OVERVIU AUDIT INTERNAL BERBASIS RISIKO (AIBR) Ciawi, 12 Oktober 2018

AGENDA Definisi Internal Audit Tujuan, dan Manfaat AIBR Perbandingan Pendekatan AIBR dengan Audit Sebelumnya Tahapan AIBR

Definisi INTERNAL AUDIT

DEFINISI INTERNAL AUDIT (IPPF) Kegiatan assurance dan konsultasi yang independen dan obyektif yang dirancang untuk memberi nilai tambah dan peningkatan operasi suatu organisasi, Fungsi Internal Audit membantu organisasi mencapai tujuannya melalui pendekatan sistematis dan terstruktur untuk mengevaluasi dan meningkatkan efektifitas manajemen risiko, pengendalian (control) dan proses tata kelola perusahaan (corporate governance).

The Core Function of Internal Audit Sumber : Standar IIA

Pergeseran Fungsi Internal Audit Watchdog (Penilaian Independen) Assurance & Consultancy (Risk Management, IC & GCG)

Assurance dan Consultancy Pemeriksaan secara objektif suatu bukti untuk tujuan memberikan penilaian independen atas governance, manajemen risiko ,dan proses pengendalian bagi organisasi. Salah satu bentuk kegiatan assurance adalah kegiatan Audit dengan menggunakan metodologi berbasis risiko (Audit Internal Berbasis Risiko) CONSULTANCY Pemberian pelayanan secara profesional oleh internal auditor melalui evaluasi yang sistematis dan disiplin (konseptual) dari kebijakan, prosedur dan operasi manajemen yang dijalankan untuk memastikan tercapainya tujuan organisasi, dan melalui rekomendasi untuk perbaikan. Pekerjaan konsultasi tersebut memberikan kontribusi pendapat internal auditor atas manajemen risiko, pengendalian, dan tata kelola organisasi SOURCE: ISSPIA GLOSSARY

Definisi Audit Internal Berbasis Risiko Metodologi audit yang dilakukan oleh Auditor Internal untuk memberikan suatu opini yang independen dan obyektif kepada manajemen organisasi apakah risiko-risiko yang dikelola oleh manajemen telah berada pada tingkat yang dapat diterima

TUJUAN DAN MANFAAT AUDIT INTERNAL BERBASIS RISIKO

RBIA Provides Assurance that these controls are operating effectively Manfaat AIBR Inherent Risk Residual Risk Control RBIA Provides Assurance that these controls are operating effectively Risk Appetite Consequence Likelihood Sumber: Implementing RBIA David Griffith

PERBANDINGAN PENDEKATAN AIBR DENGAN AUDIT SEBELUMNYA

Sebelum Risk Based Audit (1) Risk Based Auditing Sebelum Risk Based Audit (1) Control Test Of Control Potential Risk Substantive Test Findings Konsep audit sampai dengan menghasilkan temuan ©2996 LPAI Indonesia

Sebelum Risk Based Audit (2) Risk Based Auditing Sebelum Risk Based Audit (2) Inherent Risk Control Risk Audit Risk Auditor mempertimbangkan risiko dari sudut pandang sendiri Fokus Utama adalah tujuan audit tercapai secara efisien Keterkaitan dengan tujuan organisasi secara keseluruhan “ Audit bagaikan pemain musik yang asyik dengan alat musiknya sendiri, kurang menaruh perhatian pada orkestrasi dan harmoni keseluruhan” ©2996 LPAI Indonesia

Risk based internal audit Policies Audit Reporting Dimulai dgn kebijakan dan prosedur yg disetujui. Mempertimbangkan apa yg manajemen nyatakan seharusnya dilakukan. Berdasarkan peraturan Fokus pada kepatuhan dan peraturan Berperan sebagai polisi Contoh uji transaksi Secara historis difokuskan pada proses keuangan dan akuntansi Rekomendasi tidak mengharuskan tetapi menyarankan Laporan didasarkan pada laporan pengecualian Laporan difokuskan secara operasional Laporan pada tingkat bawah Identifikasi persoalan minor Mudah merespon mengenai fokus pada sistem dan departemen-departemen tersendiri Konklusi didasarkan pada tingkat kepatuhan/ operasi dari kontrol Traditional Internal Audit Objectives Risks Audit Reporting Mulai dengan objektif yang telah ditetapkan. Jika objektifnya tidak ada maka bisa membuat objektif sendiri sebagai bahan pertimbangan audit Peranan audit mendukung objekif bukan bertentangan Objektifnya harus mencakup sistem, proses dan departemen Mempertimbangkan risiko signifikan perusahaan di masa depan Monitoring risk response Berperan sbg konsultan internal dan katalis Audit merekomendasikan pemecahan masalah Melakukan penilaian risiko dari risk register dan skoring risiko Audit bekerja mempertimbangkan risiko dan akan melihat kontrol yang diharapkan/ tindakan mitigasi Pekerjaan akan mengikuti profil risiko, bila suatu risiko di kelola melalui beberapa departemen, audit akan mempertimbangkan bagaimana menilai dan bekerja melalui departemen-departemen tersebut Audit adalah kualitatif dan didasarkan pada penilaian profesional. Audit mencakup seluruh proses dan sistem yang terdapat di institusi tersebut Audit bukan hanya menanyakan apakah perusahaan melakukan sesuatu dgn benar (kepatuhan/pengendalian operasi) ,tapi juga apakah melakukan sesuatu dengan tepat (efektifitas/desain kontrol). Risiko diprioritaskan pada tingkat strategik dan operasional penting. Kualitatif dan penilaian profesional dipakai untuk pemeringkatan dan kesimpulan risiko Laporan menjadi suatu dialog dan didiskusikan dengan manajemen Rekomendasi bukan resep tetapi adalah saran Risk Based Internal Audit

