OVERVIEW AUDIT BERBASIS RISIKO Estherlina Pasaribu Rabu, 7 Agustus 2019

AGENDA KONSEP AUDIT BERBASIS RISIKO PENILAIAN KEMATANGAN RISIKO 1 PENILAIAN KEMATANGAN RISIKO 2 PERENCANAAN AUDIT TAHUNAN 3 PELAKSANAAN AUDIT INDIVIDU 4 … 5

DEFINISI ABR (menurut IIA) KONSEP AUDIT BERBASIS RISIKO 1 DEFINISI ABR (menurut IIA) Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite).

Perbedaan ABR vs Tradisional Audit Tradisional Menyusun Audit Universe untuk menentukan Auditable Unit berbasis Risiko (RAT) Pelaksanaan Individual audit berdasar Risiko Tertinggi Memahami operasi auditee Menaksir strategi manajemen risiko dan pengendalian risiko auditee Mengelola risiko audit residual Mengkomunikasi-kan hasil audit (Risiko Risidual) Menyusun Audit Universe (RAT) Judgmental Pelaksanaan Individual Audit berdasar Judgement Memahami Operasi Auditee Melakukan pengujian pengendalian dan pengujian substantif atas transaksi/aktivitas Melakukan prosedur analitis dan pengujian rinci atas saldo akun Menyelesaikan audit dan menerbitkan suatu laporan audit (Temuan Post event)

Dimana peran internal auditor??

Insight & Future Impact Simpulan Audit Tidak Ya Goals Masa Lalu Masa Kini Masa Depan

RBIA Provides Assurance that these controls are operating effectively Manfaat RBIA Inherent Risk Residual Risk Control RBIA Provides Assurance that these controls are operating effectively Risk Appetite Consequence Likelihood Sumber: Implementing RBIA David Griffith

Individual Audit Enggagement EVALUASI EFEKTIFITAS MANAJEMEN RISIKO R-1 R-2 R-3 Auditi A GOALS/TUJUAN RISIKO T-2 T-1 MITIGASI MR-1 MR-2 MR-3 IDENTIFIKASI PENGUKURAN TINGGI SEDANG RENDAH TIDAK OK EVALUASI IMPLEMENTASI MITIGASI RISIKO OK Enggament: Keterlibatan MITIGASI RISIKO SEBAGIAN BESAR TIDAK EFEKTIF KEBIJAKAN DIREKSI: TERIMA / ABAIKAN RISIKO RENDAH

RBIA No. Uraian risiko Inherent risk Response Residual risk Respon akhir atas residual risk L I Nilai (L x I) preventif Detectif 1 Kebakaran 2 5 10 - Alat pemadam (tabung & detector) Asuransi 4 Panduan tempat penyelamatan (shelter) Biaya hrs keluar Usulan anggaran Kebakaran hutan 25 Regulasi pengawasan (dukungan IT, APIP) Regulasi pembersihan lahan Regulasi terkati Akuntansi kehutanan Revisi regulasi (deregulasi) yg mendukung potensi pembkaran hutan regulasi sanksi (anda bakar anda bayar) sumur, pipa di area pengelolaan hutan Biaya hrs disiapkan 3 Mark up anggaran SDM tdk kompeten 6 7 8 9

TAHAPAN ABR Assessing risk maturity Periodic Audit Planning Gambaran sejauh mana pimpinan dan manajemen menentukan, menilai, mengelola dan memantau risiko Indikasi keandalan daftar risiko Assessing risk maturity Mengidentifikasi penugasan audit Menghasilkan annual audit plan Periodic Audit Planning Melaksanakan audit berbasis risiko individu Memberikan jaminan Individual Audit Assignment

Tahapan RBIA (sumber : IIA-UK and Ireland)

PENILAIAN KEMATANGAN RISIKO 2 Tahap krusial dalam menentukan apakah RBIA siap diterapkan dalam audit atas organisasi. Mengukur risk maturity : Bertemu dengan para manajer senior dan para pimpinan, untuk mengetahui proses-proses apa saja yang telah dilakukan dalam rangka meningkatkan membangun manajemen risiko organisasi selama ini. Evaluasi pemahaman organisasi mengenai risiko dan cara mengelolanya. Kumpulkan berbagai informasi yang terkait dengan risiko, seperti tujuan organisasi, proses dalam mengukur risiko, risk appetite yang dianut perusahaan, bagaimana manajemen mempertimbangkan risiko, dan lainnya. Buat penilaian terhadap keseluruhan proses dengan menggunakan model ceklist

