konsep dan pelaksanaan audit berbasis risiko oleh bpkp
TRANSCRIPT
![Page 1: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/1.jpg)
Peningkatan Kapasitas APIP Kemenristek & Dikti dalam MelakukanAudit Berbasis Risiko
AUDIT BERBASIS RISIKO
Disampaikan oleh ; Emharri Manda Nasution, SE, MM
Bogor, 29 April 2016
1
![Page 2: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/2.jpg)
Agenda Pembe-lajaran
LANGKAH-LANGKAH PROSES ABR
1
2 KERANGKA KONSEPTUAL AUDIT BERBASIS RISIKO
3
PENUTUP
PENUTUP
PENDAHULUAN
4
1
2
![Page 3: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/3.jpg)
PENDAHULUAN Sesi I;
3
![Page 4: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/4.jpg)
Diskusi Pendahuluan
ABR atau AIBR telah menjadi trend dalam
perkembangan audit, sementara hampir semua
kegiatan yg dilaksanakan dalam rangka pengawasan,
selalu ujung2nya membuat THA. Bagaimana pendapat anda ???
4
![Page 5: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/5.jpg)
JENIS-JENIS AUDIT
JENIS AUDIT
MENURUT
UU no 15 Thn 2004
PP 60 Thn 2008
Pemeriksaan Kinerja
Audit Dengan Tujuan Tertentu
Audit Kinerja Audit
Investigatif
Audit atas Penyelenggaraan SPIP
Pemeriksaan Keuangan
Pemeriksaan Dengan Tujuan
Tertentu
Pemeriksaan atas Hal-hal Lain di
Bidang Keuangan
Peemeriksaan Investigatif
Pemeriksaan atas SPIP
Audit atas Hal-hal Lain di Bidang Keuangan
5
![Page 6: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/6.jpg)
Apa pendapat pakar ..? David M. Griffiths, PhD, FCA. (Risk Based Internal Auditing An Introduction – 2006)
6
![Page 7: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/7.jpg)
Pengertian Audit dan Audit Intern (SAIPI)
• adalah proses identifikasi masalah, analisis, dan evaluasi yang dilakukan secara independen, objektif, dan profesional berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektivitas, efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah.
Audit
• adalah kegiatan yang independen dan obyektif dalam bentuk pemberian keyakinan [assurance activities] dan konsultansi [consulting activities], yang dirancang untuk memberi nilai tambah dan meningkatkan operasional sebuah organisasi [auditi]. Kegiatan ini membantu organisasi [auditi] mencapai tujuannya dengan cara menggunakan pendekatan yang sistematis dan teratur untuk menilai dan meningkatkan efektivitas dari proses manajemen risiko, kontrol [pengendalian], dan tata kelola [sektor publik].
Audit intern
7
![Page 8: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/8.jpg)
Pengertian Audit
Audit adalah proses kegiatan yang bertujuan untuk meyakinkan tingkat kesesuaian antara suatu kondisi yang menyangkut kegiatan dari suatu entitas dgn kriterianya, dilakukan oleh auditor yg kompeten dan independen dgn mendapatkan dan mengevaluasi bukti-bukti pendukungnya secara sistematis, analitis, kritis, dan selektif, guna memberikan pendapat atau simpulan dan rekomendasi kepada pihak yang berkepentingan.
8
![Page 9: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/9.jpg)
KERANGKA KONSEPTUAL AUDIT BERBASIS RISIKO
Sesi II;
9
![Page 10: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/10.jpg)
DEFINISI ABR (menurut IIA)
Sebuah metodologi yang menghubungkan audit internal dengan seluruh kerangka manajemen risiko yang memungkinkan proses audit internal mendapatkan keyakinan memadai bahwa manajemen risiko organisasi telah dikelola dengan memadai sehubungan dengan risiko yang dapat diterima (risk appetite).
10
![Page 11: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/11.jpg)
Assurance yang disediakan ABR (sumber : IIA-UK and Ireland)
11
![Page 12: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/12.jpg)
Risk Appetite (menurut, David M. Griffiths, PhD, FCA.)
Selera Risiko = Tingkat risiko yang dapat diterima oleh dewan atau manajemen. Ini mungkin diatur dalam kaitannya dengan organisasi secara keseluruhan, untuk berbagai kelompok risiko
atau tingkat risiko individu.
