OVERVIU

AUDIT INTERNAL BERBASIS

RISIKO (AIBR)

Ciawi, 12 Oktober 2018

AGENDA
1. Definisi Internal Audit
2. Tujuan, dan Manfaat AIBR
3. Perbandingan Pendekatan AIBR dengan
Audit Sebelumnya
4. Tahapan AIBR

2
Definisi INTERNAL AUDIT

3
DEFINISI INTERNAL AUDIT (IPPF)

 Kegiatan assurance dan konsultasi yang

independen dan obyektif yang dirancang untuk
memberi nilai tambah dan peningkatan operasi
suatu organisasi,
 Fungsi Internal Audit membantu organisasi
mencapai tujuannya melalui pendekatan sistematis
dan terstruktur untuk mengevaluasi dan
meningkatkan efektifitas manajemen risiko,
pengendalian (control) dan proses tata kelola
perusahaan (corporate governance).

4
The Core Function of Internal
Audit

5
Sumber : Standar IIA
Pergeseran Fungsi Internal
Audit

6
Assurance dan Consultancy
 ASSURANCE
Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan
penilaian independen atas governance, manajemen risiko ,dan proses
pengendalian bagi organisasi.
Salah satu bentuk kegiatan assurance adalah kegiatan Audit dengan
menggunakan metodologi berbasis risiko (Audit Internal Berbasis
Risiko)

 CONSULTANCY
Pemberian pelayanan secara profesional oleh internal auditor melalui
evaluasi yang sistematis dan disiplin (konseptual) dari kebijakan,
prosedur dan operasi manajemen yang dijalankan untuk memastikan
tercapainya tujuan organisasi, dan melalui rekomendasi untuk
perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat internal
auditor atas manajemen risiko, pengendalian, dan tata kelola
organisasi

SOURCE: ISSPIA GLOSSARY

7
Definisi Audit Internal Berbasis
Risiko
Metodologi audit yang dilakukan oleh Auditor
Internal untuk memberikan suatu opini yang
independen dan obyektif kepada manajemen
organisasi apakah risiko-risiko yang dikelola
oleh manajemen telah berada pada tingkat yang
dapat diterima

8
TUJUAN DAN MANFAAT
AUDIT INTERNAL
BERBASIS RISIKO

9
 TUJUAN AIBR

FUNGSI INTERNAL AUDIT MEMBERIKAN

MANAJEMEN ORGANISASI OPINI OBYEKTIF DAN INDEPENDEN PADA
MEMILIKI TUJUAN MANAJEMEN ORGANISASI APAKAH RISIKO
TELAH DIKELOLA PADA TINGKAT YANG
DAPAT DITERIMA

TUJUAN UTAMA DARI FUNGSI INTERNAL

TUJUAN AUDIT ADALAH MEMBANTU ORGANISASI
MENCAPAI TUJUAN

PENGENDALIAN INTERNAL
MERUPAKAN PROSES
MENGELOLA RISIKO

RISIKO MERUPAKAN
PERISTIWA YANG
MENGHAMBAT PENCAPAIAN
TUJUAN

10
 Manfaat AIBR
Inherent
Risk

RBIA Provides
Consequence

Control Assurance that these

controls are operating
effectively

Residual
Risk
Risk Appetite

Likelihood
Sumber: Implementing RBIA David Griffith
11
PERBANDINGAN
PENDEKATAN AIBR DENGAN
AUDIT SEBELUMNYA

12
Sebelum Risk Based Audit (1)

13
Sebelum Risk Based Audit (2)
Auditor
mempertimbangkan
risiko dari sudut
pandang sendiri
Fokus Utama adalah
tujuan audit tercapai
secara efisien
Keterkaitan dengan
tujuan organisasi
secara keseluruhan
14
 Risk based internal audit
Policies
• Dimulai dgn kebijakan dan
prosedur yg disetujui.
• Mempertimbangkan apa yg
manajemen nyatakan
seharusnya dilakukan.
di t
n al A u
na l Inter
itio
Trad
Objectives
• Mulai dengan objektif yang telah
ditetapkan.
• Jika objektifnya tidak ada maka
bisa membuat objektif sendiri
sebagai bahan pertimbangan
audit
• Peranan audit mendukung objekif
bukan bertentangan
• Objektifnya harus mencakup
sistem, proses dan departemen
na l Audit
nte r
ased I
Ri sk B
Audit
• Berdasarkan peraturan
• Fokus pada kepatuhan dan
peraturan
• Berperan sebagai polisi
• Contoh uji transaksi
• Secara historis difokuskan pada
proses keuangan dan akuntansi
• Rekomendasi tidak
mengharuskan tetapi
menyarankan
Risks
• Mempertimbangkan risiko
signifikan perusahaan di masa
depan
• Monitoring risk response
• Berperan sbg konsultan internal
dan katalis
• Audit merekomendasikan
pemecahan masalah
• Melakukan penilaian risiko dari
risk register dan skoring risiko
Reporting
• Laporan didasarkan pada laporan
pengecualian
• Laporan difokuskan secara
operasional
• Laporan pada tingkat bawah
• Identifikasi persoalan minor
• Mudah merespon mengenai fokus
pada sistem dan departemen-
departemen tersendiri
• Konklusi didasarkan pada tingkat
kepatuhan/ operasi dari kontrol
Audit Reporting
• Audit bekerja mempertimbangkan risiko dan
akan melihat kontrol yang diharapkan/
• Risiko diprioritaskan pada tingkat
tindakan mitigasi strategik dan operasional
penting.
• Pekerjaan akan mengikuti profil risiko, bila
suatu risiko di kelola melalui beberapa
• Kualitatif dan penilaian
departemen, audit akan mempertimbangkan
profesional dipakai untuk
pemeringkatan dan kesimpulan
bagaimana menilai dan bekerja melalui
risiko
departemen-departemen tersebut
• Audit adalah kualitatif dan didasarkan pada • Laporan menjadi suatu dialog
dan didiskusikan dengan
penilaian profesional.
manajemen
• Audit mencakup seluruh proses dan sistem
yang terdapat di institusi tersebut
• Rekomendasi bukan resep tetapi
adalah saran
• Audit bukan hanya menanyakan apakah
perusahaan melakukan sesuatu dgn benar
(kepatuhan/pengendalian operasi) ,tapi juga 15
apakah melakukan sesuatu dengan tepat
(efektifitas/desain kontrol).
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Audit Internal Berbasis
No Proses Audit Metodologi Audit Sebelumnya
Risiko
1 Audit Universe Semua kegiatan dan proses bisnis Terutama area yang menyangkut
keuangan tetapi juga termasuk ketaatan
terhadap peraturan dan perundangan
dan operasi

