Overview ABR Serta Identifikasi dan Analisis Risiko dalam ABR Dr. Marno Kastowo, M.E, Ak., CA, CPMA

Tujuan Dan Agenda: Tujuan: Peserta memahami urgensi MR dan ABR, memahami pelaksanaan ABR dan analisis risiko oleh auditor dan manajemen Agenda: Penyajian konsep dan Brainstorming Diskusi-Presentasi Peserta

Brainstorming 1 Mengapa diperlukan organisasi dan manajemen? Apakah adanya organisasi dan manajemen menjamin tercapainya tujuan organisai? Penting untuk mencapai tujuan dan sasaran organisasi

Risiko Governance, RM, Control GOALS MANAGEMENT Planning Actuating (leading & staffing) Controlling Organizing Man, money, materials, machine, methode GOALS

Governance dalam Organisasi Gov’ Body (Menteri & Dirjen) Identify stakeholder (involve, influence/d, interested party), their expected outcome and risk appetite Rumusan Tujuan & selera risiko organisasi Strategic guidance & Direction Governance Oversight MANAGEMENT Jalankan Operasi Kelola Risiko (termasuk melakukan control) Performance & RM Report Audit Report AUDITOR Assurance

Brainstorming 2 Siapa yang bertanggung jawab dan berkontribusi untuk memastikan pencapaian tujuan organisasi? Penting untuk mencapai tujuan dan sasaran organisasi

Who are we: 3rd line of defense (Three lines of defense) 1st Line of Defense 2nd Line of Defense 3td Line of Defense RM Policy & Standar Monitor RM RM Compliance Bussiness Operation Oversight Function Internal Audit Menjalankan operasi, manajemen risiko dan Pengendalian Membuat kebijakan & mengawasi MR satker Memberi penjaminan & saran GRC melalui audit for management Pimpinan Tertinggi / Governing Body

Brainstorming 3 Apakah manajemen risiko dan pengendalian itu penting bagi satker dan pimpinan? Mengapa? Jika penting mengapa tidak/belum diatur dan diimplementasikan ? Penting untuk mencapai tujuan dan sasaran organisasi

Kunci penentu perlu MR atau tidak. Apakah tujuan telah ditetapkan dg jelas. Apakah pihak penanggung jawab tujuan jelas. Apakah ada konsekuensi pada penanggung jawab jika gagal mencapai tujuan. Kunci penentu perlu MR atau tidak.

Brainstorming 4 Apa tanggung jawab manajemen dan auditor terkait risiko? Penting untuk mencapai tujuan dan sasaran organisasi

Memastikan manajemen menjalankan MR yg memadai Enviroment Bussiness Process Menangani risiko dengan MR yang memadai (sesuai target MR maturity level organisasi) Memastikan manajemen menjalankan MR yg memadai

Brainstorming 5 Menurut Bapak/Ibu apakah auditor intern dapat melakukan audit berbasis risiko jika manajemen belum menerapkan manajemen risiko yang memadai? Apakah RBIA, RBA, RMBA memiliki makna yang sama? Penting untuk mencapai tujuan dan sasaran organisasi

Perkembangan Pendekatan Audit Sobel (2015) Generasi 1st 2nd 3rd 4th Periode Pra 80an Era 80an Era 90an Akhir 90an Terminologi Control-Based Process-Based Risk-Based RM-Based Sasaran Kesesuaian dg standar / aturan Input dan Proses organisasi yang 3E Efektivitas pengendalian ut tangani risiko kunci terkait tujuan organisasi Efektivitas tingkat maturitas MR ut menjamin pencapaian tujuan organisasi Fokus Identifikasi Penyimpangan / kesalahan Gap proses berjalan dg best practice Control yang tidak memadai ut tangani risiko kunci Gap tingkat maturitas MR saat ini dengan yang diinginkan. Organization’s objectives based auditing

Pengelolaan Audit Intern Metodologi Penyelarasan Konsep AIBR - IIA MR Organisasi Pengelolaan Audit Intern Metodologi Penyelarasan Tahapan: Assessing Organization Risk Maturity Periodic audit Plan Individual audit assignment Memberi jaminan pada pimpinan bahwa MR efektif mengelola risiko sesuai Risk Appetite

Metode RBIA Stage 1. Asessing Risk Maturity Stage 2. Periodic Audit Planning Stage 3. Individual Audit Assignment

Contoh Model penilaian maturity level

Sesi Praktik 1 Ut kelompok yg terdiri dari auditor intern dan satker: Lakukan penilaian mandiri RMML pada suatu satker yang akan diaudit. Berdasarkan RMML tersebut tentukan apakah auditor intern dapat menggunakan pendekatan RMBA?

