audit berbasis risiko di perguruan tinggi
TRANSCRIPT
AUDIT BERBASIS RISIKO
DI PERGURUAN TINGGI
Oleh
Dr. MARALUS PANGGABEAN, SE, SH, MSc, CFrA
AUDITOR AHLI UTAMA
INSPEKTORAT JENDERAL KEMENDIKBUD
disampaikan pada
PELATIHAN MANAJEMEN RISIKO PERGURUAN TINGGI
PUSAT PENGEMBANGAN SUMBER DAYA MANUSIA (P2SDM) LPPM IPB
Bogor, 13 Agustus 2020
RISK MANAGEMENT REGULATIONS
• AMERIKA SERIKAT:
* COSO Internal Control Integrated Framework (1992);
* Sarbanes-Oxley Act (2002);
* COSO Enterprise Risk Management Integrated Framework (2004).
• INGGRIS:
* The Combined Code on Corporate Governance (2006);
* Turnbull Report: Internal Control (2005).
• Australia:
* Principle of Good Corporate Governance and Best Practice Recommendations (2003);
* AS/NZS 4360:2004 Risk Management (2004).
• Jepang:
* Guidelines for Development and Implementation of Risk Management System (2001);
* Guidelines for Internal Control that Functions Together with Risk Management (2003).
• INDONESIA:
* PP No.60/2008 tentang Sistem Pengendalian Intern Pemerintah;
* Permendikbud Nomor 66 Tahun 2015 tentang Manajemen Risiko di Lingkungan Kemendikbud.
DEFINITION OF RISK• USA:
Risk is the posibility that an event will occur and adversely affect the achievement of objective (COSO, 2004).
• Australia:
The chance of ssomething happening that will have an impact upon objectives (AS/NZS 4360:2004).
• Japan:
A combination of the probability of an event and its consequence (JIS Q 2001).
Uncertainty of occurence of an event
• Indonesia:
Risiko adalah segala sesuatu yang berdampak negatif terhadap pencapaian tujuan yang diukur berdasarkan kemungkinan dan dampaknya. (PermenkeuNo.191/pmk.09/2008; Permendikbud 66/2015).
Pengertian Risiko
• Risiko adalah setiap hal yang mencegah suatu entitas mencapai tujuannya.
• Risiko adalah peluang terjadinya sesuatu yang akan mempunyai dampak terhadap tujuan.
• Risiko adalah konsep yang digunakan untuk menyatakan ketidakpastian atas kejadian dan atau akibatnya yang dapat berdampak secara material bagi tujuan organisasi.
• Risiko adalah ketidakpastian terjadinya sesuatu yang dapat berpengaruh pada pencapaian tujuan. Risiko dinyatakan dalam ukuran konsekuensi dan kemungkinan.
Pengertian Risiko
• Tidak ada definisi tunggal mengenai risiko.
Bidang ekonomi, statistik, asuransi, perbankan, atau
transportasi mempunyai pengertian dan konsep yang berbeda
tentang risiko. Demikian pula auditor memiliki konsep
tersendiri tentang risiko.
• Terdapat kesamaan pemahaman secara umum, bahwa pada
dasarnya risiko adalah ketidakpastian tentang
timbulnya kerugian.
5
Kategori Risiko• Risiko Kredit
• Risiko Pasar
• Risiko Likuiditas
• Risiko Operasional
• Risiko Hukum
• Risiko Reputasi
• Risiko Strategik
• Risiko Kepatuhan
Risiko Audit
• Risiko Melekat /Risiko Bawaan (Inherent Risk)
• Risiko Pengendalian (Control Risk)
• Risiko Deteksi (Detection Risk)
• RISIKO:
Ketidakpastian tentang timbulnya kerugian.
• MANAJEMEN RISIKO:
Pendekatan sistematis untuk menentukan tindakan terbaik dalam kondisi ketidakpastian.
• AUDIT BERBASIS RISIKO:
Audit yang difokuskan dan diprioritaskan pada risiko kegiatan dan prosesnya serta pengendalian terhadap
risiko yang dapat terjadi.
Manajemen Risiko (Risk Management)
• Proses pengelolaan risiko yang mencakup identifikasi, evaluasi dan pengendalian risiko yang dapat mengancam keberlangsungan atau aktivitas organisasi.
• Proses mengidentifikasi peristiwa yang berpotensi dapat mempengaruhi satuan kerja, mengelola risiko agar berada dalam batas toleransi risiko (risk appetite) dan memberikan penjaminan memadai terkait pencapaian tujuan satuan kerja. (Permendikbud Nomor 66 Tahun 2015 tentang Manajemen Risiko di Lingkungan Kemendikbud).
• Proses mengidentifikasi, menilai dan mengelola peristiwa atau kejadian yang berpotensi untuk memberikan penjaminan memadai terkait pencapaian tujuan satuan kerja (IIA Standard).
