Risk Based Internal Audit MINISTRY OF FINANCE INSPECTORATE GENERAL Risk Based Internal Audit Ari Sufianto Inspektorat VII Inspektorat Jenderal Kementerian Keuangan
Latar Belakang SAIPI Definisi Audit Intern Audit intern adalah kegiatan yang independen dan obyektif dalam bentuk pemberian keyakinan (assurance activities) dan konsultansi (consulting activities), yang dirancang untuk memberi nilai tambah dan meningkatkan operasional sebuah organisasi (auditi). Kegiatan ini membantu organisasi (auditi) mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol (pengendalian), dan tata kelola (sektor publik). @2018 Inspektorat VII
Latar Belakang SAIPI 3010 - Menyusun Rencana Kegiatan Audit Intern Pimpinan APIP harus menyusun rencana strategis dan rencana kegiatan audit intern tahunan dengan prioritas pada kegiatan yang mempunyai risiko terbesar dan selaras dengan tujuan APIP. SAIPI 3100 - Sifat Kerja Kegiatan Audit Intern Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko, dan pengendalian intern dengan menggunakan pendekatan sistematis dan disiplin. @2018 Inspektorat VII
Latar Belakang Internal Audit Capability Model @2018 Inspektorat VII
Latar Belakang IACM Level 3 Praktik Profesional Key Process Area – Adanya perencanaan audit berbasis risiko. Terlaksananya penilaian risiko secara sistematis dan fokus pada prioritas rencana kegiatan periodik APIP atas gambaran risiko organisasi IP secara keseluruhan. Outputs: Audit Universe/Peta Auditan termasuk identifikasi dan penanganan risiko. PKPT berbasis risiko. @2018 Inspektorat VII
Latar Belakang IIA – Guide to Risk Based Internal Audit Mengelola risiko dikenal sebagai suatu hal yang mendasar dalam praktik tata kelola yang baik. Kegiatan-kegiatan dalam pengelolaan risiko merupakan perwujudan peran yang mendasar dalam memelihara sistem pengendalian intern. Tanggung jawab untuk mengidentifikasi dan mengelola risiko berada pada manajemen Salah satu peran audit intern adalah memberikan keyakinan (assurance) bahwa risiko-risiko telah dikelola secara memadai. Suatu kegiatan audit intern yang profesional dapat mencapai misinya sebagai pondasi tata kelola dengan memposisikan kegiatannya dalam konteks kerangka manajemen risiko organisasi. @2018 Inspektorat VII
Definition IIA – Definition Risk Based Internal Auditing (RBIA) adalah suatu metodologi yang mengaitkan antara kegiatan audit intern dengan kerangka manajemen risiko organisasi. RBIA digunakan oleh unit audit intern untuk memberikan keyakinan (assurance) kepada manajemen bahwa manajemen risiko organisasi telah berjalan efektif. @2018 Inspektorat VII
Assurance provided by RBIA @2018 Inspektorat VII
Is the organisation ready? RBIA pada setiap tahapannya akan mendorong tanggung jawab manajemen dalam mengelola risiko. Apabila kerangka manajemen risiko belum kuat atau bahkan belum ada, maka organisasi belum siap untuk menggunakan RBIA. Ini berarti sistem pengendalian intern organisasi masih lemah. Untuk organisasi yang seperti ini, unit audit intern harus mempromosikan praktik-praktik manajemen risiko yang baik guna meningkatkan sistem pengendalian intern. @2018 Inspektorat VII
RM Maturity vs IA Role @2018 Inspektorat VII
Is the organisation ready? @2018 Inspektorat VII
Alur Kegiatan Assurance @2018 Inspektorat VII
Risk based Audit Planning Pentingnya Perencanaan Audit Berbasis Risiko Terbatasnya sumber daya yang tersedia. Perlu mengidentifikasi dan memeriksa area-area yang memiliki risiko tinggi. @2018 Inspektorat VII
Risk based Audit Planning PKPT Berbasis Risiko Makro Perencanaan Audit Berbasis Risiko Risk Control Matrix Program Kerja Audit Mikro @2018 Inspektorat VII
Audit Universe Pengertian Segala sesuatu yang dapat diperiksa oleh auditor intern. Audit Universe terdiri dari area-area pengawasan. Area pengawasan dapat berupa entitas, lokasi, sistem, program, proyek, proses, kegiatan, atau lini layanan. Suatu area pengawasan harus: Dapat menghasilkan temuan yang berarti untuk dipahami dan dikelola oleh manajemen. Memiliki ukuran dan ruang lingkup tertentu sehingga kegiatan pengawasan dapat dilaksanakan dalam jangka waktu yang memadai. @2018 Inspektorat VII
Audit Universe @2018 Inspektorat VII
Audit Universe @2018 Inspektorat VII
Identifikasi Risiko Tujuannya adalah agar audit intern mendapatkan pemahaman yang menyeluruh atas risiko-risiko yang dihadapi organisasi. Identifikasi risiko dan analisis risiko (risk scoring) sebaiknya dilakukan pada tahapan yang berbeda. Fokus pada kejadian-kejadian yang akan berdampak pada tujuan organisasi. Pendekatannya akan berbeda apabila organisasi telah menerapkan manajemen risiko. Sangat disarankan dilakukan melalui workshop bersama dengan manajemen. @2018 Inspektorat VII
Analisis Risiko Bertujuan untuk menentukan Level Risiko. Level Risiko diukur berdasarkan Level Kemungkinan terjadinya risiko dan Level Dampak apabila risiko terjadi. Perlu ditetapkan Kriteria Risiko yang terdiri dari: Kriteria Kemungkinan terjadinya risiko, Kriteria Dampak risiko dan Level Risiko @2018 Inspektorat VII
Kriteria Kemungkinan Penggunaan Kriteria Kemungkinan ditentukan dengan pertimbangan: Persentase digunakan apabila terdapat populasi yang jelas atas kegiatan tersebut. Jumlah digunakan apabila populasi tidak dapat ditentukan. @2018 Inspektorat VII
Kriteria Dampak @2018 Inspektorat VII
Kriteria Dampak @2018 Inspektorat VII
Kriteria Dampak @2018 Inspektorat VII
Kriteria Dampak @2018 Inspektorat VII
Matriks Analisis Risiko, Level Risiko dan Selera Risiko @2018 Inspektorat VII
Contoh Penilaian Risiko @2018 Inspektorat VII
Faktor Risiko Penilaian risiko dalam rangka penyusunan PKPT berbasis risiko dapat juga menggunakan Faktor Risiko, apabila: Area pengawasan terlalu banyak Risiko terlalu banyak Umumnya menggunakan 5 – 8 faktor risiko Perlu ditetapkan kriteria penilaian untuk setiap faktor risiko. Karena setiap faktor risiko memiliki tingkat kepentingan yang berbeda, maka perlu dilakukan pembobotan. @2018 Inspektorat VII
Faktor Risiko @2018 Inspektorat VII
Faktor Risiko @2018 Inspektorat VII
Faktor Risiko @2018 Inspektorat VII
Thank You