Peningkatan Kapasitas APIP Kemenristek & Dikti dalam MelakukanAudit Berbasis Risiko

AUDIT BERBASIS RISIKO

Disampaikan oleh ; Emharri Manda Nasution, SE, MM

Bogor, 29 April 2016

1

Agenda Pembe-lajaran

LANGKAH-LANGKAH PROSES ABR

1

2 KERANGKA KONSEPTUAL AUDIT BERBASIS RISIKO

3

PENUTUP

PENUTUP

PENDAHULUAN

4

1

2

PENDAHULUAN Sesi I;

3

Diskusi Pendahuluan

ABR atau AIBR telah menjadi trend dalam

perkembangan audit, sementara hampir semua

kegiatan yg dilaksanakan dalam rangka pengawasan,

selalu ujung2nya membuat THA. Bagaimana pendapat anda ???

4

JENIS-JENIS AUDIT

JENIS AUDIT

MENURUT

UU no 15 Thn 2004

PP 60 Thn 2008

Pemeriksaan Kinerja

Audit Dengan Tujuan Tertentu

Audit Kinerja Audit

Investigatif

Audit atas Penyelenggaraan SPIP

Pemeriksaan Keuangan

Pemeriksaan Dengan Tujuan

Tertentu

Pemeriksaan atas Hal-hal Lain di

Bidang Keuangan

Peemeriksaan Investigatif

Pemeriksaan atas SPIP

Audit atas Hal-hal Lain di Bidang Keuangan

5

Apa pendapat pakar ..? David M. Griffiths, PhD, FCA. (Risk Based Internal Auditing An Introduction – 2006)

6

Pengertian Audit dan Audit Intern (SAIPI)

• adalah proses identifikasi masalah, analisis, dan evaluasi yang dilakukan secara independen, objektif, dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah.

Audit

• adalah kegiatan yang independen dan obyektif dalam bentuk pemberian keyakinan [assurance activities] dan konsultansi [consulting activities], yang dirancang untuk memberi nilai tambah dan meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini membantu organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol [pengendalian], dan tata kelola [sektor publik].

Audit intern

7

Pengertian Audit

Audit adalah proses kegiatan yang bertujuan untuk meyakinkan tingkat kesesuaian antara suatu kondisi yang menyangkut kegiatan dari suatu entitas dgn kriterianya, dilakukan oleh auditor yg kompeten dan independen dgn mendapatkan dan mengevaluasi bukti-bukti pendukungnya secara sistematis, analitis, kritis, dan selektif, guna memberikan pendapat atau simpulan dan rekomendasi kepada pihak yang berkepentingan.

8

KERANGKA KONSEPTUAL AUDIT BERBASIS RISIKO

Sesi II;

9

DEFINISI ABR (menurut IIA)

Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite).

10

Assurance yang disediakan ABR (sumber : IIA-UK and Ireland)

11

Risk Appetite (menurut, David M. Griffiths, PhD, FCA.)

Selera Risiko = Tingkat risiko yang dapat diterima oleh dewan atau manajemen. Ini mungkin diatur dalam kaitannya dengan organisasi secara keseluruhan, untuk berbagai kelompok risiko

atau tingkat risiko individu.

Risiko yang berada di atas risk appetite dianggap ancaman bagi suatu organisasi dalam mencapai

tujuannya.

12

Sifat Kerja Kegiatan Audit Intern

(Risk, Control, Governance)

Pengen-dalian Intern

Mana-jemen Risiko

Tata Kelola Sektor Publik

13

SA-IPI 3100 - Sifat Kerja Kegiatan Audit Intern Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko, dan pengendalian intern dengan menggunakan pendekatan sistematis dan disiplin.