Brainstorming 5 Sesuai Standar Pelaksanaan AIPI, jika RMML masih belum risk managed apakah audit intern boleh menggunakan pendekatan di luar risk based audit? Penting untuk mencapai tujuan dan sasaran organisasi

PELAKSANAAN AUDIT BERBASIS RISIKO

Tahapan Audit Berbasis Risiko, Reding et. al Persiapan * PERENCANAAN Penetapan tujuan dan lingkup audit Pemahaman auditi Identifikasi dan penilaian risiko Identifikasi dan evaluasi kecukupan desain Pengendalian kunci Penyusunan rencana pengujian efektivitas pengendalian kunci, pengalokasian sumber, (PKA) PELAKSANAAN Pengujian dan pengumpulan bukti Evaluasi bukti dan pengambilan kesimpulan Pengembangan temuan dan rekomendasi PENGKOMUNIKASIAN Penyampaian simpulan sementara Penyusunan dan Distribusi Laporan Monitoring tindak lanjut Pendokumentasian*

Tahap Persiapan Siapkan Surat Tugas Kartu Penugasan Anggaran Waktu Penugasan PKA awal (untuk alokasi waktu per tahapan audit)

Contoh Anggaran Waktu Penugasan Audit Kinerja Berbasis Risiko Dasar membuat PKA

Penetapan Tujuan dan Ruang Lingkup Audit Tujuan. Sesuai jenis audit. PKPT, Urgensi pimpinan / auditi / auditor Sumber Daya ditetapkan dg professional judgement auditor Lingkup:  tujuan satker, bagian, proses, transaksi?

Menetapkan Ruang Lingkup Dasar Memilih: Arahan Pimpinan Organisasi / Arahan Pimpinan Auditor / Kebutuhan/urgensi auditi Model seleksi yang dibuat auditor Tujuan 1 Tujuan 2 Tujuan .. Bagian 1 Bagian 2 Bagian .. AUDITI / SATKER Waktu 1 Waktu 2 Waktu .. Lokasi 1 Lokasi 2 Lokasi ... Proses.. Subproses.. Transaksi .... Contoh Model Pemilihan RL

Memahami tujuan auditi dan KPI skop audit Pemahaman Auditi Memahami tujuan auditi dan KPI skop audit Memahami proses bisnis (narasi/bagan alur) Memahami pengendalian tingkat Entitas Input 1 Input 2 Proses 1 Proses 2 Proses 4 Proses 3 Tujuan (indikator) Input 3

Pemahaman Proses Bisnis UNIT ORGANISASI/KEGIATAN: Kegiatan Pengadaan TUJUAN : Memperoleh Peralatan dengan Harga Ekonomis, ... Indikator Kinerja: % Nilai Pengadaan tidak melebihi harga harga pasar wajar ----------------------------------------------------------------------------------------------------------------------------------------------------------------- Proses Flows: Harga Standar/ survai 1 Harga tidak lebih mahal dari harga pasar) Kontrak & Pelaksanaan Penyerahan Penagihan Pembayaran Penganggaran Susun HPS Tender KPA PPK, Harga Survai 2

Identifikasi dan Analisis Risiko yang akan diaudit Jika auditi telah memiliki risk register dan profil risiko yang baik Gunakan risk register untuk memilih risiko yg akan diaudit Jika Tidak Identifikasi Risiko yang relevan dg ruang lingkup audit, divalidasi auditi. Lakukan Penilaian tingkat P (probabilitas) & I (impak) tiap risiko Tentukan level risiko (PxI), susun prioritas risiko yang akan diaudit