2 Tujuan Audit Memberikan opini terhadap kondisi Melakukan penilaian atas pelaksanaan
apakah risiko telah dikelola sesuai pengendalian intern, peningkatan
dengan tingkat yang dapat diterima efisiensi operasi

3 Program Kerja Audit ditujukan atas risiko Audit berdasar rencana rutin, tidak
Audit Tahunan signifikan mengutamakan pada tingkatan risiko

4 Jenis Audit Audit terhadap proses bisnis Membedakan antara keuangan,

berjalan operasional, ketaatan dan yang lainnya

16
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
5 Keterlibatan Melibatkan unit auditan pada seluruh Melibatkan hanya sedikit, mungkin
Unit Auditan tahapan mulai dari perencanaan s.d pada saat rencana, dan pada saat akhir
pelaksanaan audit, karena auditan audit untuk menyetujui hasil temuan
merupakan pemilik risiko dan audit saja.
bertanggung jawab atas seluruh risiko
6 Pekerjaan Memastikan bahwa organisasi telah Sesuai dengan program kerja, yang
Lapangan mengidentifikasi semua risikonya dan dimungkinkan tidak jelasnya tujuan
mengendalikan risiko tersebut yang ditetapkan, dan disini hanya
dilakukan pengujian saja.
7 Tujuan Tujuan pengujian pengendalian adalah Tujuan pengujian pengendalian adalah
Pengujian menguji apakah pengendalian risiko menilai apakah pengendalian sudah
sudah dapat memitigasi risiko pada memadai dalam rangka menentukan
tingkat yang dapat diterima. scope/luas pengujian substantif.

17
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
8 Laporan Memberikan opini kepada Melaporkan penilaian atas pelaksanaan
Hasil Audit manajemen apakah risiko telah pengendalian intern yang berjalan atau
dikelola sampai pada acceptable tidak. Dalam laporan tidak memberikan
level, dan dilaporkan jika tidak. gambaran indikasi proporsi risiko yang
Laporan juga memberikan gambaran telah ditangani.
indikasi proporsi jumlah pengendalian
risiko yang sudah dan belum
memitigasi risiko.
9 Rekomendasi Rekomendasi diberikan dalam rangka Rekomendasi dibuat untuk
Audit fungsi internal auditor sebagai memperbaiki temuan kelemahan.
konsultan, namun seluruh tanggung
jawab ada dimanajemen

18
TAHAPAN AIBR

19
Tahapan AIBR
Mgt Risk
Register
Naive Enabled
Assess RM
Maturity
Aware Managed

Defined
Stage 1
Mgt Risk Use
Facilited Risk Register organisation’s
Identification (amanded) Risk

Audit Universe Assign Risk to

Audit

Stage 2
Risk and Audit
Audit Committee
Universe Audit Plan
Report
(RAU)

Individual Audit

Audit Report Stage 3

Feedback result
Sumber : David Grifith Risk Based Internal Audit Into RAU
20
Tahapan Audit
 Tahap 1 : Penilaian Risk Management
Maturity
 Tahap 2 : Penyusunan PKPT
 Tahap 3 : Penugasan Individual Audit

21
 Tahap 1 : Penilaian Risk Management
Maturity
1. Tujuan penilaian tingkat kematangan manajemen
risiko adalah untuk mengidentifikasi tingkat
kematangan penerapan manajemen risiko dan
menentukan kemungkinan dilakukannya AIBR pada
perusahaan
2. Tingkat kematangan manajemen risiko menurut
David Griffiths terdiri dari Risk Naive, Risk Aware,
Risk Defined, Risk Managed, dan Risk Enabled
3. Penilaian dilakukan dengan menggunakan kuesioner
survai tingkat kematangan manajemen risiko
ataupun wawancara dan workshop
22
Metodologi Evaluasi
Evaluasi Pendahuluan dengan
menggunakan Kuesioner Survei Tingkat
Kematangan Manajemen Risiko
Evaluasi Mendalam dengan
menggunakan Scorecard Evaluasi
berdasarkan kriteria dalam framework
RM (i.e. ERM COSO)

23
 Score Tingkat Kematangan

No Nilai Capaian Tingkat Kematangan

1 0 Non-existent
2 0 < x ≤ 1.5 Initial
3 1.5 < x ≤ 2.5 Repeatable
4 2.5 < x ≤ 3.5 Defined