Perbandingan AIBR dengan Metode Audit Sebelumnya No Proses Audit Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya 1 Audit Universe Semua kegiatan dan proses bisnis Terutama area yang menyangkut keuangan tetapi juga termasuk ketaatan terhadap peraturan dan perundangan dan operasi 2 Tujuan Audit Memberikan opini terhadap kondisi apakah risiko telah dikelola sesuai dengan tingkat yang dapat diterima Melakukan penilaian atas pelaksanaan pengendalian intern, peningkatan efisiensi operasi 3 Program Kerja Audit Tahunan Audit ditujukan atas risiko signifikan Audit berdasar rencana rutin, tidak mengutamakan pada tingkatan risiko 4 Jenis Audit Audit terhadap proses bisnis berjalan Membedakan antara keuangan, operasional, ketaatan dan yang lainnya

Perbandingan AIBR dengan Metode Audit Sebelumnya No Proses Audit Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya 5 Keterlibatan Unit Auditan Melibatkan unit auditan pada seluruh tahapan mulai dari perencanaan s.d pelaksanaan audit, karena auditan merupakan pemilik risiko dan bertanggung jawab atas seluruh risiko Melibatkan hanya sedikit, mungkin pada saat rencana, dan pada saat akhir audit untuk menyetujui hasil temuan audit saja. 6 Pekerjaan Lapangan Memastikan bahwa organisasi telah mengidentifikasi semua risikonya dan mengendalikan risiko tersebut Sesuai dengan program kerja, yang dimungkinkan tidak jelasnya tujuan yang ditetapkan, dan disini hanya dilakukan pengujian saja. 7 Tujuan Pengujian Tujuan pengujian pengendalian adalah menguji apakah pengendalian risiko sudah dapat memitigasi risiko pada tingkat yang dapat diterima. Tujuan pengujian pengendalian adalah menilai apakah pengendalian sudah memadai dalam rangka menentukan scope/luas pengujian substantif.

Perbandingan AIBR dengan Metode Audit Sebelumnya No Proses Audit Audit Internal Berbasis Risiko Metodologi Audit Sebelumnya 8 Laporan Hasil Audit Memberikan opini kepada manajemen apakah risiko telah dikelola sampai pada acceptable level, dan dilaporkan jika tidak. Laporan juga memberikan gambaran indikasi proporsi jumlah pengendalian risiko yang sudah dan belum memitigasi risiko. Melaporkan penilaian atas pelaksanaan pengendalian intern yang berjalan atau tidak. Dalam laporan tidak memberikan gambaran indikasi proporsi risiko yang telah ditangani. 9 Rekomendasi Audit Rekomendasi diberikan dalam rangka fungsi internal auditor sebagai konsultan, namun seluruh tanggung jawab ada dimanajemen Rekomendasi dibuat untuk memperbaiki temuan kelemahan.

TAHAPAN AIBR

Tahapan AIBR Stage 1 Stage 2 Stage 3 Mgt Risk Register Assess RM Maturity Defined Naive Aware Enabled Managed Facilited Risk Identification (amanded) Use organisation’s Risk Assign Risk to Audit Audit Universe Risk and Audit Universe (RAU) Audit Plan Audit Committee Report Individual Audit Audit Report Feedback result Into RAU Stage 1 Stage 2 Stage 3 Sumber : David Grifith Risk Based Internal Audit

Tahapan Audit Tahap 1 : Penilaian Risk Management Maturity Tahap 2 : Penyusunan PKPT Tahap 3 : Penugasan Individual Audit

Tahap 1 : Penilaian Risk Management Maturity Tujuan penilaian tingkat kematangan manajemen risiko adalah untuk mengidentifikasi tingkat kematangan penerapan manajemen risiko dan menentukan kemungkinan dilakukannya AIBR pada perusahaan Tingkat kematangan manajemen risiko menurut David Griffiths terdiri dari Risk Naive, Risk Aware, Risk Defined, Risk Managed, dan Risk Enabled Penilaian dilakukan dengan menggunakan kuesioner survai tingkat kematangan manajemen risiko ataupun wawancara dan workshop

Metodologi Evaluasi Evaluasi Pendahuluan dengan menggunakan Kuesioner Survei Tingkat Kematangan Manajemen Risiko Evaluasi Mendalam dengan menggunakan Scorecard Evaluasi berdasarkan kriteria dalam framework RM (i.e. ERM COSO)

Score Tingkat Kematangan No Nilai Capaian Tingkat Kematangan 1 Non-existent 2 0 < x ≤ 1.5 Initial 3 1.5 < x ≤ 2.5 Repeatable 4 2.5 < x ≤ 3.5 Defined 5 3.5< x ≤ 4.5 Managed 6 4.5< x ≤ 5 Optimised