8
Tujuan Manajemen Risiko
• mengurangi risiko;
• mengantisipasi risiko potensial yang dapat
merugikan kegiatan organisasi;
• melindungi organisasi dari kejadian tak
terduga yang diantisipsi sebelum kejadian
tersebut benar-benar terjadi;
• secara terus-menerus menciptakan atau
menambah nilai maksimum kepada semua
kegiatan organisasi.
Fungsi Manajemen Risiko
• Menetapkan kebijakan dan strategi
menajemen risiko;
• Primary champion of risk management pada
tingkat strategis dan operasional;
• Membangun budaya sadar risiko di dalam
organisasi melalui pendidikan yang memadai.
Manajemen Risiko• Memahami risiko bertujuan untuk mengelola risiko dan
pengelolaan akan dapat berjalan dengan baik apabila diketahui
apakah itu risiko. Besar kecilnya risiko akan menjadi prioritas
dalam menetapkan kebijakan pengelolaan risiko;
• Fokus manajemen risiko adalah mengenali risiko dan mengambil
tindakan yang tepat terhadap risiko, yang tujuannya adalah
secara terus menerus menciptakan atau menambah nilai
maksimum kepada semua kegiatan organisasi.
• Dengan demikian, manajemen risiko merupakan budaya,
proses, dan struktur yang diarahkan kepada manajemen yang
efektif mengenai peluang yang potensial dan pengaruh yang
merugikan.
MONITORING
INFORMATION AND
COMMUNICATION
CONTROL ACTIVITIES
RISK ASSESSMENT
CONTROL ENVIRONMENT
UN
IT A
UN
IT B
AC
TIV
ITY
1
AC
TIV
ITY
2
AC
TIV
ITY
3
ENTERPRISE RISK MANAGEMENT FRAMEWORK (2004)
Enterprise risk management framework
ISO 31000 : ERM FRAMEWORK
• Kerangka (framework) dan proses manajemen risiko dapat disesuaikan dan proposional sesuai dengan kebutuhan organsiasi
Customized
• Adanya keterlibatan pemangku kepentingan yang sesuai dan tepat waktu
Inclusive
• Adanya struktur dan pendekatan yangkomprehensifStructured &Comprehensive
• Manajemen risiko ditempatkan sebagai bagian yang utuh dari setiap aktivitas organisasi
Integrated
• Manajemen risiko mengantisipasi, mendeteksi, mengenali dan merespon terhadap perubahan organisasi
Dynamic
• Manajemen risiko secara eksplisit mempertimbangkan segala keterbatasan informasi yang tersedia
Best Available Information
• Faktor manusia dan budaya mempengaruhi semua pengelolaan aspek risiko
Human & Cultural Factors
• Manajemen risiko terus ditingkatkan melalui pembelajaran dan pengalaman organisasi
Continual Improvement
Prinsip Manajemen Risiko
Kerangka Manajemen Risiko
• Pemimpin organisasi berkomitmen untuk menyediakan sumber daya, mengeluarkan kebijakan, dan menyelaraskan manajemen
risiko dengan strategi, tujuan dan budaya organisasi
Leadership and Commitment
• Memastikan bahwa manajemen risiko merupakan bagian yang tak terpisah dari semua aspek organisasi
Integration
• Mengartikulasikan komitmen manajemen risiko, alokasi sumber daya, dan memahami konteks serta menyusun proses komunikasi manajemen risiko dalam organisasi
Design
• Mengembangkan rencana implementasi yang mencakup aktivitas, jadwal dan tenggat waktu
Implementation
• Mengukur kinerja manajemen risiko dan kecocokan kerangka manajemen risiko dalam mendukung pencapaian tujuan organisasi
Evaluation
• Memantau dan mengambil tindakan untuk meningkatkan nilai pengelolaan risiko serta efektivitas kerangka manajemen risiko
Improvement
PROSES MANAJEMEN RISIKO
Proses Manajemen RisikoPermendikbud 66/2015
• Penetapan konteks;
• Identifikasi risiko;
• Analisis risiko;
• Evaluasi risiko;
• Penanganan risiko;
• Monitoring dan reviu;
• Komunikasi dan konsultasi.
Penetapan Konteks
Tahapan penetapan konteks meliputi:
a.Menentukan ruang lingkup dan periode penerapan Manajemen Risiko
1)Ruang lingkup penerapan Manajemen Risiko yang berisi
tugas dan fungsi unit terkait.
2)Periode penerapan Manajemen Risiko berisi tahun
penerapan Manajemen Risiko tersebut.
b.Menetapkan sasaran organisasi
Penetapan sasaran organisasi dilakukan berdasarkan sasaran strategis yang tertuang dalam peta strategi unit organisasi.
Identifikasi Risiko
Kategori Risiko diperlukan untuk menjamin agar proses identifikasi, analisis, dan
evaluasi Risiko dilakukan secara komprehensif. Kategori risiko meliputi:
Kategori
RisikoDefinisi
Risiko Keuangan
Risiko yang disebabkan oleh kegagalan dalam penyerapan belanja negara, tidak sesuaiproyeksi, atau tidak sesuai dengan sasaran penggunaan; dan risiko yang disebabkan olehkegagalan pemenuhan pembiayaan, baik nominal maupun jadwal waktunya, oleh pihak-pihakdari dalam dan luar negeri.