5 3.5< x ≤ 4.5 Managed

6 4.5< x ≤ 5 Optimised

24
 Merancang Pendekatan Audit
Risk Pengertian
Maturity
Risk Naive Tidak ada pendekatan formal yang
dikembangkan dalam pengelolaan risiko
Risk Aware Pengembangan manajemen risiko masih
terpisah-pisah (silo) atau perbagian
Risk Perusahaan sudah memiliki dan
Defined mengkomunikasikan strategi dan kebijakan
serta risk appetite dalam penerapan
Manajemen Risiko
Risk Perusahaan telah mengembangkan dan
Managed mengkomunikasikan manajemen risiko
secara enterprises-wide
Risk Manajemen Risiko dan Internal Control
Enabled sudah menyatu dalam seluruh operasi
Pendekatan Audit
Memperkenalkan manajemen risiko dan audit
didasarkan pada penilaian risiko audit dan
atau Faktor Risiko
Memperkenalkan Manajemen Risiko secara
enterprise-wide dan audit didasarkan atas
penilaian risiko audit dan atau Faktor Risiko
Memfasilitasi dan kerjasama dengan unit
manajemen risiko dan memanfaatkan hasil risk
assessment manajemen jika sudah dipandang
memadai dalam melakukan audit
Audit proses manajemen risiko dan
menggunakan hasil asesmen risiko yang sudah
cukup memadai
Audit proses manajemen risiko dan
menggunakan hasil asesmen risiko yang sudah
cukup memadai
25
Risk Maturity

26
 Internal Audit’s Role

Legitimate internal audit

roles with safeguards
Roles internal
Core risk-based audit should
Maintaining & developing the ERM framework
internal audit not undertake
roles Central co-ordinating point for ERM Consolidated reporting on risks

Developing risk management

Championing establishment of ERM
strategy for board approval

Giving advice on managing risks

Facilitating risk responses
Reviewing the management of key risks
Evaluating risk management reporting
Setting risk appetite
Imposing risk management processes
Management assurance on risks
Taking decisions on risk responses

Giving assurance that risks assessed appropriately Implementing risk responses

Giving assurance on risk management processes Accountability for risk management

27
 TINGKAT KEMATANGAN PENERAPAN
MANAJEMEN RISIKO VS PERAN AUDIT INTERNAL

Risk Maturity

Naive Aware Defined Managed Enabled

1 2 3 4 5

Consulting Assurance

AUDIT INTERNAL

28
 Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control
Semua risiko telah teridentifikasi dan
dinilai.
Enabled Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Semua risiko telah teridentifikasi dan
dinilai.
Managed Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Sebagian besar risiko telah
teridentifikasi dan dinilai.
Defined Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Terdapat pengendalian tetapi tidak
Aware terkait dengan risiko
Terdapat pengendalian tetapi bebarapa
Naive pengendalian tidak ada atau tidak
lengkap
Monitoring Audit Approach
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Semua manajer memberikan jaminan
terhadap efektivitas manajemen risiko
dan penilaian kinerja manajemen risiko
Assurance
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Hampir Semua manajer memberikan
jaminan terhadap efektivitas manajemen
risiko dan penilaian kinerja manajemen
risiko
Beberapa bagian Manajemen Assurance
memonitor bahwa semua respon
dilakukan secara tepat
Consultancy
Sedikit atau kurang adanya monitoring Tidak dapat dilakukan RBIA. Maka
audit menggunakan pendekatan
konsultasi untuk memperkenalkan
RM hingga tercapainya Defined.
Maka perlu dikembangkan Audit
Sangat kecil monitoring, jika adapun
sangat lemah
dengan Faktor Risiko
29
Pendekatan AIBR berdasar Risk
Maturity
Untuk perusahaan dengan maturity level
penerapan manajemen risiko pada tingkat
“Naive” & “Aware” penentuan auditable unit
menggunakan Faktor Risiko
Untuk perusahaan dengan maturity level
penerapan manajemen risiko pada tingkat
maturity level “Enabled” dan “Managed”
penentuan auditable unit menggunakan Risk
Register

30
Tahap 2: PERENCANAAN
AUDIT

31
 Penyusunan PKPT/Annual Audit Plan

Start ML : Maturity Level

RM : Risk management
RR : Risk Register
Menilai ML UPR : Unit Pemilik Risiko
RM ULA : Unit Layak Audit

ML Ya Scoring Auditabl
Naive, Penyusunan Menyusun
Aware, Risk e Unit
Faktor Risiko PKPT
Defined Factor (ULA)

Tidak

Identifikasi Auditable
Grouping Menyusun
Risiko oleh A/I Filtering RR Unit
RR PKPT
dgn UPR (ULA)

32
 LANGKAH
PERENCANAAN AUDIT

- Pengembangan audit universe (daftar unit-unit auditee)

 Identifikasi
 Penentuan faktor–faktor Risiko
 Penilaian Nilai Risiko Global
- Penentuan kebijakan penilaian dan frekuensi audit
- Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran)

33
 1. Pengembangan Audit
Universe
(Daftar Unit–unit Auditee)

34
 Identifikasi
 Pertimbangan dalam penetapan Audit Universe
Sumbangan terhadap tujuan program, atau concern perusahaan dan
stakeholders lainnya.
 Cukup Besar
 Cukup Penting
 Bahan untuk pertimbangan penetapan Audit Universe :
 Dokumen Perencanaan,
 Struktur Organisasi,
 Statistik Daerah/Nasional,
 Diskusi dengan Pihak Eksekutif,
 Peraturan yang berkenaan dengan pembentukan unit,
 Peraturan perundang – undangan dari Kementerian BUMN,
 Brainstorming dan lain sebagainya

35
Contoh Audit Universe
Nomor Nama Audit Unit
100 Kantor Pusat
101 Direktorat Akuntansi dan Keuangan
102 Direktorat Umum
103 Ditektorat SDM
200 Cabang
201 Cabang A
202 Cabang B
203 Cabang C
300 Unit Operational
301 Unit Operational A
302 Unit Operational B
400 Rumah Sakit
401 Rumah Sakit A
402 Rumah Sakit B
36
 Penetapan Faktor Risiko

Faktor Risiko adalah kriteria (kategori atau faktor) yang

digunakan untuk menggambarkan kondisi risiko yang
ada dalam suatu unit audit.

