2
Definisi INTERNAL
AUDIT
3
DEFINISI INTERNAL AUDIT (IPPF)
4
The Core Function of Internal Audit
Assurance &
Watchdog
Consultancy
(Penilaian
(Risk Management,
Independen)
IC & GCG)
6
Assurance dan Consultancy
ASSURANCE
Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan
penilaian independen atas governance, manajemen risiko ,dan proses
pengendalian bagi organisasi.
Salah satu bentuk kegiatan assurance adalah kegiatan Audit dengan
menggunakan metodologi berbasis risiko (Audit Internal Berbasis
Risiko)
CONSULTANCY
Pemberian pelayanan secara profesional oleh internal auditor melalui
evaluasi yang sistematis dan disiplin (konseptual) dari kebijakan,
prosedur dan operasi manajemen yang dijalankan untuk memastikan
tercapainya tujuan organisasi, dan melalui rekomendasi untuk perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat
internal auditor atas manajemen risiko, pengendalian, dan tata kelola
organisasi
8
TUJUAN DAN MANFAAT
AUDIT INTERNAL
BERBASIS RISIKO
9
TUJUAN AIBR
PENGENDALIAN INTERNAL
MERUPAKAN PROSES
MENGELOLA RISIKO
RISIKO MERUPAKAN
PERISTIWA YANG
MENGHAMBAT PENCAPAIAN
TUJUAN
10
Manfaat AIBR
Inherent
Risk
Consequence
Residual
Risk
Risk Appetite
Likelihood
Sumber: Implementing RBIA David Griffith
11
PERBANDINGAN
PENDEKATAN AIBR DENGAN
AUDIT SEBELUMNYA
12
Sebelum Risk Based Audit (1)
13
Sebelum Risk Based Audit (2)
Auditor
Inherent
mempertimbangkan
Risk risiko dari sudut
pandang sendiri
Control Fokus Utama adalah
Risk tujuan audit tercapai
secara efisien
Keterkaitan dengan
Audit Risk tujuan organisasi
secara keseluruhan
14
Risk based internal audit
Policies Audit Reporting
• Dimulai dgn kebijakan dan • Berdasarkan peraturan • Laporan didasarkan pada laporan
prosedur yg disetujui. pengecualian
• Fokus pada kepatuhan dan
• Mempertimbangkan apa yg peraturan • Laporan difokuskan secara
manajemen nyatakan operasional
• Berperan sebagai polisi
seharusnya dilakukan.
• Laporan pada tingkat bawah
• Contoh uji transaksi
• Identifikasi persoalan minor
• Secara historis difokuskan pada
proses keuangan dan akuntansi • Mudah merespon mengenai fokus
pada sistem dan departemen-
• Rekomendasi tidak
departemen tersendiri
mengharuskan tetapi
menyarankan • Konklusi didasarkan pada tingkat
kepatuhan/ operasi dari kontrol
2 Tujuan Audit Memberikan opini terhadap kondisi Melakukan penilaian atas pelaksanaan
apakah risiko telah dikelola sesuai pengendalian intern, peningkatan
dengan tingkat yang dapat diterima efisiensi operasi
3 Program Kerja Audit ditujukan atas risiko Audit berdasar rencana rutin, tidak
Audit Tahunan signifikan mengutamakan pada tingkatan risiko
16
Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
5 Keterlibatan Melibatkan unit auditan pada seluruh Melibatkan hanya sedikit, mungkin pada
Unit Auditan tahapan mulai dari perencanaan s.d saat rencana, dan pada saat akhir audit
pelaksanaan audit, karena auditan untuk menyetujui hasil temuan audit
merupakan pemilik risiko dan saja.
bertanggung jawab atas seluruh risiko
6 Pekerjaan Memastikan bahwa organisasi telah Sesuai dengan program kerja, yang
Lapangan mengidentifikasi semua risikonya dan dimungkinkan tidak jelasnya tujuan
mengendalikan risiko tersebut yang ditetapkan, dan disini hanya
dilakukan pengujian saja.
7 Tujuan Tujuan pengujian pengendalian adalah Tujuan pengujian pengendalian adalah
Pengujian menguji apakah pengendalian risiko menilai apakah pengendalian sudah
sudah dapat memitigasi risiko pada memadai dalam rangka menentukan
tingkat yang dapat diterima. scope/luas pengujian substantif.