Merancang Pendekatan Audit Risk Maturity Pengertian Pendekatan Audit Risk Naive Tidak ada pendekatan formal yang dikembangkan dalam pengelolaan risiko Memperkenalkan manajemen risiko dan audit didasarkan pada penilaian risiko audit dan atau Faktor Risiko Risk Aware Pengembangan manajemen risiko masih terpisah-pisah (silo) atau perbagian Memperkenalkan Manajemen Risiko secara enterprise-wide dan audit didasarkan atas penilaian risiko audit dan atau Faktor Risiko Risk Defined Perusahaan sudah memiliki dan mengkomunikasikan strategi dan kebijakan serta risk appetite dalam penerapan Manajemen Risiko Memfasilitasi dan kerjasama dengan unit manajemen risiko dan memanfaatkan hasil risk assessment manajemen jika sudah dipandang memadai dalam melakukan audit Risk Managed Perusahaan telah mengembangkan dan mengkomunikasikan manajemen risiko secara enterprises-wide Audit proses manajemen risiko dan menggunakan hasil asesmen risiko yang sudah cukup memadai Risk Enabled Manajemen Risiko dan Internal Control sudah menyatu dalam seluruh operasi

Risk Maturity Risk Naive Risk Aware Risk Defined Risk Enabled/Managed Risk Based Auditing Risk Maturity Provide consultation on Risk Management Framework Fasilitasi Identifikasi Risiko Audit Planning Berbasis Risiko Risk Naive Audit Program berbasis Risiko Risk Aware Fasilitasi kompilasi Risk Profile ke dalam Risk Register Provide consultation for the unit where Risk Management implementation is poor Risk Defined Reviu Risk Register Reviu manajemen risiko Risk Enabled/Managed Naïve dan Aware Auditor lebih berperan, risiko ditentukan auditor dengan sedikit peran dari auditi. RBA merupakan RBA kombinasi Enable dan Managed kerja sama dengan risk manajemen. Audit melihat pada apakah semua risiko telah diidentifikasi dan dikendalikan dengan efektif ©2996 LPAI Indonesia

Legitimate internal audit Internal Audit’s Role Legitimate internal audit roles with safeguards Roles internal audit should not undertake Core risk-based internal audit roles Maintaining & developing the ERM framework Central co-ordinating point for ERM Consolidated reporting on risks Developing risk management strategy for board approval Championing establishment of ERM Giving advice on managing risks Setting risk appetite Facilitating risk responses Imposing risk management processes Reviewing the management of key risks Management assurance on risks Evaluating risk management reporting Taking decisions on risk responses Giving assurance that risks assessed appropriately Implementing risk responses Giving assurance on risk management processes Accountability for risk management

TINGKAT KEMATANGAN PENERAPAN MANAJEMEN RISIKO VS PERAN AUDIT INTERNAL Risk Maturity 1 2 3 4 5 Naive Aware Defined Managed Enabled Consulting Assurance

Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit Audit Approach Enabled Managed Defined Aware Naive Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko Sebagian besar risiko telah teridentifikasi dan dinilai. Terdapat pengendalian tetapi tidak terkait dengan risiko Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat Sedikit atau kurang adanya monitoring Sangat kecil monitoring, jika adapun sangat lemah Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko Assurance Consultancy Assurance

Pendekatan AIBR berdasar Risk Maturity Untuk perusahaan dengan maturity level penerapan manajemen risiko pada tingkat “Naive” & “Aware” penentuan auditable unit menggunakan Faktor Risiko Untuk perusahaan dengan maturity level penerapan manajemen risiko pada tingkat maturity level “Enabled” dan “Managed” penentuan auditable unit menggunakan Risk Register

Tahap 2: PERENCANAAN AUDIT

Penyusunan PKPT/Annual Audit Plan Start Menilai ML RM ML Naive, Aware, Defined Filtering RR Penyusunan Faktor Risiko Menyusun PKPT Grouping RR Auditable Unit (ULA) Scoring Risk Factor ML : Maturity Level RM : Risk management RR : Risk Register UPR : Unit Pemilik Risiko ULA : Unit Layak Audit Identifikasi Risiko oleh A/I dgn UPR Ya Tidak

LANGKAH PERENCANAAN AUDIT Risk Based Auditing LANGKAH PERENCANAAN AUDIT Pengembangan audit universe (daftar unit-unit auditee)  Identifikasi  Penentuan faktor–faktor Risiko  Penilaian Nilai Risiko Global Penentuan kebijakan penilaian dan frekuensi audit Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran) ©2996 LPAI Indonesia

1. Pengembangan Audit Universe (Daftar Unit–unit Auditee) Risk Based Auditing 1. Pengembangan Audit Universe (Daftar Unit–unit Auditee) ©2996 LPAI Indonesia

Identifikasi Pertimbangan dalam penetapan Audit Universe Risk Based Auditing Identifikasi Pertimbangan dalam penetapan Audit Universe Sumbangan terhadap tujuan program, atau concern perusahaan dan stakeholders lainnya. Cukup Besar Cukup Penting Bahan untuk pertimbangan penetapan Audit Universe : Dokumen Perencanaan, Struktur Organisasi, Statistik Daerah/Nasional, Diskusi dengan Pihak Eksekutif, Peraturan yang berkenaan dengan pembentukan unit, Peraturan perundang – undangan dari Kementerian BUMN, Brainstorming dan lain sebagainya ©2996 LPAI Indonesia

Contoh Audit Universe Nomor Nama Audit Unit 100 Kantor Pusat 101 Risk Based Auditing Contoh Audit Universe Nomor Nama Audit Unit 100 Kantor Pusat 101 Direktorat Akuntansi dan Keuangan 102 Direktorat Umum 103 Ditektorat SDM 200 Cabang 201 Cabang A 202 Cabang B 203 Cabang C 300 Unit Operational 301 Unit Operational A 302 Unit Operational B 400 Rumah Sakit 401 Rumah Sakit A 402 Rumah Sakit B ©2996 LPAI Indonesia

Penetapan Faktor Risiko Risk Based Auditing Penetapan Faktor Risiko Faktor Risiko adalah kriteria (kategori atau faktor) yang digunakan untuk menggambarkan kondisi risiko yang ada dalam suatu unit audit. RISK REGISTER ©2996 LPAI Indonesia

Penentuan Unit Layak Audit (ULA) dengan Faktor Risiko Obyek audit dalam Audit Universe selanjutnya akan diskor dan diurutkan rangkingnya. Audit Intern akan menetapkan obyek audit dengan skor di atas nilai tertentu yang akan diprioritaskan dan dipilih sebagai Unit Layak Audit.