RISK REGISTER

37
Penentuan Unit Layak Audit (ULA)
dengan Faktor Risiko
Obyek audit dalam Audit Universe
selanjutnya akan diskor dan diurutkan
rangkingnya.
Audit Intern akan menetapkan obyek
audit dengan skor di atas nilai tertentu
yang akan diprioritaskan dan dipilih
sebagai Unit Layak Audit.

38
MENIMBANG FAKTOR RISIKO

1 2 3
Pilih Faktor-Faktor Evaluasi Setiap
Pilih Skala untuk
Risiko yang Cocok Komponen dan
Mulai Merepresentasikan
dengan Kegiatan Tentukan Skor dari
Kekuatan/Kelemahan
Operasi Skala yang Dipilih

Selesai 5 4
Jumlahkan Skor(#5) Kembangkan Bobot
Kalikan Skor Faktor
setiap Komponen untuk Setiap Faktor
(#3) dengan
untuk mendapatkan Risiko berdasarkan
Bobot (#4)
Risiko Total Dampaknya

Menggunakan dan Menimbang Faktor

-Faktor Risiko

39
 CONTOH FAKTOR RISIKO
1 Kualitas Internal Kontrol 11 System Komputer
2 Kompetensi Manajemen 12 Audit Terakhir
3 Integritas Manajemen 13 Tekanan dari manajemen
4 Ukuran unit (Rp) 14 Hubungan dg pemerintah
5 Perubahan Sistem 15 Tingkat Moral karyawan
Akuntansi
6 Kompleksitas Operasi 16 Rencana Audit dari
Auditor eksternal
7 Likuiditas Aset 17 Faktor Politis
8 Perubahan Personil Kunci 18 Kebutuhan independensi
9 Kondisi ekonomi unit 19 Jarak dari Kantor Pusat
10 Pertumbuhan yang Pesat
40
Contoh :

Asumsi organisasi memiliki:

5 Unit Entity, yaitu :

−Bagian A
−Bagian B
−Bagian C
−Bagian D, dan
−Bagian E

41
Penentuan Score
Asumsi diambil 4 Faktor Risiko
Faktor Risiko Score Faktor Risiko Score

Dana yang dikelola Kompetensi & Integritas Pimpinan Unit

Dibawah 1 Milyar 1 Sangat Kompeten 1

1 milyar – 5milyar 2 Kompeten 2
5 milyar – 25 milyar rp 3 Sedang 3
25 milyar – 50 milyar 4 Kurang Kompeten 4
Diatas Rp 50 milyar 5 Tidak Kompeten 5
Jumlah Temuan Audit sebelumnya Kondisi Internal Control

0 sampai 1 1 Baiksekali (tidak ada cttn penting) 1

2 sampai 3 2 Baik (Kurang dari 2 cttn penting) 2

4 sampai 5 3 Sedang (3-5 catatan penting) 3

6 sampai 10 4 Jelek (5-7 catatan penting) 4

Lebih dari 10 5 Jelek sekali (lebih dr 7 cttn penting) 5

42
 Contoh Hasil Skor Faktor Risiko
TEMUAN
INTERNAL DANA YANG KOMPETENSI
AUDITEE
CONTROL DIKELOLA PIMPINAN
AUDIT JUMLAH
SEBELUMNYA

Bagian A 2 2 3 2 9

Bagian B 4 5 3 3 15

Bagian C 3 3 4 4 14

Bagian D 4 2 3 2 11

Bagian E 5 5 1 2 13

62

43
Rangking Audit Unit
Rangking Audit Unit disusun berdasarkan audit unit yang
mempunyai risiko paling tinggi sampai rendah, dari contoh di atas
adalah sebagai berikut :

No. UNIT SCORE

1. Bagian B 15
2. Bagian C 14
3. Bagian E 13
4. Bagian D 11
5. Bagian A 9

62
44
Contoh Hasil Assessment
INTERNAL DANA YANG PERPUTARAN AUDIT
AUDITEE JUMLAH
CONTROL DIKELOLA PIMPINAN SBLMNYA

CABANG A 3 3 4 4 14

UNIT
OPERATIONAL 4 5 3 3 15
A

CABANG B 2 2 3 2 9

RUMAH SAKIT A 4 2 3 2 11

DIV.
AKUNTANSI & 5 5 1 2 13
KUANGAN

45
Penentuan ULA dengan Register
Risiko
 Register Risiko merupakan daftar yang
dibuat oleh manajemen yang berisi seluruh
risiko-risiko yang teridentifikasi yang
berpotensi menghambat pencapaian tujuan
organisasi, pengendalian yang sudah
dilakukan, ukuran kemungkinan terjadi dan
dampaknya, serta pemilik risikonya.
 Register Risiko yang dipakai adalah Register
Risiko yang validitasnya telah ditentukan
pada tahap evaluasi Maturity Level.
46
Penentuan ULA dengan Control
Score Register Risiko
Tahapan:
Melakukan penyaringan (filtering) risiko
Menghubungkan risiko dengan Audit
Universe