Risiko strategis (risiko kebijakan)
Risiko yang disebabkan oleh adanya perubahan kebijakan organisasi atau kebijakan dariinternal maupun eksternal organisasi yang berdampak langsung terhadap organisasi.
Risiko kepatuhanRisiko yang disebabkan organisasi atau pihak eksternal tidak mematuhi dan/atau tidakmelaksanakan peraturan perundang-undangan dan ketentuan lain yang berlaku.
Risiko legal Risiko yang disebabkan oleh adanya tuntutan hukum kepada organisasi.
Risiko fraudRisiko yang disebabkan oleh kecurangan yang disengaja oleh pihak internal yang merugikankeuangan negara.
Risiko reputasiRisiko yang disebabkan oleh menurunnya tingkat kepercayaan pemangku kepentinganeksternal yang bersumber dari persepsi negatif terhadap organisasi.
Risiko operasional
Risiko yang disebabkan oleh:1)ketidakcukupan dan/atau tidak berfungsinya proses internal, kesalahan manusia, dan kegagalan sistem.2)adanya kejadian ekternal yang mempengaruhi operasional organisasi
Analisis Risiko(Permendikbud Nomor 66 Tahun 2015)
10/19/18 6
Pengukuran Risiko(Permendikbud Nomor 66 Tahun 2015)
Pengukuran Probabilitas
Tingkat kemungkinan risiko rendah tidak pernah/jarang terjadi risiko.
Tingkat kemungkinan risiko sedang kemungkinan terjadinya risiko sedang.
Tingkat kemungkinan risiko tinggi kemungkinan terjadinya risiko tinggi/hampir pasti.
Pengukuran Dampak
Tingkat konsekuensi risiko rendah memiliki pengaruh yang rendahterhadap para pemangku kepentingan,strategi dan aktivitas operasional.
Tingkat konsekuensi risiko sedang memiliki pengaruh yang sedangterhadap para pemangku kepentingan, strategi dan aktivitas operasional.
Tingkat konsekuensi risiko tinggi memiliki pengaruh yang tinggi terhadap para pemangku kepentingan, strategi dan aktivitas operasional.
10/19/18 5
Matrik Risiko
Matriks Analisis Risiko(5x5) Level Dampak1 2 3 4 5
Tidak Signifikan Minor Moderat Signifikan Sangat Signifikan
Leve
lKem
un
gkin
an 5 Hampir PastiTerjadi 9 15 16 23 25
4 SeringTerjadi 6 12 16 19 24
3 KadangTerjadi 4 10 14 17 22
2 JarangTerjadi 2 7 11 13 21
1 HampirTidakTerjadi 1 3 5 8 20
Level Risiko Besaran Risiko Warna
Sangat Tinggi (5) 20 - 25
Tinggi (4) 16 - 19
Sedang (3) 12 - 15
Rendah (2) 6 - 11
Sangat Rendah (1) 1 - 5
• sangat rendah (<10%)
• rendah (10% - 25%)
• sedang (25% - 50% )
• tinggi (50% - 75%)
• sangat tinggi (>75%-)
Probabilitas Risiko
Konsekuensi/Akibat/Dampak Risiko• Bencana/Sangat Membahayakan (katastrofi)
• Serius
• Bisa Ditolerir
• Tidak Signifikan
Probability and Impact Plots
Rate each risk on scales then plot on matrix;
Develop mitigation technique for risks above tolerance
Pengukuran Nilai Risiko Dasar (NRD)
Metode: Scoring
Rendah Sedang Tinggi
Sumber Bank Indonesia
Penilain Risiko Akhir (NRA)
NRD – Nilai Risiko Dasar
(Inherent Risk)
NP NRA – Nilai Risiko Akhir
(Residual Risk)
Sumber Bank Indonesia
Use a heat map to assess and report risk
PETA RISIKO
No Aktivitas Pernyata-
an Risiko
Dam-
pak
Penye-
bab
Level
Risiko
Kejadian
Risiko
Pemilik
Risiko
Pengen-
dalian
yang Ada
Penga-
wasan
SPI
1.
2.
3.
4.
5.
6.
7.
Penanganan Risiko
Memilih opsi penanganan Risiko yang akan dijalankan berupa:
a.Mengurangi kemungkinan terjadinya Risiko, yaitu penanganan terhadap penyebab
Risiko agar peluang terjadinya Risiko semakin kecil. Opsi ini dapat diambil dalam hal
penyebab Risiko tersebut berada dalam kontrol internal UPR.
b.Menurunkan dampak terjadinya Risiko, yaitu penanganan terhadap dampak Risiko
apabila Risiko terjadi agar dampaknya semakin kecil. Opsi ini dapat diambil dalam hal UPR
mampu mengurangi dampak ketika Risiko itu terjadi.
c.Mengalihkan risiko, yaitu penanganan Risiko dengan memindahkan sebagian atau seluruh
Risiko, baik penyebab dan/atau dampaknya, ke instansi/entitas lainnya.
d.Menghindari Risiko, yaitu penanganan Risiko dengan mengubah/menghilangkan sasaran
dan/atau kegiatan untuk menghilangkan Risiko tersebut.
