OVERVIU

AUDIT INTERNAL BERBASIS RISIKO

(AIBR)
 AGENDA

1. Definisi Internal Audit

2. Tujuan, dan Manfaat AIBR
3. Perbandingan Pendekatan AIBR dengan Audit
Sebelumnya
4. Tahapan AIBR

2
Definisi INTERNAL AUDIT

3
 DEFINISI INTERNAL AUDIT (IPPF)

Kegiatan assurance dan konsultasi yang

independen dan obyektif yang dirancang untuk
memberi nilai tambah dan peningkatan operasi
suatu organisasi,
Fungsi Internal Audit membantu organisasi
mencapai tujuannya melalui pendekatan
sistematis dan terstruktur untuk mengevaluasi dan
meningkatkan efektifitas manajemen risiko,
pengendalian (control) dan proses tata kelola
perusahaan (corporate governance).
4
The Core Function of Internal Audit

Sumber : Standar IIA

Pergeseran Fungsi Internal Audit

6
 Assurance dan Consultancy
ASSURANCE
Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan
penilaian independen atas governance, manajemen risiko ,dan proses
pengendalian bagi organisasi.
Salah satu bentuk kegiatan assurance adalah kegiatan Audit dengan
menggunakan metodologi berbasis risiko (Audit Internal Berbasis
Risiko)

CONSULTANCY
Pemberian pelayanan secara profesional oleh internal auditor melalui
evaluasi yang sistematis dan disiplin (konseptual) dari kebijakan,
prosedur dan operasi manajemen yang dijalankan untuk memastikan
tercapainya tujuan organisasi, dan melalui rekomendasi untuk
perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat
internal auditor atas manajemen risiko, pengendalian, dan tata kelola
organisasi

7
SOURCE: ISSPIA GLOSSARY
Definisi Audit Internal Berbasis
Risiko
Metodologi audit yang dilakukan oleh Auditor
Internal untuk memberikan suatu opini yang
independen dan obyektif kepada manajemen
organisasi apakah risiko-risiko yang dikelola
oleh manajemen telah berada pada tingkat
yang dapat diterima

8
TUJUAN DAN MANFAAT AUDIT
INTERNAL BERBASIS RISIKO

9
 TUJUAN AIBR

FUNGSI INTERNAL AUDIT MEMBERIKAN

MANAJEMEN ORGANISASI OPINI OBYEKTIF DAN INDEPENDEN PADA
MEMILIKI TUJUAN MANAJEMEN ORGANISASI APAKAH RISIKO
TELAH DIKELOLA PADA TINGKAT YANG
DAPAT DITERIMA

TUJUAN UTAMA DARI FUNGSI INTERNAL

TUJUAN AUDIT ADALAH MEMBANTU ORGANISASI
MENCAPAI TUJUAN

PENGENDALIAN INTERNAL
MERUPAKAN PROSES
MENGELOLA RISIKO

RISIKO MERUPAKAN
PERISTIWA YANG
MENGHAMBAT PENCAPAIAN
TUJUAN 10
 Manfaat AIBR
resiko yang terjadi karena tidak
adanya pengendalian internal
Inherent
Risk

RBIA Provides
Consequence

Control Assurance that these

controls are operating
effectively

Residual
Risk
Risk Appetite
resiko yang masih terjadi meskipun kita sudah sejumlah risiko, pada
melakukan pengendalian internal tingkatan manajemen/board,
dimana sebuah organisasi
bersedia menerima risiko
Likelihood tersebut
11
Sumber: Implementing RBIA David Griffith
 PERBANDINGAN PENDEKATAN
AIBR DENGAN AUDIT SEBELUMNYA

12
Sebelum Risk Based Audit (1)

13
Sebelum Risk Based Audit (2)

• Auditor mempertimbangkan risiko

dari sudut pandang sendiri
• Fokus Utama adalah tujuan audit
tercapai secara efisien
• Keterkaitan dengan tujuan
organisasi secara keseluruhan

