AUDIT BERBASIS RISIKO PROSES RISIKO DALAM INSPEKTORAT JENDERAL KEMENRISTEKDIKTI PROSES RISIKO DALAM PERENCANAAN, PELAKSANAAN, DAN PELAPORAN AUDIT BERBASIS RISIKO FERDY FRISTYANSJAH, ST., M.Si, CRMO KEPALA BAGIAN PERENCANAAN DAN PELAPORAN WORKSHOP PKSDM AUDIT BERBASIS RISIKO JAKARTA, 6 s.d. 8 AGUSTUS 2019

SIKLUS AUDIT PERENCANAAN AUDIT TAHUNAN PEMANTAUAN TINDAK LANJUT PERENCANAAN PENUGASAN PELAKSANAAN PENUGASAN KOMUNIKASI HASIL PENUGASAN (PELAPORAN) PEMANTAUAN TINDAK LANJUT

AUDIT TRADISIONAL VS AUDIT BERBASIS RISIKO NO AREA PERUBAHAN AUDIT TRADISIONAL AUDIT BERBASIS RISIKO 1 Audit Universe Lebih mengutamakan area finansial dan kepatuhan kepada kebijakan dan prosedur internal. Semua aktivitas/kegiatan, khususnya yang mengandung risiko usaha (business risk). 2 Tujuan Audit Lebih memastikan bahwa pengendalian internal bekerja secara efektif dan perannya untuk meningkatkan efisiensi tanpa melihat keberadaannya untuk mengendalikan risiko. Lebih memberikan kepastian (assurance) bahwa risiko yang diidentifikasi telah dikurangi ke tingkat yang dapat diterima. 3 Rencana Audit Tahunan Siklus audit ditetapkan secara berkala dan biasanya dilakukan secara mendadak tanpa memerhatikan tingkat risiko. Audit lebih diprioritaskan ke area yang berisiko tinggi.

NO AREA PERUBAHAN AUDIT TRADISIONAL AUDIT BERBASIS RISIKO 4 Audit Lapangan Dilakukan berdasarkan pada seperangkat rencana kerja yang mungkin tanpa tujuan yang spesifik. Lebih memastikan organisasi/auditi telah mengidentifikasi, mengendalikan dan memantau semua risiko yang ada. 5 Pengujian Pengujian untuk mengonfirmasi bekerjanya pengendalian tanpa mengurutkan menurut tingkat kepentingannya dan lebih mengarah kepada penemuan kesalahan walaupun tidak material dengan akibat laporan yang tebal. Masih tetap menggunakan teknik pengujian yang sama, tetapi lebih memastikan bahwa pengendalian utama (important risk control) berfungsi dengan baik untuk mengurangi risiko.

NO AREA PERUBAHAN AUDIT TRADISIONAL AUDIT BERBASIS RISIKO 6 Pelaporan Lebih mengutamakan penyimpangan yang signifikan dengan tetap merekam semua penyimpangan yang tidak material tetapi jumlahnya banyak. Lebih memberi keyakinan bahwa semua risiko khususnya yang utama telah dikelola secara baik, dan melaporkan secara rinci risiko yang tidak dikurangi dengan baik. 7 Rekomendasi Rekomendasi diberikan dalam kaitan dengan pengendalian agar diperkuat, memerhatikan cost benefit, efisiensi, dan efektivitas. Rekomendasi akan diberikan dalam kaitan dengan manajemen risiko agar risiko dihindari, diakhiri, ditransfer, didiversifikasi atau diterima dan dikelola.

TAHAPAN AUDIT BERBASIS RISIKO Melaksanakan audit berbasis risiko individu Hasil audit menjadi feedback untuk RAU Penilaian TINGKAT MATURITAS RISIKO PERENCANAAN AUDIT PERIODIK/ TAHUNAN (Macro Risk Assesment) PENUGASAN AUDIT INDIVIDUAL (Micro Risk Assesment) Mengidentifikasi penugasan audit Menghasilkan annual audit plan Gambaran sejauhmana unit kerja menentukan, menilai, mengelola, dan memantau risiko. Indikasi keandalan risiko PELAPORAN HASIL AUDIT