Opsi penanganan Risiko dapat merupakan kombinasi beberapa opsi tersebut dan sedapat
mungkin diarahkan untuk mengurangi kemungkinan terjadinya Risiko. Prioritas opsi
penanganan Risiko yang dipilih ditentukan berdasarkan urutan opsi penanganan sebagaimana
tersebut di atas.
Pemantauan dan Reviu Risiko
a. Pemantauan berkelanjutan (on-going monitoring)
1)Unit pemilik Risiko secara terus menerus melakukan pemantauan atas seluruh faktor-
faktor yang mempengaruhi Risiko dan kondisi lingkungan organisasi. Apabila terdapat
perubahan organisasi yang direncanakan atau lingkungan eksternal yang berubah, maka
dimungkinkan terjadi perubahan
2)Perubahan besaran Risiko atau Level Risiko dipantau melalui tren Risiko. Tren Risiko
dilihat berdasarkan perubahan status IRU dari periode;
b. Pemantauan berkala
1)Pemantauan berkala dilakukan secara triwulan yaitu pada bulan April, Juli, Oktober, dan
Januari pada tahun berikutnya. Pemantauan triwulan dilakukan untuk memantau
pelaksanaan rencana aksi penganangan Risiko, analisis status Indikator Risiko Utama serta
tren perubahan
besaran/Level Risiko.
2)Laporan pemantauan triwulan dan tahunan dituangkan dalam format sebagai berikut:
c. Reviu
Pelaksanaan reviu terdiri dari dua jenis, yaitu:
1.Reviu Implementasi Manajemen Risiko
Reviu ini bertujuan melihat kesesuaian pelaksanaan dan output seluruh Proses
Manajemen Risiko dengan ketentuan yang berlaku. Reviu ini dilaksanakan oleh UKI
dan/atau pengelola risiko sesuai kewenangannya.
2.Reviu Tingkat Kematangan Penerapan Manajemen Risiko (TKPMR)
Reviu TKPMR bertujuan menilai kualitas penerapan Manajemen Risiko. Reviu dapat
dilakukan pada seluruh tingkatan unit penerapan Manajemen Risiko, yaitu Kementerian,
Unit Eselon I, Unit Eselon II, dan Unit Eselon III. Reviu ini dilaksanakan oleh Inspektorat
Jenderal.
d. Audit Manajemen Risiko
Audit Manajemen Risiko dilakukan oleh Inspektorat Jenderal sebagai auditor internal
Kemendikbud. Audit meliputi kepatuhan terhadap ketentuan Manajemen Risiko di
lingkungan Kemendikbud dan meninjau efektivitas serta kesesuaian perlakuan Risiko yang
ada.
Pemantauan dan Reviu Risiko
MANAJEMEN RISIKO
&
AUDIT BERBASIS RISIKO
• RISIKO:
Ketidakpastian tentang timbulnya kerugian.
• MANAJEMEN RISIKO:
Pendekatan sistematis untuk menentukan tindakan terbaik dalam kondisi ketidakpastian.
• AUDIT BERBASIS RISIKO:
Audit yang difokuskan dan diprioritaskan pada risiko kegiatan dan prosesnya serta pengendalian terhadap risiko yang dapat terjadi.
Pengertian
Audit Berbasis Risiko
• Audit yang difokuskan dan diprioritaskan pada risiko kegiatan dan prosesnya serta pengendalian terhadap risiko yang dapat terjadi.
• Dalam proses audit, auditor dihadapkan pada ketidakpastian (identik dengan risiko). Ketidakpastian itu mempengaruhi auditor dalam menentukan dan mengevaluasi bukti-bukti yang dikumpulkan dalam proses audit. Pengenalan risiko audit merupakan bagian dari proses audit yang berupa berbagai pengujian atas bukti audit.
BENTUK RISIKO AUDIT
• (1) kemuingkinan adanya kesalahan yang material;
• (2) kemungkinan auditor gagal menemukan kesalahan yang material yang sebenarnya kesalahan itu ada.
Dengan kata lain, kita menyatakan bahwa suatu entitas atau aktivitas yang kita audit telah melakukan atau mengandung kesalahan padahal tidak melakukan kesalahan seperti yang kita tulis dalam KDA.
Atau sebaliknya, kita menyatakan tidak ada penyimpangan dalam unit kerja atau kegiatan yang kita audit, padahal penyimpangan atau kesalahan material sesungguhnya ada pada unit kerja/program yang diaudit.
JENIS RISIKO AUDIT
• Risiko Melekat (Inherent Risk),
• Risiko Pengendalian (Control Risk),
• Risiko Deteksi (Detection Risk)
Risiko Melekat atau Risiko Bawaan
(Inherent Risk)
• Merupakan risiko yang selalu menyertai atau melekat pada aktivitas yang rentan terjadi kesalahan dan ketidakberesan.