Checklist penilaian tingkat kematangan manajemen risiko No Uraian Skor (0 - 2) 1 Tujuan organisasi terdokumentasi dan dipahami dengan baik 2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut 3 Proses identifikasi risiko telah ditetapkan dan dipatuhi 4 Sistem skoring untuk penilaian risiko telah ditetapkan 5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan 6 Respon atas risiko telah ditetapkan dan diimplementasikan 7 Risk appetite telah ditetapkan dengan sistem skoring 8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register 9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action plan risiko. 10 Risk register diupdate secara periodik 11 Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum ditekan pada tingkat yang dapat diterima 12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya 13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya termasuk dalam uraian tugas dan tanggung jawab pegawai. 14 Manajer memberikan jaminan efektifitas pengelolaan risiko 15 Setiap manager dinilai kinerjanya dalam mengelola risiko Jumlah

1 = ada hanya sebagian atau belum diterapkan Skor : 0 = tidak ada 1 = ada hanya sebagian atau belum diterapkan 2 = ada dan telah diimplementasikan Simpulan atas Total nilai : Nilai Kategori 0 – 7 Risk Naïve 8 – 14 Risk Aware 15 – 20 Risk Define 21 – 25 Risk Managed Di atas 26 Risk Enable

Kerangka Pendekatan Audit Internal Management’s Risk Register Risk Naive Assess Risk Maturity Risk Enable Risk Aware Risk Managed Risk Defined

KEMATANGAN RISIKO Risk naïve berarti organisasi belum membangun manajemen risiko sama sekali atau sudah ada manajemen risiko namun masih sangat lemah. Belum nampak adanya komitmen manajemen baik terhadap pembangunan maupun penerapan manajemen risiko. Selain itu terdapat indikasi pengendalian internal organisasi belum memadai. Risk aware berarti organisasi relatif sudah membangun manajemen risiko namun belum diterapkan atau penerapannya belum memadai, selain itu pengendalian internal organisasi belum berjalan dengan baik.

KEMATANGAN RISIKO Risk defined berarti organisasi relatif sudah membangun manajemen risiko namun penerapannya masih banyak kelemahan. Pengendalian internal organisasi sudah relatif berjalan baik. Risk managed berarti organisasi sudah membangun manajemen risiko dan telah diterapkan dengan baik meskipun masih terdapat beberapa kelemahan dalam pelaksanaannya. Pengendalian internal organisasi juga relatif telah memadai.

KEMATANGAN RISIKO Risk enabled berarti organisasi sudah membangun manajemen risiko dan telah diterapkan dengan baik. Pengendalian internal organisasi juga relatif telah memadai.

BELUM MATANGNYA RISIKO Risk Naive Auditor internal harus mendorong dan berupaya mendapatkan dukungan dari manajemen dalam penerapan manajemen risiko Control- Based Audit Risk Aware Risk Defined

AUDIT STRATEGY

STRATEGI AUDIT Area Risk Naive Risk Aware Risk Defined Risk Managed Risk enable Laporan manajemen atas pengelolaan risiko Tidak ada laporan formal Risk management proses (RMP) sangat lemah RMP masih banyak kelemahan RMP telah dikelola RMP telah diterapkan dengan baik Jenis konsultasi Sosialisasi, bimtek, dan fasilitasi RM Mendorong penerapan RM Memperbaiki RM Perbaikan berdasar kebutuhan Perencanaan audit Traditional audit plan RBIA dan TAP RBIA Pelaksanaan audit Proses pengendalian Proses manajemen risiko dan pengendalian Proses manajemen risiko

Hubungan Maturity Level Risiko dengan Control Monitoring Audit Approach Enabled Managed Defined Aware Naive Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko Sebagian besar risiko telah teridentifikasi dan dinilai. Terdapat pengendalian tetapi tidak terkait dengan risiko Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat Sedikit atau kurang adanya monitoring Sangat kecil monitoring, jika adapun sangat lemah Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko Assurance Consultancy

PERAN DAN TANGGUNG JAWAB INTERNAL AUDIT Peran Internal Auditor berbeda untuk 2 (dua) keadaan: Organisasi sudah menerapkan management risk Organisasi belum menerapkan management risk

