KONSEP UMUM AUDIT BERBASIS RISIKO Disampaikan kepada Pejabat/Pegawai di Lingkungan Kementerian Riset, Teknologi dan Pendidikan Tinggi (Kemenristekdikti) Bogor, 28 November 2018

TUJUAN PEMBELAJARAN Setelah penyampaian materi selesai, peserta pelatihan diharapkan: 1. Memahami konsep umum audit intern berbasis risiko; dan 2. Memahami konsep manajemen audit berbasis risiko.

LATAR BELAKANG

Good Governance dan Clean Government Reformasi Birokrasi Good Governance dan Clean Government

PERAN APIP 1. Memberikan keyakinan yang memadai atas ketaatan, kehematan, efisiensi, dan efektivitas pencapaian tujuan penyelenggaraan tugas dan fungsi Instansi Pemerintah (assurance activities); 2. Memberikan peringatan dini dan meningkatkan efektivitas manajemen risiko dalam penyelenggaraan tugas dan fungsi Instansi Pemerintah (anti corruption activities); dan 3. Memberikan masukan yang dapat memelihara dan meningkatkan kualitas tata kelola penyelenggaraan tugas dan fungsi Instansi Pemerintah (consulting activities).

PERAN APIP

DEFINISI INTERNAL AUDITING Internal auditing is an independent appraisal function established within an organization to examine and evaluate its activities as a service to the organization. The objective of internal auditing is to assist members of the organization in the effective discharge of the responsibility. To this end, internal auditing furnishes them with analysis, appraisals, recommendations, councel, and information concerning the activities reviewed. The audit objective include promoting effective control at reasonable cost (IIA, 1947)

DEFINISI INTERNAL AUDITING Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization’s operations. It helps an organization accomplish its objectives by bringing a systematic, disicplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes (IIA 1999)

DEFINISI INTERNAL AUDITING Kegiatan yang independen dan obyektif dalam bentuk pemberian keyakinan [assurance activities] dan konsultansi [consulting activities], yang dirancang untuk memberi nilai tambah dan meningkatkan operasional sebuah organisasi [auditi].Kegiatan ini membantu organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol [pengendalian], dan tata kelola [sektor publik]. Standar Audit AAIPI, 2013

PERBEDAAN DEFINISI INTERNAL AUDITING 1947 1999 Fungsi Penilaian yang independen Pemberian asurans dan konsultansi Menguji dan mengevaluasi kegiatan organisasi dan meningkatkan pengendalian yang efektif dengan biaya yang wajar Mengevaluasi efektivitas pengelolaan risiko, pengendalian dan proses tata kelola Membantu anggota organisasi melaksanakan tanggung jawabnya secara efektif Memberi nilai tambah dan peningkatan kegiatan organisasi dalam mencapai tujuannya Pendekatan dengan metode analisis, penilaian, rekomendasi, bimbingan Pendekatan yang sistematis dan disiplin

Audit Tradisional

Audit Internal Berbasis Risiko

Evaluate and improve the effectiveness: Auditor Intern Evaluate and improve the effectiveness:

Tata Kelola Kombinasi proses dan struktur yang dilaksanakan oleh manajemen untuk: Menginformasikan; Mengarahkan; Mengelola; dan Memantau kegiatan organisasi menuju pencapaian tujuannya (SA-AIPI, 2014)

Proses Tata Kelola Organisasi Mendorong penegakkan etika dan nilai-nilai yang tepat dalam organisasi. Memastikan akuntabilitas dan kinerja manajemen organisasi yang efektif. Mengomunikasikan informasi risiko dan pengendalian ke area-area organisasi yang tepat. Mengkoordinasikan kegiatan dan mengomunikasikan informasi di antara tingkatan manajemen organisasi, auditor intern, auditor ekstern, dan stakeholders organisasi.

Kegiatan Audit Internal atas Tata Kelola Organisasi Mengevaluasi rancangan, implementasi dan efektivitas etika organisasi terkait sasaran, proram dan kegiatan organisasi. Menilai tata kelola pada aspek-aspek tertentu organisasi. Misalnya, tata kelola teknologi informasi untuk mendukung strategi dan tujuan organisasi. Melakukan evaluasi dan memberikan rekomendasi menyeluruh untuk perbakan proses tata kelola organisasi.