• Contohnya, unit kerja bagian keuangan mempunyai risiko melekat yang lebih besar daripada bagian persuratan. Pencatatan keuangan yang rumit memiliki kemungkinan salah saji yang lebih besar daripada pencatatan surat masuk dan surat keluar.
• Contoh lainnya, misalnya kegiatan pelatihan bagi dosen mengandung risiko bawaan yang lebih tinggi daripada kegiatan kemahasiswaan.
Risiko Pengendalian
(Control Risk)• Merupakan risiko yang disebabkan lemahnya Sistem
Pengendalian Intern (SPI). Kelemahan ini mengakibatkan terjadinya salahnsaji material tidak dapat dicegah atau tidak dapat dideteksi secara dini. Kelemahan struktur pengendalian intern dapat berupa kelemahan rancangan maupun pelaksanaan struktur pengendalian.
• Contohnya, manajemen tidak membuat rincian tugas tiap bagian sehingga tidak dapat diketahui capaian kinerjanya dan tugas suatu bagian bisa jadi dikerjakan oleh bagian lainnya.
• Contoh berikutnya, kegiatan pemberian beasiswa di suatu perguruan tinggi tidak berdasarkan database kemahasiswaan sehingga ada kemungkinan mahasiswa menerima beasiswa dari dua sumber atau ada mahasiswa yang sebenarnya tidak layak menerima atau tidak membutuhkan beasiswa.
Risiko Deteksi (Detection Risk)
• Merupakan risiko bahwa auditor gagal
mendeteksi salah saji material yang terdapat
dalam asersi manajamen auditan. Risiko ini
terjadi karena menggunakan teknik sampling
maupun non sampling. Besar kecilnya risiko
dapat dipengaruhi antara lain dengan
penggunaan prosedur dan teknik audit atau
penentuan ukuran sampel.
Risiko Deteksi (Detection Risk)
• Contoh risiko sampling misalnya ketika pelaksanaan audit terhadap program bantuan penelitian bagi para dosen. Pengujian dengan cara sampling dibatasi oleh jumlah populasi yang disampel, sehingga simpulan yang diambil oleh auditor mungkin berbeda dengan apabila dilakukan pengujian dengan cara yang sama terhadap seluruh populasi. Demikian pula penentuan hasil penelitian yang menjadi sampel tidak menggunakan teknik sampling yang memadai sehingga orisinalitas hasil penelitian tidak dapat ditentukan.
Risiko Deteksi (Detection Risk)
• Contoh risiko non sampling merupakan kesalahan auditor dalam menetapkan pertimbangan (judgement) sehingga auditor salah menetapkan prosedur audit atau kegagalan auditor dalam mengenali kesalahan dan ketidakberesan. Misalnya, dalam memeriksa bukti-bukti pertanggungjawaban tidak menggunakan prosedur dan teknik tertentu sehingga waktu audit habis digunakan untuk membolak-balik dokumen pertanggungjawaban. Akibatnya, risiko kegagalan mengungkap kesalahan material benar-benar terjadi.
Tujuan Audit Berbasis Risiko
• (1) mengurangi risiko,
• (2) mengantisipasi risiko potensial yang dapat
merugikan kegiatan organisasi,
• (3) melindungi organisasi dari kejadian tak
terduga yang diantisipsi sebelum kejadian
tersebut benar-benar terjadi.
LANGKAH KERJA ABRLangkah 1: Petakan Audit Universe
• Audit universe adalah peta komprehensif tentang auditan dan berbagai variabel terkait dengan auditan menyangkut kepentingan audit, yang dibangun auditor berkenaan dengan seluruh proses audit dan sesuai dengan tujuan audit, yang memungkinkan auditor untuk melaksanakan perencanaan audit, strategi audit, pendekatan audit, penerapan teknik audit, dan kepentingan audit lainnya.
• Pemahaman audit universe adalah unit kerja, program, dan kegiatan yang menjadi sasaran dan obyek pemeriksaan kita. “Dunia Audit” SPI adalah seluruh entitas di lingkungan unit kerjanya serta seluruh aktiviatas yang dibiayai melalui APBN, PNBP, Dana Masrakatat, Bantuan Luar Negeri, atau hasil kerjasama.
• Sebagian unit kerja/program/kegiatan ada yang menjadi area pemeriksaan SPI, ada yang menjadi kewenangan auditor eksternal dan ada yang dilimpahkan kepada kantor akuntan publik. Pemahaman atas audit universe SPI ini menjadi bahan penentuan kebijakan perencanaan audit, strategi audit, pendekatan audit, penerapan teknik audit, dan kepentingan audit lainnya.
Langkah 1:
Petakan AUDIT UNIVERSE SPI
No UNIT KERJA/PROGRAM/KEGIATAN Catatan
1.
2.
Masukkan seluruh Unit Kerja yang menjadi area tugas SPI, yaitu unit kerja di lingkungan perguruan tinggi (Rektorat, Fakultas, Jurusan, Prodi, dan lembaga2 lainnya).