14
 Risk based internal audit
Policies Audit Reporting
• Dimulai dgn kebijakan dan • Berdasarkan peraturan • Laporan didasarkan pada laporan
prosedur yg disetujui. pengecualian
• Fokus pada kepatuhan dan
• Mempertimbangkan apa yg peraturan • Laporan difokuskan secara
manajemen nyatakan seharusnya operasional
dilakukan.
• Berperan sebagai polisi
• Laporan pada tingkat bawah
Aud it • Contoh uji transaksi
e r na l • Identifikasi persoalan minor
al Int
• Secara historis difokuskan pada
ti on proses keuangan dan akuntansi • Mudah merespon mengenai fokus
Tr adi • Rekomendasi tidak
pada sistem dan departemen-
departemen tersendiri
mengharuskan tetapi
menyarankan • Konklusi didasarkan pada tingkat
kepatuhan/ operasi dari kontrol

Objectives Risks Audit Reporting

• Mulai dengan objektif yang telah
ditetapkan.
• Jika objektifnya tidak ada maka
bisa membuat objektif sendiri
sebagai bahan pertimbangan
audit
• Peranan audit mendukung objekif
bukan bertentangan
• Objektifnya harus mencakup
sistem, proses dan departemen
nt e r na
ased I
Risk B
• Mempertimbangkan risiko
signifikan perusahaan di masa
depan
• Monitoring risk response
• Berperan sbg konsultan internal
dan katalis
• Audit merekomendasikan
pemecahan masalah
• Melakukan penilaian risiko dari
risk register dan skoring risiko
t
l Audi
• Audit bekerja mempertimbangkan risiko dan akan
melihat kontrol yang diharapkan/ tindakan
• Risiko diprioritaskan pada tingkat
mitigasi strategik dan operasional
penting.
• Pekerjaan akan mengikuti profil risiko, bila suatu
risiko di kelola melalui beberapa departemen,
• Kualitatif dan penilaian
audit akan mempertimbangkan bagaimana
profesional dipakai untuk
pemeringkatan dan kesimpulan
menilai dan bekerja melalui departemen-
risiko
departemen tersebut
• Audit adalah kualitatif dan didasarkan pada • Laporan menjadi suatu dialog
dan didiskusikan dengan
penilaian profesional.
manajemen
• Audit mencakup seluruh proses dan sistem yang
terdapat di institusi tersebut
• Rekomendasi bukan resep tetapi
adalah saran
• Audit bukan hanya menanyakan apakah
perusahaan melakukan sesuatu dgn benar 15
(kepatuhan/pengendalian operasi) ,tapi juga
apakah melakukan sesuatu dengan tepat
(efektifitas/desain kontrol).
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Audit Internal Berbasis
No Proses Audit Metodologi Audit Sebelumnya
Risiko
1 Audit Universe Semua kegiatan dan proses bisnis Terutama area yang menyangkut
keuangan tetapi juga termasuk ketaatan
terhadap peraturan dan perundangan
dan operasi

2 Tujuan Audit Memberikan opini terhadap kondisi Melakukan penilaian atas pelaksanaan
apakah risiko telah dikelola sesuai pengendalian intern, peningkatan
dengan tingkat yang dapat diterima efisiensi operasi

3 Program Kerja Audit ditujukan atas risiko Audit berdasar rencana rutin, tidak
Audit Tahunan signifikan mengutamakan pada tingkatan risiko

4 Jenis Audit Audit terhadap proses bisnis Membedakan antara keuangan,

berjalan operasional, ketaatan dan yang lainnya
16
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
5 Keterlibatan Melibatkan unit auditan pada seluruh Melibatkan hanya sedikit, mungkin
Unit Auditan tahapan mulai dari perencanaan s.d pada saat rencana, dan pada saat akhir
pelaksanaan audit, karena auditan audit untuk menyetujui hasil temuan
merupakan pemilik risiko dan audit saja.
bertanggung jawab atas seluruh risiko
6 Pekerjaan Memastikan bahwa organisasi telah Sesuai dengan program kerja, yang
Lapangan mengidentifikasi semua risikonya dan dimungkinkan tidak jelasnya tujuan
mengendalikan risiko tersebut yang ditetapkan, dan disini hanya
dilakukan pengujian saja.
7 Tujuan Tujuan pengujian pengendalian adalah Tujuan pengujian pengendalian adalah
Pengujian menguji apakah pengendalian risiko menilai apakah pengendalian sudah
sudah dapat memitigasi risiko pada memadai dalam rangka menentukan
tingkat yang dapat diterima. scope/luas pengujian substantif. 17
 Perbandingan AIBR dengan Metode Audit
Sebelumnya
Proses
No Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya
Audit
8 Laporan Memberikan opini kepada Melaporkan penilaian atas pelaksanaan
Hasil Audit manajemen apakah risiko telah pengendalian intern yang berjalan atau
dikelola sampai pada acceptable tidak. Dalam laporan tidak memberikan
level, dan dilaporkan jika tidak. gambaran indikasi proporsi risiko yang
Laporan juga memberikan gambaran telah ditangani.
indikasi proporsi jumlah pengendalian
risiko yang sudah dan belum
memitigasi risiko.
9 Rekomendasi Rekomendasi diberikan dalam rangka Rekomendasi dibuat untuk
Audit fungsi internal auditor sebagai memperbaiki temuan kelemahan.
konsultan, namun seluruh tanggung
jawab ada dimanajemen

