1 / 50

INSPEKTORAT JENDERAL KEMENRISTEKDIKTI

INSPEKTORAT JENDERAL KEMENRISTEKDIKTI. PROSES RISIKO DALAM PERENCANAAN, PELAKSANAAN, DAN PELAPORAN AUDIT BERBASIS RISIKO. FERDY FRISTYANSJAH, ST., M.Si , CRMO KEPALA BAGIAN PERENCANAAN DAN PELAPORAN. WORKSHOP PKSDM AUDIT BERBASIS RISIKO JAKARTA, 6 s.d. 8 AGUSTUS 2019. SIKLUS AUDIT.

ckaiser
Télécharger la présentation

INSPEKTORAT JENDERAL KEMENRISTEKDIKTI

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. INSPEKTORAT JENDERAL KEMENRISTEKDIKTI PROSES RISIKO DALAM PERENCANAAN, PELAKSANAAN, DAN PELAPORAN AUDIT BERBASIS RISIKO FERDY FRISTYANSJAH, ST., M.Si, CRMO KEPALA BAGIAN PERENCANAAN DAN PELAPORAN WORKSHOP PKSDM AUDIT BERBASIS RISIKO JAKARTA, 6 s.d. 8 AGUSTUS 2019

  2. SIKLUS AUDIT PERENCANAAN AUDIT TAHUNAN PEMANTAUAN TINDAK LANJUT PERENCANAAN PENUGASAN KOMUNIKASI HASIL PENUGASAN (PELAPORAN) PELAKSANAAN PENUGASAN

  3. AUDIT TRADISIONAL VS AUDIT BERBASIS RISIKO

  4. TAHAPAN AUDIT BERBASIS RISIKO • Melaksanakan audit berbasisrisikoindividu • Hasil audit menjadifeedback untuk RAU • Mengidentifikasipenugasan audit • Menghasilkanannual audit plan • Gambaransejauhmana unit kerjamenentukan, menilai, mengelola, danmemantaurisiko. • Indikasikeandalanrisiko PELAPORAN HASIL AUDIT

  5. FORMULIR PENILAIAN TINGKAT MATURITAS RISIKO

  6. SKOR 0 = tidakada 1 = adahanyasebagianataubelumdiimplementasikan 2 = adadantelahdiimplementasikan SIMPULAN ATAS TOTAL SKOR

  7. PERAN AUDITOR BERDASARKAN TINGKAT MATURITAS RISIKO

  8. RISIKO Memudahkan auditor untukmengarahkanaspek-aspekkegiatannya/fokuspadasistemmanajemenklien yang paling membutuhkanperhatian. Peristiwa yang tidakpastiketerjadiannya yang berdampakpadatujuan yang hendakdicapai. Memudahkan auditor memberikanjaminankepadamanajemendalammencapaitujuanorganisasinya. PERENCANAAN AUDIT TAHUNAN BERBASIS RISIKO Aktivitas audit dapatlebihmemberikannilaitambahbagipeningkatankinerjaorganisasi. Standar Audit Intern mengharuskan auditor untukmemahamirisiko-risikokliensebagaidasarperencanaandanopinipenugasannya. Menghasilkandaftar auditable units terpilihyang disusunberdasarkanurutansignifikansiatauprioritasnya, yang memerlukanjaminandanpenyempurnaansistemmanajemennya. Unsurpentingdalampenilaiankapabilitas APIP (IACM).

  9. PENDEKATAN PERENCANAAN AUDIT Risk Maturity 4 s.d. 5 Risk Register PKPT BERBASIS RISIKO FaktorRisiko Risk Maturity 1 s.d. 3 Risk Register yang disusunoleh IA danManajemen (Composite Score)

  10. PERENCANAAN AUDIT PERIODIK/TAHUNAN (MACRO RISK ASSESMENT)

  11. DENGAN REGISTER RISIKO (AIBR MURNI) Risk Register (audited) Risk on which assurance is provided by others Risk within the risk appetite Filter risks Risk not requiring an audit in this periode Disusunoleh unit manajemenrisiko Risk on which assurance is required Risk which will be tolerate Categorise risk Audit Universe Link risks to audits Select risks to be covered Risk and Audit Universe Allcate resources to audits Audit Committee Report Audit plan