Masukkan seluruh Program/Kegiatan yang menjadi area pengawasan SPI, yaitu misalnya:
•Keuangan (APBN, PNBP, Hasil Kerjasama, Dana Masyarakat, Bantuan/Hibah LN, dsb).
Langkah 2:
Tentukan Area yang layak untuk Diaudit (Auditable Units)
• Dari daftar audit universe tersebut kita susun lagi daftar yang lebih pendek yang merupakan penyaringan dari audit universe. Auditable units adalah unit kerja atau program/kegiatan yang layak untuk diaudit.
• Pertimbangan layak tidaknya unit kerja/program/kegiatan untuk diaudit:
• program/kegiatan tersebut menjadi prioritas,
• merupakan program strategis bagi organisasi ybs,
• anggarannya cukup besar,
• dampaknya cukup luas,
• belum pernah, jarang diperiksa, atau tdk diperiksa pd tahun lalu,
• banyak terjadi penyimpangan,
• menjadi sorotan atau perhatian masyarakat,
• dst.
Langkah 2:
Tentukan Area yang layak untuk Diaudit (Auditable Units)
No. UNIT KERJA/PROGRAM/KEGIATAN CATATAN
1. Seleksi/Pilih Unit Kerja/Program/Kegiatan yang adadi daftar/tabel Audit Universe untuk dimasukkandalam daftar/tabel Auditabel Units ini berdasarkankriteria:
• program/kegiatan prioritas Dikti,
• merupakan program strategis,
• anggarannya cukup besar,
• dampaknya cukup luas,
• belum pernah, jarang, tdk diperiksa pd thn lalu,
• banyak terjadi penyimpangan,
• menjadi sorotan atau perhatian masyarakat,
• dst.
Langkah 3:
Lakukan Penaksiran Risiko (Risk Assesment)
• Penaksiran Risiko (Risk Assesment), yaitu sebuah proses estimasi skor risiko yang digunakan untuk mengidentifikasi, mengukur dan menetukan prioritas risiko agar sebagian besar sumber daya diarahkan ke area layak audit (auditable units) dengan skor atau bobot risiko tinggi. Tujuan utamanya adalah untuk menentukan prioritas risiko masing-masing auditable units yang pada giliran berikutnya akan menentukan frekuensi, intensitas, dan waktu audit.
• Penaksiran risiko mencakup identifikasi dan analisis risiko. Pengukuran dilakukan dengan mempertimbangkan aspek (1) kemungkinan frekuensi (kekerapan atau sering terjadinya) dan (2) besarnya dampak yang harus ditanggung jika risiko dimaksud benar-benar terjadi.
• Langkah kerja dalam melakukan penaksiran risiko yaitu masing-masing auditable unit sebagaimana dalam daftar di atas ditetapkan skornya dengan menggunakan faktor risiko sebagai berikut:
Langkah 3:
Lakukan Penaksiran Risiko (Risk Assesment)
• Materialitas, yaitu area yang memiliki dampak risiko tinggi baik dilihat dari nilai uangnya atau dari nilai yang lain yang sifatnya tidak berwujud (intangible). Misalnya pembangunan gedung yang nilainya rupiahnya sangat besar. Atau program pengembangan P merupakan program strategis.
• Residual Risk, yaitu risiko terkendali setelah sebuah nilai instrinsik risiko (inherent risk)dinilai dengan mempertimbangkan pengendalian yang ada maupun yang harus dibangun untuk mengendalikan risiko bawaan atau risiko melekat (inherent risk) tersebut. Contohnya, risiko pengendalian atas program sertifikasi guru lebih tinggi dibanding program pelatihan keterampilan mahasiswa. Atau misalnya, unit kerja perpustakaan lebih kecil risiko pengendaliannya daripada unit kerja layanan pengadaan (ULP).
• Audit Assurance, yaitu hasil penelaahan audit yang lalu atas area yang memiliki risiko dengan rating tinggi. Sebagai contoh misalnya, dari hasil wasrik tahun lalu diketahui bahwa pemberian block grant kepada Peneliti tidak tepat sasaran. Atau unit kerja tertentu mempunyai risiko tinggi sebagaimana tercermin dari banyaknya temuan pada wasrik yang lalu.
• Audit Judment, yaitu pertimbangan auditor atas perubahan sistem dan prosedur, pergantian pegawai dan lainnya yang perlu mendapat perhatian karena akan berdampak ke area tertentu. Contoh misalnya adanya pergantian pimpinan unit kerja sehingga terjadi perombakan dalam unit kerja tersebut. Atau adanya anggota panitia yang berpengalaman yang pensiun mengakibatkan perubahan sistem, prosedur, atau tata kerja.