18
TAHAPAN AIBR

19
 Tahapan AIBR
Mgt Risk
Register
Naive Enabled
Assess RM
Maturity
Aware Managed

Defined
Stage 1
Mgt Risk Use
Facilited Risk Register organisation’s
Identification (amanded) Risk

Audit Universe Assign Risk to

Audit

Stage 2
Risk and Audit
Audit Committee
Universe Audit Plan
Report
(RAU)

Individual Audit

Audit Report Stage 3

Feedback result 20

Sumber : David Grifith Risk Based Internal Audit Into RAU

 Tahapan Audit

 Tahap 1 : Penilaian Risk Management Maturity

 Tahap 2 : Penyusunan PKPT
 Tahap 3 : Penugasan Individual Audit

21
 Tahap 1 : Penilaian Risk Management
Maturity
1. Tujuan penilaian tingkat kematangan manajemen risiko adalah
untuk mengidentifikasi tingkat kematangan penerapan manajemen
risiko dan menentukan kemungkinan dilakukannya AIBR pada
perusahaan
2. Tingkat kematangan manajemen risiko menurut David Griffiths
terdiri dari Risk Naive, Risk Aware, Risk Defined, Risk Managed, dan
Risk Enabled
3. Penilaian dilakukan dengan menggunakan kuesioner survai tingkat
kematangan manajemen risiko ataupun wawancara dan workshop

22
 Metodologi Evaluasi

• Evaluasi Pendahuluan dengan menggunakan Kuesioner

Survei Tingkat Kematangan Manajemen Risiko
• Evaluasi Mendalam dengan menggunakan Scorecard
Evaluasi berdasarkan kriteria dalam framework RM (i.e.
ERM COSO)

23
 Score Tingkat Kematangan

No Nilai Capaian Tingkat Kematangan

1 0 Non-existent
2 0 < x ≤ 1.5 Initial
3 1.5 < x ≤ 2.5 Repeatable
4 2.5 < x ≤ 3.5 Defined

5 3.5< x ≤ 4.5 Managed

6 4.5< x ≤ 5 Optimised

24
 Merancang Pendekatan Audit
Risk Pengertian
Maturity
Risk Naive Tidak ada pendekatan formal yang
dikembangkan dalam pengelolaan risiko
Risk Aware Pengembangan manajemen risiko masih
terpisah-pisah (silo) atau perbagian
Risk Perusahaan sudah memiliki dan
Defined mengkomunikasikan strategi dan
kebijakan serta risk appetite dalam
penerapan Manajemen Risiko
Risk Perusahaan telah mengembangkan dan
Managed mengkomunikasikan manajemen risiko
secara enterprises-wide
Risk Manajemen Risiko dan Internal Control
Enabled sudah menyatu dalam seluruh operasi
Pendekatan Audit
Memperkenalkan manajemen risiko dan audit
didasarkan pada penilaian risiko audit dan
atau Faktor Risiko
Memperkenalkan Manajemen Risiko secara
enterprise-wide dan audit didasarkan atas
penilaian risiko audit dan atau Faktor Risiko
Memfasilitasi dan kerjasama dengan unit
manajemen risiko dan memanfaatkan hasil
risk assessment manajemen jika sudah
dipandang memadai dalam melakukan audit
Audit proses manajemen risiko dan
menggunakan hasil asesmen risiko yang
sudah cukup memadai
Audit proses manajemen risiko dan
menggunakan hasil asesmen risiko yang
sudah cukup memadai 25
Risk Maturity

26
 Internal Audit’s Role

Legitimate internal audit

roles with safeguards
Roles internal
Core risk-based audit should
Maintaining & developing the ERM framework
internal audit not undertake
roles Central co-ordinating point for ERM Consolidated reporting on risks