FORMULIR PENILAIAN TINGKAT MATURITAS RISIKO No URAIAN Skor (0 – 2) 1 Tujuan organisasi terdokumentasi dan dipahami dengan baik 2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut 3 Proses identifikasi risiko telah ditetapkan dan dipatuhi 4 Sistem skoring untuk penilaian risiko telah ditetapkan 5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan 6 Respon atas risiko telah ditetapkan dan diimplementasikan 7 Risk appetite telah ditetapkan dengan sistem skoring 8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register 9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action plan risiko. 10 Risk register diupdate secara periodik 11 Pimpinan melaporkan kepada pimpinan puncak bila terdapat risiko yang belum ditekan pada tingkat yang dapat diterima 12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya 13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya termasuk dalam uraian tugas dan tanggung jawab pegawai 14 Pimpinan memberikan jaminan efektifitas pengelolaan risiko 15 Setiap pimpinan dinilai kinerjanya dalam mengelola risiko JUMLAH

SKOR SIMPULAN ATAS TOTAL SKOR JUMLAH NILAI KATEGORI 0 - 7 Risk Naive 0 = tidak ada 1 = ada hanya sebagian atau belum diimplementasikan 2 = ada dan telah diimplementasikan SIMPULAN ATAS TOTAL SKOR JUMLAH NILAI KATEGORI 0 - 7 Risk Naive 8 - 14 Risk Aware 15 - 20 Risk Defined 21 - 25 Risk Managed Diatas 26 Risk Enabled

PENDEKATAN INTERNAL AUDIT PERAN AUDITOR BERDASARKAN TINGKAT MATURITAS RISIKO RISK MATURITY LEVEL KARAKTERISTIK KUNCI PENDEKATAN INTERNAL AUDIT PERAN AUDITOR 1. Risk Naive Organisasi belum menerapkan Manajemen Risiko secara formal Memfasilitasi organisasi membangun Manajemen Risiko Auditor melakukan penilaian risiko dengan keterlibatan manajemen Champion (Promosi) 2. Risk Aware Manajemen Risiko diterapkan Organisasi secara acak Coach 3. Risk Defined Strategi dan kebijakan Manajemen Risiko telah dikomunikasikan dan risk appetite (risiko yang dapat ditoleransi) telah ditetapkan Memfasilitasi penyempurnaan Manajemen Risiko Auditor memanfaatkan hasil penilaian risiko yang dilakukan manajemen Advisor 4. Risk Managed Manajemen Risiko telah diterapkan dan telah dikomunikasikan ke seluruh anggota organisasi Penekanan audit pada proses Manajemen Risiko. Perhatian khusus diberikan untuk memverifikasi pemantauan risiko utama Evaluator/ Asesor 5. Risk Enabled Organisasi telah mengintegrasikan Manajemen Risiko dan Internal Control

PERENCANAAN AUDIT TAHUNAN BERBASIS RISIKO Memudahkan auditor untuk mengarahkan aspek-aspek kegiatannya/fokus pada sistem manajemen klien yang paling membutuhkan perhatian. Peristiwa yang tidak pasti keterjadiannya yang berdampak pada tujuan yang hendak dicapai. Memudahkan auditor memberikan jaminan kepada manajemen dalam mencapai tujuan organisasinya. PERENCANAAN AUDIT TAHUNAN BERBASIS RISIKO Aktivitas audit dapat lebih memberikan nilai tambah bagi peningkatan kinerja organisasi. Standar Audit Intern mengharuskan auditor untuk memahami risiko-risiko klien sebagai dasar perencanaan dan opini penugasannya. Menghasilkan daftar auditable units terpilih yang disusun berdasarkan urutan signifikansi atau prioritasnya, yang memerlukan jaminan dan penyempurnaan sistem manajemennya. Unsur penting dalam penilaian kapabilitas APIP (IACM).

PENDEKATAN PERENCANAAN AUDIT Risk Maturity 4 s.d. 5 Risk Register PKPT BERBASIS RISIKO Faktor Risiko Risk Maturity 1 s.d. 3 Risk Register yang disusun oleh IA dan Manajemen (Composite Score)

PERENCANAAN AUDIT PERIODIK/TAHUNAN (MACRO RISK ASSESMENT)

DENGAN REGISTER RISIKO (AIBR MURNI) Disusun oleh unit manajemen risiko Risk Register (audited) Risk on which assurance is provided by others Risk within the risk appetite Filter risks Risk not requiring an audit in this periode Risk on which assurance is required Risk which will be tolerate Categorise risk Audit Universe Link risks to audits Risk and Audit Universe Select risks to be covered Allcate resources to audits Audit Committee Report Audit plan