Manajemen Risiko Suatu proses: Mengidentifikasi; Menilai; Mengelola; dan Mengendalikan peristiwa atau situasi potensial yang akan berdampak pada pencapaian tujuan organisasi.

Pengendalian Tindakan apa pun yang diambil oleh manajemen dan /atau pihak lain untuk mengelola risiko dan memberikan masukan yang dapat meningkatkan kemungkinan bahwa tujuan dan sasaran akan dicapai.

PARADIGMA AUDIT INTERN Watchdog (Penilaian Independen) Assurance & Consultancy (Risk Management Control & GCG)

PARADIGMA AUDIT INTERN KESATU Pengamatan dan Penghitungan 1941 KEDUA Pengendalian Intern Akhir 1990an KETIGA Risiko dan Manajemen Risiko

PERUBAHAN PARADIGMA

PERUBAHAN PARADIGMA Identify Measure Prioritize Control Avoid ESTABLISH ORGANIZATION OBJCETIVES EVALUATE CONTROLS IMPROVE CONTROLS ESTABLISH ORGANIZATION OBJCETIVES ASSESS RISKS DETERMINE CONTROLS REQUIRED ESTABLISH ORGANIZATION OBJCETIVES ASSESS RISKS MANAGE RISK Identify Measure Prioritize Control Avoid Share/Transfer

STANDAR AUDIT

STANDAR AUDIT INTERNAL 1220.A3 – Internal auditors must be alert to the significant risks that might affect objectives, operations, or resources. However, assurance procedures alone, even when performed with due professional care, do not guarantee that all significant risks will be identified. International Standards for the Professional Practice of Internal Auditing – The Institute of Internal Auditing

STANDAR AUDIT INTERNAL 2010 – Planning The chief audit executive must establish a risk-based plan to determine the priorities of the internal audit activity, consistent with the organization’s goals. 2010.A1 – The internal audit activity’s plan of engagements must be based on a documented risk assessment, undertaken at least annually. The input of senior management and the board must be considered in this process. International Standards for the Professional Practice of Internal Auditing – The Institute of Internal Auditing

STANDAR AUDIT INTERNAL 3010 - Menyusun Rencana Kegiatan Audit Intern Pimpinan APIP harus menyusun rencana strategis dan rencana kegiatan audit intern tahunan dengan prioritas pada kegiatan yang mempunyai risiko terbesar dan selaras dengan tujuan APIP. 3120 - Manajemen Risiko Kegiatan audit intern harus dapat mengevaluasi efektivitas dan berkontribusi terhadap perbaikan proses manajemen risiko. Standar Audit AAIPI, 2013

STANDAR AUDIT INTERNAL 2010.C1 – The chief audit executive should consider accepting proposed consulting engagements based on the engagement’s potential to improve management of risks, add value, and improve the organization’s operations. Accepted engagements must be included in the plan. 2120 – Risk Management. The internal audit activity must evaluate the effectiveness and contribute to the improvement of risk management processes. International Standards for the Professional Practice of Internal Auditing – The Institute of Internal Auditing

RISK BASED AUDITING

Risk Based Auditing? Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite).

Assurance yang disediakan ABR (sumber: IIA-UK and Ireland)

Risk Appetite (David M. Griffiths, PhD, FCA.) Selera Risiko = Tingkat risiko yang dapat diterima oleh dewan atau manajemen. Ini mungkin diatur dalam kaitannya dengan organisasi secara keseluruhan, untuk berbagai kelompok risiko atau tingkat risiko individu. Risiko yang berada di atas risk appetite dianggap ancaman bagi suatu organisasi dalam mencapai tujuannya.

Sifat Kerja Kegiatan Audit Intern (Risk, Control, Governance) Pengen-dalian Intern Mana-jemen Risiko Tata Kelola Sektor Publik SA-AAIPI  3100 - Sifat Kerja Kegiatan Audit Intern Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko, dan pengendalian intern dengan menggunakan pendekatan sistematis dan disiplin.