MENIMBANG FAKTOR RISIKO Risk Based Auditing MENIMBANG FAKTOR RISIKO ©2996 LPAI Indonesia

CONTOH FAKTOR RISIKO 1 Kualitas Internal Kontrol 11 System Komputer 2 Risk Based Auditing CONTOH FAKTOR RISIKO 1 Kualitas Internal Kontrol 11 System Komputer 2 Kompetensi Manajemen 12 Audit Terakhir 3 Integritas Manajemen 13 Tekanan dari manajemen 4 Ukuran unit (Rp) 14 Hubungan dg pemerintah 5 Perubahan Sistem Akuntansi 15 Tingkat Moral karyawan 6 Kompleksitas Operasi 16 Rencana Audit dari Auditor eksternal 7 Likuiditas Aset 17 Faktor Politis 8 Perubahan Personil Kunci 18 Kebutuhan independensi 9 Kondisi ekonomi unit 19 Jarak dari Kantor Pusat 10 Pertumbuhan yang Pesat ©2996 LPAI Indonesia

Contoh : Asumsi organisasi memiliki: 5 Unit Entity, yaitu : Bagian A Risk Based Auditing Contoh : Asumsi organisasi memiliki: 5 Unit Entity, yaitu : Bagian A Bagian B Bagian C Bagian D, dan Bagian E ©2996 LPAI Indonesia

Penentuan Score Asumsi diambil 4 Faktor Risiko Risk Based Auditing Penentuan Score Asumsi diambil 4 Faktor Risiko Faktor Risiko Score Dana yang dikelola Dibawah 1 Milyar 1 1 milyar – 5milyar 2 5 milyar – 25 milyar rp 3 25 milyar – 50 milyar 4 Diatas Rp 50 milyar 5 Jumlah Temuan Audit sebelumnya 0 sampai 1 2 sampai 3 4 sampai 5 6 sampai 10 Lebih dari 10 Faktor Risiko Score Kompetensi & Integritas Pimpinan Unit Sangat Kompeten 1 Kompeten 2 Sedang 3 Kurang Kompeten 4 Tidak Kompeten 5 Kondisi Internal Control Baiksekali (tidak ada cttn penting) Baik (Kurang dari 2 cttn penting) Sedang (3-5 catatan penting) Jelek (5-7 catatan penting) Jelek sekali (lebih dr 7 cttn penting) ©2996 LPAI Indonesia

Contoh Hasil Skor Faktor Risiko Risk Based Auditing Contoh Hasil Skor Faktor Risiko AUDITEE INTERNAL CONTROL DANA YANG DIKELOLA KOMPETENSI PIMPINAN TEMUAN AUDIT SEBELUMNYA JUMLAH Bagian A 2 3 9 Bagian B 4 5 15 Bagian C 14 Bagian D 11 Bagian E 1 13 62 ©2996 LPAI Indonesia

Risk Based Auditing Rangking Audit Unit Rangking Audit Unit disusun berdasarkan audit unit yang mempunyai risiko paling tinggi sampai rendah, dari contoh di atas adalah sebagai berikut : No. UNIT SCORE 1. Bagian B 15 2. Bagian C 14 3. Bagian E 13 4. Bagian D 11 5. Bagian A 9 62 ©2996 LPAI Indonesia

Contoh Hasil Assessment Risk Based Auditing Contoh Hasil Assessment AUDITEE INTERNAL CONTROL DANA YANG DIKELOLA PERPUTARAN PIMPINAN AUDIT SBLMNYA JUMLAH CABANG A 3 4 14 UNIT OPERATIONAL A 5 15 CABANG B 2 9 RUMAH SAKIT A 11 DIV. AKUNTANSI & KUANGAN 1 13 ©2996 LPAI Indonesia

Penentuan ULA dengan Register Risiko Register Risiko merupakan daftar yang dibuat oleh manajemen yang berisi seluruh risiko- risiko yang teridentifikasi yang berpotensi menghambat pencapaian tujuan organisasi, pengendalian yang sudah dilakukan, ukuran kemungkinan terjadi dan dampaknya, serta pemilik risikonya. Register Risiko yang dipakai adalah Register Risiko yang validitasnya telah ditentukan pada tahap evaluasi Maturity Level.

Penentuan ULA dengan Control Score Register Risiko Tahapan: Melakukan penyaringan (filtering) risiko Menghubungkan risiko dengan Audit Universe

√ Proses Filtering Risiko X X X X Select risk to be covered Risk Register Audited Filter Risk Risk on Which assurance is required Risk Within the Risk Appetite Risk not Requiring an audit in this period Risk on Which assurance is provided by others Risks Which will be tolerated Link Risk to Audit Audit Universe Risk and Audit Universe Select risk to be covered Allocate resources to audits Audit Plan Assign Risk to Audit Audit Committee Report X X X X √

Filtering/Penyaringan Risiko Penyaringan risiko dilakukan untuk menentukan risiko-risiko yang akan ditindaklanjuti dengan audit, dengan mengeluarkan risiko-risiko tertentu dari daftar Register Risiko.

