2
Definisi INTERNAL AUDIT
3
DEFINISI INTERNAL AUDIT (IPPF)
6
Assurance dan Consultancy
ASSURANCE
Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan
penilaian independen atas governance, manajemen risiko ,dan proses
pengendalian bagi organisasi.
Salah satu bentuk kegiatan assurance adalah kegiatan Audit dengan
menggunakan metodologi berbasis risiko (Audit Internal Berbasis
Risiko)
CONSULTANCY
Pemberian pelayanan secara profesional oleh internal auditor melalui
evaluasi yang sistematis dan disiplin (konseptual) dari kebijakan,
prosedur dan operasi manajemen yang dijalankan untuk memastikan
tercapainya tujuan organisasi, dan melalui rekomendasi untuk
perbaikan.
Pekerjaan konsultasi tersebut memberikan kontribusi pendapat
internal auditor atas manajemen risiko, pengendalian, dan tata kelola
organisasi
7
SOURCE: ISSPIA GLOSSARY
Definisi Audit Internal Berbasis
Risiko
Metodologi audit yang dilakukan oleh Auditor
Internal untuk memberikan suatu opini yang
independen dan obyektif kepada manajemen
organisasi apakah risiko-risiko yang dikelola
oleh manajemen telah berada pada tingkat
yang dapat diterima
8
TUJUAN DAN MANFAAT AUDIT
INTERNAL BERBASIS RISIKO
9
TUJUAN AIBR
PENGENDALIAN INTERNAL
MERUPAKAN PROSES
MENGELOLA RISIKO
RISIKO MERUPAKAN
PERISTIWA YANG
MENGHAMBAT PENCAPAIAN
TUJUAN 10
Manfaat AIBR
resiko yang terjadi karena tidak
adanya pengendalian internal
Inherent
Risk
RBIA Provides
Consequence
Residual
Risk
Risk Appetite
resiko yang masih terjadi meskipun kita sudah sejumlah risiko, pada
melakukan pengendalian internal tingkatan manajemen/board,
dimana sebuah organisasi
bersedia menerima risiko
Likelihood tersebut
11
Sumber: Implementing RBIA David Griffith
PERBANDINGAN PENDEKATAN
AIBR DENGAN AUDIT SEBELUMNYA
12
Sebelum Risk Based Audit (1)
13
Sebelum Risk Based Audit (2)
14
Risk based internal audit
Policies Audit Reporting
• Dimulai dgn kebijakan dan • Berdasarkan peraturan • Laporan didasarkan pada laporan
prosedur yg disetujui. pengecualian
• Fokus pada kepatuhan dan
• Mempertimbangkan apa yg peraturan • Laporan difokuskan secara
manajemen nyatakan seharusnya operasional
dilakukan.
• Berperan sebagai polisi
• Laporan pada tingkat bawah
Aud it • Contoh uji transaksi
e r na l • Identifikasi persoalan minor
al Int
• Secara historis difokuskan pada
ti on proses keuangan dan akuntansi • Mudah merespon mengenai fokus
Tr adi • Rekomendasi tidak
pada sistem dan departemen-
departemen tersendiri
mengharuskan tetapi
menyarankan • Konklusi didasarkan pada tingkat
kepatuhan/ operasi dari kontrol
2 Tujuan Audit Memberikan opini terhadap kondisi Melakukan penilaian atas pelaksanaan
apakah risiko telah dikelola sesuai pengendalian intern, peningkatan
dengan tingkat yang dapat diterima efisiensi operasi
3 Program Kerja Audit ditujukan atas risiko Audit berdasar rencana rutin, tidak
Audit Tahunan signifikan mengutamakan pada tingkatan risiko
18
TAHAPAN AIBR
19
Tahapan AIBR
Mgt Risk
Register
Naive Enabled
Assess RM
Maturity
Aware Managed
Defined
Stage 1
Mgt Risk Use
Facilited Risk Register organisation’s
Identification (amanded) Risk
Stage 2
Risk and Audit
Audit Committee
Universe Audit Plan
Report
(RAU)
Individual Audit
Feedback result 20
21
Tahap 1 : Penilaian Risk Management
Maturity
1. Tujuan penilaian tingkat kematangan manajemen risiko adalah
untuk mengidentifikasi tingkat kematangan penerapan manajemen
risiko dan menentukan kemungkinan dilakukannya AIBR pada
perusahaan
2. Tingkat kematangan manajemen risiko menurut David Griffiths
terdiri dari Risk Naive, Risk Aware, Risk Defined, Risk Managed, dan
Risk Enabled
3. Penilaian dilakukan dengan menggunakan kuesioner survai tingkat
kematangan manajemen risiko ataupun wawancara dan workshop
22
Metodologi Evaluasi
23
Score Tingkat Kematangan
1 0 Non-existent
2 0 < x ≤ 1.5 Initial
3 1.5 < x ≤ 2.5 Repeatable
4 2.5 < x ≤ 3.5 Defined
6 4.5< x ≤ 5 Optimised
24
Merancang Pendekatan Audit
Risk Pengertian Pendekatan Audit
Maturity
Risk Naive Tidak ada pendekatan formal yang Memperkenalkan manajemen risiko dan audit
dikembangkan dalam pengelolaan risiko didasarkan pada penilaian risiko audit dan
atau Faktor Risiko
Risk Aware Pengembangan manajemen risiko masih Memperkenalkan Manajemen Risiko secara
terpisah-pisah (silo) atau perbagian enterprise-wide dan audit didasarkan atas
penilaian risiko audit dan atau Faktor Risiko
Risk Perusahaan sudah memiliki dan Memfasilitasi dan kerjasama dengan unit
Defined mengkomunikasikan strategi dan manajemen risiko dan memanfaatkan hasil
kebijakan serta risk appetite dalam risk assessment manajemen jika sudah
penerapan Manajemen Risiko dipandang memadai dalam melakukan audit
Risk Perusahaan telah mengembangkan dan Audit proses manajemen risiko dan
Managed mengkomunikasikan manajemen risiko menggunakan hasil asesmen risiko yang
secara enterprises-wide sudah cukup memadai
Risk Manajemen Risiko dan Internal Control Audit proses manajemen risiko dan
Enabled sudah menyatu dalam seluruh operasi menggunakan hasil asesmen risiko yang
sudah cukup memadai 25
Risk Maturity
26
Internal Audit’s Role
Risk Maturity
1 2 3 4 5
Consulting Assurance
AUDIT INTERNAL
28
Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
Level Control Monitoring Audit Approach
Assurance
Manajemen memonitor bahwa semua
Semua risiko telah teridentifikasi dan
respon dilakukan secara tepat.