Peran APIP dalam Penerapan ABR Business Process

Goal

Risk

Risk Management

Risk Profile

Action Plan

Risk – Based Audit

Audit Planning

Test of Control

Report on Internal Audit

Daftar Risiko

Penanganan Risiko = RTP

Pemahaman PI

Pemahaman MR

Pemahaman Tata Kelola

14

Audit Tradisional

15

Audit Internal Berbasis Risiko

16

Hubungan Perencanaan audit tahunan dan audit Individu

17

LANGKAH-LANGKAH PROSES ABR

Sesi III;

18

Tahapan Risk Based Audit

Sumber : David Grifith Risk Based Internal Audit

Management’s Risk Register (If Available)

Management’s Risk Register (amanded)

Audit Plan

Audit Report

Feedback Result into RAU

Asign Risk to Audit

Individual Audit

Assess Risk Maturity

Risk Defined

Audit Committee Report

Risk and Audit Universe (RAU)

Audit Universe

Risk Naive

Risk Aware

Fasilitate Risk Identification

Risk Enable

Risk Managed

Use Oganization’s Risk

Stage 1

Stage 2

Stage 3

19

Flash Back

Penilaian Tingkat Maturitas Risiko

Penyusunan Perencanaan Audit Tahunan (Macro Risk Assessment)

Penugasan Audit Individual (Micro Risk Assessment)

• gambaran sejauh mana unit kerja menentukan, menilai, mengelola dan memantau risiko

• indikasi keandalan daftar risiko

• mengidentifikasi

penugasan audit • menghasilkan

annual audit plan

• melaksanakan audit berbasis risiko individu

• memberikan jaminan

20

Individual Audit • Tahap pelaksanaan AIBR merupakan

tahap lanjutan dari tahap perencanaan. • Tahap ini merupakan tahap pekerjaan

lapangan (field work) berupa audit individual atas Unit Layak Audit (ULA).

• Performance Standard nomor 2300 Performing the Engagement: “Internal Auditors should identify, analyze, evaluate and record sufficient information to achieve the engagement objectives”

21

PERENCANAAN • Penetapan tujuan dan lingkup

penugasan • Pemahaman auditi • Identifikasi dan penilaian riitsiko • Identifikasi pengendalian kunci • Evaluasi pengendalian • Penyusunan rencana pengujian • Penyusunan program audit • Pengalokasian sumber daya

PELAKSANAAN • Pengujian dan pengumpulan

bukti • Evaluasi bukti dan pengambilan

kesimpulan • Pengembangan temuan dan

rekomendasi

PELAPORAN • Penyampaian simpulan

sementara • Penyusunan laporan • Distributi laporan • Monitoring tindak lanjut

Tahapan Individual Audit

22

PERENCANAAN • Determine engagement

objectives and scope • Understand the auditee,

including auditee objectives and assertions.

• Identfy and assess risks. • Identify key control activities. • Evaluate adequacy of control

design. • Create a test plan. • Develope a work program. • Allocate resources to the

engagement.

PELAKSANAAN • Conduct tests to gather

evidence. • Evaluate evidence

gathered and reach conclusions.

• Develope observations and formulate recomendations.

PELAPORAN • Perform observations,

evaluation and escalation process.

• Conduct interim and preliminary engagement communications.

• Develope final engagement communications.

• Distribute formal and informal final communications.

• Perform monitoring and follow-up procedures.

Tahapan Individual Audit

23

Tahapan Individual Audit

Actual RM Expected RM

24

Tahap 1. Perencanaan penugasan

berdasarkan perencanaan audit tahunan yang telah dihasilkan dan hasil penilaian risk maturity tingkat organisasi tentukan lingkup penugasan audit individu

alokasi sumber daya audit yaitu biaya, waktu, SDM dan tingkat kompetensi auditor yang dibutuhkan serta jadwal audit

25

TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL

AUDIT INTERNAL

Risk Maturity

0 1 2 3 4 5

Non Existent

Naive Aware Defined Managed Enable

Consulting Assurance

26

Level Control Monitoring Audit Approach

En-abled

Mana-ged

De-fined

Aware

Naive

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Sebagian besar risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko

Terdapat pengendalian tetapi tidak terkait dengan risiko

Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Manajemen memonitor bahwa semua respon dilakukan secara tepat. Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko

Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat

Sedikit atau kurang adanya monitoring

Sangat kecil monitoring, jika adapun sangat lemah

Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko

Assurance

Consultancy

Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit

Pendekatan Rencana Audit

PKPT

Maturity 4 s.d 5

Risk Register

Maturity 1 s.d ≤ 3

Faktor Risiko

Risk Register Yang Disusun I/A dgn UPR

Matriks Risiko Dan Pengendalian

Risiko Pengendalian Kunci Prosedur Pengujian

Risiko A • Pengendalian A

• Pengendalian B

• Pengendalian C

• Prosedur A

• Prosedur B

• Prosedur C

Risiko B • Pengendalian D

• Pengendalian E

• Pengendalian F

• Prosedur D

• Prosedur E

• Prosedur F

Risiko A • Pengendalian G

• Pengendalian H

• Pengendalian I

• Prosedur G

• Prosedur H

• Prosedur I 29

Penyusunan PKA

Perumusan AO – sisa risiko yg berpotensi terjadi vs kegagalan pengendalian kunci

Mengidentifikasi bukti –bukti yang dibutuhkan (rekocuma) utk mendukung masalah yg akan diungkapkan

Memilih teknik audit yang tepat

Menyusun kalimat yang akan dituangkan dalam PKA

30

Bukti audit yg diperoleh

pengujian

permintaan

31

Tahap 2. Penilaian tingkat kematangan risiko tiap auditable unit No Uraian Skor (0 - 2)

1 Tujuan organisasi terdokumentasi dan dipahami dengan baik

2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut

3 Proses identifikasi risiko telah ditetapkan dan dipatuhi

4 Sistem skoring untuk penilaian risiko telah ditetapkan

5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan

6 Respon atas risiko telah ditetapkan dan diimplementasikan

7 Risk appetite telah ditetapkan dengan sistem skoring

8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register

9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action plan risiko.

10 Risk register diupdate secara periodik

11 Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum ditekan pada tingkat yang dapat diterima

12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya

13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya termasuk dalam uraian tugas dan tanggung jawab pegawai.

14 Manajer memberikan jaminan efektifitas pengelolaan risiko

15 Setiap manager dinilai kinerjanya dalam mengelola risiko

Jumlah 32

Tahap 3. Simpulan hasil penilaian level tingkat auditable unit dan Update lingkup penugasan

• berdampak terhadap lingkup dan waktu penugasan audit individu

• Penilaian atas level risiko ≥ level risiko yang diharapkan maka penugasan dilanjutkan sesuai rencana audit

• Penilaian atas level risiko ≤ level risiko yang diharapkan , maka update ruang lingkup dan waktu penugasan/ menghentikan penugasan CONSULTING

33

Tahap 4. Diskusi dan observasi pengendalian

• mendapatkan gambaran sistem pengendalian internal organisasi dari sudut pandang manajemen dan melihat penerapannya di lapangan

• memberikan simpulan bahwa rancangan pengendalian telah memadai yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh organisasi

• Penekanan pengujian tergantung pada tingkat maturity level risiko auditable unit

• Contoh:

Tujuan tiap auditable

unit Risiko Control

Simpulan

auditor Perencanaan P BJ

Jumlah pengadaan

BJ sesuai

kebutuhan

Pemborosan uang karena jumlah pengadaan melebihi kebutuhan

Rencana pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan oleh user

Memadai

Ketepatan waktu B/J terlambat diadakan oleh rekanan dari deadline kontrak

Pemantauan oleh supervisi internal secara periodik

Memadai 34

Tahap 5. Verifikasi dan pengujian bukti • memberikan kesimpulan yang menyatakan pengendalian mana yang

sudah berfungsi, mana yang kemungkinan akan berfungsi di masa datang, dan mana yang tidak berfungsi

• menitikberatkan terhadap pengendalian-pengendalian yang mempunyai pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang memiliki “control score” yang tinggi

• tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan ketepatan operasi pengendalian, bukan untuk menemukan kesalahan

• Contoh:

Risiko Control Pengujian auditor Simpulan auditor Pemborosan uang karena jumlah pengadaan melebihi kebutuhan

Rencana pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan oleh user

Telusuri daftar kebutuhan barang dan konfirmasi kepada user

Memadai

B/J terlambat diadakan oleh rekanan dari deadline kontrak

Pemantauan oleh supervisi internal secara periodik

Cek laporan bulanan supervisi internal dan konfirmasi pada rekanan

Memadai

35

Dokumentasi hasil audit

• pengendalian yang diuji

• metode pengujian • ukuran sampel yang

diambil • hasil pengujian • simpulan pengujian

Penilaian atas Residual Risk

• Sisa risiko setelah manajemen mengambil tindakan-tindakan untuk mengurangi likelihood dan dampak yang ditimbulkan dari sebuah kejadian

• untuk memutakhiran daftar risiko

36

respon risiko proses MR

rancangan pengendalian

penerapan pengendalian

SIMPULAN

37

Observation Evaluation and Escalation Process

Observation (s) ?