Step 1 Step 2 Step 3 Step 4 DENGAN FAKTOR RISIKO MENENTUKAN AUDIT UNIVERSE - mendukung visi, misi, dan tujuan organisasi; - memiliki pengaruh yang signifikan dan material; - audit dan pengendalian layak dikembangkan; - dana yang dikelola cukup besar. MENGIDENTIFIKASI RISIKO - auditor memanfaatkan informasi dalam profil risiko organisasi; - hasil identifikasi menghasilkan daftar potensial audit universe MENJABARKAN DAN MENSKOR FAKTOR RISIKO bersifat subyektif (dana yang diaudit, periode audit terdahulu) MEMILIH AUDITABLE UNIT - melakukan assessment terhadap auditable unit mengacu pada kriteria yang telah ditetapkan sebelumnya; - dari hasil assessment, auditable unit diperingkat berdasarkan urutan risiko paling tinggi sampai rendah.

IDENTIFIKASI RISIKO AUDIT UNIVERSE Auditable Unit dan Faktor Risiko No Auditi Dana yg dikelola Waktu Audit Terakhir Pergantian Pimpinan Internal Control Jumlah Rangking (1) (2) (3) (4) (5) (6) (7) (8) 1 Diisi dengan nama auditi (auditable unit) Diisi dengan skor risiko berdasarkan besarnya dana yang dikelola Diisi dengan skor risiko berdasarkan jangka waktu audit sebelumnya Diisi dengan skor risiko berdasarkan jangka waktu pergantian pimpinan auditee Diisi dengan skor risiko berdasarkan jumlah catatan penting audit sebelumnya Setelah diperoleh urutan auditable unit (rangking), selanjutnya dilakukan penyusunan rencana dan jadwal audit tahunan (annual audit plan) sesuai dengan sumber daya yang tersedia.

PENJABARAN DAN PENSKORAN FAKTOR RISIKO NO FAKTOR RISIKO KRITERIA SKOR 1 Dana Yang Dikelola Diatas 50 milyar 5 25 – 50 milyar 4 5 – 25 milyar 3 1 – 5 milyar 2 Dibawah 1 milyar Waktu Audit Terakhir Lebih dari 4 tahun yang lalu 3 – 4 tahun yang lalu 2 – 3 tahun yang lalu 1 – 2 tahun yang lalu Kurang dari 12 bulan yang lalu Integritas dan Profesionalisme Pengelola Buruk Sekali Buruk Sedang Baik Baik Sekali NO FAKTOR RISIKO KRITERIA SKOR 4 Internal Control Jelek sekali (lebih dari 7 temuan) 5 Jelek (5 – 7 temuan) Sedang (3 – 5 temuan) 3 Baik (kurang dari 2 temuan) 2 Baik sekali (tidak ada temuan) 1

CONTOH PEMILIHAN AUDITABLE UNIT No Auditable Unit Dana Yang Dikelola Waktu Audit Terakhir Integritas dan Profesionalisme Pengelola Internal Control (1) (2) (3) (4) (5) (6) 1 Unit kerja A 15.250.000.000 2013 Buruk 7 2 Unit kerja B 50.300.000.000 2014 Sedang 4 3 Unit kerja C 1.600.000.000 2015 Unit kerja D 4.600.000.000 5 Unit kerja E 78.000.000.000 2016 Baik 9 HASIL ASSESMENT No Auditable Unit Dana Yang Dikelola Waktu Audit Terakhir Integritas dan Profesionalisme Pengelola Internal Control Jumlah Rangking (1) (2) (3) (4) (5) (6) (7) (8) 1 Unit kerja A 3 5 4 16 2 Unit kerja B 15 Unit kerja C 12 Unit kerja D 13 Unit kerja E 14

DENGAN COMPOSITE SCORE Link Register Risiko Terfilter Audit Universe Disusun oleh auditor internal dan unit pemilik risiko/unit manajemen risiko serta telah dilakukan penyaringan risiko Auditable Unit A Composite Risk Score = 15 Auditable Unit B Composite Risk Score = 20 Auditable Unit C Composite Risk Score = 16 Prioritas Audit Audit Plan Auditable Unit B Composite Risk Score = 20 Auditable Unit C Composite Risk Score = 16 Auditable Unit A Composite Risk Score = 15 Diaudit setahun sekali Diaudit 2 tahun sekali Diaudit 3 tahun sekali