Peran APIP dalam Penerapan ABR Pemahaman Tata Kelola Business Process Pemahaman MR Goal Daftar Risiko Pemahaman PI Risk Risk Management Risk – Based Audit Risk Profile Audit Planning Action Plan Test of Control Report on Internal Audit Penanganan Risiko = RTP

Hubungan Perencanaan Audit Tahunan dan Audit Individu

TUJUAN AUDIT INTERNAL

PERAN AUDITOR INTERN

PERAN INTERNAL AUDITING JASA ASSURANCE Memberikan keyakinan pada desain dan efektivitas proses manajemen risiko; Memberikan keyakinan bahwa risiko dievaluasi dengan benar; Mengevaluasi proses manajemen risiko; Mengevaluasi pelaporan mengenai status dari risiko kunci dan pengendaliannya; Meninjau pengelolaan risiko kunci, termasuk efektivitas dari pengendalian dan respon lain terhadap risiko.

PERAN INTERNAL AUDITING JASA CONSULTING Memulai pembentukan Enterprise Risk Management (ERM) dalam organisasi; Mengembangkan strategi manajemen risiko dengan persetujuan dewan; Memfasilitasi identifikasi dan evaluasi risiko; Pelatihan manajemen tentang merespon risiko; Mengoordinasi laporan kegiatan ERM; Mengonsolidasi laporan mengenai risiko; Memelihara dan mengembangkan kerangka ERM

DEFENSE DALAM ORGANISASI

LARANGAN PERAN AUDITOR INTERN Mengatur selera risiko (risk appetite); Menerapkan proses manajemen risiko; Menjamin manajemen risiko; Membuat keputusan atas respon risiko; Menerapkan respon dan manajemen risiko atas nama manajemen; Akuntabilitas manajemen risiko.

Diklat Auditor Utama - JE TINGKATAN IACM Diklat Auditor Utama - JE

Elemen IACM ELEMEN IACM Services and Role of Internal Auditing People Management Professional Practices Performance Management and Accountability Organizational Relationships and Culture Governance Structure Diklat Auditor Utama - JE

Diklat Auditor Utama - JE MATRIX IACM Diklat Auditor Utama - JE

MANAJEMEN AUDIT BERBASIS RISIKO

DEFINISI MANAJEMEN AUDIT Suatu penilaian dari organisasi manajerial dan efisiensi dari suatu perusahaan, departemen, atau setiap entitas dan sub entitas yang dapat diaudit. Penekanannya adalah untuk mencapai efisiensi yang lebih besar, efektivitas, dan ekonomisasi dalam usaha dan organisasi yang lain. Istilah manajemen audit juga dikenal sebagai Operational Auditing, Value For Money Auditing, Comprehensive Auditing dan Systems Auditing (Tunggal, 2003)

DEFINISI MANAJEMEN AUDIT Pada intinya dapat disimpulkan bahwa manajemen audit menekankan penilaian atas seberapa ekonomis, efisien dan efektif pengelolaan pada suatu organisasi, bagian, bidang, dan kegiatan dilaksanakan untuk mencapai tujuan/sasaran/target.

DEFINISI RISIKO Definisi Risiko menurut AS/NZS 4360:2004 : “the chance of something happening that will have an impact on objectives” Definisi Risiko menurut Enterprise Risk Management - COSO : “Events with a negative impact represent risks, which can prevent value creation or erode existing value” 48

Jadi, risiko adalah……. Kemungkinan terjadinya peristiwa Tujuan Strategi Sasaran dan atau Target Yang membawa akibat yang tidak diinginkan atas: Kemungkinan terjadinya peristiwa

MANAJEMEN RISIKO Definisi Manajemen Risiko menurut AS/NZS 4360: 2004 : The culture, processes, structures that are directed towards realizing potential opportunities while managing adverse effects Definisi Manajemen Risiko menurut Enterprise Risk Management – COSO: A process , effected by an entity’s board of directors, management and other personnel, applied in strategy-setting and across enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives (COSO) 50

Tahapan Risk Based Audit Management’s Risk Register (If Available) Risk Naive Risk Enable Assess Risk Maturity Risk Aware Risk Managed Stage 1 Risk Defined Management’s Risk Register (amanded) Fasilitate Risk Identification Use Oganization’s Risk Audit Universe Asign Risk to Audit Stage 2 Risk and Audit Universe (RAU) Audit Plan Audit Committee Report Individual Audit Audit Report Stage 3 Feedback Result into RAU Sumber : David Grifith Risk Based Internal Audit

