2. overview abr

OVERVIEW AUDIT INTERNAL BERBASIS RISIKO

Konsep dan Metodologi

By Supriyadi, SE., Ak., MM., CA., CRMP

18/04/2023 AIBR-SUPRIYADI 2

Agenda

1. Pengantar2. Definisi Audit Internal Berbasis

Risiko3. Tujuan Audit Internal Berbasis

Risiko4. Perbandingan Audit

Konvensional dengan ABR5. Tahapan ABR


Pengantar

Alasan Perlunya Risk Based Audit1. Semakin kompleknya unit-unit

yang diaudit2. Semakin terbatasnya sumber

daya3. Semakin terbatasnya sumber

dana4. Keinginan atas informasi dalam

pengambilan keputusan secara tepat dan akurat.


DEFINISI INTERNAL AUDIT(IPPF – 2009)

Kegiatan assurance dan konsultasi yang independen dan obyektif yang dirancang untuk memberi nilai tambah dan peningkatan opeasi suatu organisasi,

Audit ini membantu organisasi mencapai tujuannya melalui pendekatan sistematis dan teratur untuk mengevaluasi dan meningkatkan efektifitas manajemen risiko, pengendalian (control) dan proses tata kelola perusahaan (corporate governance).


Tujuan Audit Berbasis Risiko

1. Hubungan komunikasi yang lebih cepat2. Mengurangi friksi di seluruh proses audit3. Arus yang lebih alami dari tujuan sampai

laporan4. Perencanaan audit yang lebih komprehensif


Manfaat RBIA

Inherent Risk

Residual Risk

Control

RBIA Provides Assurance that these

controls are operating effectively

Risk Appetite

Con

seq

uen

ce

Likelihood

Sumber: Implementing RBIA David Griffith

18/04/2023 AIBR-SUPRIYADI

PARADIGMA AUDIT INTERNAL

KARAKTERISTIK PARADIGMA LAMA PARADIGMA BARU

Fokus audit intern Pengendalian intern Risiko bisnis (Risiko Prioritas)

Respon audit internReaktif, after the fact, diskontinyu, menjadi pengamat inisiatif perencanaan stratejik

Koaktif, real time, pemantauan terus menerus, berpartisipasi aktif dalam perencanaan stratejik

Pengujian audit intern Pengendalian yang penting Risiko-risiko yang penting

Metode audit internMenekankan pada kelengkapan pengujian pengendalian rinci

Menekankan pada signifikansi cakupan risiko-risiko bisnis secara umum

Rekomendasi audit intern

Pengendalian intern:q Memperkuat pengendalianq Biaya-manfaatq Efisien/efektif

Manajemen risiko:q Hindari/diversifikasi risikoq Bagi/pindahkan risikoq Kendalikan/terima risiko

Laporan audit internMelaporkan keberfungsian pengendalian (saat ini)

Melaporkan risiko-risiko proses dan manajemennya (Yang akan datang)

Peran audit intern dalam organisasi

Fungsi penilaian independenManajemen risiko dan corporate governance terintegrasi

7


Perbedaan AIBR vs Tradisional

AIBR Audit Tradisional

1. Menyusun Audit Universe untuk menentukan Auditable Unit berbasis Risiko (PKPT)

2. Pelaksanaan Individual audit berdasar Risiko Tertinggi

3. Memahami operasi auditee4. Menaksir strategi manajemen

risiko dan pengendalian risiko auditee

5. Mengelola risiko audit residual

6. Mengkomunikasi-kan hasil audit (Risiko Risidual)

1. Menyusun Audit Universe (PKPT) Judgmental

2. Pelaksanaan Individual Audit berdasar Judgement

3. Memahami Operasi Auditee4. Melakukan pengujian

pengendalian dan pengujian substantif atas transaksi/aktivitas

5. Melakukan prosedur analitis dan pengujian rinci atas saldo akun

6. Menyelesaikan audit dan menerbitkan suatu laporan audit (Temuan Post event)


Tahapan Risk Based Internal Audit

Sumber : David Grifith Risk Based Internal Audit

Mgt Risk Register

Assess RM Maturity

Defined

Naive

Aware

Enabled

Managed

Facilited Risk Identification

Mgt Risk Register

(amanded)

Use organisation’

s Risk

Assign Risk to Audit

Audit Universe

Risk and Audit Universe

(RA U)Audit Plan

Audit Committee

Report

Individual Audit

Audit Report

Feedback result Into

RAU

Stage 1

Stage 2

Stage 3


Tahapan Audit Tahap 1 : Penilaian Risk Maturity Tahap 2 : Penyusunan PKPT Tahap 3 : Penugasan Individual