47
 Proses Filtering Risiko
Risk Register
Risk on Which
X
Risk Within the Risk
Appetite
Audited
assurance is provided
by others
X
Filter Risk

X Risk not Requiring an

audit in this period
Risk on Which
Risks Which will be
tolerated X
assurance is
required √
Assign Risk to
Audit

Audit Universe Link Risk to

Audit

Risk and Audit Select risk to be

Universe covered

Allocate
resources to
audits

Audit
Audit Plan Committee
Report
48
Filtering/Penyaringan Risiko
Penyaringan risiko dilakukan untuk
menentukan risiko-risiko yang akan
ditindaklanjuti dengan audit, dengan
mengeluarkan risiko-risiko tertentu dari
daftar Register Risiko.

49
Penyaringan Risiko
Risiko-risiko tertentu yang tidak perlu diaudit:
 Risiko yang skornya berada di bawah batas risk
appetite.
 Risiko yang akan diaudit oleh pihak ketiga,
misalnya risiko keselamatan penerbangan yang
akan diaudit oleh regulator safety IOSA, atau
risiko kandungan bakteri dalam produk susu yang
diaudit oleh BPOM.
 Risiko yang ditransfer kepada pihak lain,
misalnya risiko tersebut telah diasuransikan.
 Risiko yang dikelola dalam batas risk appetite,
dan sudah dibuktikan dari hasil audit sebelumnya.

50
Penyaringan Risiko
Risiko-risikoyang tersisa setelah
dilakukan proses penyaringan adalah
risiko yang memerlukan assurance dan
menjadi dasar dilakukannya penyusunan
Audit Plan (PKPT).

51
Menghubungkan Risiko dengan
Audit Universe
 Risiko-risikoyang tersisa dari hasil
penyaringan, selanjutnya dikelompokkan
menurut bisnis unit atau proses.
 Kelompok risiko-risiko tersebut kemudian
dihubungkan dengan Audit Universe.
Misalnya:
 Risiko piutang tak tertagih, maka yang akan
diaudit (ULA) adalah Bagian Penagihan Piutang,
Siklus Pendapatan, atau Pos/Rekening Piutang.
 Risiko mesin pabrik shut-down, maka yang akan
diaudit adalah Bagian Teknik, siklus produksi,
atau Pos/Rekening Aktiva Tetap – Mesin Pabrik.

52
 2. Penentuan Kebijakan
Penilaian dan Frekuensi Audit

53
 Penentuan Kebijakan Penilaian dan
Frekuensi Audit

Ada 2 Metode penentuan yaitu :

Audit Atas Seluruh Unit Audit
Audit Atas Sebagian Unit Audit

54
 Rencana dan Jadwal Audit
Berdasarkan contoh penilaian atas risiko unit audit,
diasumsikan :
◦ Jumlah orang–hari yang tersedia = 50 hari
◦ Waktu yang diperlukan untuk mengaudit
 Bagian B = 20 hari
 Bagian C = 15 hari
 Bagian E = 15 hari
 Bagian D = 15 hari
 Bagian A = 15 hari
Jumlah = 80 hari

55
Audit Terhadap Semua Unit Auditee
Alokasi waktunya disesuaikan dengan proporsi masing–
masing score dengan total seluruh score. Apabila hari yg
tersedia 80 maka, perhitungannya adalah sbb:

Hari
Score % Score
Auditee Pemeriksaan
Risiko Risiko
(% x 80 hari)
Bagian B 15 24 % (15/62) 19
Bagian C 14 23% (14/62) 18
Bagian E 13 21% (13/62) 17
Bagian D 11 18% (11/62) 14
Bagian A 9 15% (9/62) 12
Jumlah 62 80
56
Audit Terhadap Semua Unit Auditee
Apabila hari yg tersedia 50 maka, perhitungannya
adalah sbb:
Hari
Score % Score
Auditee Pemeriksaan
Risiko Risiko
(% x 50 hari)
Bagian B 15 24 % (15/62) 12

Bagian C 14 23% (14/62) 11

Bagian E 13 21% (13/62) 10

Bagian D 11 18% (11/62) 9

Bagian A 9 15% (9/62) 7

Jumlah 62 50

57
 Audit Atas Sebagian Unit Auditee

Agar alokasi sumberdaya audit maksimal,

maka dipilih auditee berdasarkan ranking
score risiko, sebagai berikut:
- Bagian B 20 hari Risiko 15
- Bagian C 15 hari Risiko 14
- Bagian E 15 hari
Jumlah Risiko 13
50 hari 42

* Kelemahan dari metode ini hanya unit audit yang berisiko tinggi
saja yang akan diaudit

58
 Audit atas Sebagian Unit
Auditee (Cont)
 Untuk mengatasi kelemahan, jika unit yang akan
diaudit sangat banyak, sedangkan sumber daya sangat
terbatas, maka langkah yang harus diambil adalah :
 Golongan unit yang diaudit dalam kategori resiko tinggi,
sedang dan rendah
 Pergunakan rumus matematis untuk melakukan perencanaan
audit tahunan yaitu :
H + M/2 + L/3 dimana :
H= auditable unit dengan risiko tinggi dijadualkan
untuk diperiksa setiap tahun sekali.
M= auditable unit dengan risiko sedang dijadualkan
untuk diperiksa setiap dua tahun sekali.
L = auditable unit dengan risiko rendah diperiksa setiap
tiga tahun sekali.