Langkah 3:
Lakukan Penaksiran Risiko (Risk Assesment)
No. FAKTOR RISIKO SKOR BOBOT NILAI RISIKO
1. Signifikansi
(Materialitas) (M)
4 40 sangat tinggi
2. Risiko Terkendali
(Residual Risk) (R)
3 30 Tinggi
3. Hasil Audit yang Lalu
(Audit Assurance) (A)
2 20 sedang
4. Pertimbangan Auditor
(Audit Judgement) (J)
1 10 rendah
5 Jumlah 100
Keterangan:Skor : 1 = rendah; 2 = sedang; 3 = tinggi; 4 = sangat tinggiBobot : keselurahan dari faktor risiko (M+R+A+J) = 100Nilai Risiko : 0-40 = rendah; 50-80= sedang; 90-120 = tinggi;
130-160 = sangat tinggi
Langkah 4:
Selenggarakan Audit Workshop 1
Langkah 4 adalah membahas obyek pemeriksaan secara bersama-sama antara unit kerja/penanggung jawab kegiatan dengan SPI untuk menyepakati auditable unit(unit kerja/ program/ kegiatan yang layak diaudit) dan menentukan nilai risikonya dengan mengunakan tabel berikut:
No UNIT KERJA/
PROGRAM / KEGIATAN M R A J
BOBOT NILAI RISIKO
1. Unit Kerja:
BAUK 3 4 4 2 130 sangat tinggi
Fakultas B 2 4 3 1 100 tinggi
Jurusan C, dst. 1 2 1 1 60 sedang
2. Program / Kegiatan :
Pengadaan Barang/Jasa 3 4 4 3 140 sangat tinggi
Penelitian 2 3 2 1 80 sedang
Beasiswa, dst. 1 1 1 1 40 rendah
Keterangan:Nilai Risiko: 0-40 = rendah; 50-80= sedang; 90-120 = tinggi; 130-160 = sangat tinggi
Langkah 5:
Selenggarakan Audit Workshop 2
Buat Kriteria:
• Risiko Sangat Tinggi: Petugas 12-15 Orang dan 10-15
Hari.
• Risiko Tinggi: Petugas 7-10 Orang dan 6-8 Hari.
• Risiko Sedang: Petugas 5-7 Orang dan 5-7 Hari.
• Risiko Rendah: Petugas 2-4 Orang dan 3-5 Hari.
Langkah 6:
Selenggarakan Audit Workshop 3Masukkan seluruh Unit Kerja/Program/Kegiatan yang akan diaudit pada tahun
anggaran 2014 berdasarkan nilai risiko dengan jumlah hari dan jumlah petugas yang
diperlukan.
No Unit Kerja/Program Nilai Risiko
Jumlah Hari
Jumlah Petugas
1. Unit Kerja:
Fakultas A sangat tinggi
15 15
Fakultas B tinggi 10 12
Program Pascasarjana sedang 8 7
Lembaga Penelitian sedang 7 7
Lembaga Pengabdian rendah 5 4
Perpustakaan, dst rendah 3 3
2. Program / Kegiatan:
PNBP tinggi 10 10
UKT/PMB sedang 7 6
Blockgrant, dst. rendah 3 4
Langkah 7:
Selenggarakan Audit Workshop 4Susun Komposisi Tim untuk tiap pemeriksaan dengan Kriteria sebagai berikut:
Kriteria Komposisi Tim SPI:
• Nilai Risiko Tingi:
1 PM, 2 PT, 2 KT, masing2 KT 2-4 AT
• Nilai Risiko Sedang (A):
1 PM, 1 PT, 1 KT, 2-4 AT
• Nilai Risiko Sedang (B):
1 PT, 1 KT, 2-4 AT
• Nilai Risiko Rendah:
1KT, 1-2 AT
Langkah 8:
Selenggarakan Audit Workshop 5Masukkan seluruh nama2 Petugas SPI ke dalam format Auditable Units yg telah
dibobot risikonya sesuai dengan komposisi tim hasil workshop 5 sebagai
berikut:
No Unit Kerja/Program PM
PT
KT AT
1. Unit Kerja:
Fakultas A Badu, Ali Ani An, Bi, Ca, D
Fakultas B Joni, Budi Eko Dst
Lemlit Ati, Amat Susi Dst
Lembaga pengabdian Indah Dono dst
Percetakan
Perpustakaan, dst
2. Program / Kegiatan:
PNBP
UKT/PMB
Blockgrant, dst.
Langkah 9:
Susun Risk-Based Audit Planberupa Program Kerja Pemeriksaan Tahunan (PKPT) SPI
Tahun Anggaran 2021 berbentuk jadwal kerja sebagai berikut:
No
SASARAN Jan Feb Mar Apr Mei Jun Jul Agt Sep Okt Nov Des KET
Langkah 10:
Buatlah Risk Register• Risk Register merupakan dokumentasi dari seluruh rangkaian
penyusunan audit berbasis risiko di atas yang dimulai dari pemetaan audit universe, penentuan auditable units, penaksiran risiko, dan audit workshop.
• Seluruh rangkaian kerja (process map) tersebut dimasukkan ke dalam database SPI.
• Risk Register ini sangat bermanfaat ketika kita akan merencanakan audit tahun berikutnya dan mengevaluasi hasil audit untuk penentuan kebijakan pengawasan selanjutnya karena data tentang keseluruhan dan prosesnya telah tersimpan dengan baik.