MEMAHAMI KLIEN DAN PROSES BISNISNYA TAHAPAN PERENCANAAN AUDIT TAHUNAN BERBASIS RISIKO (Composite Score) MEMAHAMI KLIEN DAN PROSES BISNISNYA MENYUSUN DAN MEMUTAKHIRKAN AUDIT UNIVERSE SERTA MENETAPKAN AREA AUDIT MENETAPKAN RANGKING RISIKO 1 8 2 PENILAIAN FAKTOR RISIKO KEGIATAN KLIEN 7 3 IDENTIFIKASI DAN PENGUKURAN RISIKO INVENTARISASI DAN PENETAPAN NILAI FAKTOR RISIKO 6 4 ANALISIS RISIKO 5 MENILAI RISIKO

MEMAHAMI KLIEN DAN PROSES BISNISNYA 1 MEMAHAMI KLIEN DAN PROSES BISNISNYA Pemahaman auditor yang menyeluruh atas proses bisnis klien akan membantu mengenali secara tepat besaran dan signifikansi kerentanan organisasi untuk dimasukkan menjadi bagian dari rencana audit tahunan, meliputi: CIRI ORGANISASI (Struktur Organisasi dan Mekanisme Kerja) ELEMEN SISTEM MANAJEMEN (Jabaran Struktur Organisasi, Uraian Tugas Setiap Jabatan, Dan Prosedur Operasi Standar (SOP)) PENGORGANISASIAN INFORMASI (kepemilikan sumber daya, tujuan dan sasaran yang hendak dicapai, aktivitas utama, risiko melekat, dan pengendalian utama yang digunakan untuk menetapkan selera risiko harus dikumpulkan dan didokumentasikan) SUMBER DATA (dokumen perencanaan (DIPA dan Renstra), peraturan perundang-undangan yang mengatur pembentukan institusi klien (Statuta dan SOTK), dan mekanisme pelaporan akuntabilitas (pencapaian dan indikator kinerja))

MENYUSUN DAN MEMUTAKHIRKAN AUDIT UNIVERSE SERTA MENETAPKAN AREA AUDIT 2 Penyusunan audit universe memudahkan auditor untuk mengorganisasikan kegiatan perencanaan audit tahunan dengan mengurangi kemungkinan terlewatnya aspek penting yang berpotensi menghasilkan rangkaian penugasan yang tidak efektif MUATAN AUDIT UNIVERSE Audit universe merupakan daftar yang secara sistematis menggambarkan klien dengan segala aktivitas, risiko, dan berbagai atribut lain yang diperlukan. PEMUTAKHIRAN AUDIT UNIVERSE Pemutakhiran terhadap audit universe harus dilakukan agar audit universe tetap mencerminkan peta organisasi yang disusun untuk mencapai tujuan sesuai dengan visi dan misi organisasi. PENETAPAN AREA AUDIT Penetapan area audit terkait langsung dengan ruang lingkup penugasan. Ruang lingkup yang tepat mengarahkan auditor internal untuk fokus pada wilayah tertentu dimana informasi harus dikumpulkan.

PENDEKATAN STRUKTUR ORGANISASI Diterapkan pada insitusi yang sering mendapatkan penugasan mandiri dan sangat sedikit membutuhkan koordinasi dengan instansi/unit kerja lain. PENDEKATAN PROGRAM PENDEKATAN PENYUSUNAN AUDIT UNIVERSE Diterapkan pada kegiatan dengan cakupan luas yang membutuhkan koordinasi dengan instansi/unit kerja lain. PENDEKATAN PROSES BISNIS Diterapkan pada unit kerja yang bersifat pelayanan masyarakat.

AUDIT UNIVERSE DENGAN PENDEKATAN PROGRAM AKTIVITAS UTAMA RISIKO PENGENDALIAN BAGIAN PERENCANAAN 1 Penyusunan Rencana Kerja dan Anggaran Alokasi anggaran melebihi SBM Sosialisasi PMK tentang SBM 2 Revisi Anggaran Pagu minus Rekonsiliasi anggaran BAGIAN KEUANGAN Pembuatan SPP Kesalahan daftar penerima pembayaran Review Berjenjang Penerbitan SPM Kesalahan pemotongan pajak 3 Pembayaran Honorarium Pembayaran kepada yang tidak berhak