Risiko yang berada di atas risk appetite dianggap ancaman bagi suatu organisasi dalam mencapai
tujuannya.
12
![Page 13: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/13.jpg)
Sifat Kerja Kegiatan Audit Intern
(Risk, Control, Governance)
Pengen-dalian Intern
Mana-jemen Risiko
Tata Kelola Sektor Publik
13
SA-IPI 3100 - Sifat Kerja Kegiatan Audit Intern Kegiatan Audit Intern harus dapat mengevaluasi dan memberikan kontribusi pada perbaikan tata kelola sektor publik, manajemen risiko, dan pengendalian intern dengan menggunakan pendekatan sistematis dan disiplin.
![Page 14: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/14.jpg)
Peran APIP dalam Penerapan ABR Business Process
Goal
Risk
Risk Management
Risk Profile
Action Plan
Risk – Based Audit
Audit Planning
Test of Control
Report on Internal Audit
Daftar Risiko
Penanganan Risiko = RTP
Pemahaman PI
Pemahaman MR
Pemahaman Tata Kelola
14
![Page 15: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/15.jpg)
Audit Tradisional
15
![Page 16: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/16.jpg)
Audit Internal Berbasis Risiko
16
![Page 17: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/17.jpg)
Hubungan Perencanaan audit tahunan dan audit Individu
17
![Page 18: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/18.jpg)
LANGKAH-LANGKAH PROSES ABR
Sesi III;
18
![Page 19: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/19.jpg)
Tahapan Risk Based Audit
Sumber : David Grifith Risk Based Internal Audit
Management’s Risk Register (If Available)
Management’s Risk Register (amanded)
Audit Plan
Audit Report
Feedback Result into RAU
Asign Risk to Audit
Individual Audit
Assess Risk Maturity
Risk Defined
Audit Committee Report
Risk and Audit Universe (RAU)
Audit Universe
Risk Naive
Risk Aware
Fasilitate Risk Identification
Risk Enable
Risk Managed
Use Oganization’s Risk
Stage 1
Stage 2
Stage 3
19
![Page 20: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/20.jpg)
Flash Back
Penilaian Tingkat Maturitas Risiko
Penyusunan Perencanaan Audit Tahunan (Macro Risk Assessment)
Penugasan Audit Individual (Micro Risk Assessment)
• gambaran sejauh mana unit kerja menentukan, menilai, mengelola dan memantau risiko
• indikasi keandalan daftar risiko
• mengidentifikasi
penugasan audit • menghasilkan
annual audit plan
• melaksanakan audit berbasis risiko individu
• memberikan jaminan
20
![Page 21: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/21.jpg)
Individual Audit • Tahap pelaksanaan AIBR merupakan
tahap lanjutan dari tahap perencanaan. • Tahap ini merupakan tahap pekerjaan
lapangan (field work) berupa audit individual atas Unit Layak Audit (ULA).
• Performance Standard nomor 2300 Performing the Engagement: “Internal Auditors should identify, analyze, evaluate and record sufficient information to achieve the engagement objectives”
21
![Page 22: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/22.jpg)
PERENCANAAN • Penetapan tujuan dan lingkup
penugasan • Pemahaman auditi • Identifikasi dan penilaian riitsiko • Identifikasi pengendalian kunci • Evaluasi pengendalian • Penyusunan rencana pengujian • Penyusunan program audit • Pengalokasian sumber daya
PELAKSANAAN • Pengujian dan pengumpulan
bukti • Evaluasi bukti dan pengambilan
kesimpulan • Pengembangan temuan dan
rekomendasi
PELAPORAN • Penyampaian simpulan
sementara • Penyusunan laporan • Distributi laporan • Monitoring tindak lanjut
Tahapan Individual Audit
22
![Page 23: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/23.jpg)
PERENCANAAN • Determine engagement
objectives and scope • Understand the auditee,
including auditee objectives and assertions.
• Identfy and assess risks. • Identify key control activities. • Evaluate adequacy of control
design. • Create a test plan. • Develope a work program. • Allocate resources to the
engagement.
PELAKSANAAN • Conduct tests to gather
evidence. • Evaluate evidence
gathered and reach conclusions.
• Develope observations and formulate recomendations.
PELAPORAN • Perform observations,
evaluation and escalation process.
• Conduct interim and preliminary engagement communications.