17
Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
8 Laporan Memberikan opini kepada manajemen Melaporkan penilaian atas pelaksanaan
Hasil Audit apakah risiko telah dikelola sampai pengendalian intern yang berjalan atau
pada acceptable level, dan dilaporkan tidak. Dalam laporan tidak memberikan
jika tidak. Laporan juga memberikan gambaran indikasi proporsi risiko yang
gambaran indikasi proporsi jumlah telah ditangani.
pengendalian risiko yang sudah dan
belum memitigasi risiko.
9 Rekomendasi Rekomendasi diberikan dalam rangka Rekomendasi dibuat untuk memperbaiki
Audit fungsi internal auditor sebagai temuan kelemahan.
konsultan, namun seluruh tanggung
jawab ada dimanajemen
18
TAHAPAN AIBR
19
Tahapan AIBR
Mgt Risk
Register
Naive Enabled
Assess RM
Maturity
Aware Managed
Defined
Stage 1
Mgt Risk Use
Facilited Risk Register organisation’s
Identification (amanded) Risk
Stage 2
Risk and Audit Audit
Universe Audit Plan Committee
(RAU) Report
Individual Audit
Feedback result
Sumber : David Grifith Risk Based Internal Audit Into RAU
20
Tahapan Audit
Tahap 1 : Penilaian Risk Management Maturity
Tahap 2 : Penyusunan PKPT
Tahap 3 : Penugasan Individual Audit
21
Tahap 1 : Penilaian Risk Management
Maturity
1. Tujuan penilaian tingkat kematangan manajemen
risiko adalah untuk mengidentifikasi tingkat
kematangan penerapan manajemen risiko dan
menentukan kemungkinan dilakukannya AIBR
pada perusahaan
2. Tingkat kematangan manajemen risiko menurut
David Griffiths terdiri dari Risk Naive, Risk Aware,
Risk Defined, Risk Managed, dan Risk Enabled
3. Penilaian dilakukan dengan menggunakan
kuesioner survai tingkat kematangan manajemen
risiko ataupun wawancara dan workshop
22
Metodologi Evaluasi
Evaluasi Pendahuluan dengan
menggunakan Kuesioner Survei Tingkat
Kematangan Manajemen Risiko
Evaluasi Mendalam dengan menggunakan
Scorecard Evaluasi berdasarkan kriteria
dalam framework RM (i.e. ERM COSO)
23
Score Tingkat Kematangan
1 0 Non-existent
2 0 < x ≤ 1.5 Initial
3 1.5 < x ≤ 2.5 Repeatable
4 2.5 < x ≤ 3.5 Defined
6 4.5< x ≤ 5 Optimised
24
Merancang Pendekatan Audit
Risk Pengertian Pendekatan Audit
Maturity
Risk Naive Tidak ada pendekatan formal yang Memperkenalkan manajemen risiko dan audit
dikembangkan dalam pengelolaan risiko didasarkan pada penilaian risiko audit dan atau
Faktor Risiko
Risk Aware Pengembangan manajemen risiko masih Memperkenalkan Manajemen Risiko secara
terpisah-pisah (silo) atau perbagian enterprise-wide dan audit didasarkan atas
penilaian risiko audit dan atau Faktor Risiko
Risk Perusahaan sudah memiliki dan Memfasilitasi dan kerjasama dengan unit
Defined mengkomunikasikan strategi dan kebijakan manajemen risiko dan memanfaatkan hasil risk
serta risk appetite dalam penerapan assessment manajemen jika sudah dipandang
Manajemen Risiko memadai dalam melakukan audit
Risk Perusahaan telah mengembangkan dan Audit proses manajemen risiko dan
Managed mengkomunikasikan manajemen risiko menggunakan hasil asesmen risiko yang sudah
secara enterprises-wide cukup memadai
Risk Manajemen Risiko dan Internal Control Audit proses manajemen risiko dan
Enabled sudah menyatu dalam seluruh operasi menggunakan hasil asesmen risiko yang sudah
cukup memadai
25
Risk Maturity
• Provide consultation on Risk Management Framework
Risk Naive • Fasilitasi Identifikasi Risiko
• Audit Planning Berbasis Risiko
Risk Maturity
1 2 3 4 5
Consulting Assurance
AUDIT INTERNAL
28
Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control Monitoring Audit Approach
Assurance
Manajemen memonitor bahwa semua
Semua risiko telah teridentifikasi dan
respon dilakukan secara tepat.
dinilai.