  12. DENGAN FAKTOR RISIKO MENJABARKAN DAN MENSKOR FAKTOR RISIKO MENGIDENTIFIKASI RISIKO • bersifatsubyektif (dana yang diaudit, periode audit terdahulu) MEMILIH AUDITABLE UNIT MENENTUKAN AUDIT UNIVERSE • - auditor memanfaatkaninformasidalamprofilrisikoorganisasi; • - hasilidentifikasimenghasilkan daftar potensial audit universe • - melakukanassessment terhadapauditable unit mengacupadakriteria yang telahditetapkansebelumnya; • - darihasilassessment, auditable unitdiperingkatberdasarkanurutanrisiko paling tinggisampairendah. • - mendukungvisi, misi, dantujuanorganisasi; • - memilikipengaruh yang signifikandan material; • - audit danpengendalianlayakdikembangkan; • - dana yang dikelolacukupbesar. Step 2 Step 3 Step 4 Step 1

  13. IDENTIFIKASI RISIKO AUDIT UNIVERSE Auditable Unit danFaktorRisiko Setelah diperolehurutanauditable unit (rangking), selanjutnyadilakukanpenyusunanrencanadanjadwal audit tahunan(annual audit plan) sesuaidengansumberdaya yang tersedia.

  14. PENJABARAN DAN PENSKORAN FAKTOR RISIKO

  15. CONTOH PEMILIHAN AUDITABLE UNIT HASIL ASSESMENT

  16. DENGAN COMPOSITE SCORE Register RisikoTerfilter Link Audit Universe Disusunoleh auditor internal dan unit pemilikrisiko/unit manajemenrisikosertatelahdilakukanpenyaringanrisiko Auditable Unit A Composite Risk Score = 15 Auditable Unit C Composite Risk Score = 16 Auditable Unit B Composite Risk Score = 20 Prioritas Audit Audit Plan Auditable Unit B Composite Risk Score = 20 Auditable Unit C Composite Risk Score = 16 Auditable Unit A Composite Risk Score = 15 Diaudit 3 tahunsekali Diaudit 2 tahunsekali Diauditsetahunsekali

  17. TAHAPAN PERENCANAAN AUDIT TAHUNAN BERBASIS RISIKO (Composite Score) MEMAHAMI KLIEN DAN PROSES BISNISNYA MENYUSUN DAN MEMUTAKHIRKAN AUDIT UNIVERSE SERTA MENETAPKAN AREA AUDIT MENETAPKAN RANGKING RISIKO 1 8 2 PENILAIAN FAKTOR RISIKO KEGIATAN KLIEN IDENTIFIKASI DAN PENGUKURAN RISIKO 3 7 4 6 INVENTARISASI DAN PENETAPAN NILAI FAKTOR RISIKO ANALISIS RISIKO 5 MENILAI RISIKO

  18. 1 MEMAHAMI KLIEN DAN PROSES BISNISNYA Pemahaman auditor yang menyeluruhatas proses bisnisklienakanmembantumengenalisecaratepatbesarandansignifikansikerentananorganisasiuntukdimasukkanmenjadibagiandarirencana audit tahunan, meliputi: CIRI ORGANISASI (Struktur Organisasi dan Mekanisme Kerja) ELEMEN SISTEM MANAJEMEN (JabaranStrukturOrganisasi, UraianTugasSetiapJabatan, Dan ProsedurOperasiStandar (SOP)) PENGORGANISASIAN INFORMASI (kepemilikan sumber daya, tujuan dan sasaran yang hendak dicapai, aktivitas utama, risiko melekat, dan pengendalian utama yang digunakan untuk menetapkan selera risiko harus dikumpulkan dan didokumentasikan) SUMBER DATA (dokumenperencanaan (DIPA danRenstra), peraturanperundang-undangan yang mengaturpembentukaninstitusiklien (Statutadan SOTK), danmekanismepelaporanakuntabilitas (pencapaiandanindikatorkinerja))

  19. MENYUSUN DAN MEMUTAKHIRKAN AUDIT UNIVERSE SERTA MENETAPKAN AREA AUDIT 2 Penyusunanaudit universe memudahkan auditor untukmengorganisasikankegiatanperencanaan audit tahunandenganmengurangikemungkinanterlewatnyaaspekpenting yang berpotensimenghasilkanrangkaianpenugasan yang tidakefektif MUATAN AUDIT UNIVERSE Audit universe merupakan daftar yang secarasistematismenggambarkankliendengansegalaaktivitas, risiko, danberbagaiatribut lain yang diperlukan. PEMUTAKHIRAN AUDIT UNIVERSE Pemutakhiranterhadapaudit universe harusdilakukan agar audit universe tetapmencerminkan peta organisasi yang disusununtukmencapaitujuansesuaidenganvisidanmisiorganisasi. PENETAPAN AREA AUDIT Penetapan area audit terkaitlangsungdenganruanglingkuppenugasan. Ruanglingkup yang tepatmengarahkan auditor internal untukfokuspadawilayahtertentudimanainformasiharusdikumpulkan.