Penyaringan Risiko Risiko-risiko tertentu yang tidak perlu diaudit: Risiko yang skornya berada di bawah batas risk appetite. Risiko yang akan diaudit oleh pihak ketiga, misalnya risiko keselamatan penerbangan yang akan diaudit oleh regulator safety IOSA, atau risiko kandungan bakteri dalam produk susu yang diaudit oleh BPOM. Risiko yang ditransfer kepada pihak lain, misalnya risiko tersebut telah diasuransikan. Risiko yang dikelola dalam batas risk appetite, dan sudah dibuktikan dari hasil audit sebelumnya.

Penyaringan Risiko Risiko-risiko yang tersisa setelah dilakukan proses penyaringan adalah risiko yang memerlukan assurance dan menjadi dasar dilakukannya penyusunan Audit Plan (PKPT).

Menghubungkan Risiko dengan Audit Universe Risiko-risiko yang tersisa dari hasil penyaringan, selanjutnya dikelompokkan menurut bisnis unit atau proses. Kelompok risiko-risiko tersebut kemudian dihubungkan dengan Audit Universe. Misalnya: Risiko piutang tak tertagih, maka yang akan diaudit (ULA) adalah Bagian Penagihan Piutang, Siklus Pendapatan, atau Pos/Rekening Piutang. Risiko mesin pabrik shut-down, maka yang akan diaudit adalah Bagian Teknik, siklus produksi, atau Pos/Rekening Aktiva Tetap – Mesin Pabrik.

2. Penentuan Kebijakan Penilaian dan Frekuensi Audit Risk Based Auditing 2. Penentuan Kebijakan Penilaian dan Frekuensi Audit ©2996 LPAI Indonesia

Penentuan Kebijakan Penilaian dan Frekuensi Audit Risk Based Auditing Penentuan Kebijakan Penilaian dan Frekuensi Audit Ada 2 Metode penentuan yaitu : Audit Atas Seluruh Unit Audit Audit Atas Sebagian Unit Audit ©2996 LPAI Indonesia

Rencana dan Jadwal Audit Risk Based Auditing Rencana dan Jadwal Audit Berdasarkan contoh penilaian atas risiko unit audit, diasumsikan : Jumlah orang–hari yang tersedia = 50 hari Waktu yang diperlukan untuk mengaudit Bagian B = 20 hari Bagian C = 15 hari Bagian E = 15 hari Bagian D = 15 hari Bagian A = 15 hari Jumlah = 80 hari ©2996 LPAI Indonesia

Audit Terhadap Semua Unit Auditee Risk Based Auditing Audit Terhadap Semua Unit Auditee Alokasi waktunya disesuaikan dengan proporsi masing– masing score dengan total seluruh score. Apabila hari yg tersedia 80 maka, perhitungannya adalah sbb: Auditee Score Risiko % Score Risiko Hari Pemeriksaan (% x 80 hari) Bagian B 15 24 % (15/62) 19 Bagian C 14 23% (14/62) 18 Bagian E 13 21% (13/62) 17 Bagian D 11 18% (11/62) Bagian A 9 15% (9/62) 12 Jumlah 62 80 ©2996 LPAI Indonesia

Audit Terhadap Semua Unit Auditee Risk Based Auditing Audit Terhadap Semua Unit Auditee Apabila hari yg tersedia 50 maka, perhitungannya adalah sbb: Auditee Score Risiko % Score Risiko Hari Pemeriksaan (% x 50 hari) Bagian B 15 24 % (15/62) 12 Bagian C 14 23% (14/62) 11 Bagian E 13 21% (13/62) 10 Bagian D 18% (11/62) 9 Bagian A 15% (9/62) 7 Jumlah 62 50 ©2996 LPAI Indonesia

Audit Atas Sebagian Unit Auditee Risk Based Auditing Audit Atas Sebagian Unit Auditee Agar alokasi sumberdaya audit maksimal, maka dipilih auditee berdasarkan ranking score risiko, sebagai berikut: * Kelemahan dari metode ini hanya unit audit yang berisiko tinggi saja yang akan diaudit Bagian B Bagian C Bagian E Jumlah 20 hari 15 hari 50 hari Risiko 15 14 13 42 ©2996 LPAI Indonesia

Audit atas Sebagian Unit Auditee (Cont) Risk Based Auditing Audit atas Sebagian Unit Auditee (Cont) Untuk mengatasi kelemahan, jika unit yang akan diaudit sangat banyak, sedangkan sumber daya sangat terbatas, maka langkah yang harus diambil adalah : Golongan unit yang diaudit dalam kategori resiko tinggi, sedang dan rendah Pergunakan rumus matematis untuk melakukan perencanaan audit tahunan yaitu : H + M/2 + L/3 dimana : H = auditable unit dengan risiko tinggi dijadualkan untuk diperiksa setiap tahun sekali. M = auditable unit dengan risiko sedang dijadualkan untuk diperiksa setiap dua tahun sekali. L = auditable unit dengan risiko rendah diperiksa setiap tiga tahun sekali. ©2996 LPAI Indonesia

Risk Based Auditing Contoh : Risiko Tinggi Risiko Sedang Risiko Rendah Unit A, unit D, unit F, unit H Unit C dan unit E Unit B, unit G, unit I Dengan menggunakan rumus matematis yang telah ditentukan, maka hasil yang didapat adalah sebagai berukut : Tahun I Tahun II Tahun III Tahun IV - Unit A; unit D; unit F, unit H, Unit C, Unit B Unit A; unit D; unit F, unit H, Unit E, unit G Unit I unit E, unit B ©2996 LPAI Indonesia