AUDIT UNIVERSE DENGAN PENDEKATAN ORGANISASI AKTIVITAS UTAMA RISIKO PENGENDALIAN PTN A 1 Penyusunan Rencana Kerja dan Anggaran Alokasi anggaran melebihi SBM Perencanaan pengadaan tidak efektif dan efisien Sosialisasi PMK tentang SBM Pembuatan RAB dan KAK 2 Pelaksanaan Anggaran Pembayaran tidak didukung bukti pertanggungjawaban Pembayaran biaya penelitian tidak sesuai ketentuan Reviu oleh Satuan Pengawas Internal Sosialisasi Pedoman Pertanggungjawaban Penelitian 3 Pengadaan Barang/Jasa Barang/jasa terlambat diterima dan tidak sesuai dengan spesifikasi dalam Kontrak Pengadaan barang/jasa fiktif Pemantauan internal secara periodik oleh Satuan Pengawas Internal Pengumuman pada SIRUP 4 Pengelolaan BMN BMN tidak diketahui keberadaannya Stok Opname BMN

3 IDENTIFIKASI DAN PENGUKURAN RISIKO KEMUNGKINAN (LIKELIHOOD) Identifikasi risiko dimaksudkan untuk mengenali setiap ketidakpastian yang berdampak buruk bagi pencapaian tujuan kegiatan. Risiko diukur dalam 2 (dua) dimensi ukuran, yaitu kemungkinan keterjadian (likelihood) dan dampak pengaruh (impact). KEMUNGKINAN (LIKELIHOOD) SKOR DERAJAT KEMUNGKINAN 1 Rendah Hampir tidak mungkin terjadi Mungkin terjadi sekali dalam lebih dari 5 tahun 2 Kecil kemungkinan terjadi Mungkin terjadi setiap 1 hingga 5 tahun 3 Mungkin terjadi Mungkin terjadi setiap 6 hingga 12 bulan 4 Sangat mungkin terjadi Mungkin terjadi setiap 3 hingga 6 bulan 5 Tinggi Hampir pasti terjadi Mungkin terjadi setidaknya setiap 3 bulan

DAMPAK (IMPACT) SKOR DERAJAT DAMPAK KINERJA DAMPAK KEUANGAN DAMPAK ASPEK HUKUM 1 Tidak signifikan Realisasi fisik >90% Potensi kerugian tidak material (<1%) Perbaikan administrasi 2 Minor Realisasi fisik 90%-80% Potensi kerugian cukup material (1%-2,5%) Pengenaan sanksi administrasi 3 Moderat 80%-70% Potensi kerugian material (2,5%-5%) Sanksi kepegawaian 4 Signifikan 70%-60% sangat material (5%-10%) TP/TGR 5 Sangat signifikan <60% Potensi kerugian tidak dapat ditolerir (>10%) Tuntutan pidana

4 ANALISIS RISIKO Analisis risiko diperlukan untuk mengambil tindakan yang diperlukan dalam rangka pengendalian. Analsis risiko dilakukan dengan menentukan Risk Rating RISK ATRIBUTE RISK SCORE TINDAKAN YANG DIAMBIL MULAI MAX Rendah 1 4 Tidak diperlukan tindakan pengendalian tambahan Sedang 5 9 Tindakan pengendalian tambahan diambil mempertimbangkan sumber daya Tinggi 10 15 Tindakan pengendalian tambahan diperlukan untuk mengelola risiko Sangat tinggi 16 25 Tindakan pengendalian tambahan harus segera dilakukan

5 MENILAI RISIKO TABEL PENILAIAN RISIKO Dengan menggunakan model evaluasi yang telah ditetapkan, auditor dapat memetakan risiko-risiko kegiatan dalam tabel penilaian risiko. TABEL PENILAIAN RISIKO NO RISIKO KEMUNGKINAN (K) DAMPAK (D) NILAI RISIKO (K*D) 1 Alokasi anggaran melebihi SBM 3 5 15 2 Pagu minus 4 8 Kesalahan daftar penerima pembayaran 9 Kesalahan pemotongan pajak 12 Pembayaran kepada yang tidak berhak 20

PEMETAAN RISIKO (RISK MAP) 5 10 15 20 25 4 8 12 16 3 6 9 2 1 5 KETERANGAN KEMUNGKINAN Peristiwa risiko 5 “sangat tinggi”, tindakan pengendalian tambahan harus segera dilakukan Peristiwa risiko 1 dan 4 “tinggi”, tindakan pengendalian tambahan diperlukan untuk mengelola risiko Peristiwa risiko 2 dan 3 “sedang”, tindakan pengendalian tambahan diambil dengan mempertimbangkan sumber daya 4 2 5 3 3 4 1 2 1 1 2 3 4 5 DAMPAK

6 INVENTARISASI DAN PENETAPAN NILAI FAKTOR RISIKO Register risiko dan peta risiko adalah data yang menggambarkan koordinat skor kemungkinan dan skor dampak risiko sebuah entitas dengan bagian organisasinya atau program dengan sub-programnya. Skor ini mungkin bersifat subyektif karena dipengaruhi oleh selera risiko intern. Jika manajemen belum mampu menghasilkan register risiko, sebaiknya auditor membantu manajemen membangun register risiko. Jika manajemen telah memiliki register risiko, maka auditor melakukan penyesuaian dengan cara: Pada maturitas manajemen risiko yang tinggi, digunakan sedikit faktor risiko sebagai faktor penyesuaian risiko. Pada maturitas manajemen risiko yang rendah, digunakan lebih banyak faktor risiko sebagai faktor penyesuaian risiko.