• Develope final engagement communications.
• Distribute formal and informal final communications.
• Perform monitoring and follow-up procedures.
Tahapan Individual Audit
23
![Page 24: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/24.jpg)
Tahapan Individual Audit
Actual RM Expected RM
24
![Page 25: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/25.jpg)
Tahap 1. Perencanaan penugasan
berdasarkan perencanaan audit tahunan yang telah dihasilkan dan hasil penilaian risk maturity tingkat organisasi tentukan lingkup penugasan audit individu
alokasi sumber daya audit yaitu biaya, waktu, SDM dan tingkat kompetensi auditor yang dibutuhkan serta jadwal audit
25
![Page 26: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/26.jpg)
TINGKAT KEMATANGAN PENERAPAN MR VS PERAN AUDIT INTERNAL
AUDIT INTERNAL
Risk Maturity
0 1 2 3 4 5
Non Existent
Naive Aware Defined Managed Enable
Consulting Assurance
26
![Page 27: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/27.jpg)
Level Control Monitoring Audit Approach
En-abled
Mana-ged
De-fined
Aware
Naive
Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko
Semua risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko
Sebagian besar risiko telah teridentifikasi dan dinilai. Adanya Reviu risiko secara teratur Respon telah sesuai untuk mengelola risiko
Terdapat pengendalian tetapi tidak terkait dengan risiko
Terdapat pengendalian tetapi bebarapa pengendalian tidak ada atau tidak lengkap
Manajemen memonitor bahwa semua respon dilakukan secara tepat. Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko
Manajemen memonitor bahwa semua respon dilakukan secara tepat. Hampir Semua manajer memberikan jaminan terhadap efektivitas manajemen risiko dan penilaian kinerja manajemen risiko
Beberapa bagian Manajemen memonitor bahwa semua respon dilakukan secara tepat
Sedikit atau kurang adanya monitoring
Sangat kecil monitoring, jika adapun sangat lemah
Tidak dapat dilakukan RBIA. Maka audit menggunakan pendekatan konsultasi untuk memperkenalkan RM hingga tercapainya Defined. Maka perlu dikembangkan Audit dengan Faktor Risiko
Assurance
Consultancy
Hubungan Maturity Level Dengan Control, Monitoring dan Pendekatan Audit
![Page 28: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/28.jpg)
Pendekatan Rencana Audit
PKPT
Maturity 4 s.d 5
Risk Register
Maturity 1 s.d ≤ 3
Faktor Risiko
Risk Register Yang Disusun I/A dgn UPR
![Page 29: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/29.jpg)
Matriks Risiko Dan Pengendalian
Risiko Pengendalian Kunci Prosedur Pengujian
Risiko A • Pengendalian A
• Pengendalian B
• Pengendalian C
• Prosedur A
• Prosedur B
• Prosedur C
Risiko B • Pengendalian D
• Pengendalian E
• Pengendalian F
• Prosedur D
• Prosedur E
• Prosedur F
Risiko A • Pengendalian G
• Pengendalian H
• Pengendalian I
• Prosedur G
• Prosedur H
• Prosedur I 29
![Page 30: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/30.jpg)
Penyusunan PKA
Perumusan AO – sisa risiko yg berpotensi terjadi vs kegagalan pengendalian kunci
Mengidentifikasi bukti –bukti yang dibutuhkan (rekocuma) utk mendukung masalah yg akan diungkapkan
Memilih teknik audit yang tepat
Menyusun kalimat yang akan dituangkan dalam PKA
30
![Page 31: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/31.jpg)
Bukti audit yg diperoleh
pengujian
permintaan
31
![Page 32: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/32.jpg)
Tahap 2. Penilaian tingkat kematangan risiko tiap auditable unit No Uraian Skor (0 - 2)
1 Tujuan organisasi terdokumentasi dan dipahami dengan baik
2 Manajemen telah memahami risiko dan tanggung jawab atas risiko tersebut
3 Proses identifikasi risiko telah ditetapkan dan dipatuhi
4 Sistem skoring untuk penilaian risiko telah ditetapkan
5 Seluruh risiko telah dinilai dengan sistem skoring yang telah ditetapkan
6 Respon atas risiko telah ditetapkan dan diimplementasikan
7 Risk appetite telah ditetapkan dengan sistem skoring
8 Risiko telah dibagi tanggung jawabnya dan didokumentasikan dalam risk register
9 Manajemen telah menetapkan model pemantauan atas proses, respon dan action plan risiko.
10 Risk register diupdate secara periodik
11 Manajer melaporkan kepada pimpinan puncak bila terdapat risiko yang belum ditekan pada tingkat yang dapat diterima
12 Kegiatan yang bersifat proyek/program selalu dinilai risikonya
13 Uraian tanggung jawab menetapkan risiko, menilai risiko dan mengelolanya termasuk dalam uraian tugas dan tanggung jawab pegawai.