Risk-Based Internal Audit Planning Annual Planning Audit Database Start Inventarisasi Auditable Unit Daftar Auditable Unit Tentukan Faktor Risiko*) Matriks Rencana Audit Isi sel Matriks Rencana Audit Matriks yg telah Terisi Alokasikan HA tersedia ke Aktivitas Identifikasi Aktivitas non Audit Hitung Total Hari Audit Tersedia Prioritized Auditable Unit Urutkan prioritas audit Tetapkan dan isikan Skala Skoring Dratt Rencana IA Tahunan Pleno pembahasan Persetujuan Rencana IA Tahunan End *) Item dan jumlah faktor risiko disesuaikan dengan kebutuhan

3. Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran) Risk Based Auditing 3. Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran) ©2996 LPAI Indonesia

Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran) Risk Based Auditing Alokasi Sumber Daya Audit (SDM, Waktu, Anggaran) Hal – hal yang harus diperhatikan : Identifikasi jumlah auditor berdasarkan tingkat keterampilan dan pengalaman yang diperlukan untuk setiap pemeriksaan, Identifikasi kebutuhan untuk menggunakan tenaga ahli external, Hitung hari kerja yang tersedia dalam satu tahun setelah dikurangi hari cuti dan hari libur Perhitungkan waktu bagi auditor untuk melakukan pendidikan dan pelatihan Perhitungkan waktu auditor untuk melakukan kegiatan pemeriksaan lain dan penugasan khusus lainnya. Perhatikan tarif transportasi dan tarif biaya perjalanan dinas Perhatikan sarana pendukung dan peralatan yang dibutuhkan ©2996 LPAI Indonesia

Jumlah Hari Kerja Selama Setahun Contoh Alokasi SDA Jumlah Hari Kerja Selama Setahun Hari Hari Tersedia selama setahun 365 Weekends (104) Holidays (8) Cuti (12) Training (6) Sick Leave (3) Jumlah Hari tersedia untuk setiap auditor 232 Risiko Cabang Besar Sedang Kecil Tinggi 6 orang 15 hari 6 orang 10 hari 3 orang 8 hari 4 orang 12 hari 4 orang 8 hari 3 orang 3 hari Rendah 2 orang 5 hari 2 orang 3 hari 1 orang 3 hari

Risk-Based Internal Audit Engagement Planning (Micro Risk Assessment)

Risk-Based Internal Audit Planning Engagement Planning and Performance Start Tersedia risk profile? Risk Profil andal? Pemahaman Tujuan dan proses AU Minta risk profile ke RM/ Auditee Risk Profile auditable unit Yes Tetapkan Prioritas area audit Yes No No Lakukan micro risk assessment Lakukan analytical procedure Evaluasi inherent risk Control Effective? Control Cukup? Dratt Matriks temuan Simpulkan hasil pengujian Yes Substantive test of control operation Yes Identifikasi dan evaluasi control design No No Bahas temuan dengan auditee Bahas usul modifikasi control Usulkan modifikasi control Terbitkan laporan audit End

Tahap III : Penugasan Individual Audit Start PKPT ST Individual Audit Pemahaman bisnis Pemahaman proses Penilaian risiko residual Pemahaman risiko Identifikasi isu-isu utama Evaluasi rancangan pengendalian risiko Penyusunan Laporan Hasil Audit Evaluasi pelaksanaan pengendalian risiko Finish

Tahapan Pelaksanaan AIBR Tahapan pelaksanaan AIBR untuk individual audit terdiri dari: 1. Memperoleh latar belakang auditan 2. Pemahaman proses bisnis 3. Pemahaman risiko dalam proses bisnis 4. Evaluasi efektifitas rancangan pengendalian risiko 5. Evaluasi efektivitas pelaksanaan pengendalian risiko 6. Penilaian risiko residual 7. Identifikasi isu-isu utama 8. Penyusunan Laporan Hasil Audit

PROSES RISK ASSESSMENT Menetapkan tujuan unit Menetapkan aktivitas utama pendukung tujuan Mengidentifikasi segala hal yang dapat menghambat pencapaian tujuan unit (What Can Go Wrong Analysis / WcGW) Menetapkan besaran kemungkinan terjadinya (likelihood) dan dampaknya (Consequency) Tuangkan dalam daftar risiko

PROSES RISK ASSESSMENT (lanjutan) Hitung skor untuk masing-masing risiko Tuangkan dalam peta risiko Identifikasi risiko signifikan Pertimbangkan risk appetite dan risk tolerance Identifikasi Control yang sudah ada Tetapkan risiko residual Hitung skor risiko residual Tetapkan action plan dan Penaggung Jawab (PIC)

Kategori Likelihood Risiko KRITERIA LIKELIHOOD [KEMUNGKINAN TERJADINYA] RISIKO No. Uraian Skala Tersedia Data Frekuensi Kejadian Tidak Tersedia Data Frekuensi Kejadian Kemungkinan Terjadinya Risiko 1 Sangat besar 5 Frekuensi keterjadian lebih dari 12 kali setahun Persentase probabilitas keterjadian sangat tinggi, lebih dari 80% [hampir pasti terjadi] 2 Besar 4 Frekuensi keterjadian 8 sampai 12 kali dalam setahun Persentase probabilitas keterjadian tinggi, yaitu antara 60% sampai dengan 80% 3 Moderat Frekuensi keterjadian 4 sampai 7 kali dalam setahun Persentase probabilitas keterjadian sedang, yaitu antara 25% sampai dengan 60% Kecil Frekuensi keterjadian 2 sampai 3 kali dalam setahun Persentase probabilitas keterjadian rendah, yaitu antara 10% sampai dengan 25% Tidak signifikan Frekuensi keterjadian 1 kali dalam setahun Persentase probabilitas keterjadian tidak signifikan, yaitu sampai dengan 10%