INVENTARISASI FAKTOR RISIKO HASIL AUDIT SEBELUMNYA DAN LAPORAN LAINNYA Respon manajemen atas rekomendasi serta tindakan yang telah dilakukan; Besaran dan banyaknya temuan serta rekomendasi audit; Lamanya waktu dari audit yang terakhir; Terdapatnya temuan berulang atau tindak lanjut yang tidak tuntas. INVENTARISASI FAKTOR RISIKO KONSULTASI DENGAN MANAJEMEN SENIOR (PIMPINAN ORGANISASI) Risiko yang dianggap sebagai risiko utama; Kelemahan-kelemahan dan masalah-masalah lain yang dapat menghambat kinerja klien; Area-area operasi yang membutuhkan perbaikan dan penyempurnaan.

PENETAPAN NILAI FAKTOR RISIKO Faktor risiko harus diberikan nilai untuk membedakan tinggi rendahnya risiko. Salah satu metode sederhana dalam pengukuran nilai risiko adalah dengan penggunaan skala interval 5 dimana skor 5 merupakan batas tertinggi dan skor 1 adalah skor terendah. Angka penyesuaian yang kecil menunjukkan risiko yang kecil, sementara angka penyesuaian yang besar menunjukkan risiko yang besar. Agar penerapannya konsisten, maka angka penyesuaian dibuat ke dalam tabel dan menginventarisasi atribut yang dapat digunakan sebagai faktor risiko.

TABEL PENGUKURAN FAKTOR RISIKO NO FAKTOR RISIKO KRITERIA SKOR 1 Dana Yang Dikelola Diatas 50 milyar 5 25 – 50 milyar 4 5 – 25 milyar 3 1 – 5 milyar 2 Dibawah 1 milyar Waktu Audit Terakhir Lebih dari 4 tahun yang lalu 3 – 4 tahun yang lalu 2 – 3 tahun yang lalu 1 – 2 tahun yang lalu Kurang dari 12 bulan yang lalu Integritas dan Profesionalisme Pengelola Buruk Sekali Buruk Sedang Baik Baik Sekali NO FAKTOR RISIKO KRITERIA SKOR 4 Internal Control Jelek sekali (lebih dari 7 temuan) 5 Jelek (5 – 7 temuan) Sedang (3 – 5 temuan) 3 Baik (kurang dari 2 temuan) 2 Baik sekali (tidak ada temuan) 1

7 PENILAIAN FAKTOR RISIKO KEGIATAN KLIEN Penilaian faktor risiko kegiatan klien dilakukan berdasarkan tingkat maturitas manajemen risiko klien. Pada klien yang maturitasnya rendah, digunakan faktor risiko yang lebih banyak. Namun demikian faktor risiko yang digunakan jangan terlalu banyak, dianjurkan sebanyak 5 sampai dengan 7 faktor risiko. Penyesuaian nilai risiko menurut risk map yang disesuaikan dengan 5 faktor risiko : NO RISIKO K D NILAI RISIKO FAKTOR RISIKO TOTAL NILAI RISIKO 1 2 3 4 Alokasi anggaran melebihi SBM 5 15 26 Pagu minus 8 17 Kesalahan daftar penerima pembayaran 9 16 Kesalahan pemotongan pajak 12 20 Pembayaran kepada yang tidak berhak 30

NILAI SETELAH FAKTOR RISIKO 8 MENETAPKAN RANKING RISIKO Rangking risiko diurutkan berdasarkan nilai akhir risiko setelah skor faktor risiko ditambahkan. NO RISIKO NILAI RISIKO NILAI SETELAH FAKTOR RISIKO RANGKING 1 Alokasi anggaran melebihi SBM 15 26 2 Pagu minus 8 17 4 3 Kesalahan daftar penerima pembayaran 9 16 5 Kesalahan pemotongan pajak 12 20 Pembayaran kepada yang tidak berhak 30