Developing risk management

Championing establishment of ERM
strategy for board approval

Giving advice on managing risks

Facilitating risk responses
Reviewing the management of key risks
Evaluating risk management reporting
Setting risk appetite
Imposing risk management processes
Management assurance on risks
Taking decisions on risk responses

Giving assurance that risks assessed appropriately Implementing risk responses

Giving assurance on risk management processes Accountability for risk management

27
TINGKAT KEMATANGAN PENERAPAN MANAJEMEN
RISIKO VS PERAN AUDIT INTERNAL

Risk Maturity

Naive Aware Defined Managed Enabled

1 2 3 4 5

Consulting Assurance

AUDIT INTERNAL
28
 Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control
Semua risiko telah teridentifikasi dan
dinilai.
Enabled Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Semua risiko telah teridentifikasi dan
dinilai.
Managed Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Sebagian besar risiko telah
teridentifikasi dan dinilai.
Defined Adanya Reviu risiko secara teratur
Respon telah sesuai untuk mengelola
risiko
Terdapat pengendalian tetapi tidak
Aware terkait dengan risiko
Terdapat pengendalian tetapi bebarapa
Naive pengendalian tidak ada atau tidak
lengkap
Monitoring Audit Approach
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Semua manajer memberikan jaminan
terhadap efektivitas manajemen risiko
dan penilaian kinerja manajemen risiko
Assurance
Manajemen memonitor bahwa semua
respon dilakukan secara tepat.
Hampir Semua manajer memberikan
jaminan terhadap efektivitas
manajemen risiko dan penilaian kinerja
manajemen risiko
Beberapa bagian Manajemen Assurance
memonitor bahwa semua respon
dilakukan secara tepat
Consultancy
Sedikit atau kurang adanya monitoring Tidak dapat dilakukan RBIA. Maka
audit menggunakan pendekatan
konsultasi untuk memperkenalkan
RM hingga tercapainya Defined.
Maka perlu dikembangkan Audit
Sangat kecil monitoring, jika adapun
sangat lemah
dengan Faktor Risiko
29
 Pendekatan AIBR berdasar Risk
Maturity

• Untuk perusahaan dengan maturity level

penerapan manajemen risiko pada tingkat
“Naive” & “Aware” penentuan auditable unit
menggunakan Faktor Risiko
• Untuk perusahaan dengan maturity level
penerapan manajemen risiko pada tingkat
maturity level “Enabled” dan “Managed”
penentuan auditable unit menggunakan Risk
Register
30
Tahap 2: PERENCANAAN
AUDIT

31
 Penyusunan PKPT/Annual Audit Plan

Start ML : Maturity Level

RM : Risk management
RR : Risk Register
UPR : Unit Pemilik Risiko
Menilai ML RM ULA : Unit Layak Audit

ML Ya Scoring Auditabl
Naive, Penyusunan Menyusun
Aware, Risk e Unit
Faktor Risiko PKPT
Defined Factor (ULA)

Tidak

Identifikasi Auditable
Grouping Menyusun
Risiko oleh A/I Filtering RR Unit
RR PKPT
dgn UPR (ULA)
32
 Contoh Alokasi SDA
Jumlah Hari Kerja Selama Setahun Hari
Hari Tersedia selama setahun 365
Weekends (104)
Holidays (8)
Cuti (12)
Training (6)
Sick Leave (3)
Jumlah Hari tersedia untuk setiap auditor 232

Risiko Cabang Besar Sedang Kecil

Tinggi 6 orang 15 hari 6 orang 10 hari 3 orang 8 hari

Sedang 4 orang 12 hari 4 orang 8 hari 3 orang 3 hari

Rendah 2 orang 5 hari 2 orang 3 hari 1 orang 3 hari

33
Risk-Based Internal Audit

Engagement Planning
(Micro Risk Assessment)

34
 Risk-Based Internal Audit Planning
Engagement Planning and Performance
Start

Risk Profile
Pemahaman Tersedia Minta risk Risk Yes Tetapkan
Tujuan dan risk profile ke RM/ auditable Profil Prioritas area
unit
proses AU profile? Yes Auditee andal? audit

No
No Lakukan micro
risk Lakukan
Evaluasi
assessment analytical
inherent risk
procedure

Dratt Simpulkan Control Substantive Identifikasi

Matriks Yes Yes Control
hasil Effective test of control dan evaluasi
temuan Cukup?
pengujian ? operation control design
No
No