• Manfaat yang tak kalah pentingnya yaitu manakala diperiksa oleh BPK atau KPK, kita bisa menunjukkan bahwa kegiatan pengawasan yang dilakukan oleh SPI telah berdasarkan Audit Berbasis Risiko (ABR).
AUDIT BERBASIS RISIKO -
THREE LINES OF DEFENSE
• Perencanaan Audit Berbasis Risiko ini merupakan langkah kerja yang perlu dilakukan oleh SPI dalam memenuhi tuntutan profesional sekaligus memenuhi harapan dari seluruh pemangku kepentingan pendidikan nasional.
• Langkah selanjutnya setelah perencanaan audit berbasis risiko ini disetujui dan disahkan sebagai dasar pelaksanaan pengawasan SPI, maka giliran para auditor untuk menerapkan pemeriksaan dan pengawasan menggunakan Audit Berbasis Risiko (ABR) yang prosedur kerjanya perlu dirumuskan oleh tiap auditor dalam tiap kali pengawasan.
Three Lines of Defense Model
Source: Prudential Practice Guide CPG 220 Risk Management, APRA, January 2014, p19.
TIGA LINI PERTAHANAN (1)
• Dalam perspektif Tiga Lini Pertahanan (Three Lines of
Defense) terdapat 3 pihak, yaitu manajemen (lapis 1),
Unit Manajemen Risiko (lapis 2), dan audit internal (lapis
3) .
• Lapis 1 (manajemen) sebagai pemilik risiko (risk owner)
yang bertanggung jawab terhadap organisasi.
• Lapis 2 (unit manajemen risiko) yang ditugasi untuk
merumuskan manajemen risiko.
• Lapis 3 (auditor internal) yang memastikan bahwa
kegiatan dilaksanakan berdasarkan pemetaan risiko.
60
TIGA LINI PERTAHANAN (2)
• Pihak manajemen (lapis 1) membentuk Unit
Manajemen Risiko/UMR (lapis 2) yang tugasnya
menyusun peta risiko sesuai tahapan-tahapan dalam
proses manajemen risiko.
• Jika di perguruan tinggi telah terbentuk UMR, maka SPI
mengecek/meriviu/menantau pelaksanaan
program/kegiatan sesuai dengan yang telah dirumuskan
UMR , sehingga SPI dapat menjalankan fungsi sebagai
auditor internal (lapis 3).61
TIGA LINI PERTAHANAN (3)
• Jika UMR belum terbentuk, maka yang berfungsi
sebagai auditor internal (lapis 3) adalah
Inspektorat Jenderal (APIP).
• Diluar ketiga lapis tersebut adalah pihak
eksternal dan seyogianya perguruan
memperkuat ketahanannya dengan membentuk
tiga lapis pertahanan agar lebih kuat dan tidak
mengalami persoalan ketika diaudit oleh pihak
eksternal. 62
63
Risk Based Audit and Risk Management
PERAN AUDITOR INTERNAL
DALAM MANAJEMEN RISIKO
• Memberi penjaminan terhadap proses
manajemen risiko;
• Memastikan bahwa risiko telah dievaluasi secara
benar;
• Mengevaluasi proses manajemen risiko;
• Mengevaluasi kegiatan yang berindikasi
mengandung risiko;
• Mereviu kegiatan yang berisiko (key risks).
PERAN AUDITOR INTERNAL
yang boleh dilakukan
dalam Manajemen Risiko:
• Memfasilitasi identifikasi dan evaluasi risiko;
• Membimbing manajemen dalam merespons risiko;
• Mengkoordinasikan peleksanaan manajemen risiko;
• Mengkonsolidasikan pelaporan risiko;
• Menjaga dan mengembangkan kerangka manajemen
risiko;
• Membina pembentukan manajemen risiko;
• Mengembangan strategi manajemen risiko yang
ditetapkan oleh pimpinan satker.
PERAN AUDITOR INTERNAL
yang tidak boleh dilakukan
dalam Manajemen Risiko:
• Menetapkan tingkat selera risiko/yang dapat ditolerasi
(risk appetite);
• Melaksanakan proses manajemen risiko;
• Penjaminan manajemen risiko;
• Mengambil keputusan atas tindakan atau respons
terhadap risiko;
• Melakukan tindakan terhadap risiko atau merespons
risiko atas nama manajemen;
• Akuntabilitas atau pertanggung jawaban manajemen
risiko.
Peran Manajemen Risiko
dan Auditor Internal
• Manajemen Risiko merupakan tugas pimpinan organisasi;
• Pimpinan membentuk Unit Manajemen Risiko atau menugasi Bagian Perencanaan/Keuangan dalam lingkungan kerjanya untuk memetakan risiko;
• Unit Manajemen Risiko melakukan identifikasi risiko, penaksiran risiko, penetapan risiko yang dapat diterima, penyusunan prioritas risiko, dan penanganan risiko;
• SPI dapat membantu penyusunan peta risiko (dalam batas-batas tertentu);
• Auditor melakukan Audit Berbasis Risiko berdasarkan kriteria yang telah ditetapkan oleh Unit Manajemen Risiko;
