


Risiko Control
unit auditor
Perencanaan P BJ
Pemborosan uangRencana pengadaanMemadai
> Jumlah pengadaan
karena jumlahdisusun berdasarkan
BJ sesuaipengadaan melebihidaftar kebutuhan barang
kebutuhan yang diusulkan oleh user
kebutuhan
,_- B/J terlambat diadakanPemantauan olehMemadai
oleh rekanan darisupervisi internal secara
deadline kontrak periodik
Tahap 5. Verifikasi dan pengujian
bukti bpkp

memberikan kesimpulan yang menyatakan pengendalian


menitikberatkan
mana yang sudah terhadap pengendalian-pengendalian
berfungsi, mana yang kemungkinanyang akan
mempunyai pengaruh
berfungsi di masa signifikan
datang, terhadap
dan mana yang risiko
tidak melekat
berfungsi
(inherent risk), yaitu yang memiliki control score yang tinggi
tujuan pengujian lebih dirancang untuk membuktikan
keberadaan dan ketepatan operasi pengendalian, bukan
untuk menemukan kesalahan
Contoh:
Risiko Control Pengujian auditor Simpulan auditor
Pemborosan Rencana pengadaanTelusuri daftar kebutuhan Memadai
uang karena disusun berdasarkanbarang dan konfirmasi
jumlah daftar kebutuhankepada user
pengadaan barang yang
melebihi diusulkan oleh user
kebutuhan
B/J terlambat Pemantauan olehCek laporan bulanan Memadai
diadakan oleh supervisi internalsupervisi internal dan
rekanan dari secara periodik konfirmasi pada rekanan 35
pengendalian Sisa risiko setelah
yang diuji manajemen
metode mengambil
pengujian tindakan-tindakan
diambil untuk mengurangi
ukuran
hasil likelihood dan
sampel yang
pengujian dampak yang
simpulan ditimbulkan dari
pengujian sebuah kejadian
untuk
memutakhiran
daftar risiko 36
'

V
respon risiko proses MR

rancangan penerapan
pengendali pengendalian
an
Observation Evaluation and

Formal communication to Operations Complience Financial Reporting


senior management is
necessary to indicate tha
no observations were Classify Each Observation -
identified.
Is the control Is the control
designed operating ineffectively
inadequatelyDetermine
? ?
Impact and
Likelihood of Each Observation,
Observation; a finding, r

determination, or Insignificant More than


magnitude OR Insignificant
judgement derived from remote magnitude AND more
the internal auditors likelihood than remote
Assessment
test results from an likelihood
Insignificant Significant Material
assurance or consulting
38
engagement
Observation Evaluation and Escalation
More than
Insignificant Insignificant
magnitude OR remote magnitude AND
likelihood more than remote
likelihood
Insignificant Assessment
1 -*
1 Significant Material

_1_
No key control No key control involved but
activities adequate compensating
involved controls exist

After all observations have been clssified, the internal audit function must use judgement to determine
if the observations identified, either singularly or in the aggregate, are insignificant, significant, or
material.

XZ
If observations, If observations, If If observations,
either singularly or either singularly observation either singularly or
in the aggregate, or in the s, either in the aggregate,
are assessed aggregate, are singularly are assessed
insignificant with no assessed or in the material,
key control insignificant aggregate, communication will
However, a formal
activities with key control are be formal and need
communication to
compromised, activities assessed to include
senior management
communication compromised significant, management, the
is still necessaryofto
any obeservations but adequate communicat audit committee,
indicate that no
Observation Summary
Condition (facts) = factual evidence and description of
control as they exist (what is). What was found through
testing.
Criteria = standard, measures, expectations, policy, or
procedures used in making the evauatio (what should
exist).
Cause = what allowed or caused the condition to exist
(the why)
Effect = risk or exposure encountered the condition is not
consistent with the criteria (what could go wrong, both
oast and possible future impact). Considers both the
impact (financial, reputational, safety, etc) and the
recommends.
likelihood. This recommendation must reconcile with
management's
Recommendation solution
= as discussed
What during
the internal the function
audit
preliminary communication process.
40
Catatan; obsevation = finding = temuan
UNSUR-UNSUR TEMUAN HASIL AUDIT

KONDISI ^ Fakta
KRITERIA Hal yg harus dipedomani

SEBAB Pelaku yg mendorong Kondisi ^


kriteria
AKIBAT / DAMPAK ^ Pengaruh thd tujuan,
organisasi, atau sth.
REKOMENDASI Menghilangkan penyebab
dan meminimalkan akibat 41
41
THA ; Kondisi ^ Kriteria
Kondisi - Kriteria = Akibat ^ akibat =
temuan
Kondisi - Kriteria = Penyebab
Akibat = Penyebab
Rekomendasi - Penyebab = 0
(menghilangkan penyebab)
Rekomendasi > Akibat
Rekomendasi - Akibat > 0 (meminimalkan
meminimalkan
akibat) outcomeoutput dan
^ menghilangkan
Sesi IV;

PENUTUP

43
43
Pendekatan audit berbasis risiko bukan
berarti menggantikan pendekatan audit
konvensional yang dijalankan oleh lembaga
audit intern (APIP) yang

Pendekatan ini hanya membawa suatu


metodologi audit yang dapat dijalankan oleh
auditor intern dalam pelaksanaan penugasan
auditnya melalui pendekatan dan pemahaman
atas risiko yang harus diantisipasi, dihadapi, atau
dialihkan oleh manajemen guna mencapai
tujuan.
44
sekian
Terima
Kasih

Wth You, We Build Public Trust


45