Bahas temuan
Bahas usul Usulkan
dengan
modifikasi modifikasi
auditee
control control
35
Terbitkan
End
laporan audit
 Tahap III : Penugasan Individual Audit
Pemahaman Penilaian risiko
proses residual

PKPT Pemahaman Identifikasi isu-isu

risiko utama

ST Individual Audit Evaluasi rancangan Penyusunan

pengendalian risiko Laporan Hasil Audit

Evaluasi
Pemahaman bisnis pelaksanaan Finish
pengendalian risiko

36
 Tahapan Pelaksanaan AIBR
Tahapan pelaksanaan AIBR untuk individual audit terdiri
dari:
1. Memperoleh latar belakang auditan
2. Pemahaman proses bisnis
3. Pemahaman risiko dalam proses bisnis
4. Evaluasi efektifitas rancangan pengendalian risiko
5. Evaluasi efektivitas pelaksanaan pengendalian risiko
6. Penilaian risiko residual
7. Identifikasi isu-isu utama
8. Penyusunan Laporan Hasil Audit
37
 PROSES RISK ASSESSMENT
1. Menetapkan tujuan unit
2. Menetapkan aktivitas utama pendukung tujuan
3. Mengidentifikasi segala hal yang dapat menghambat
pencapaian tujuan unit (What Can Go Wrong Analysis /
WcGW)
4. Menetapkan besaran kemungkinan terjadinya (likelihood)
dan dampaknya (Consequency)
5. Tuangkan dalam daftar risiko
 PROSES RISK ASSESSMENT
(lanjutan)
6. Hitung skor untuk masing-masing risiko
7. Tuangkan dalam peta risiko
8. Identifikasi risiko signifikan
9. Pertimbangkan risk appetite dan risk tolerance
10.Identifikasi Control yang sudah ada
11.Tetapkan risiko residual
12.Hitung skor risiko residual
13.Tetapkan action plan dan Penaggung Jawab (PIC)
 Kategori Likelihood Risiko

KRITERIA LIKELIHOOD [KEMUNGKINAN TERJADINYA] RISIKO

No. Uraian Skala Tersedia Data Frekuensi Tidak Tersedia Data Frekuensi Kejadian
Kejadian
Kemungkinan Terjadinya Risiko
1 Sangat 5 Frekuensi keterjadian lebih Persentase probabilitas keterjadian sangat
besar dari 12 kali setahun tinggi, lebih dari 80% [hampir pasti terjadi]
2 Besar 4 Frekuensi keterjadian 8 Persentase probabilitas keterjadian tinggi,
sampai 12 kali dalam setahun yaitu antara 60% sampai dengan 80%
3 Moderat 3 Frekuensi keterjadian 4 Persentase probabilitas keterjadian sedang,
sampai 7 kali dalam setahun yaitu antara 25% sampai dengan 60%
4 Kecil 2 Frekuensi keterjadian 2 Persentase probabilitas keterjadian rendah,
sampai 3 kali dalam setahun yaitu antara 10% sampai dengan 25%
5 Tidak 1 Frekuensi keterjadian 1 kali Persentase probabilitas keterjadian tidak
signifikan dalam setahun signifikan, yaitu sampai dengan 10%
Area Dampak Risiko

1. Sasaran Strategis
2. Revenue Perusahaan
3. Biaya Perusahaan
4. Arus Kas Perusahaan
5. Waktu pelaksanaan aktivitas
6. Kualitas produk/ jasa yang diberikan Perusahaan
7. Harta fisik Perusahaan
8. Human Capital
9. Reputasi Perusahaan di mata stakeholders
 Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO

Materialitas Dampak Risiko

No. Risiko Tidak Signifikan Kecil Sedang Besar Katastropik
Berdampak [1] [2] [3] [4] [5]
pada:
Jika
1. Sasaran Sasaran strategis Sasaran strategis Sasaran strategis Sasaran strategis Sasaran strategis
Strategis masih bisa dicapai direvisi secara direvisi dengan dirombak total agar gagal total dan
dengan sedikit revisi internal manajemen persetujuan Dewan dapat direalisasikan perusahaan kehilangan
[tingkat divisi] [Perusahaan] Komisaris opportunity dan biaya