59
Contoh :
Risiko Tinggi Risiko Sedang Risiko Rendah
Unit A, unit D, unit F, Unit C dan unit E Unit B, unit G, unit I
unit H

Dengan menggunakan rumus matematis yang telah ditentukan,

maka hasil yang didapat adalah sebagai berukut :

Tahun I Tahun II Tahun III Tahun IV

- Unit A; unit D; -Unit A; unit D; -Unit A; unit D; -Unit A; unit D;
unit F, unit H, unit F, unit H, unit F, unit H, unit F, unit H,
-Unit C, - Unit E, -Unit C, - unit E,
-Unit B - unit G -Unit I - unit B

60
Risk-Based Internal Audit Planning
Annual Planning

Audit
Database
Start

Daftar Tentukan Matriks Isi sel Matriks

Inventarisasi Matriks yg
Auditable Faktor Rencana Rencana
Auditable Unit telah Terisi
Unit Risiko*) Audit Audit

Alokasikan Identifikasi Hitung Total Prioritized Tetapkan dan

Auditable Urutkan
HA tersedia Aktivitas non Hari Audit isikan Skala
Unit prioritas audit
ke Aktivitas Audit Tersedia Skoring

Dratt Persetujuan
Rencana IA Pleno
Rencana IA End
Tahunan pembahasan
Tahunan

*) Item dan jumlah faktor risiko disesuaikan dengan kebutuhan

61
 3. Alokasi Sumber Daya
Audit
(SDM, Waktu, Anggaran)
62
 Alokasi Sumber Daya Audit
(SDM, Waktu, Anggaran)
 Hal – hal yang harus diperhatikan :
◦ Identifikasi jumlah auditor berdasarkan tingkat keterampilan dan
pengalaman yang diperlukan untuk setiap pemeriksaan,
◦ Identifikasi kebutuhan untuk menggunakan tenaga ahli external,
◦ Hitung hari kerja yang tersedia dalam satu tahun setelah dikurangi hari
cuti dan hari libur
◦ Perhitungkan waktu bagi auditor untuk melakukan pendidikan dan
pelatihan
◦ Perhitungkan waktu auditor untuk melakukan kegiatan pemeriksaan
lain dan penugasan khusus lainnya.
◦ Perhatikan tarif transportasi dan tarif biaya perjalanan dinas
◦ Perhatikan sarana pendukung dan peralatan yang dibutuhkan

63
 Contoh Alokasi SDA
Jumlah Hari Kerja Selama Setahun Hari
Hari Tersedia selama setahun 365
Weekends (104)
Holidays (8)
Cuti (12)
Training (6)
Sick Leave (3)
Jumlah Hari tersedia untuk setiap auditor 232

Risiko Besar Sedang Kecil

Cabang
Tinggi 6 orang 15 hari 6 orang 10 hari 3 orang 8 hari
Sedang 4 orang 12 hari 4 orang 8 hari 3 orang 3 hari

Rendah 2 orang 5 hari 2 orang 3 hari 1 orang 3 hari

64
Risk-Based Internal Audit
Engagement Planning
(Micro Risk Assessment)

65
 Risk-Based Internal Audit Planning
Engagement Planning and Performance
Start

Pemahaman Tersedia Minta risk Risk Profile Risk Tetapkan

Yes
Tujuan dan risk profile ke RM/ auditable Profil Prioritas area
proses AU profile? Auditee unit andal? audit
Yes
No
No Lakukan
micro risk Lakukan
Evaluasi
assessment analytical
inherent risk
procedure

Dratt Simpulkan Control Substantive Identifikasi

Matriks Yes Yes Control
hasil Effective test of control dan evaluasi
temuan Cukup?
pengujian ? operation control design
No
No

Bahas temuan
Bahas usul Usulkan
dengan
modifikasi modifikasi
auditee
control control

Terbitkan 66
End
laporan audit
 Tahap III : Penugasan Individual
Audit
Pemahaman Penilaian risiko
proses residual

PKPT Pemahaman Identifikasi isu-isu

risiko utama

Evaluasi rancangan Penyusunan

ST Individual Audit
pengendalian risiko Laporan Hasil Audit

Evaluasi
Pemahaman bisnis pelaksanaan Finish
pengendalian risiko

67
 Tahapan Pelaksanaan AIBR
Tahapan pelaksanaan AIBR untuk individual audit
terdiri dari:
1. Memperoleh latar belakang auditan
2. Pemahaman proses bisnis
3. Pemahaman risiko dalam proses bisnis
4. Evaluasi efektifitas rancangan pengendalian risiko
5. Evaluasi efektivitas pelaksanaan pengendalian
risiko
6. Penilaian risiko residual
7. Identifikasi isu-isu utama
8. Penyusunan Laporan Hasil Audit
68
 PROSES RISK ASSESSMENT
1. Menetapkan tujuan unit
2. Menetapkan aktivitas utama pendukung tujuan
3. Mengidentifikasi segala hal yang dapat
menghambat pencapaian tujuan unit (What
Can Go Wrong Analysis / WcGW)
4. Menetapkan besaran kemungkinan terjadinya
(likelihood) dan dampaknya (Consequency)
5. Tuangkan dalam daftar risiko
 PROSES RISK ASSESSMENT
(lanjutan)
6. Hitung skor untuk masing-masing risiko
7. Tuangkan dalam peta risiko
8. Identifikasi risiko signifikan
9. Pertimbangkan risk appetite dan risk tolerance
10. Identifikasi Control yang sudah ada
11. Tetapkan risiko residual
12. Hitung skor risiko residual
13. Tetapkan action plan dan Penaggung Jawab (PIC)
 Kategori Likelihood Risiko