PROGRAM KERJA AUDIT TAHUNAN TAHUN 20 … NO AUDITI PERINGKAT RISIKO MINGGU/BULAN JUMLAH HARI JUMLAH TIM (ORG) BIAYA AUDIT JUMLAH LHA MULAI SELESAI 1 2 3 4 5

PERENCANAAN PENUGASAN AUDIT INDIVIDUAL RENCANA AUDIT PENYUSUNAN LINGKUP PENUGASAN ALOKASI SUMBER DAYA 01 02 03 Rencana audit individual dibuat berdasarkan hasil penilaian risk maturity tingkat organisasi pada rencana audit periodik/ tahunan Meliputi batasan audit dan periode yang diaudit Mencakup biaya, waktu, SDM dan tingkat kompetensi auditor yang dibutuhkan, serta jadwal audit

1 3 2 4 PENYUSUNAN PKA BERBASIS RISIKO Mengidentifikasi bukti-bukti yang dibutuhkan (rekocuma) untuk mendukung masalah yang akan diungkapkan PENYUSUNAN PKA BERBASIS RISIKO Menyusun kalimat yang akan dituangkan dalam PKA 1 3 2 4 Perumusan audit objective-sisa risiko yang berpotensi terjadi yang menyebabkan kegagalan pengendalian Memilih teknik audit yang tepat

Bukti audit yang diperoleh TEKNIK DAN BUKTI AUDIT Pengujian Permintaan Bukti audit yang diperoleh

DISKUSI DAN OBSERVASI Mendapatkan gambaran sistem pengendalian internal organisasi dari sudut pandang manajemen dan melihat penerapannya di lapangan Memberikan simpulan bahwa rancangan pengendalian telah memadai yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh organisasi Penekanan pengujian tergantung pada tingkat maturity level risiko auditable unit Tujuan auditable unit Risiko Pengendalian Simpulan Auditor Jumlah pengadaan sesuai kebutuhan Pemborosan anggaran karena jumlah pengadaan melebihi kebutuhan Rencan pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan pengguna Memadai Pengadaan tepat waktu, tepat spesifikasi dan tepat volume Pengadaan terlambat dan tidak sesuai spek dan volume Pemantauan internal secara periodik oleh Satuan Pengawas Internal

VERIFIKASI DAN PENGUJIAN BUKTI Memberikan simpulan yang menyatakan pengendalian mana yang sudah berfungsi, mana yang kemungkinan akan berfungsi di masa datang, dan mana yang tidak berfungsi Menitikberatkan terhadap pengendalian-pengendalian yang mempunyai pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang memiliki “control score” yang tinggi Tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan ketepatan operasi pengendalian dan bukan untuk menemukan kesalahan Risiko Pengendalian Pengujian Auditor Simpulan Auditor Pemborosan anggaran karena jumlah pengadaan melebihi kebutuhan Rencana pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan pengguna Telusuri daftar kebutuhan barang dan konfirmasi kepada pengguna Memadai Pengadaan terlambat dan tidak sesuai spek dan volume Pemantauan internal secara periodik oleh Satuan Pengawas Internal Cek laporan hasil pemantauan dan konfirmasi kepada Penerima Barang

DOKUMENTASI HASIL AUDIT 01 PENGENDALIAN YANG DIUJI 02 METODE PENGENDALIAN 03 UKURAN SAMPEL YANG DIAMBIL 04 HASIL PENGUJIAN

PELAPORAN HASIL AUDIT BERBASIS RISIKO Pelaporan memberikan gambaran informasi secara menyeluruh mengenai risiko yang dihadapi dan melekat pada aktivitas organisasi. Pelaporan yang disusun berisi minimal: Peta Risiko; Risiko-risiko tinggi/signifikan/prioritas utama; Proses observasi dan hasil pengujian; Perubahan tingkat risiko; Risiko-risiko baru yang timbul; Penyimpangan terhadap risk tolerance (risiko yang dapat diterima); Kelemahan sistem pengendalian internal; Temuan kelemahan pada tiap proses manajemen risiko. Pelaporan didokumentasikan dan didistribusikan kepada Manajemen untuk: Sumber informasi di masa depan dengan kejadian yang sama; Saran perbaikan kepada Manajemen dalam mengelola risiko; Menghindari pengulangan temuan pada audit di masa mendatang.