2. Revenue Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan

Perusahaan variance [realisasi variance [realisasi variance [realisasi variance [realisasi variance [realisasi
dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran]
lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar lebih rendah sebesar
<5% >5% >10% >15% >20%
3. Biaya Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan Mengakibatkan
Perusahaan variance [realisasi variance [realisasi variance [realisasi variance [realisasi variance [realisasi
dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran] dibanding anggaran]
lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar lebih tinggi sebesar
<5% >5% >10% >15% >20%
4. Arus Kas Waktu penerimaan Waktu penerimaan Waktu penerimaan Waktu penerimaan Waktu penerimaan kas
Perusahaan kas meleset <5% kas meleset >5% kas meleset >10% kas meleset >15% meleset >20% waktu
waktu yang waktu yang waktu yang waktu yang yang ditetapkan,
ditetapkan, tidak ditetapkan, ditetapkan, ditetapkan, menyebabkan
menyebabkan menyebabkan menyebabkan menyebabkan gangguan likuiditas
gangguan likuiditas gangguan likuiditas gangguan likuiditas gangguan likuiditas dan penurunan
yang tidak signifikan internal eksternal kepercayaan
5. Waktu Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih Waktu meleset [lebih
pelaksanaan lama] <5% dari lama] >5% dari lama] >10% dari lama] >15% dari lama] >20% dari
aktivitas standar secara standar secara standar secara standar secara standar secara
keseluruhan keseluruhan keseluruhan keseluruhan keseluruhan
 Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO
Materialitas Dampak Risiko
No. Risiko Tidak Signifikan Kecil Sedang Besar Katastropik
Berdampak [1] [2] [3] [4] [5]
pada:
Jika
6. Kualitas Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa Cacat produk/jasa
produk/ jasa bisa segera diperbaiki pada diperbaiki pada level tidak dapat tidak dapat
yang diketahui dan level divisi [oleh tim korporat [oleh tim diperbaiki, dilakukan diperbaiki,
diberikan dikoreksi langsung divisi operasi] level korporat] set-up produk/jasa mengakibatkan
Perusahaan di lapangan ulang klaim dan
penurunan
kepercayaan
7. Harta fisik Mengakibatkan Mengakibatkan Mengakibatkan harta Mengakibatkan Mengakibatkan
Perusahaan harta perusahaan harta perusahaan perusahaan harta perusahaan harta perusahaan
berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar
<5% >5% >10% >15% >20%
8. Human Mengakibatkan Mengakibatkan luka Mengakibatkan luka Mengakibatkan luka Mengakibatkan luka
Capital luka fisik tetapi fisik, penanganan fisik, penanganan fisik dan psikologis, fisik, psikologis dan
bisa ditangani memerlukan secara khusus di memerlukan korban jiwa,
langsung bantuan medis rumah sakit penanganan khusus memerlukan
dan waktu recovery penanganan khusus
dan waktu recovery
9. Reputasi Kepercayaan Kepercayaan Kepercayaan Kepercayaan Kepercayaan
Perusahaan stakeholder stakeholder stakeholder stakeholder stakeholder
di mata berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar berkurang sebesar
stakeholders <5% >5% >10% >15% >20%
 TOLERANSI RISIKO

Tingkat besaran risiko (seberapa batas penyimpangan dari

tujuan/target) yang akan diterima/diambil oleh organisasi
disesuaikan dengan kemampuan, yang ditetapkan sebagai
batasan toleransi risiko dengan memperhatikan
pengalaman dalam pengelolaan risiko periode sebelumnya.
 DEFINISI
Daftar Risiko
• Daftar Risiko Organisasi adalah daftar semua risiko organisasi yang
teridentifikasi.
Peta Risiko
• Peta Risiko Organisasi merupakan gambaran secara visual risiko yang
dihadapi organisasi dalam suatu matriks dua sumbu, yaitu sumbu
likelihood dan dampak risiko. Peta risiko ini juga mencerminkan posisi
risiko pada kondisi inheren dan manajemen dapat melihat kapabilitas
pengendalian risiko yang diciptakan untuk mengelola risiko sampai
tingkat yang dapat diterima.
Register Risiko
• Register Risiko adalah dokumen yang digunakan untuk mencatat proses
manajemen risiko dari risiko yang teridentifikasi. Register Risiko memuat
informasi tentang nama, pernyataan risiko, sebab, dampak terjadinya
risiko, pengendalian risiko yang ada, penaksiran risiko inheren (likelihood
dan dampak), dan respon risiko atau pengendalian risiko yang akan
dilakukan (action plan).
PETA/PROFIL RISIKO
 Evaluating the Inherent Risk
Characteristic
Dalam mengevaluasi karakteristik
risiko inheren, Auditor Intern harus
memperhatikan letak risiko dalam
Kuadran II Kuadran peta risiko yang terbagi menjadi 4
III kuadran:
• Kuadran I (Low Consequence Low
Likelihood)  terima risiko
• Kuadran II (High Consequence
Kuadran I Kuadran Low Likelihood risk)  kurangi
IV dampak risiko dengan asuransi
• Kuadran III (High Consequence
High Likelihood)  hindari risiko
• Kuadran IV (Low Consequence
High Likelihood)  kurangi
probabilitas risiko dengan control
47
Sebelum atau Sesudah
adanya Internal Control?
Risiko idealnya diukur baik sebelum maupun
sesudah dietapkannya suatu respon atas risiko
tersebut
1.Skor Risiko Inheren diukur dengan meng-
assess kemungkinan terjadinya serta besaran
dampaknya sebelum internal control apapun
diterapkan
2.Skor Risiko Residual diukur dengan
mengassess kemungkinan terjadi dan besaran
dampaknya setelah suatu control ditetapkan
To Sum Up : RBIA AAP Procedures

