1.43k likes | 2.41k Views
OVERVIEW AUDIT BERBASIS RISIKO. Estherlina Pasaribu Rabu , 7 Agustus 2019. AGENDA. KONSEP AUDIT BERBASIS RISIKO. 1. PENILAIAN KEMATANGAN RISIKO. 2. PERENCANAAN AUDIT TAHUNAN. 3. PELAKSANAAN AUDIT INDIVIDU. 4. …. 5. KONSEP AUDIT BERBASIS RISIKO. DEFINISI ABR ( menurut IIA). 1.
E N D
OVERVIEW AUDIT BERBASIS RISIKO EstherlinaPasaribu Rabu, 7 Agustus 2019
AGENDA KONSEP AUDIT BERBASIS RISIKO 1 PENILAIAN KEMATANGAN RISIKO 2 PERENCANAAN AUDIT TAHUNAN 3 PELAKSANAAN AUDIT INDIVIDU 4 … 5
KONSEP AUDIT BERBASIS RISIKO DEFINISI ABR (menurut IIA) 1 Sebuahmetodologi yang menghubungkan audit internal denganseluruhkerangkamanajemenrisiko yang memungkinkan proses audit internal mendapatkankeyakinanmemadaibahwamanajemenrisikoorganisasitelahdikeloladenganmemadaisehubungandenganrisiko yang dapatditerima (risk appetite).
Insight & Future Impact Simpulan Audit Ya Tidak Goals Masa Kini Masa Depan Masa Lalu
Manfaat RBIA Inherent Risk RBIA Provides Assurance that these controls are operating effectively Control Consequence Residual Risk Risk Appetite Likelihood Sumber: Implementing RBIA David Griffith
Individual Audit Enggagement Auditi GOALS/TUJUAN RISIKO MITIGASI RISIKO IDENTIFIKASI PENGUKURAN A T-1 R-1 TINGGI MR-1 MR-2 MR-3 R-2 SEDANG T-2 R-3 RENDAH EVALUASI EFEKTIFITAS MANAJEMEN RISIKO EVALUASI IMPLEMENTASI MITIGASI RISIKO OK TIDAK OK TIDAK OK MITIGASI RISIKO SEBAGIAN BESAR TIDAK EFEKTIF KEBIJAKAN DIREKSI: TERIMA / ABAIKAN RISIKO RENDAH
PENILAIAN KEMATANGAN RISIKO 2 • Tahapkrusialdalammenentukanapakah RBIA siapditerapkandalam audit atasorganisasi. • Mengukurrisk maturity : • Bertemudenganparamanajer senior danparapimpinan, untukmengetahui proses-proses apasaja yang telahdilakukandalamrangkameningkatkanmembangunmanajemenrisikoorganisasiselamaini. • Evaluasipemahamanorganisasimengenairisikodancaramengelolanya. • Kumpulkanberbagaiinformasi yang terkaitdenganrisiko, sepertitujuanorganisasi, proses dalammengukurrisiko, risk appetite yang dianutperusahaan, bagaimanamanajemenmempertimbangkanrisiko, danlainnya. • Buatpenilaianterhadapkeseluruhan proses denganmenggunakan model ceklist
Skor : 0 = tidak ada 1 = ada hanya sebagian atau belum diterapkan 2 = ada dan telah diimplementasikan Simpulan atas Total nilai :
KerangkaPendekatan Audit Internal Management’s Risk Register Risk Naive Assess Risk Maturity Risk Enable Risk Aware Risk Managed Risk Defined
KEMATANGAN RISIKO • Risk naïveberartiorganisasibelummembangunmanajemenrisikosamasekaliatausudahadamanajemenrisikonamunmasihsangatlemah. Belumnampakadanyakomitmenmanajemenbaikterhadappembangunanmaupunpenerapanmanajemenrisiko. Selainituterdapatindikasipengendalian internal organisasibelummemadai. • Risk awareberartiorganisasirelatifsudahmembangunmanajemenrisikonamunbelumditerapkanataupenerapannyabelummemadai, selainitupengendalian internal organisasibelumberjalandenganbaik.
KEMATANGAN RISIKO • Risk definedberartiorganisasirelatifsudahmembangunmanajemenrisikonamunpenerapannyamasihbanyakkelemahan. Pengendalian internal organisasisudahrelatifberjalanbaik. • Risk managedberartiorganisasisudahmembangunmanajemenrisikodantelahditerapkandenganbaikmeskipunmasihterdapatbeberapakelemahandalampelaksanaannya. Pengendalian internal organisasijugarelatiftelahmemadai.