Hampir Semua manajer memberikan
Managed Adanya Reviu risiko secara teratur
jaminan terhadap efektivitas manajemen
Respon telah sesuai untuk mengelola
risiko dan penilaian kinerja manajemen
risiko
risiko
29
Pendekatan AIBR berdasar Risk
Maturity
Untuk perusahaan dengan maturity level
penerapan manajemen risiko pada tingkat
“Naive” & “Aware” penentuan auditable unit
menggunakan Faktor Risiko
Untuk perusahaan dengan maturity level
penerapan manajemen risiko pada tingkat
maturity level “Enabled” dan “Managed”
penentuan auditable unit menggunakan Risk
Register
30
Tahap 2:
PERENCANAAN AUDIT
31
Penyusunan PKPT/Annual Audit Plan
ML Ya Scoring Auditable
Naive, Penyusunan Menyusun
Aware, Risk Unit
Faktor Risiko PKPT
Defined Factor (ULA)
Tidak
Identifikasi Auditable
Grouping Menyusun
Risiko oleh A/I Filtering RR Unit
RR PKPT
dgn UPR (ULA)
32
LANGKAH
PERENCANAAN AUDIT
33
1. Pengembangan Audit
Universe
(Daftar Unit–unit Auditee)
34
Identifikasi
Pertimbangan dalam penetapan Audit Universe
Sumbangan terhadap tujuan program, atau concern perusahaan dan
stakeholders lainnya.
Cukup Besar
Cukup Penting
Bahan untuk pertimbangan penetapan Audit Universe :
Dokumen Perencanaan,
Struktur Organisasi,
Statistik Daerah/Nasional,
Diskusi dengan Pihak Eksekutif,
Peraturan yang berkenaan dengan pembentukan unit,
Peraturan perundang – undangan dari Kementerian BUMN,
Brainstorming dan lain sebagainya
35
Contoh Audit Universe
Nomor Nama Audit Unit
100 Kantor Pusat
101 Direktorat Akuntansi dan Keuangan
102 Direktorat Umum
103 Ditektorat SDM
200 Cabang
201 Cabang A
202 Cabang B
203 Cabang C
300 Unit Operational
301 Unit Operational A
302 Unit Operational B
400 Rumah Sakit
401 Rumah Sakit A
402 Rumah Sakit B
36
Penetapan Faktor Risiko
RISK REGISTER
37
Penentuan Unit Layak Audit (ULA)
dengan Faktor Risiko
Obyek audit dalam Audit Universe
selanjutnya akan diskor dan diurutkan
rangkingnya.
Audit Intern akan menetapkan obyek
audit dengan skor di atas nilai tertentu
yang akan diprioritaskan dan dipilih
sebagai Unit Layak Audit.
38
MENIMBANG FAKTOR RISIKO
1 2 3
Pilih Faktor-Faktor Evaluasi Setiap
Pilih Skala untuk
Risiko yang Cocok Komponen dan
Mulai Merepresentasikan
dengan Kegiatan Tentukan Skor dari
Kekuatan/Kelemahan
Operasi Skala yang Dipilih
Selesai 5 4
Jumlahkan Skor (#5) Kembangkan Bobot
Kalikan Skor Faktor
setiap Komponen untuk Setiap Faktor
(#3) dengan
untuk mendapatkan Risiko berdasarkan
Bobot (#4)
Risiko Total Dampaknya
39
CONTOH FAKTOR RISIKO
1 Kualitas Internal Kontrol 11 System Komputer
2 Kompetensi Manajemen 12 Audit Terakhir
3 Integritas Manajemen 13 Tekanan dari manajemen
4 Ukuran unit (Rp) 14 Hubungan dg pemerintah
5 Perubahan Sistem 15 Tingkat Moral karyawan
Akuntansi
6 Kompleksitas Operasi 16 Rencana Audit dari
Auditor eksternal
7 Likuiditas Aset 17 Faktor Politis
8 Perubahan Personil Kunci 18 Kebutuhan independensi
9 Kondisi ekonomi unit 19 Jarak dari Kantor Pusat
10 Pertumbuhan yang Pesat
40
Contoh :
41
Penentuan Score
Asumsi diambil 4 Faktor Risiko
Faktor Risiko Score Faktor Risiko Score
42
Contoh Hasil Skor Faktor Risiko