1. Buat daftar “Auditable Unit”;

2. Sepakati dan tetapkan “Faktor Risiko” yang akan digunakan untuk
menimbang bobot dan skor risiko masing-masing Auditable Unit;
3. Faktor risiko: waktu audit terakhir, jumlah temuan audit, nilai temuan
audit, jumlah dan nilai temuan yang ditindaklanjuti, target revenue
tahun ini, anggaran kapex dan opex tahun ini, nilai asset yang dikelola,
dan sebagainya;
4. Buat Matriks menggunakan spreadsheet dengan baris untuk Auditable
Unit dan kolom untuk Faktor Risiko, kemudian isi seluruh field matriks
dengan data yang tersedia;
5. Buat skala ukuran faktor risiko 1 – 5 untuk masing-masing faktor risiko
6. Lakukan penilaian dan jumlahkan total skor faktor risiko masing-masing 49

auditable unit
 Prasyarat penerapan RBIA
• Direksi telah menetapkan kebijakan-kebijakan terkait internal
control
• Direksi dan Komisaris telah menyepakati risk apetite
• Manajemen telah mendapatkan pelatihan cukup untuk
mengidentifikasi dan mengevaluasi risiko serta mendesain,
mengoperasikan, dan memonitor sistem pengendalian internal
yang diterapkan berdasar kebijakan Direksi

50
 Agar Pelaksanaan RBIA Efektif

• Direksi dan seluruh jajaran manajemen telah mengidentifikasi dan meng-assess

risiko yang mengancam pencapaian tujuan organisasi dan membangun sistem
pengendalian intern atau respon lainnya yang sesuai untuk mengurangi ancaman
hingga dibawah tingkat risk appetpetite atau melaporkan ke Komisaris bila hal
tersebut tidak mungkin dilakukan
• Risiko inheren dicatat dan dinilai (assess) sedemikian sehingga dapat ditetapkan
peringkatnya berdasar derajat ancaman (threat)
• Direksi dan Komisaris menetapkan risk appetite sedemikian sehingga mudah
mengidentifikasi apakah suatu risiko ada di atas atau di bawah risk appetite
• Tanggung jawab untuk memberikan assurance atas framework manajemen risiko
ditetapkan termasuk tanggung jawab manajemen, auditor eksternal, auditor
internal, dan fungsi lain seperti keuangan, Teknik, dll
51
 HAL-hal yang perlu dipertimbangkan oleh Kepala SPI
(Head of Internal Audit) dalam penerapan RBIA

• Sejauh mana direksi dan manajemen menetapkan, mengassess, dan

memantau risiko (The risk maturity of the organisation)
• Keberadaan register risiko (profil risiko) yang memuat daftar semua
risiko significant dan sejauh mana dapat diandalkan sebagai dasar
penyusunan audit planning
• Kompilasi dari suatu audit universe yang memuat daftar kegiatan audit
yang ditujukan untuk menyediakan assurance bahwa semua risiko
inheren yang melewati (di atas) risk appetite telah dikelola dengan tepat
• Pelaksanaan audit individual yang menyimpulkan apakah risiko inheren
yang berada diatas risk appetite telah dikendalikan sehingga berada
dalam batas risk appetite
52
53