KEMATANGAN RISIKO Risk enabledberartiorganisasisudahmembangunmanajemenrisikodantelahditerapkandenganbaik. Pengendalian internal organisasijugarelatiftelahmemadai.
BELUM MATANGNYA RISIKO Risk Naive Auditor internal harus mendorong dan berupaya mendapatkan dukungan dari manajemen dalam penerapan manajemen risiko Control- Based Audit Risk Aware Risk Defined
Hubungan Maturity Level Risiko dengan Control Level Control Monitoring Audit Approach Enabled Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Assurance Managed Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko Manajemen memonitor bahwa semua respon dilakukan secara tepat. Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko Defined Sebagian besar risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat Consultancy Aware Terdapat pengendalian tetapi tidak terkait dengan risiko Sedikit atau kurang adanya monitoring Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko Naive Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap Sangat kecil monitoring, jika adapun sangat lemah
PERAN DAN TANGGUNG JAWAB INTERNAL AUDIT PeranInternal Auditorberbedauntuk 2 (dua)keadaan: • Organisasisudahmenerapkanmanagement risk • Organisasibelummenerapkanmanagement risk
PERAN DAN TANGGUNG JAWAB INTERNAL AUDIT Apabila Manajemen telah menerapkan Risk Management, maka:
Internal auditor tidak bolehberperan: • Menetapkanrisk appetite • Ikutprosesmengelolarisiko • Sebagaisatu-satunyarujukanmanajemenuntukassurance risiko • Ikutambilkeputusanmenentukanresponterhadaprisiko • Menerapkanrespon terhadaprisikomewakilimanajemen • Bertanggungjawabmengelolarisiko
Pengaman Internal Auditor untukmenghindarikesalahan • Harusjelas bahwa: management risk merupakan tanggungjawabmanajemen • ScopetanggungjawabInternal AuditordituangkandalamAudit Charter • Unit Internal Audittidakbolehikutmengelolarisiko • Internal Auditortidakmembuatkeputusanpengelolaan, tetapi saran, tantangan, dandorongankeputusanmanajemen
PERAN DAN TANGGUNG JAWAB INTERNAL AUDITOR Apabila Manajemen belum menerapkan Risk Management, maka: • Internal auditor memintaperhatianmanajemenmenetapkanprosesmanagement risk • Jika diminta, Internal auditor proaktifmembantuset upawalmanagement risk
TAHAPAN AUDITberbasis PENGENDALIAN • Tetapkansasaran audit (potential and tentative audit objectives) • PahamiSPI organisasi • Tentukankekuatan dan kelemahan pengendalian • Tetapkan sasaran audit tetap (firm audit objectives) • KumpulkandanValidasi bukti • BuatSimpulan
IMPLIKASInya • Auditor terkesan mencari-cari kesalahan/temuan • Pengendalian adalah kunci satu-satunya • Suatu kelemahan pengendalian belum tentu memiliki risiko yang tinggi • Mengabaikan tujuan utama dari program/bidang/kegiatan
PENYUSUNAN PKPT 3 Start ML : Maturity Level RM : Risk management RR : Risk Register Menilai ML RM ML ≥3 Scoring Risk Factor Auditable Unit Menyusun PKPT Penyusunan Risk Factor Filtering RR Grouping RR Auditable Unit Menyusun PKPT
CONTOH FAKTOR RISIKO NilaiRisiko = Ukuran Risk x Bobot
Contoh Hasil Assessment Rangking Audit Unit disusunberdasarkan audit unit yang mempunyairisiko paling tinggisampairendah.
EvaluasiRisiko: IdentifikasidanPenilaianRisiko IdentifikasiSkenarioRisikopadaLevel Proses MendefinisikanRisikopadaLevel Proses MengevaluasiDampakdanProbabilitasRisiko Memahami Tingkat ToleransiRisiko yang DitetapkanManajemen MengidentifikasiPengendalianKunci
Pelaksanaan Audit • Governance: • - Self Assessment • Implementation GGG • AktivitasKomite Audit Finding • Control System : • KecukupanDesain • Efektiv & EfisOperasi • Ketaatan Audit program Execution • Risk management: • Risk Mgt Process • Risk MgtInfor System
Fokus Audit • Adalahpada yang risikonyasignifikan, yaitupadaklasifikasi “medium to high”, “high” danpadaklasifikasi “medium” denganskordampak 4 dan 5. Serta risiko yang mendapatperhatianpimpinanmeskipunskornya medium dandibawah medium • Penetapanrisiko yang diauditakandievaluasisecaraperiodiksesuaidengaperubahankeadaan/lingkungan