  20. PENDEKATAN STRUKTUR ORGANISASI Diterapkanpadainsitusi yang seringmendapatkanpenugasanmandiridansangatsedikitmembutuhkankoordinasidenganinstansi/unit kerja lain. PENDEKATAN PROGRAM PENDEKATAN PENYUSUNAN AUDIT UNIVERSE Diterapkanpadakegiatandengancakupanluas yang membutuhkankoordinasidenganinstansi/unit kerja lain. PENDEKATAN PROSES BISNIS Diterapkanpada unit kerja yang bersifatpelayananmasyarakat.

  21. AUDIT UNIVERSE DENGAN PENDEKATAN PROGRAM

  22. AUDIT UNIVERSE DENGAN PENDEKATAN ORGANISASI

  23. IDENTIFIKASI DAN PENGUKURAN RISIKO 3 Identifikasirisikodimaksudkanuntukmengenalisetiapketidakpastian yang berdampakburukbagipencapaiantujuankegiatan. Risikodiukurdalam 2 (dua) dimensiukuran, yaitukemungkinanketerjadian (likelihood) dandampakpengaruh (impact). KEMUNGKINAN (LIKELIHOOD)

  24. DAMPAK (IMPACT)

  25. ANALISIS RISIKO 4 Analisisrisikodiperlukanuntukmengambiltindakan yang diperlukandalamrangkapengendalian. AnalsisrisikodilakukandenganmenentukanRisk Rating

  26. MENILAI RISIKO 5 Denganmenggunakan model evaluasi yang telahditetapkan, auditor dapatmemetakanrisiko-risikokegiatandalamtabelpenilaianrisiko. TABEL PENILAIAN RISIKO

  27. PEMETAAN RISIKO (RISK MAP) 5 KETERANGAN KEMUNGKINAN • Peristiwarisiko 5 “sangattinggi”, tindakanpengendaliantambahanharussegeradilakukan • Peristiwarisiko 1 dan 4 “tinggi”, tindakanpengendaliantambahandiperlukanuntukmengelolarisiko • Peristiwarisiko 2 dan 3 “sedang”, tindakanpengendaliantambahandiambildenganmempertimbangkansumberdaya 5 4 2 3 4 1 3 2 1 2 3 5 4 1 DAMPAK

  28. INVENTARISASI DAN PENETAPAN NILAI FAKTOR RISIKO 6 Register risikodan peta risikoadalah data yang menggambarkankoordinatskorkemungkinandanskordampakrisikosebuahentitasdenganbagianorganisasinyaatau program dengan sub-programnya. Skorinimungkinbersifatsubyektifkarenadipengaruhiolehselerarisiko intern. Jikamanajemenbelummampumenghasilkan register risiko, sebaiknya auditor membantumanajemenmembangun register risiko. Jikamanajementelahmemiliki register risiko, maka auditor melakukanpenyesuaiandengancara: Padamaturitasmanajemenrisiko yang tinggi, digunakansedikitfaktorrisikosebagaifaktorpenyesuaianrisiko. Padamaturitasmanajemenrisiko yang rendah, digunakanlebihbanyakfaktorrisikosebagaifaktorpenyesuaianrisiko.

  29. HASIL AUDIT SEBELUMNYA DAN LAPORAN LAINNYA Responmanajemenatasrekomendasisertatindakan yang telahdilakukan; Besarandanbanyaknyatemuansertarekomendasi audit; Lamanyawaktudari audit yang terakhir; Terdapatnyatemuanberulangatautindaklanjut yang tidaktuntas. INVENTARISASI FAKTOR RISIKO KONSULTASI DENGAN MANAJEMEN SENIOR (PIMPINAN ORGANISASI) Risiko yang dianggapsebagairisikoutama; Kelemahan-kelemahandanmasalah-masalah lain yang dapatmenghambatkinerjaklien; Area-area operasi yang membutuhkanperbaikandanpenyempurnaan.

  30. PENETAPAN NILAI FAKTOR RISIKO Faktorrisikoharusdiberikannilaiuntukmembedakantinggirendahnyarisiko. Salah satumetodesederhanadalampengukurannilairisikoadalahdenganpenggunaanskala interval 5 dimanaskor 5 merupakanbatastertinggidanskor 1 adalahskorterendah. Angkapenyesuaian yang kecilmenunjukkanrisiko yang kecil, sementaraangkapenyesuaian yang besarmenunjukkanrisiko yang besar. Agar penerapannyakonsisten, makaangkapenyesuaiandibuatkedalamtabeldanmenginventarisasiatribut yang dapatdigunakansebagaifaktorrisiko.