TEMUAN
INTERNAL DANA YANG KOMPETENSI
AUDITEE
CONTROL DIKELOLA PIMPINAN
AUDIT JUMLAH
SEBELUMNYA
Bagian A 2 2 3 2 9
Bagian B 4 5 3 3 15
Bagian C 3 3 4 4 14
Bagian D 4 2 3 2 11
Bagian E 5 5 1 2 13
62
43
Rangking Audit Unit
Rangking Audit Unit disusun berdasarkan audit unit yang
mempunyai risiko paling tinggi sampai rendah, dari contoh di atas
adalah sebagai berikut :
1. Bagian B 15
2. Bagian C 14
3. Bagian E 13
4. Bagian D 11
5. Bagian A 9
62
44
Contoh Hasil Assessment
INTERNAL DANA YANG PERPUTARAN AUDIT
AUDITEE JUMLAH
CONTROL DIKELOLA PIMPINAN SBLMNYA
CABANG A 3 3 4 4 14
UNIT
OPERATIONAL 4 5 3 3 15
A
CABANG B 2 2 3 2 9
RUMAH SAKIT A 4 2 3 2 11
DIV. AKUNTANSI
& KUANGAN
5 5 1 2 13
45
Penentuan ULA dengan Register
Risiko
Register Risiko merupakan daftar yang dibuat
oleh manajemen yang berisi seluruh risiko-
risiko yang teridentifikasi yang berpotensi
menghambat pencapaian tujuan organisasi,
pengendalian yang sudah dilakukan, ukuran
kemungkinan terjadi dan dampaknya, serta
pemilik risikonya.
Register Risiko yang dipakai adalah Register
Risiko yang validitasnya telah ditentukan pada
tahap evaluasi Maturity Level.
46
Penentuan ULA dengan Control
Score Register Risiko
Tahapan:
Melakukan penyaringan (filtering) risiko
Menghubungkan risiko dengan Audit
Universe
47
Proses Filtering Risiko
Risk Register
Audited Risk on Which
Risk Within the Risk
X Appetite
assurance is
provided by others
X
Filter Risk
Risk not Requiring
Risks Which will be
X an audit in this
period Risk on Which
tolerated X
assurance is
required √
Assign Risk to
Audit
Allocate
resources to
audits
Audit
Audit Plan Committee
Report
48
Filtering/Penyaringan Risiko
Penyaringan risiko dilakukan untuk
menentukan risiko-risiko yang akan
ditindaklanjuti dengan audit, dengan
mengeluarkan risiko-risiko tertentu dari
daftar Register Risiko.
49
Penyaringan Risiko
Risiko-risiko tertentu yang tidak perlu diaudit:
Risiko yang skornya berada di bawah batas risk
appetite.
Risiko yang akan diaudit oleh pihak ketiga,
misalnya risiko keselamatan penerbangan yang
akan diaudit oleh regulator safety IOSA, atau risiko
kandungan bakteri dalam produk susu yang
diaudit oleh BPOM.
Risiko yang ditransfer kepada pihak lain, misalnya
risiko tersebut telah diasuransikan.
Risiko yang dikelola dalam batas risk appetite, dan
sudah dibuktikan dari hasil audit sebelumnya.
50
Penyaringan Risiko
Risiko-risikoyang tersisa setelah
dilakukan proses penyaringan adalah risiko
yang memerlukan assurance dan menjadi
dasar dilakukannya penyusunan Audit Plan
(PKPT).
51
Menghubungkan Risiko dengan Audit
Universe
Risiko-risikoyang tersisa dari hasil
penyaringan, selanjutnya dikelompokkan
menurut bisnis unit atau proses.
Kelompok risiko-risiko tersebut kemudian
dihubungkan dengan Audit Universe.
Misalnya:
Risiko piutang tak tertagih, maka yang akan
diaudit (ULA) adalah Bagian Penagihan Piutang,
Siklus Pendapatan, atau Pos/Rekening Piutang.
Risiko mesin pabrik shut-down, maka yang akan
diaudit adalah Bagian Teknik, siklus produksi, atau
Pos/Rekening Aktiva Tetap – Mesin Pabrik.