Area Dampak Risiko Sasaran Strategis Revenue Perusahaan Biaya Perusahaan Arus Kas Perusahaan Waktu pelaksanaan aktivitas Kualitas produk/ jasa yang diberikan Perusahaan Harta fisik Perusahaan Human Capital Reputasi Perusahaan di mata stakeholders

KRITERIA DAMPAK RISIKO Kategori Dampak Risiko KRITERIA DAMPAK RISIKO Materialitas Dampak Risiko No. Risiko Berdampak pada: Tidak Signifikan [1] Kecil [2] Sedang [3] Besar [4] Katastropik [5] Jika 1. Sasaran Strategis Sasaran strategis masih bisa dicapai dengan sedikit revisi [tingkat divisi] Sasaran strategis direvisi secara internal manajemen [Perusahaan] Sasaran strategis direvisi dengan persetujuan Dewan Komisaris Sasaran strategis dirombak total agar dapat direalisasikan Sasaran strategis gagal total dan perusahaan kehilangan opportunity dan biaya 2. Revenue Perusahaan Mengakibatkan variance [realisasi dibanding anggaran] lebih rendah sebesar <5% Mengakibatkan variance [realisasi dibanding anggaran] lebih rendah sebesar >5% Mengakibatkan variance [realisasi dibanding anggaran] lebih rendah sebesar >10% Mengakibatkan variance [realisasi dibanding anggaran] lebih rendah sebesar >15% Mengakibatkan variance [realisasi dibanding anggaran] lebih rendah sebesar >20% 3. Biaya Perusahaan Mengakibatkan variance [realisasi dibanding anggaran] lebih tinggi sebesar <5% Mengakibatkan variance [realisasi dibanding anggaran] lebih tinggi sebesar >5% Mengakibatkan variance [realisasi dibanding anggaran] lebih tinggi sebesar >10% Mengakibatkan variance [realisasi dibanding anggaran] lebih tinggi sebesar >15% Mengakibatkan variance [realisasi dibanding anggaran] lebih tinggi sebesar >20% 4. Arus Kas Perusahaan Waktu penerimaan kas meleset <5% waktu yang ditetapkan, tidak menyebabkan gangguan likuiditas Waktu penerimaan kas meleset >5% waktu yang ditetapkan, menyebabkan gangguan likuiditas yang tidak signifikan Waktu penerimaan kas meleset >10% waktu yang ditetapkan, menyebabkan gangguan likuiditas internal Waktu penerimaan kas meleset >15% waktu yang ditetapkan, menyebabkan gangguan likuiditas eksternal Waktu penerimaan kas meleset >20% waktu yang ditetapkan, menyebabkan gangguan likuiditas dan penurunan kepercayaan 5. Waktu pelaksanaan aktivitas Waktu meleset [lebih lama] <5% dari standar secara keseluruhan Waktu meleset [lebih lama] >5% dari standar secara keseluruhan Waktu meleset [lebih lama] >10% dari standar secara keseluruhan Waktu meleset [lebih lama] >15% dari standar secara keseluruhan Waktu meleset [lebih lama] >20% dari standar secara keseluruhan

KRITERIA DAMPAK RISIKO Kategori Dampak Risiko KRITERIA DAMPAK RISIKO Materialitas Dampak Risiko No. Risiko Berdampak pada: Tidak Signifikan [1] Kecil [2] Sedang [3] Besar [4] Katastropik [5] Jika 6. Kualitas produk/ jasa yang diberikan Perusahaan Cacat produk/jasa bisa segera diketahui dan dikoreksi langsung di lapangan Cacat produk/jasa diperbaiki pada level divisi [oleh tim divisi operasi] Cacat produk/jasa diperbaiki pada level korporat [oleh tim level korporat] Cacat produk/jasa tidak dapat diperbaiki, dilakukan set-up produk/jasa ulang Cacat produk/jasa tidak dapat diperbaiki, mengakibatkan klaim dan penurunan kepercayaan 7. Harta fisik Perusahaan Mengakibatkan harta perusahaan berkurang sebesar <5% Mengakibatkan harta perusahaan berkurang sebesar >5% Mengakibatkan harta perusahaan berkurang sebesar >10% Mengakibatkan harta perusahaan berkurang sebesar >15% Mengakibatkan harta perusahaan berkurang sebesar >20% 8. Human Capital Mengakibatkan luka fisik tetapi bisa ditangani langsung Mengakibatkan luka fisik, penanganan memerlukan bantuan medis Mengakibatkan luka fisik, penanganan secara khusus di rumah sakit Mengakibatkan luka fisik dan psikologis, memerlukan penanganan khusus dan waktu recovery Mengakibatkan luka fisik, psikologis dan korban jiwa, memerlukan penanganan khusus dan waktu recovery 9. Reputasi Perusahaan di mata stakeholders Kepercayaan stakeholder berkurang sebesar <5% Kepercayaan stakeholder berkurang sebesar >5% Kepercayaan stakeholder berkurang sebesar >10% Kepercayaan stakeholder berkurang sebesar >15% Kepercayaan stakeholder berkurang sebesar >20%

TOLERANSI RISIKO Tingkat besaran risiko (seberapa batas penyimpangan dari tujuan/target) yang akan diterima/diambil oleh organisasi disesuaikan dengan kemampuan, yang ditetapkan sebagai batasan toleransi risiko dengan memperhatikan pengalaman dalam pengelolaan risiko periode sebelumnya.