14 Manajer memberikan jaminan efektifitas pengelolaan risiko
15 Setiap manager dinilai kinerjanya dalam mengelola risiko
Jumlah 32
![Page 33: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/33.jpg)
Tahap 3. Simpulan hasil penilaian level tingkat auditable unit dan Update lingkup penugasan
• berdampak terhadap lingkup dan waktu penugasan audit individu
• Penilaian atas level risiko ≥ level risiko yang diharapkan maka penugasan dilanjutkan sesuai rencana audit
• Penilaian atas level risiko ≤ level risiko yang diharapkan , maka update ruang lingkup dan waktu penugasan/ menghentikan penugasan CONSULTING
33
![Page 34: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/34.jpg)
Tahap 4. Diskusi dan observasi pengendalian
• mendapatkan gambaran sistem pengendalian internal organisasi dari sudut pandang manajemen dan melihat penerapannya di lapangan
• memberikan simpulan bahwa rancangan pengendalian telah memadai yaitu mampu mengurangi risiko pada tingkat yang dapat diterima oleh organisasi
• Penekanan pengujian tergantung pada tingkat maturity level risiko auditable unit
• Contoh:
Tujuan tiap auditable
unit Risiko Control
Simpulan
auditor Perencanaan P BJ
Jumlah pengadaan
BJ sesuai
kebutuhan
Pemborosan uang karena jumlah pengadaan melebihi kebutuhan
Rencana pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan oleh user
Memadai
Ketepatan waktu B/J terlambat diadakan oleh rekanan dari deadline kontrak
Pemantauan oleh supervisi internal secara periodik
Memadai 34
![Page 35: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/35.jpg)
Tahap 5. Verifikasi dan pengujian bukti • memberikan kesimpulan yang menyatakan pengendalian mana yang
sudah berfungsi, mana yang kemungkinan akan berfungsi di masa datang, dan mana yang tidak berfungsi
• menitikberatkan terhadap pengendalian-pengendalian yang mempunyai pengaruh signifikan terhadap risiko melekat (inherent risk), yaitu yang memiliki “control score” yang tinggi
• tujuan pengujian lebih dirancang untuk membuktikan keberadaan dan ketepatan operasi pengendalian, bukan untuk menemukan kesalahan
• Contoh:
Risiko Control Pengujian auditor Simpulan auditor Pemborosan uang karena jumlah pengadaan melebihi kebutuhan
Rencana pengadaan disusun berdasarkan daftar kebutuhan barang yang diusulkan oleh user
Telusuri daftar kebutuhan barang dan konfirmasi kepada user
Memadai
B/J terlambat diadakan oleh rekanan dari deadline kontrak
Pemantauan oleh supervisi internal secara periodik
Cek laporan bulanan supervisi internal dan konfirmasi pada rekanan
Memadai
35
![Page 36: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/36.jpg)
Dokumentasi hasil audit
• pengendalian yang diuji
• metode pengujian • ukuran sampel yang
diambil • hasil pengujian • simpulan pengujian
Penilaian atas Residual Risk
• Sisa risiko setelah manajemen mengambil tindakan-tindakan untuk mengurangi likelihood dan dampak yang ditimbulkan dari sebuah kejadian
• untuk memutakhiran daftar risiko
36
![Page 37: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/37.jpg)
respon risiko proses MR
rancangan pengendalian
penerapan pengendalian
SIMPULAN
37
![Page 38: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/38.jpg)
Observation Evaluation and Escalation Process
Observation (s) ?
If there are no observations made in the course of the evaluation process, by definition impact
is insignificant and likelihood is remote
If there are one or more observations made in the course of the evaluation process, by definition impact
and likelihood must be determined
No Yes
Formal communication to senior management is
necessary to indicate that no observations were
identified.