  31. TABEL PENGUKURAN FAKTOR RISIKO

  32. 7 PENILAIAN FAKTOR RISIKO KEGIATAN KLIEN Penilaianfaktorrisikokegiatankliendilakukanberdasarkantingkatmaturitasmanajemenrisikoklien. Padaklien yang maturitasnyarendah, digunakanfaktorrisiko yang lebihbanyak. Namundemikianfaktorrisiko yang digunakanjanganterlalubanyak, dianjurkansebanyak 5 sampaidengan 7 faktorrisiko. Penyesuaiannilairisikomenurutrisk map yang disesuaikandengan 5 faktorrisiko :

  33. 8 MENETAPKAN RANKING RISIKO Rangkingrisikodiurutkanberdasarkannilaiakhirrisikosetelahskorfaktorrisikoditambahkan.

  34. PROGRAM KERJA AUDIT TAHUNAN TAHUN 20 …

  35. PERENCANAAN PENUGASAN AUDIT INDIVIDUAL RENCANA AUDIT PENYUSUNAN LINGKUP PENUGASAN ALOKASI SUMBER DAYA 01 02 03 Rencana audit individual dibuatberdasarkanhasilpenilaian risk maturity tingkatorganisasipadarencana audit periodik/ tahunan Meliputibatasan audit danperiode yang diaudit Mencakupbiaya, waktu, SDM dantingkatkompetensi auditor yang dibutuhkan, sertajadwal audit

  36. Mengidentifikasibukti-bukti yang dibutuhkan (rekocuma) untukmendukungmasalah yang akandiungkapkan PENYUSUNAN PKA BERBASIS RISIKO Menyusunkalimat yang akandituangkandalam PKA 1 3 2 4 Memilihteknik audit yang tepat Perumusanaudit objective-sisarisiko yang berpotensiterjadi yang menyebabkankegagalanpengendalian

  37. TEKNIK DAN BUKTI AUDIT Pengujian Permintaan Bukti audit yang diperoleh

  38. DISKUSI DAN OBSERVASI • Mendapatkan gambaran sistem pengendalian internal organisasidari sudut pandang manajemen dan melihat penerapannya dilapangan • Memberikan simpulan bahwa rancangan pengendalian telahmemadai yaitu mampu mengurangi risiko pada tingkat yang dapat diterima olehorganisasi • Penekananpengujiantergantungpadatingkat maturity level risiko auditable unit

  39. VERIFIKASI DAN PENGUJIAN BUKTI • Memberikansimpulan yang menyatakanpengendalian mana yang sudahberfungsi, mana yang kemungkinanakanberfungsi di masa datang, dan mana yang tidakberfungsi • Menitikberatkanterhadap pengendalian-pengendalian yang mempunyaipengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang memiliki “control score” yangtinggi • Tujuanpengujianlebihdirancanguntukmembuktikankeberadaandanketepatanoperasipengendaliandanbukanuntukmenemukankesalahan

  40. DOKUMENTASI HASIL AUDIT 01 PENGENDALIAN YANG DIUJI 02 METODE PENGENDALIAN 03 UKURAN SAMPEL YANG DIAMBIL 04 HASIL PENGUJIAN

  41. PELAPORAN HASIL AUDIT BERBASIS RISIKO Pelaporanmemberikangambaraninformasisecaramenyeluruhmengenairisiko yang dihadapidanmelekatpadaaktivitasorganisasi. Pelaporan yang disusunberisi minimal: Peta Risiko; Risiko-risikotinggi/signifikan/prioritasutama; Proses observasidanhasilpengujian; Perubahantingkatrisiko; Risiko-risikobaru yang timbul; Penyimpanganterhadaprisk tolerance (risiko yang dapatditerima); Kelemahansistempengendalian internal; Temuankelemahan pada tiap proses manajemenrisiko. PelaporandidokumentasikandandidistribusikankepadaManajemenuntuk: Sumberinformasi di masa depandengankejadian yang sama; Saran perbaikankepadaManajemendalammengelolarisiko; Menghindaripengulangantemuanpada audit di masa mendatang.