STANDAR PELAPORAN Auditor harus membuat laporan hasil audit sesuai dengan penugasannya yang disusun dalam format yang sesuai segera setelah selesai melakukan auditnya. 1 Laporan audit harus dibuat secara tertulis dan segera, yaitu pada kesempatan pertama setelah berakhirnya pelaksanaan audit. 2 Laporan audit harus dibuat dalam bentuk dan isi yang dapat dimengerti oleh auditi dan pihak lain yang terkait. 3 Laporan audit harus tepat waktu, lengkap, akurat, obyektif, meyakinkan, serta jelas dan seringkas mungkin. 4 Laporan hasil audit diserahkan kepada pimpinan organisasi, auditi, dan pihak lain yang diberi wewenang untuk menerima laporan hasil audit sesuai dengan ketentuan peraturan perundang-undangan. 5

MANAJEMEN RISIKO PELAPORAN HASIL AUDIT MITIGASI RISIKO Laporan tidak sesuai standar Standar Audit Laporan hasil audit kadaluarsa SOP Pelaporan Hasil Audit Rekomendasi dalam laporan hasil audit sulit ditindaklanjuti QA hasil audit Audit tidak memberikan nilai tambah bagi manajemen Kebijakan/Peraturan tentang Tindak Lanjut Hasil Audit LHA dimanfaatkan pihak lain yang tidak bertanggungjawab Internal Audit Charter

RISIKO AUDIT INTERNAL 01 – KEGAGALAN AUDIT (AUDIT FAILURE) Kelemahan pengendalian organisasi dapat mengakibatkan kerugian dan aktivitas audit internal dapat “berkontribusi” pada terjadinya kerugian tersebut. 03 – KEYAKINAN YANG KELIRU (FALSE ASSURANCE) Adalah suatu keyakinan yang lebih didasarkan pada persepsi atau asumsi ketimbang fakta. False assurance sering terjadi pada penugasan auditor internal diluar penugasan formal audit internal 05 – RISIKO REPUTASI Reputasi yang kredibel suatu aktivitas audit internal merupakan bagian penting dari efektivitasnya. Mempertahankan brand yang kuat sangat penting untuk keberhasilan aktivitas audit internal dan kemampuan untuk memberikan kontribusi optimal kepada organisasi

FAKTOR PENYEBAB KEGAGALAN AUDIT Audit tidak dilakukan sesuai standar LHA kurang berkualitas 1 QA tidak efektif memonitor independensi dan objektivitas auditor 12 2 Simpulan hasil audit tidak sepenuhnya menggambarkan kondisi yang sebenarnya 11 3 Proses penilaian risiko kurang efektif Kegagalan untuk mengkomunikasikan kecurigaan kepada orang yang tepat 10 4 PKA tidak efektif untuk menguji risiko yang riil beserta pengendalian yang tepat 9 5 Supervisi kurang memadai Kegagalan dalam melaksanakan tahap pengujian SPI Salah mengambil keputusan pada saat terindikasi adanya kecurangan 8 6 Auditor tidak kompeten dalam menangani area-area yang berisiko tinggi 7 Kegagalan menerapkan skeptisisme profesional yaitu pikiran yang selalu bertanya-tanya dan waspada terhadap kondisi yang mengindikasikan adanya penyimpangan/salah saji material pasrah dengan PKA yang ada

MITIGASI RISIKO AUDIT INTERNAL KEGAGALAN AUDIT Menyusun dan menerapkan secara konsisten program QA Mereviu peta audit (audit universe) Mereviu rencana audit secara periodik Merencanakan audit secara efektif Membuat chekpoint untuk menangani revisi PKA Mendesain audit yang efektif, khususnya terkait dengan risiko atas pengujian SPI Menerapkan reviu manajemen secara lebih dini Penugasan auditor berdasarkan kompetensi yang sesuai dengan lingkup risiko manajemen yang akan dinilai pengendaliannya False assurance Peran dan mandat aktivitas audit internal dikomunikasikan secara proaktif kepada Pimpinan Penilaian risiko, rencana audit dan penugasan audit internal dikomunikasikan secara jelas kepada manajemen Memiliki mekanisme persetujuan keterlibatan auditor dalam suatu kegiatan manajemen RISIKO REPUTASI Menerapkan program QA yang kuat terhadap semua proses dalam aktivitas audit internal, termasuk SDM dan perekrutan. Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk mengidentifikasi potensi risiko terhadap brand-nya. Konsisten menegakkan kode etik/aturan perilaku dan standar audit. Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan yang berlaku dalam organisasi.

INSPEKTORAT JENDERAL Integritas, Profesional, Sejahtera