Operations Financial Reporting Complience
Determine COSO Category Affected by Each Observation
Is the control designed inadequately ?
Is the control operating ineffectively ?
Classify Each Observation
More than Insignificant magnitude AND more than remote likelihood
Insignificant magnitude OR
remote likelihood
Determine Impact and Likelihood of Each Observation
Insignificant Material Significant
Assessment
Observation; a finding, determination, or judgement
derived from the internal auditor’s test results from an
assurance or consulting engagement
38
![Page 39: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/39.jpg)
Observation Evaluation and Escalation Process
More than Insignificant magnitude AND more than remote likelihood
Insignificant magnitude OR
remote likelihood
Insignificant Material Significant
Assessment
No key control activities involved
No key control involved but adequate compensating
controls exist
If observations, either singularly or in the aggregate, are assessed insignificant with no key control activities compromised, communication of any obeservations relating to secondray control activities will be informal and does not need to include senior management. However, a formal communication to senior management is still necessary to indicate that no observation relating the primary control activities were identified.
If observations, either singularly or in the aggregate, are assessed insignificant with key control activities compromised but adequate compensating controls exist, communication will be formal and must be made to senior management. However, a formal communication to senior management and the organization’s independent outside auditor.
If observations, either singularly or in the aggregate, are assessed significant, communication will be formal and need to include senior management, the organization’s independent outside auditor, and the audit committee.
If observations, either singularly or in the aggregate, are assessed material, communication will be formal and need to include management, the audit committee, organization’s independent outside auditor, and if the observations relate to internal control over financial reporting the communication must be provided to other interested parties, as defined by reporting laws in the countries in which the organization operates.
After all observations have been clssified, the internal audit function must use judgement to determine if the observations identified, either singularly or in the aggregate, are insignificant, significant, or material.
39
![Page 40: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/40.jpg)
Observation Summary
• Condition (facts) = factual evidence and description of control as they exist (what is). What was found through testing.
• Criteria = standard, measures, expectations, policy, or procedures used in making the evauatio (what should exist).
• Cause = what allowed or caused the condition to exist (the why)
• Effect = risk or exposure encountered the condition is not consistent with the criteria (what could go wrong, both oast and possible future impact). Considers both the impact (financial, reputational, safety, etc) and the likelihood.
• Recommendation = What the internal audit function recommends. This recommendation must reconcile with management’s solution as discussed during the preliminary communication process.
Catatan; obsevation = finding = temuan
40
![Page 41: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/41.jpg)
UNSUR-UNSUR temUaN haSil aUdit
• KONDISI Fakta
• KRITERIA Hal yg harus dipedomani
• SEBAB Pelaku yg mendorong Kondisi ≠ kriteria
• AKIBAT / DAMPAK Pengaruh thd tujuan, organisasi, atau sth.
• REKOMENDASI Menghilangkan penyebab dan meminimalkan akibat
41
![Page 42: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/42.jpg)
TIPS... • THA ; Kondisi ≠ Kriteria • Kondisi – Kriteria = Akibat akibat = temuan • Kondisi – Kriteria = Penyebab • Akibat = Penyebab • Rekomendasi – Penyebab = 0 (menghilangkan
penyebab) • Rekomendasi > Akibat • Rekomendasi – Akibat > 0 (meminimalkan
akibat) menghilangkan output dan meminimalkan outcome
42
![Page 43: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/43.jpg)
PENUTUP Sesi IV;
43
![Page 44: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/44.jpg)
Pendekatan audit berbasis risiko bukan berarti menggantikan pendekatan audit konvensional yang dijalankan oleh lembaga audit intern (APIP) yang sudah berjalan selama ini.
Pendekatan ini hanya membawa suatu metodologi audit yang dapat dijalankan oleh auditor intern dalam pelaksanaan penugasan auditnya melalui pendekatan dan pemahaman atas risiko yang harus diantisipasi, dihadapi, atau dialihkan oleh manajemen guna mencapai tujuan.
44
![Page 45: Konsep dan Pelaksanaan Audit Berbasis Risiko oleh BPKP](https://reader037.vdocuments.site/reader037/viewer/2022102503/5849b89d1a28aba93a9302d4/html5/thumbnails/45.jpg)
With You, We Build Public Trust
sekian erima Kasih ...
45