Risk Maturity

MANAJEMEN AUDIT BERBASIS RISIKO PROSES BISNIS TUJUAN Proses I Proses II Proses III Risiko Penanganan Risiko (Control) Risiko Penanganan Risiko Risiko Penanganan Risiko (Control) APIP

EVALUASI DESAIN RISIKO DAN MITIGASI RISIKO EVALUASI DESAIN MITIGASI RISIKO KEGIATAN A TUJUAN RISIKO R-1 R-2 R-3 T-2 T-1 MITIGASI MR-1 MR-2 MR-3 MR-4 DESAIN MR MEMADAI

EVALUASI DESAIN RISIKO DAN MITIGASI RISIKO EVALUASI DESAIN MITIGASI RISIKO KEGIATAN TUJUAN RISIKO MITIGASI RISIKO DISAIN MR KURANG MEMADAI A T-1 R-1 MR-1 MR-3 T-2 R-3 MR-4

EVALUASI DESAIN RISIKO DAN MITIGASI RISIKO EVALUASI DESAIN MITIGASI RISIKO KEGIATAN A TUJUAN RISKS R-1 R-2 R-3 T-2 T-1 MITIGASI RISIKO MR-1 MR-2 MR-3 MR-4 MR-5 DISAIN MR BERLEBIHAN

EVALUASI RISIKO DAN MITIGASI RISIKO (PELAKSANAAN AUDIT – FIELD WORK) EVALUASI IMPLEMENTASI DESAIN MITIGASI RISIKO R-1 R-2 R-3 KEGIATAN A TUJUAN RISIKO T-2 T-1 MITIGASI MR-1 MR-2 MR-3 IDENTIFIKASI PENGUKURAN TINGGI SEDANG RENDAH TIDAK OK IMPLEMENTASI MITIGASI RISIKO OK MITIGASI RISIKO SEBAGIAN KECIL TIDAK EFEKTIF KEBIJAKAN : TERIMA / ABAIKAN RISIKO RENDAH

EVALUASI RISIKO DAN MITIGASI RISIKO (PELAKSANAAN AUDIT – FIELD WORK) EVALUASI IMPLEMENTASI DESAIN MITIGASI RISIKO R-1 R-2 R-3 KEGIATAN A TUJUAN RISIKO T-2 T-1 MITIGASI MR-1 MR-2 MR-3 IDENTIFIKASI PENGUKURAN TINGGI SEDANG RENDAH TIDAK OK IMPLEMENTASI MITIGASI RISIKO OK MITIGASI RISIKO SEBAGIAN BESAR TIDAK EFEKTIF KEBIJAKAN: TERIMA / ABAIKAN RISIKO RENDAH

EVALUASI RISIKO DAN MITIGASI RISIKO (PELAKSANAAN AUDIT – FIELD WORK) EVALUASI IMPLEMENTASI DESAIN MITIGASI RISIKO R-1 R-2 R-3 KEGIATAN A TUJUAN RISIKO T-2 T-1 MITIGASI MR-1 MR-2 MR-3 IDENTIFIKASI PENGUKURAN TINGGI SEDANG RENDAH TIDAK OK IMPLEMENTASI MITIGASI RISIKO MITIGASI RISIKO TIDAK EFEKTIF KEBIJAKAN: TERIMA / ABAIKAN RISIKO RENDAH

UJI KETAATAN TERHADAP DISAIN MITIGASI RISIKO DAN UJI SUBSTANTIF KEG. A TUJUAN RISIKO T-2 T-1 MITIGASI MR-1 MR-2 MR-3 IDENT UKUR TINGGI SEDANG RENDAH IMPLEMENTASI MITIGASI RISIKO UJI KETAATAN UJI SUBSTANTIF SIMPULAN OK OK OK MITIGASI RISIKO EFEKTIF KEBIJAKAN: TERIMA / ABAIKAN RISIKO RENDAH

Akuntan Profesi untuk Mengabdi pada Negeri TERIMA KASIH