PERAN DAN TANGGUNG JAWAB INTERNAL AUDIT Apabila Manajemen telah menerapkan Risk Management, maka: Peran Assurance Peran Consulting Memberi assurance proses management risk Memberi assurance bahwa management risk telah dievaluasi dengan benar Mengevaluasi proses management risk Mengevaluasi laporan risiko utama Mereview manajemen risiko utama Memfasilitasi proses identifikasi dan evaluasi risiko Jasa pendampingan merespon risiko Koordinasi aktivitas risk management Konsolidasi laporan risiko Mengembangkan kerangka kerja risk management

Internal auditor tidak boleh berperan: Menetapkan risk appetite Ikut proses mengelola risiko Sebagai satu-satunya rujukan manajemen untuk assurance risiko Ikut ambil keputusan menentukan respon terhadap risiko Menerapkan respon terhadap risiko mewakili manajemen Bertanggung jawab mengelola risiko

Pengaman Internal Auditor untuk menghindari kesalahan Harus jelas bahwa: management risk merupakan tanggung jawab manajemen Scope tanggung jawab Internal Auditor dituangkan dalam Audit Charter Unit Internal Audit tidak boleh ikut mengelola risiko Internal Auditor tidak membuat keputusan pengelolaan, tetapi saran, tantangan, dan dorongan keputusan manajemen

PERAN DAN TANGGUNG JAWAB INTERNAL AUDITOR Apabila Manajemen belum menerapkan Risk Management, maka: Internal auditor meminta perhatian manajemen menetapkan proses management risk Jika diminta, Internal auditor proaktif membantu set up awal management risk

TAHAPAN AUDIT berbasis PENGENDALIAN Tetapkan sasaran audit (potential and tentative audit objectives) Pahami SPI organisasi Tentukan kekuatan dan kelemahan pengendalian Tetapkan sasaran audit tetap (firm audit objectives) Kumpulkan dan Validasi bukti Buat Simpulan

IMPLIKASInya Auditor terkesan mencari-cari kesalahan/temuan Pengendalian adalah kunci satu-satunya Suatu kelemahan pengendalian belum tentu memiliki risiko yang tinggi Mengabaikan tujuan utama dari program/bidang/kegiatan

PENYUSUNAN PKPT ML ≥3 3 Start ML : Maturity Level RM : Risk management Menilai ML RM ML ≥3 Filtering RR Penyusunan Risk Factor Menyusun PKPT Grouping RR Auditable Unit Scoring ML : Maturity Level RM : Risk management RR : Risk Register

MENIMBANG FAKTOR RISIKO Risk Based Auditing MENIMBANG FAKTOR RISIKO ©2996 LPAI Indonesia

CONTOH FAKTOR RISIKO 1 Kualitas Internal Kontrol 11 System Komputer 2 Risk Based Auditing CONTOH FAKTOR RISIKO 1 Kualitas Internal Kontrol 11 System Komputer 2 Kompetensi Manajemen 12 Audit Terakhir 3 Integritas Manajemen 13 Tekanan dari manajemen 4 Ukuran unit (Rp) 14 Hubungan dg pemerintah 5 Perubahan Sistem Akun-tansi 15 Tingkat Moral karyawan 6 Kompleksitas Operasi 16 Rencana Audit dr Auditor eksternal 7 Likuiditas Aset 17 Faktor Politis 8 Perubahan Personil Kunci 18 Kebutuhan independensi 9 Kondisi ekonomi unit 19 Jarak dari Kantor Pusat 10 Pertumbuhan yang Pesat 20 Hasil Risk Assessment Nilai Risiko = Ukuran Risk x Bobot ©2996 LPAI Indonesia

Penentuan Score Risk Factor & Nilai Score Dana yang dikelola Risk Based Auditing Penentuan Score Risk Factor & Nilai Score Dana yang dikelola Diatas Rp.50 Milyar 5 25 milyar – 50 milyar 4 5 milyar – 25 milyar 3 1 milyar – 5 milyar 2 Dibawah 1 milyar 1 Audit sebelumnya Kurang dari 12 bulan yang lalu 1 tahun – 2 tahun yang lalu 2 tahun – 3 tahun yang lalu 3 tahun – 4 tahun yang lalu Lebih dari 4 tahun yang lalu Risk Factor & Nilai Score Pergantiaan Pimpinan Unit (turnover/mutasi) Sedang (4-6 tahun sekali) 1 Sedang-jarang (7-8 tahun sekali) 3 Sedang-sering (2-3 tahun sekali) Jarang (diatas 8 tahun sekali) 5 Sering (dibawah 1 tahun sekali) Kondisi Internal Control Baiksekali (tidak ada cttn penting) Baik (Kurang dari 2 cttn penting) 2 Sedang (3-5 catatan penting) Jelek (5-7 catatan penting) 4 Jelek sekali (lebih dr 7 cttn penting) ©2996 LPAI Indonesia