Audit


Tahap 1: Penilaian Risk Maturity1. Risk Naïve (Initial)2. Risk Aware (Repetable)3. Risk Defined (Defined)4. Risk managed (Managed)5. Risk Enabled (Optimised)


Merancang Pendekatan Audit

Risk Maturity

Aspect Audit Approach

Risk Naïve Tidak ada pendekatan formal yang dikembangkan dalam pengelolaan risiko

Memperkenalkan risk management dan audit didasrkan pada penilaian risiko audit dan atau Faktor Risiko

Risk Aware Pengembangan risk management masih terpisah-pisah atau perbagian

Memperkenalkan Enterprise-wide approach risk management dan audit didasarkan atas penilaian risiko audit dan atau Faktor Risiko

Risk Defined

perusahaan sudah memiliki dan mengkomunikasikan strategi dan kebijakan serta risk appetite dalam penerapan risk management

Memfasilitasi dan kerjasama dengan unit managemen risiko dan memanfaatkan hasil risk assessment manajemen jika sudah dipandang memadai dalam melakukan audit

Risk Managed

Perusahaan atau organisasi telah mengembangkan dan mengkomunikasikan enterprises-wide approach risk management

Audit proses risk management dan menggunakan hasil asesmen risiko yang sudah cukup memadai

Risk Enabled

Risk Management dan Internal Control sudah menyatu dalam seluruh operasi

Audit risk management process dan menggunakan hasil asesmen risiko yang sudah cukup memadai


Level Control Monitoring Audit Approach

Enabled

Managed

Defined

Aware

Naive

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teraturRespon telah sesuai untuk mengelola risiko

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teraturRespon telah sesuai untuk mengelola risiko

Sebagian besar risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teraturRespon telah sesuai untuk mengelola risiko

Terdapat pengendalian tetapi tidak terkait dengan risiko

Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat

Sedikit atau kurang adanya monitoring

Sangat kecil monitoring, jika adapun sangat lemah

Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko

Assurance

Consultancy

Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit


Pendekatan Rencana Audit PKPT

Maturity 4 s.d 5

Register Risiko Hasil RA Mgt

Maturity 3

Maturity 1 s.d ≤ 2

Faktor Risiko

Risk Register Yang Disusun I/A dgn UPR


Tahap II: Penyusunan PKPTStar

t

Menilai ML RM

ML≥3

Filtering RR

Penyusunan

Risk Factor

Menyusun PKPT

Grouping RR

Auditable Unit

Menyusun PKPT

Scoring Risk

Factor

Auditable Unit

ML : Maturity LevelRM : Risk managementRR : Risk RegisterUPR : Unit Pemilik Risiko

Identifikasi Risiko Oleh A/I dgn UPRYa

tdk


Risk RegisterAudited

Filter Risk

Risk on Which assurance is

required

Risk Within the Risk Appetite

Risk not Requiring an audit in this

period

Risk on Which assurance is provided by

others

Risks Which will be tolerated

Link Risk to Audit

Audit Universe

Risk and Audit Universe

Select risk to be

covered

Allocate resources to

audits

Audit Plan

Assign Risk to Audit

Audit Committee

Report

X

X

X

X√

Proses Filtering Risiko


Hasil Evaluasi Kematangan MR1 s.d ≤2Maka dengan pendekatan Risk Factor:

No.

Size No.

Control No. Effectiveness

1

2

3

4

Value of annual income,expenditure or size of budgetNumber of employeesinvolved in the activityImpact score from the risk matrixNumber of transactions

1

23

4

Evaluation of thequality of managementand staffThird Party sensitivityStandard of internalControlLikelihood of occurrenceas per risk matrix

1

234

Likely effectiveness ofInternal AuditDuration of audit workTime since last auditEffectiveness ofother assurance providers

Source: RBIA Phil Griffiths


Tahap III : Penugasan Internal AuditStar

t

ST Individual Audit

Pemahaman Proses

Pemahaman Risiko

Penentuan

Prioritas Risiko

Evaluasi Rancangan

I/C

Evaluasi Pelaksanaa

n I/C

UTB

Penilaian Risiko

Residual

Identifikasi Risiko Utama

Report


Beberapa Istilah1. Audit Universe: Seluruh Bagian, Unit,

yang akan dilakukan audit, (instansi, kegiatan, proyek, aktiva, kebijakan, program).

2. Auditable Unit: Unit Layak Audit (ULA)3. Individual Audit: ULA yang siap akan

dilakukan audit.4. Transaction Audit: Aktivitas yang siap

akan dilakukan audit dalam ULA5. Risk Owner: Unit Pemilik Risiko (UPR)


Terimakasih

2. overview abr

Documents