KRITERIA LIKELIHOOD [KEMUNGKINAN TERJADINYA] RISIKO

No. Uraian Skala Tersedia Data Frekuensi Tidak Tersedia Data Frekuensi Kejadian
Kejadian
Kemungkinan Terjadinya Risiko
1 Sangat 5 Frekuensi keterjadian lebih Persentase probabilitas keterjadian sangat
besar dari 12 kali setahun tinggi, lebih dari 80% [hampir pasti terjadi]
2 Besar 4 Frekuensi keterjadian 8 Persentase probabilitas keterjadian tinggi,
sampai 12 kali dalam setahun yaitu antara 60% sampai dengan 80%
3 Moderat 3 Frekuensi keterjadian 4 Persentase probabilitas keterjadian sedang,
sampai 7 kali dalam setahun yaitu antara 25% sampai dengan 60%
4 Kecil 2 Frekuensi keterjadian 2 Persentase probabilitas keterjadian rendah,
sampai 3 kali dalam setahun yaitu antara 10% sampai dengan 25%
5 Tidak 1 Frekuensi keterjadian 1 kali Persentase probabilitas keterjadian tidak
signifikan dalam setahun signifikan, yaitu sampai dengan 10%
Area Dampak Risiko

1. Sasaran Strategis
2. Revenue Perusahaan
3. Biaya Perusahaan
4. Arus Kas Perusahaan
5. Waktu pelaksanaan aktivitas
6. Kualitas produk/ jasa yang diberikan Perusahaan
7. Harta fisik Perusahaan
8. Human Capital
9. Reputasi Perusahaan di mata stakeholders
 Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO

Materialitas Dampak Risiko

No. Risiko Tidak Signifikan Kecil Sedang Besar Katastropik
Berdampak [1] [2] [3] [4] [5]
pada:
Jika
1. Sasaran Sasaran strategis Sasaran strategis Sasaran strategis Sasaran strategis Sasaran strategis
Strategis masih bisa dicapai direvisi secara direvisi dengan dirombak total agar gagal total dan
dengan sedikit revisi internal manajemen persetujuan Dewan dapat direalisasikan perusahaan kehilangan
[tingkat divisi] [Perusahaan] Komisaris opportunity dan biaya

2. Revenue Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan

Perusahaan variance [realisasi variance [realisasi variance [realisasi variance [realisasi variance [realisasi
dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran]
lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar
<5% >5% >10% >15% >20%
3. Biaya Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan
Perusahaan variance [realisasi variance [realisasi variance [realisasi variance [realisasi variance [realisasi
dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran]
lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar
<5% >5% >10% >15% >20%
4. Arus Kas Waktu penerimaan Waktu penerimaan Waktu penerimaan Waktu penerimaan Waktu penerimaan kas
Perusahaan kas meleset <5% kas meleset >5% kas meleset >10% kas meleset >15% meleset >20% waktu
waktu yang waktu yang waktu yang waktu yang yang ditetapkan,
ditetapkan, tidak ditetapkan, ditetapkan, ditetapkan, menyebabkan
menyebabkan menyebabkan menyebabkan menyebabkan gangguan likuiditas
gangguan likuiditas gangguan likuiditas gangguan likuiditas gangguan likuiditas dan penurunan
yang tidak signifikan internal eksternal kepercayaan
5. Waktu Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih
pelaksanaan lama] <5% dari lama] >5% dari lama] >10% dari lama] >15% dari lama] >20% dari
aktivitas standar secara standar secara standar secara standar secara standar secara
keseluruhan keseluruhan keseluruhan keseluruhan keseluruhan
 Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO
Materialitas Dampak Risiko
No. Risiko Tidak Signifikan Kecil Sedang Besar Katastropik
Berdampak [1] [2] [3] [4] [5]
pada:
Jika
6. Kualitas Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa
produk/ jasa bisa segera diperbaiki pada diperbaiki pada level tidak dapat tidak dapat
yang diketahui dan level divisi [oleh tim korporat [oleh tim diperbaiki, dilakukan diperbaiki,
diberikan dikoreksi langsung divisi operasi] level korporat] set-up produk/jasa mengakibatkan
Perusahaan di lapangan ulang klaim dan
penurunan
kepercayaan
7. Harta fisik Mengakibatkan Mengakibatkan Mengakibatkan harta Mengakibatkan Mengakibatkan
Perusahaan harta perusahaan harta perusahaan perusahaan harta perusahaan harta perusahaan
berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar
<5% >5% >10% >15% >20%
8. Human Mengakibatkan Mengakibatkan luka Mengakibatkan luka Mengakibatkan luka Mengakibatkan luka
Capital luka fisik tetapi fisik, penanganan fisik, penanganan fisik dan psikologis, fisik, psikologis dan
bisa ditangani memerlukan secara khusus di memerlukan korban jiwa,
langsung bantuan medis rumah sakit penanganan khusus memerlukan
dan waktu recovery penanganan khusus
dan waktu recovery
9. Reputasi Kepercayaan Kepercayaan Kepercayaan Kepercayaan Kepercayaan
Perusahaan stakeholder stakeholder stakeholder stakeholder stakeholder
di mata berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar
stakeholders <5% >5% >10% >15% >20%
 TOLERANSI RISIKO