dinilai.
Hampir Semua manajer memberikan
Managed Adanya Reviu risiko secara teratur
jaminan terhadap efektivitas
Respon telah sesuai untuk mengelola
manajemen risiko dan penilaian kinerja
risiko
manajemen risiko
31
Penyusunan PKPT/Annual Audit Plan
ML Ya Scoring Auditabl
Naive, Penyusunan Menyusun
Aware, Risk e Unit
Faktor Risiko PKPT
Defined Factor (ULA)
Tidak
Identifikasi Auditable
Grouping Menyusun
Risiko oleh A/I Filtering RR Unit
RR PKPT
dgn UPR (ULA)
32
Contoh Alokasi SDA
Jumlah Hari Kerja Selama Setahun Hari
Hari Tersedia selama setahun 365
Weekends (104)
Holidays (8)
Cuti (12)
Training (6)
Sick Leave (3)
Jumlah Hari tersedia untuk setiap auditor 232
Engagement Planning
(Micro Risk Assessment)
34
Risk-Based Internal Audit Planning
Engagement Planning and Performance
Start
Risk Profile
Pemahaman Tersedia Minta risk Risk Yes Tetapkan
Tujuan dan risk profile ke RM/ auditable Profil Prioritas area
unit
proses AU profile? Yes Auditee andal? audit
No
No Lakukan micro
risk Lakukan
Evaluasi
assessment analytical
inherent risk
procedure
Bahas temuan
Bahas usul Usulkan
dengan
modifikasi modifikasi
auditee
control control
35
Terbitkan
End
laporan audit
Tahap III : Penugasan Individual Audit
Pemahaman Penilaian risiko
proses residual
Evaluasi
Pemahaman bisnis pelaksanaan Finish
pengendalian risiko
36
Tahapan Pelaksanaan AIBR
Tahapan pelaksanaan AIBR untuk individual audit terdiri
dari:
1. Memperoleh latar belakang auditan
2. Pemahaman proses bisnis
3. Pemahaman risiko dalam proses bisnis
4. Evaluasi efektifitas rancangan pengendalian risiko
5. Evaluasi efektivitas pelaksanaan pengendalian risiko
6. Penilaian risiko residual
7. Identifikasi isu-isu utama
8. Penyusunan Laporan Hasil Audit
37
PROSES RISK ASSESSMENT
1. Menetapkan tujuan unit
2. Menetapkan aktivitas utama pendukung tujuan
3. Mengidentifikasi segala hal yang dapat menghambat
pencapaian tujuan unit (What Can Go Wrong Analysis /
WcGW)
4. Menetapkan besaran kemungkinan terjadinya (likelihood)
dan dampaknya (Consequency)
5. Tuangkan dalam daftar risiko
PROSES RISK ASSESSMENT
(lanjutan)
6. Hitung skor untuk masing-masing risiko
7. Tuangkan dalam peta risiko
8. Identifikasi risiko signifikan
9. Pertimbangkan risk appetite dan risk tolerance
10.Identifikasi Control yang sudah ada
11.Tetapkan risiko residual
12.Hitung skor risiko residual
13.Tetapkan action plan dan Penaggung Jawab (PIC)
Kategori Likelihood Risiko
1. Sasaran Strategis
2. Revenue Perusahaan
3. Biaya Perusahaan
4. Arus Kas Perusahaan
5. Waktu pelaksanaan aktivitas
6. Kualitas produk/ jasa yang diberikan Perusahaan
7. Harta fisik Perusahaan
8. Human Capital
9. Reputasi Perusahaan di mata stakeholders
Kategori Dampak Risiko
KRITERIA DAMPAK RISIKO
auditable unit
Prasyarat penerapan RBIA
• Direksi telah menetapkan kebijakan-kebijakan terkait internal
control
• Direksi dan Komisaris telah menyepakati risk apetite
• Manajemen telah mendapatkan pelatihan cukup untuk
mengidentifikasi dan mengevaluasi risiko serta mendesain,
mengoperasikan, dan memonitor sistem pengendalian internal
yang diterapkan berdasar kebijakan Direksi
50
Agar Pelaksanaan RBIA Efektif