No Tahap Identifikasi Risiko Analisis Risiko Prioritas di Audit Risiko Sebab Akibat P I Level 1 Penganggaran Harga standar tdk ekonomis Tidak diuji kelayakan RKA dan DIPA terlalu tinggi 3 6 2 Harga survai 1 tdk ekonomis RKA dan DIPA terlalu tinggi 9 Mark Up RAB dalam RKA Kesengajaan KPA 5 4 Susun HPS HPS td sesuai harga wajar Kesengajaan PPK Penawar mahal bisa menang 12 Ketidakcermatan PPK 8 Tender Tender tidak bersaing Intervensi / kolusi 7 Pembayaran Ketidakcermatan verifikator SPM Tidak memperoleh salinan kontrak Pembayaran melebihi kontrak

Uji efektivitas implementasi Desain Uji dampak / kejadian risiko, IDENTIFIKASI DAN PENILAIAN KECUKUPAN DESAIN PENGENDALIAN KUNCI Rencana Pengujian Efektivitas Pengendalian Pengendalian Kunci: Truly critical actions  their absence would make it difficult to achieve the desired result/goal. Risiko yang akan diaudit Pengendalian kunci yg dirancang auditi ut tangani risiko tsb (sesuai aturan/SOP/Kebijakan/RTP) Uji efektivitas implementasi Desain Yes Menurut Professional Judgment auditor telah ideal/ memadai atau tidak Desain Memadai? Efektif? Yes No No Simpulkan Uji dampak / kejadian risiko, simpulkan

Existing Control Design Penilaian Kecukupan Control Design Indentifikasi-penilaian desain pengendalian kunci dan rencana pengujian efektivitas pengendalian Tujuan / KPI Auditi Risiko Existing Control Design Ideal Control Penilaian Kecukupan Control Design Rencana Pengujian Sebab-Risiko-Akibat Pengendalian Sesuai SOP/RTP/ Kebijakan Preventive Detective Mitigative Desain Memadai/ Tidak Tujuan Pengujian Teknik Pengujian Ketua Tim Menyusun PKA Tahap Pengujian

Existing Control Design Penilaian Kecukupan Control Design Indentifikasi-penilaian desain pengendalian kunci dan rencana pengujian efektivitas pengendalian Tujuan Auditi Risiko Ideal Control Design Existing Control Design Penilaian Kecukupan Control Design Rencana Pengujian Memper oleh Peralatan dengan Harga Ekonomis HPS tidak sesuai harga wajar karena kesengajaan PPK menga-kibatkan penawaran mahal bisa menang SOP susun HPS PPK berintegritas; SOP susun HPS; Reviu HPS; Koreksi HPS Desain Tidak memadai untuk mengelola risiko Tujuan : mengukur kejadian risiko kemahalan penawaran karena PPK sengaja menyusun HPS tidak wajar. Teknik: Hitung kemahalan dengan membandingkan harga kontrak dengan harga wajar . Komparasi HPS dg harga wajar, evaluasi proses penyusunan HPS, wawancara alasan ut menggali justifikasi PPK atas proses penyusunan HPS.

INSPEKTORAT .... KKA NO: .......... AUDITI: ....... JENIS AUDIT: AUDIT ... TA.... PKA TAHAP PELAKSANAAN No Uraian Oleh Waktu KKA Cttn Rcn Rls 1 Tujuan : mengukur kejadian risiko kemahalan penawaran karena PPK sengaja menyusun HPS tidak wajar. Langkah kerja: Hitung kemahalan karena PPK sengaja menyusun HPS tidak wajar dengan membandingkan harga kontrak dengan harga wajar . Analisis justifikasi PPK dalam menyusun HPS: Komparasi HPS dg harga wajar, Evaluasi proses penyusunan HPS, Wawancara dg PPK Susun temuan hasil audit dan usulan rekomendasi ... ....

TAHAP PELAKSANAAN KRITERIA SEBAB AKIBAT KONDISI REKOMENDASI Pengujian & Pengumpulan Bukti Bukti dikumpulkan dan diuji sesuai dengan rencana pengujian, hasilnya dituangkan dlm KKA. Evaluasi Bukti & Pengambilan Simpulan Hasil audit menjadi bukti untuk menyimpulkan: keberhasilan proses / area yang diaudit dalam mencapai tujuan Efektivitas pengendalian dalam menangani risiko dan mengamankan pencapaian tujuan. Pengembangan Temuan dan Rekomendasi Area of Improvement KRITERIA KONDISI SEBAB AKIBAT REKOMENDASI