52
2. Penentuan Kebijakan
Penilaian dan Frekuensi Audit
53
Penentuan Kebijakan Penilaian dan
Frekuensi Audit
54
Rencana dan Jadwal Audit
Berdasarkan contoh penilaian atas risiko unit audit,
diasumsikan :
◦ Jumlah orang–hari yang tersedia = 50 hari
◦ Waktu yang diperlukan untuk mengaudit
Bagian B = 20 hari
Bagian C = 15 hari
Bagian E = 15 hari
Bagian D = 15 hari
Bagian A = 15 hari
Jumlah = 80 hari
55
Audit Terhadap Semua Unit
Auditee
Alokasi waktunya disesuaikan dengan proporsi masing–
masing score dengan total seluruh score. Apabila hari
yg tersedia 80 maka, perhitungannya adalah sbb:
Hari
Score % Score
Auditee Pemeriksaan
Risiko Risiko
(% x 80 hari)
Bagian B 15 24 % (15/62) 19
Bagian C 14 23% (14/62) 18
Bagian E 13 21% (13/62) 17
Bagian D 11 18% (11/62) 14
Bagian A 9 15% (9/62) 12
Jumlah 62 80
56
Audit Terhadap Semua Unit
Auditee
Apabila hari yg tersedia 50 maka, perhitungannya
adalah sbb:
Hari
Score % Score
Auditee Pemeriksaan
Risiko Risiko
(% x 50 hari)
Bagian B 15 24 % (15/62) 12
57
Audit Atas Sebagian Unit Auditee
58
Audit atas Sebagian Unit
Auditee (Cont)
Untuk mengatasi kelemahan, jika unit yang akan diaudit
sangat banyak, sedangkan sumber daya sangat terbatas,
maka langkah yang harus diambil adalah :
Golongan unit yang diaudit dalam kategori resiko tinggi, sedang
dan rendah
Pergunakan rumus matematis untuk melakukan perencanaan
audit tahunan yaitu :
H + M/2 + L/3 dimana :
H= auditable unit dengan risiko tinggi dijadualkan
untuk diperiksa setiap tahun sekali.
M= auditable unit dengan risiko sedang dijadualkan
untuk diperiksa setiap dua tahun sekali.
L = auditable unit dengan risiko rendah diperiksa setiap
tiga tahun sekali.
59
Contoh :
Risiko Tinggi Risiko Sedang Risiko Rendah
Unit A, unit D, unit F, Unit C dan unit E Unit B, unit G, unit I
unit H
60
Risk-Based Internal Audit Planning
Annual Planning
Audit
Database
Start
Dratt
Rencana Persetujuan
Pleno
IA Rencana IA End
pembahasan
Tahunan Tahunan
63
Contoh Alokasi SDA
Jumlah Hari Kerja Selama Setahun Hari
Hari Tersedia selama setahun 365
Weekends (104)
Holidays (8)
Cuti (12)
Training (6)
Sick Leave (3)
Jumlah Hari tersedia untuk setiap auditor 232
65
Risk-Based Internal Audit Planning
Engagement Planning and Performance
Start
Risk
Pemahaman Tersedia Minta risk Profile Risk Yes Tetapkan
Tujuan dan risk profile ke auditable Profil Prioritas
proses AU profile? Yes RM/ Auditee unit andal? area audit
No
No Lakukan
micro risk Lakukan
Evaluasi
assessment analytical
inherent risk
procedure
Terbitkan 66
End
laporan audit
Tahap III : Penugasan Individual Audit
Start Pemahaman Penilaian risiko
proses residual
Evaluasi pelaksanaan
Pemahaman bisnis Finish
pengendalian risiko
67
Tahapan Pelaksanaan AIBR
Tahapan pelaksanaan AIBR untuk individual audit
terdiri dari:
1. Memperoleh latar belakang auditan
2. Pemahaman proses bisnis
3. Pemahaman risiko dalam proses bisnis
4. Evaluasi efektifitas rancangan pengendalian risiko
5. Evaluasi efektivitas pelaksanaan pengendalian risiko
6. Penilaian risiko residual
7. Identifikasi isu-isu utama
8. Penyusunan Laporan Hasil Audit
68
PROSES RISK ASSESSMENT
1. Menetapkan tujuan unit
2. Menetapkan aktivitas utama pendukung tujuan
3. Mengidentifikasi segala hal yang dapat
menghambat pencapaian tujuan unit (What
Can Go Wrong Analysis / WcGW)
4. Menetapkan besaran kemungkinan terjadinya
(likelihood) dan dampaknya (Consequency)
5. Tuangkan dalam daftar risiko
PROSES RISK ASSESSMENT
(lanjutan)
6. Hitung skor untuk masing-masing risiko
7. Tuangkan dalam peta risiko
8. Identifikasi risiko signifikan
9. Pertimbangkan risk appetite dan risk tolerance
10. Identifikasi Control yang sudah ada
11. Tetapkan risiko residual
12. Hitung skor risiko residual
13. Tetapkan action plan dan Penaggung Jawab (PIC)
Kategori Likelihood Risiko
1. Sasaran Strategis
2. Revenue Perusahaan
3. Biaya Perusahaan
4. Arus Kas Perusahaan
5. Waktu pelaksanaan aktivitas
6. Kualitas produk/ jasa yang diberikan Perusahaan
7. Harta fisik Perusahaan
8. Human Capital
9. Reputasi Perusahaan di mata stakeholders
Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO
78
Sebelum atau Sesudah
adanya Internal Control?