If there are no observations made in the course of the evaluation process, by definition impact

is insignificant and likelihood is remote

If there are one or more observations made in the course of the evaluation process, by definition impact

and likelihood must be determined

No Yes

Formal communication to senior management is

necessary to indicate that no observations were

identified.

Operations Financial Reporting Complience

Determine COSO Category Affected by Each Observation

Is the control designed inadequately ?

Is the control operating ineffectively ?

Classify Each Observation

More than Insignificant magnitude AND more than remote likelihood

Insignificant magnitude OR

remote likelihood

Determine Impact and Likelihood of Each Observation

Insignificant Material Significant

Assessment

Observation; a finding, determination, or judgement

derived from the internal auditor’s test results from an

assurance or consulting engagement

38

Observation Evaluation and Escalation Process

More than Insignificant magnitude AND more than remote likelihood

Insignificant magnitude OR

remote likelihood

Insignificant Material Significant

Assessment

No key control activities involved

No key control involved but adequate compensating

controls exist

If observations, either singularly or in the aggregate, are assessed insignificant with no key control activities compromised, communication of any obeservations relating to secondray control activities will be informal and does not need to include senior management. However, a formal communication to senior management is still necessary to indicate that no observation relating the primary control activities were identified.

If observations, either singularly or in the aggregate, are assessed insignificant with key control activities compromised but adequate compensating controls exist, communication will be formal and must be made to senior management. However, a formal communication to senior management and the organization’s independent outside auditor.

If observations, either singularly or in the aggregate, are assessed significant, communication will be formal and need to include senior management, the organization’s independent outside auditor, and the audit committee.

If observations, either singularly or in the aggregate, are assessed material, communication will be formal and need to include management, the audit committee, organization’s independent outside auditor, and if the observations relate to internal control over financial reporting the communication must be provided to other interested parties, as defined by reporting laws in the countries in which the organization operates.

After all observations have been clssified, the internal audit function must use judgement to determine if the observations identified, either singularly or in the aggregate, are insignificant, significant, or material.

39

Observation Summary

• Condition (facts) = factual evidence and description of control as they exist (what is). What was found through testing.

• Criteria = standard, measures, expectations, policy, or procedures used in making the evauatio (what should exist).

• Cause = what allowed or caused the condition to exist (the why)

• Effect = risk or exposure encountered the condition is not consistent with the criteria (what could go wrong, both oast and possible future impact). Considers both the impact (financial, reputational, safety, etc) and the likelihood.

• Recommendation = What the internal audit function recommends. This recommendation must reconcile with management’s solution as discussed during the preliminary communication process.

Catatan; obsevation = finding = temuan

40

UNSUR-UNSUR temUaN haSil aUdit

• KONDISI Fakta

• KRITERIA Hal yg harus dipedomani

• SEBAB Pelaku yg mendorong Kondisi ≠ kriteria

• AKIBAT / DAMPAK Pengaruh thd tujuan, organisasi, atau sth.

• REKOMENDASI Menghilangkan penyebab dan meminimalkan akibat

41

TIPS... • THA ; Kondisi ≠ Kriteria • Kondisi – Kriteria = Akibat akibat = temuan • Kondisi – Kriteria = Penyebab • Akibat = Penyebab • Rekomendasi – Penyebab = 0 (menghilangkan

penyebab) • Rekomendasi > Akibat • Rekomendasi – Akibat > 0 (meminimalkan

akibat) menghilangkan output dan meminimalkan outcome

42

PENUTUP Sesi IV;

43

Pendekatan audit berbasis risiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern (APIP) yang sudah berjalan selama ini.

Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaan penugasan auditnya melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan.

44

With You, We Build Public Trust

sekian erima Kasih ...

45