  42. STANDAR PELAPORAN Auditor harusmembuatlaporanhasil audit sesuaidenganpenugasannya yang disusundalam format yang sesuaisegerasetelahselesaimelakukanauditnya. 1 Laporan audit harusdibuatsecaratertulisdansegera, yaitupadakesempatanpertamasetelahberakhirnyapelaksanaan audit. 2 Laporan audit harusdibuatdalambentukdanisi yang dapatdimengertiolehauditidanpihak lain yang terkait. 3 Laporan audit harustepatwaktu, lengkap, akurat, obyektif, meyakinkan, sertajelasdanseringkasmungkin. 4 Laporanhasil audit diserahkankepadapimpinanorganisasi, auditi, danpihak lain yang diberiwewenanguntukmenerimalaporanhasil audit sesuaidenganketentuanperaturanperundang-undangan. 5

  43. MANAJEMEN RISIKO PELAPORAN HASIL AUDIT RISIKO PELAPORAN MITIGASI RISIKO • Laporantidaksesuaistandar • Standar Audit • Laporanhasil audit kadaluarsa SOP Pelaporan Hasil Audit QA hasil audit • Rekomendasidalamlaporanhasil audit sulitditindaklanjuti Audit tidakmemberikannilaitambahbagimanajemen • Kebijakan/PeraturantentangTindakLanjut Hasil Audit • LHA dimanfaatkanpihak lain yang tidakbertanggungjawab • Internal Audit Charter

  44. RISIKO AUDIT INTERNAL 01 – KEGAGALAN AUDIT (AUDIT FAILURE) Kelemahanpengendalianorganisasidapatmengakibatkankerugiandanaktivitas audit internal dapat “berkontribusi” padaterjadinyakerugiantersebut. 03 – KEYAKINAN YANG KELIRU (FALSE ASSURANCE) Adalahsuatukeyakinan yang lebihdidasarkanpadapersepsiatauasumsiketimbangfakta. False assurance seringterjadipadapenugasan auditor internal diluarpenugasan formal audit internal 05 – RISIKO REPUTASI Reputasi yang kredibelsuatuaktivitas audit internal merupakanbagianpentingdariefektivitasnya. Mempertahankanbrand yang kuatsangatpentinguntukkeberhasilanaktivitas audit internal dankemampuanuntukmemberikankontribusi optimal kepadaorganisasi

  45. FAKTOR PENYEBAB KEGAGALAN AUDIT Audit tidakdilakukansesuaistandar 1 LHA kurangberkualitas QA tidakefektifmemonitorindependensidanobjektivitas auditor 2 12 Simpulanhasil audit tidaksepenuhnyamenggambarkankondisi yang sebenarnya 3 11 Proses penilaianrisikokurangefektif Kegagalanuntukmengkomunikasikankecurigaankepada orang yang tepat PKA tidakefektifuntukmengujirisiko yang riilbesertapengendalian yang tepat 4 10 5 9 Kegagalandalammelaksanakantahappengujian SPI Supervisikurangmemadai Salah mengambilkeputusanpadasaatterindikasiadanyakecurangan 6 8 Auditor tidakkompetendalammenangani area-area yang berisikotinggi 7 Kegagalanmenerapkanskeptisismeprofesionalyaitupikiran yang selalubertanya-tanyadanwaspadaterhadapkondisi yang mengindikasikanadanyapenyimpangan/salah saji material pasrahdengan PKA yang ada

  46. MITIGASI RISIKO AUDIT INTERNAL False assurance RISIKO REPUTASI • Menerapkan program QA yang kuatterhadapsemua proses dalamaktivitas audit internal, termasuk SDM danperekrutan. • Secaraberkalamelakukanpenilaianrisikountukaktivitas audit internal sendiri, untukmengidentifikasipotensirisikoterhadapbrand-nya. • Konsistenmenegakkankodeetik/aturanperilakudanstandar audit. • Memastikanbahwaaktivitas audit internal telahmematuhiseluruhkebijakandanperaturan yang berlakudalamorganisasi. KEGAGALAN AUDIT Menyusundanmenerapkansecarakonsisten program QA Mereviu peta audit (audit universe) Mereviurencana audit secaraperiodik Merencanakan audit secaraefektif Membuatchekpointuntukmenanganirevisi PKA Mendesain audit yang efektif, khususnyaterkaitdenganrisikoataspengujian SPI Menerapkanreviumanajemensecaralebihdini Penugasan auditor berdasarkankompetensi yang sesuaidenganlingkuprisikomanajemen yang akandinilaipengendaliannya Perandanmandataktivitas audit internal dikomunikasikansecaraproaktifkepadaPimpinan Penilaianrisiko, rencana audit danpenugasan audit internal dikomunikasikansecarajelaskepadamanajemen Memilikimekanismepersetujuanketerlibatan auditor dalamsuatukegiatanmanajemen

  47. INSPEKTORAT JENDERAL Integritas, Profesional, Sejahtera

More Related