Tingkat besaran risiko (seberapa batas

penyimpangan dari tujuan/target) yang akan
diterima/diambil oleh organisasi disesuaikan
dengan kemampuan, yang ditetapkan sebagai
batasan toleransi risiko dengan
memperhatikan pengalaman dalam
pengelolaan risiko periode sebelumnya.
 DEFINISI
Daftar Risiko
 Daftar Risiko Organisasi adalah daftar semua risiko organisasi yang
teridentifikasi.
Peta Risiko
 Peta Risiko Organisasi merupakan gambaran secara visual risiko yang
dihadapi organisasi dalam suatu matriks dua sumbu, yaitu sumbu
likelihood dan dampak risiko. Peta risiko ini juga mencerminkan posisi
risiko pada kondisi inheren dan manajemen dapat melihat kapabilitas
pengendalian risiko yang diciptakan untuk mengelola risiko sampai tingkat
yang dapat diterima.
Register Risiko
 Register Risiko adalah dokumen yang digunakan untuk mencatat proses
manajemen risiko dari risiko yang teridentifikasi. Register Risiko memuat
informasi tentang nama, pernyataan risiko, sebab, dampak terjadinya
risiko, pengendalian risiko yang ada, penaksiran risiko inheren (likelihood
dan dampak), dan respon risiko atau pengendalian risiko yang akan
dilakukan (action plan).
PETA/PROFIL RISIKO
Evaluating the Inherent Risk
Characteristic
Dalam mengevaluasi karakteristik
risiko inheren, Auditor Intern harus
memperhatikan letak risiko dalam
Kuadran II Kuadran peta risiko yang terbagi menjadi 4
III kuadran:
• Kuadran I (Low Consequence Low
Likelihood)  terima risiko
• Kuadran II (High Consequence
Kuadran I Kuadran Low Likelihood risk)  kurangi
IV dampak risiko dengan asuransi
• Kuadran III (High Consequence
High Likelihood)  hindari risiko
• Kuadran IV (Low Consequence
High Likelihood)  kurangi
probabilitas risiko dengan control

78
Sebelum atau Sesudah
adanya Internal Control?
Risiko idealnya diukur baik sebelum maupun
sesudah dietapkannya suatu respon atas risiko
tersebut
1.Skor Risiko Inheren diukur dengan meng-
assess kemungkinan terjadinya serta besaran
dampaknya sebelum internal control apapun
diterapkan
2.Skor Risiko Residual diukur dengan
mengassess kemungkinan terjadi dan besaran
dampaknya setelah suatu control ditetapkan
To Sum Up : RBIA AAP
Procedures
1. Buat daftar “Auditable Unit”;
2. Sepakati dan tetapkan “Faktor Risiko” yang akan digunakan untuk
menimbang bobot dan skor risiko masing-masing Auditable Unit;
3. Faktor risiko: waktu audit terakhir, jumlah temuan audit, nilai temuan
audit, jumlah dan nilai temuan yang ditindaklanjuti, target revenue tahun
ini, anggaran kapex dan opex tahun ini, nilai asset yang dikelola, dan
sebagainya;
4. Buat Matriks menggunakan spreadsheet dengan baris untuk Auditable
Unit dan kolom untuk Faktor Risiko, kemudian isi seluruh field matriks
dengan data yang tersedia;
5. Buat skala ukuran faktor risiko 1 – 5 untuk masing-masing faktor risiko
6. Lakukan penilaian dan jumlahkan total skor faktor risiko masing-masing
auditable unit
80
 Prasyarat penerapan RBIA
 Direksi telah menetapkan kebijakan-kebijakan terkait internal
control
 Direksi dan Komisaris telah menyepakati risk apetite
 Manajemen telah mendapatkan pelatihan cukup untuk
mengidentifikasi dan mengevaluasi risiko serta mendesain,
mengoperasikan, dan memonitor sistem pengendalian internal yang
diterapkan berdasar kebijakan Direksi

81
Agar Pelaksanaan RBIA Efektif
 Direksi dan seluruh jajaran manajemen telah mengidentifikasi dan
meng-assess risiko yang mengancam pencapaian tujuan organisasi
dan membangun sistem pengendalian intern atau respon lainnya
yang sesuai untuk mengurangi ancaman hingga dibawah tingkat
risk appetpetite atau melaporkan ke Komisaris bila hal tersebut
tidak mungkin dilakukan
 Risiko inheren dicatat dan dinilai (assess) sedemikian sehingga
dapat ditetapkan peringkatnya berdasar derajat ancaman (threat)
 Direksi dan Komisaris menetapkan risk appetite sedemikian
sehingga mudah mengidentifikasi apakah suatu risiko ada di atas
atau di bawah risk appetite
 Tanggung jawab untuk memberikan assurance atas framework
manajemen risiko ditetapkan termasuk tanggung jawab manajemen,
auditor eksternal, auditor internal, dan fungsi lain seperti keuangan,
Teknik, dll
82
HAL-hal yang perlu dipertimbangkan oleh Kepala SPI
(Head of Internal Audit) dalam penerapan RBIA
 Sejauh mana direksi dan manajemen menetapkan, mengassess, dan
memantau risiko (The risk maturity of the organisation)
 Keberadaan register risiko (profil risiko) yang memuat daftar semua
risiko significant dan sejauh mana dapat diandalkan sebagai dasar
penyusunan audit planning
 Kompilasi dari suatu audit universe yang memuat daftar kegiatan
audit yang ditujukan untuk menyediakan assurance bahwa semua
risiko inheren yang melewati (di atas) risk appetite telah dikelola
dengan tepat
 Pelaksanaan audit individual yang menyimpulkan apakah risiko
inheren yang berada diatas risk appetite telah dikendalikan sehingga
berada dalam batas risk appetite

83
84