Risiko idealnya diukur baik sebelum maupun
sesudah dietapkannya suatu respon atas risiko
tersebut
1.Skor Risiko Inheren diukur dengan meng-
assess kemungkinan terjadinya serta besaran
dampaknya sebelum internal control apapun
diterapkan
2.Skor Risiko Residual diukur dengan
mengassess kemungkinan terjadi dan besaran
dampaknya setelah suatu control ditetapkan
To Sum Up : RBIA AAP Procedures
1. Buat daftar “Auditable Unit”;
2. Sepakati dan tetapkan “Faktor Risiko” yang akan digunakan untuk
menimbang bobot dan skor risiko masing-masing Auditable Unit;
3. Faktor risiko: waktu audit terakhir, jumlah temuan audit, nilai temuan
audit, jumlah dan nilai temuan yang ditindaklanjuti, target revenue tahun
ini, anggaran kapex dan opex tahun ini, nilai asset yang dikelola, dan
sebagainya;
4. Buat Matriks menggunakan spreadsheet dengan baris untuk Auditable
Unit dan kolom untuk Faktor Risiko, kemudian isi seluruh field matriks
dengan data yang tersedia;
5. Buat skala ukuran faktor risiko 1 – 5 untuk masing-masing faktor risiko
6. Lakukan penilaian dan jumlahkan total skor faktor risiko masing-masing
auditable unit
80
Prasyarat penerapan RBIA
Direksi telah menetapkan kebijakan-kebijakan terkait internal
control
Direksi dan Komisaris telah menyepakati risk apetite
Manajemen telah mendapatkan pelatihan cukup untuk
mengidentifikasi dan mengevaluasi risiko serta mendesain,
mengoperasikan, dan memonitor sistem pengendalian internal yang
diterapkan berdasar kebijakan Direksi
81
Agar Pelaksanaan RBIA Efektif
Direksi dan seluruh jajaran manajemen telah mengidentifikasi dan
meng-assess risiko yang mengancam pencapaian tujuan organisasi
dan membangun sistem pengendalian intern atau respon lainnya
yang sesuai untuk mengurangi ancaman hingga dibawah tingkat risk
appetpetite atau melaporkan ke Komisaris bila hal tersebut tidak
mungkin dilakukan
Risiko inheren dicatat dan dinilai (assess) sedemikian sehingga dapat
ditetapkan peringkatnya berdasar derajat ancaman (threat)
Direksi dan Komisaris menetapkan risk appetite sedemikian
sehingga mudah mengidentifikasi apakah suatu risiko ada di atas
atau di bawah risk appetite
Tanggung jawab untuk memberikan assurance atas framework
manajemen risiko ditetapkan termasuk tanggung jawab manajemen,
auditor eksternal, auditor internal, dan fungsi lain seperti keuangan,
Teknik, dll
82
HAL-hal yang perlu dipertimbangkan oleh Kepala SPI (Head
of Internal Audit) dalam penerapan RBIA
Sejauh mana direksi dan manajemen menetapkan, mengassess, dan
memantau risiko (The risk maturity of the organisation)
Keberadaan register risiko (profil risiko) yang memuat daftar semua
risiko significant dan sejauh mana dapat diandalkan sebagai dasar
penyusunan audit planning
Kompilasi dari suatu audit universe yang memuat daftar kegiatan
audit yang ditujukan untuk menyediakan assurance bahwa semua
risiko inheren yang melewati (di atas) risk appetite telah dikelola
dengan tepat
Pelaksanaan audit individual yang menyimpulkan apakah risiko
inheren yang berada diatas risk appetite telah dikendalikan sehingga
berada dalam batas risk appetite
83
Terima Kasih
84