KKA PENGUJIAN Inspektorat Audit ................ Nomor KKA : Ref PKA Disusun oleh nama/tgl/paraf Direviu oleh KKA PENGUJIAN EFEKTIVITAS IMPLEMENTASI PENGENDALIAN KUNCI Atau KKA PENGUJIAN KEJADIAN RISIKO KARENA KELEMAHAN PENGENDALIAN KUNCI Risiko Yang Diaudit: Rancangan Pengendalian Kunci Yang Diaudit: Tujuan Pengujian: Teknik/Langkah-langkah Pengujian: Data/Bukti Hasil Pelaksanaan Teknik Pengujian: Simpulan Hasil Pengujian:

SIMPULAN AUDIT Tingkat keberhasilan manajemen dlm mencapai kinerja yang diaudit Harus Menjawab Tujuan Audit Misal ut audit kinerja berbasis risiko harus menjawab 2 hal Tingkat Efektivitas pengendalian untuk mengamankan pencapaian kinerja yang diaudit

Simpulan Audit Menyampaikan grading atas capaian tujuan / KPI yang diaudit, misal:

Temuan Hasil ABR (Area of Improvement) Masalah Real Kejadian risiko signifikan karena desain pengendalian tidak ada/ tdk lengkap Kejadian risiko signifikan karena desain pengendalian tidak efektif. Masalah Potensial Potensi kejadian risiko signifikan karena desain pengendalian lemah, Potensi kejadian risiko signifikan karena efektivitas implementasi desain pengendalian lemah.

Curative, rehabilitative Rekomendasi Menangani apa yang sudah terjadi Menangani Risiko dengan: Memperbaiki / melengkapi desain pengendalian kunci Melakukan tindakan untuk memastikan efektivitas implementasi desain pengendalian kunci. Curative, rehabilitative Constructive/Preventive

Is this Cowboy?

STRATEGI KOMUNIKASI HASIL ABR

OLEH AUDITOR VS OLEH MANAJEMEN ANALISIS RISIKO OLEH AUDITOR VS OLEH MANAJEMEN

Tujuan  Prioritasi Assurance ANALISIS RISIKO OLEH AUDITOR Tujuan  Prioritasi Assurance Kekuatan pengendalian: belum tahu jika belum menguji efektivitasnya atau belum menilai RMML No Tujuan /KPI Tahap / Bagian Risiko Owner Penilaian Prioritas Audit Sebab Akibat P I L

ANALISIS RISIKO OLEH MANAJEMEN Tujuan  Prioritasi Penanganan Risiko Kekuatan pengendalian: memperhatikan kondisi pengendalian saat ini. No Uraian Risiko Current Control Current control effectiveness Asessed Risk Level Accept-ability Additional Treatment Targeted Risk Level Efectiveness of Addtn Treatment Residual Risk Level (A/M/I) P I L (A/UA) ...... ........ Moderate 3 9 UA ..... .......... 2 6 Inadequate

SESI PRAKTIK 2 Pilih satu satker/program/kegiatan yang akan diaudit. Pilih satu tujuan yang akan diaudit. Tetapkan indikator pencapaiannya. Gambarkan alur proses bisnis ut mencapai tujuan tsb. Lakukan identifikasi dan analisis risiko ut menentukan prioritas risiko yang akan diaudit. Lakukan identifikasi dan penilaian desain pengendalian kunci Tentukan tujuan dan teknik untuk mengauditnya

Pemahaman Proses Bisnis, Identifikasi dan Analisis Risiko UNIT ORGANISASI/KEGIATAN: TUJUAN : ... Indikator : ----------------------------------------------------------------------------------------------------------------------------------------------------------------- Proses Flows: No Tahap Prioritas di Audit Risiko Sebab Akibat P I Level

Existing Control Design Penilaian Kecukupan Control Design Identifikasi dan Penilaian Kecukupan Desain Pengendalian Kunci, serta Penyusunan Rencana Pengujian Efektivitas Implementasi Desain Pengendalian Kunci Tujuan / KPI Auditi Risiko Existing Control Design Ideal Control Penilaian Kecukupan Control Design Rencana Pengujian Sebab-Risiko-Akibat Pengendalian Sesuai SOP/RTP/ Kebijakan Preventive Detective Mitigative Desain Memadai/ Tidak Tujuan Pengujian Teknik Pengujian