Contoh Hasil Assessment Risk Based Auditing Contoh Hasil Assessment AUDITEE INTERNAL CONTROL DANA YANG DIKELOLA KOMPETENSI PIMPINAN RESPON THD TEMUAN JUMLAH PT/PN A 3 4 14 UNIT OPERATIONAL A 5 15 PN B 2 9 RUMAH SAKIT A 11 DIV. AKUNTANSI & KUANGAN 1 13 Rangking Audit Unit disusun berdasarkan audit unit yang mempunyai risiko paling tinggi sampai rendah. ©2996 LPAI Indonesia

Audit Individual 14 September 201914 September 2019

Individual RBA Pelaksanaan Komunikasi/ Pelaporan Perencanaan Tetapkan Tujuan dan Scope Memahami proses bisnis, tujuan dan asersi Auditee Identifikasi dan penilaian risiko Identifikasi Pengendalian Kunci Evaluasi kecukupan design pengendalian Tetapkan rencana Pengujian Susun Audit Program Alokasikan Sumberdaya audit Pelaksanaan Lakukan Pengujian Untuk Pengumpulan Bukti Evaluasi Bukti yang diperoleh Kembangkan hasil pengujian/temuan dan rumuskan saran perbaikan Komunikasi/ Pelaporan Penyampaian laporan sementara Lakukan pembicaraan akhir Distribusi laporan Lakukan komunikasi berkala utk pemantauan pelaksanaan TL

Evaluasi Risiko: Identifikasi dan Penilaian Risiko Identifikasi Skenario Risiko pada Level Proses Mendefinisikan Risiko pada Level Proses Mengevaluasi Dampak dan Probabilitas Risiko Memahami Tingkat Toleransi Risiko yang Ditetapkan Manajemen Mengidentifikasi Pengendalian Kunci

Pelaksanaan Audit Individual Audit On site Audit Governance: - Self Assessment Implementation GGG Aktivitas Komite Audit Finding Control System : Kecukupan Desain Efektiv & Efis Operasi Ketaatan Audit program Execution Risk management: Risk Mgt Process Risk Mgt Infor System 9/14/2019

Pelaksanaan Audit 14 September 201914 September 2019

Fokus Audit Adalah pada yang risikonya signifikan, yaitu pada klasifikasi “medium to high”, “high” dan pada klasifikasi “medium” dengan skor dampak 4 dan 5. Serta risiko yang mendapat perhatian pimpinan meskipun skornya medium dan dibawah medium Penetapan risiko yang diaudit akan dievaluasi secara periodik sesuai denga perubahan keadaan/lingkungan

SP = Sub Process KC = Key Controll

Pelaporan dan Audit Rating 14 September 2019

Effective Report Focus On Risk- Based Approach MENYAJIKAN BAGAIMANA MANAJEMEN RISIKO DITERAPKAN DAN APA TINDAKAN-TINDAKAN DIBUTUHKAN TERHADAP PERMASALAHAN DAN PELUANG YANG TIMBUL: Record detail untuk prioritas risiko & pengendalian. Record untuk penerapan strategi erm Record details kejadian & kerugian serta pelajaran yang dapat diambil. Dorongan untuk proses monitoring assurance

MENGHASILKAN KEPUTUSAN PRIORITAS Effective RISK reports HARUS MEMENUHI STANDAR PELAPORAN………… JELAS RINGKAS/SINGKAT MENGHASILKAN KEPUTUSAN PRIORITAS Clear = jelas Consice = ringkas/singkat Decisions = keputusan-keputusan Priorities = prioritas

Rating Audit Untuk Temuan PENENTUAN TINGKATAN (RATING) YANG SESUAI UNTUK RESPON ATAS SETIAP TEMUAN. JENIS RATING AUDIT: INDIVIDUAL OVERALL