DEFINISI Daftar Risiko Daftar Risiko Organisasi adalah daftar semua risiko organisasi yang teridentifikasi. Peta Risiko Peta Risiko Organisasi merupakan gambaran secara visual risiko yang dihadapi organisasi dalam suatu matriks dua sumbu, yaitu sumbu likelihood dan dampak risiko. Peta risiko ini juga mencerminkan posisi risiko pada kondisi inheren dan manajemen dapat melihat kapabilitas pengendalian risiko yang diciptakan untuk mengelola risiko sampai tingkat yang dapat diterima. Register Risiko Register Risiko adalah dokumen yang digunakan untuk mencatat proses manajemen risiko dari risiko yang teridentifikasi. Register Risiko memuat informasi tentang nama, pernyataan risiko, sebab, dampak terjadinya risiko, pengendalian risiko yang ada, penaksiran risiko inheren (likelihood dan dampak), dan respon risiko atau pengendalian risiko yang akan dilakukan (action plan).

PETA/PROFIL RISIKO

Evaluating the Inherent Risk Characteristic Dalam mengevaluasi karakteristik risiko inheren, Auditor Intern harus memperhatikan letak risiko dalam peta risiko yang terbagi menjadi 4 kuadran: Kuadran I (Low Consequence Low Likelihood)  terima risiko Kuadran II (High Consequence Low Likelihood risk)  kurangi dampak risiko dengan asuransi Kuadran III (High Consequence High Likelihood)  hindari risiko Kuadran IV (Low Consequence High Likelihood)  kurangi probabilitas risiko dengan control Kuadran II Kuadran III Kuadran I Kuadran IV

Sebelum atau Sesudah adanya Internal Control? Risiko idealnya diukur baik sebelum maupun sesudah dietapkannya suatu respon atas risiko tersebut Skor Risiko Inheren diukur dengan meng-assess kemungkinan terjadinya serta besaran dampaknya sebelum internal control apapun diterapkan Skor Risiko Residual diukur dengan mengassess kemungkinan terjadi dan besaran dampaknya setelah suatu control ditetapkan

To Sum Up : RBIA AAP Procedures Buat daftar “Auditable Unit”; Sepakati dan tetapkan “Faktor Risiko” yang akan digunakan untuk menimbang bobot dan skor risiko masing-masing Auditable Unit; Faktor risiko: waktu audit terakhir, jumlah temuan audit, nilai temuan audit, jumlah dan nilai temuan yang ditindaklanjuti, target revenue tahun ini, anggaran kapex dan opex tahun ini, nilai asset yang dikelola, dan sebagainya; Buat Matriks menggunakan spreadsheet dengan baris untuk Auditable Unit dan kolom untuk Faktor Risiko, kemudian isi seluruh field matriks dengan data yang tersedia; Buat skala ukuran faktor risiko 1 – 5 untuk masing-masing faktor risiko Lakukan penilaian dan jumlahkan total skor faktor risiko masing-masing auditable unit

Prasyarat penerapan RBIA Direksi telah menetapkan kebijakan-kebijakan terkait internal control Direksi dan Komisaris telah menyepakati risk apetite Manajemen telah mendapatkan pelatihan cukup untuk mengidentifikasi dan mengevaluasi risiko serta mendesain, mengoperasikan, dan memonitor sistem pengendalian internal yang diterapkan berdasar kebijakan Direksi

Agar Pelaksanaan RBIA Efektif Direksi dan seluruh jajaran manajemen telah mengidentifikasi dan meng-assess risiko yang mengancam pencapaian tujuan organisasi dan membangun sistem pengendalian intern atau respon lainnya yang sesuai untuk mengurangi ancaman hingga dibawah tingkat risk appetpetite atau melaporkan ke Komisaris bila hal tersebut tidak mungkin dilakukan Risiko inheren dicatat dan dinilai (assess) sedemikian sehingga dapat ditetapkan peringkatnya berdasar derajat ancaman (threat) Direksi dan Komisaris menetapkan risk appetite sedemikian sehingga mudah mengidentifikasi apakah suatu risiko ada di atas atau di bawah risk appetite Tanggung jawab untuk memberikan assurance atas framework manajemen risiko ditetapkan termasuk tanggung jawab manajemen, auditor eksternal, auditor internal, dan fungsi lain seperti keuangan, Teknik, dll

HAL-hal yang perlu dipertimbangkan oleh Kepala SPI (Head of Internal Audit) dalam penerapan RBIA Sejauh mana direksi dan manajemen menetapkan, mengassess, dan memantau risiko (The risk maturity of the organisation) Keberadaan register risiko (profil risiko) yang memuat daftar semua risiko significant dan sejauh mana dapat diandalkan sebagai dasar penyusunan audit planning Kompilasi dari suatu audit universe yang memuat daftar kegiatan audit yang ditujukan untuk menyediakan assurance bahwa semua risiko inheren yang melewati (di atas) risk appetite telah dikelola dengan tepat Pelaksanaan audit individual yang menyimpulkan apakah risiko inheren yang berada diatas risk appetite telah dikendalikan sehingga berada dalam batas risk appetite

Terima Kasih