Risk / Priority Ratings UNTUK INDIVIDUAL CERMIN DARI TINGKATAN DAMPAK SETIAP TEMUAN TERKAIT DENGAN RISIKO & POTENSINYA BANTUAN UNTUK UPAYA YANG DIPRIORITASKAN DAN TINDAKAN YANG DISEPAKATI TIGA TINGKATAN RATING: High, Medium, Low

Risk / Priority Rating Risk / Priority Rating : HIGH Temuan yang serius mengarah pada kerugian yang sangat substansial Perhatian penuh dari manajemen dan tindakan yang sangat segera harus dilakukan CONTOH: Kerugian material (realised & potensial) Salah saji atau ketidak-akuratan material Penyimpangan yang tidak dapat dijelaskan (material) Kecurangan/penggelapan/ketidakberesan Pelanggaran atas kontrak Risiko reputasi Penyimpangan terhadap strategi, kebijakan, atau nilai2 Ketidakpatuhan yang ekstensif Ketidakpatuhan yang sangat fundamental terhadap pengendalian Pelayanan yang buruk terhadap pelanggan

Risk / Priority Rating Risk / Priority Rating: MEDIUM Temuan yang sifatnya moderate Secara berkala perlu tindakan perbaikan dan perhatian manajemen CONTOH Kerugian yang sifatnya moderate Ketidakpatuhan terhadap control fundamental yang tidak ekstensif Tidak ada atau tidak memadai control, tetapi sudah ada compensative controls Gangguan reputasi yang sifatnya medium Pelayanan yang kurang memuaskan kepada pelanggan

Risk / Priority Rating Risk / Priority Rating: LOW Temuan yang solusi mengarah pada peningkatan mutu dan / atau efisiensi dalam proses bisnis. Kerugian yang sifatnya terbatas Perlu perhatian manajemen secara rutin CONTOH Dokumentasi yang kurang memadai Peningkatan kualitas laporan Pembaruan sistem untuk efisiensi & efektivitas Praktik2 yang baik meski tidak sesuai pengendalian Masalah-masalah klerikal kantor

Overall Rating MEMUASKAN BAIK KURANG * SANGAT LEMAH * EMPAT LEVEL RATING: MEMUASKAN BAIK KURANG * SANGAT LEMAH * * adverse rating

Overall Rating Overall rating : MEMUASKAN Penerapan manajemen risiko dan pengendalian intern yang efektif dikaitkan dengan faktor risiko utama Tidak ada kelemahan yang signifikan Seluruh pegawai menyadari tanggung jawabnya terhadap risiko dan pengendalian Level of concern TIDAK PERLU PERHATIAN SERIUS MANAJEMEN

Overall Rating Overall rating : BAIK Penerapan manajemen risiko dan pengendalian intern yang memadai, meskipun tetap ada kekurangan / kelemahan yang terjadi Terjadi beberapa kelemahan yang tidak material Unit kerja menyadari kelemahan yang terjadi & telah mengambil langkah2 perbaikan atau membangun compensative control untuk mengurangi tingkat risiko menjadi yang dapat diterima. Level of concern PERHATIAN MANAJEMEN SECARA RUTIN DIBUTUHKAN

Overall Rating Overall rating : KURANG (adverse rating) Kelemahan signifikan dalam penerapan manajemen risiko dan pengendalian intern Berbagai isu kelemahan dan kekurangan yang utama terjadi atau berpotensi untuk terjadi Unit kerja tidak mau menyadari masalah ini dan jika menyadari tindakan yang diambil gagal. Level of concern Perlu perhatian manajemen yang fokus masalah-masalah yang terjadi atau berpotensi untuk terjadi

Overall Rating Overall rating : SANGAT LEMAH (adverse rating) Tidak ada penerapan memadai atas manajemen risiko dan pengendalian intern Kelemahan dan kekurangan yang utama mengakibatkan kerugian/loss yang substansial Unit kerja tidak perduli dengan permasalahan signifikan yang terjadi atau berpotensi untuk terjadi Level of concern PERLU TINDAKAN MANAJEMEN YANG SEGERA (URGENT)

AUDIT INDIVIDUAL DI KEMRISTEKDIKTI LATIHAN – AUDIT INDIVIDUAL DI KEMRISTEKDIKTI Organisasi ….. Tujuan/Tugas …. Proses Inti … Sub Proses … Pengendalian Kunci … … Pengujian Audit … Temuan Katagori/Rating ….