Upload
ledung
View
219
Download
0
Embed Size (px)
Citation preview
STRUKTUR & OBJECTIVES : MATA KULIAH AKUNTANSI SEKTOR PUBLIK S2O L E H : P ro f. E r l i n a
USUUNIVERSITAS SUMATERA UTARA
FR
2
FR
Add a footer 3
FR
Add a footer 4
FR
Add a footer 5
FR
Add a footer 6
FR
Add a footer 7
FR
Add a footer 8
FR
Add a footer 9
FR
Add a footer 10
FR
Add a footer 11
FR
Add a footer 12
FR
Add a footer 13
FR
Add a footer 14
FR
Add a footer 15
FR
Add a footer 16
PENERAPAN RISK MANAGEMENT & RISK BASED INTERNAL AUDIT DI PEMERINTAHAN DAERAH
FR
L O R E M I P S U M D O L O R S I T A M E T
Lorem ipsum dolor sit amet, consectetur adipiscing elit.
Ut fermentum a magna ut eleifend. Integer convallis suscipit ante eu varius.
Morbi a purus dolor. Suspendisse sit amet ipsum finibus justo viverra blandit.
Ut congue quis tortor eget sodales.
Chart Title
Category 1 Category 2 Category 3 Category 4
Add a footer 18
FR
Add a footer 19
FR
Add a footer 20
FR
Add a footer 21
FR
Add a footer 22
FR
Add a footer 23
Paradigma Internal Audit
FR
9
FR
25
FR
26
FR
Add a footer 27
Key Findings: Where Risk Management Fits• Risk management is a necessary part of public policy and operational
management: it happens or it is managed • Risk management is only implemented when all elements of the
organization are involved, not just corporate or audit• Expectations of political leaders about risk vary considerably but
general messages around:❖ Expectations that public service will identify risks, preferably in a
systematic fashion❖ Distaste for surprises❖ General level of comfort goes up when systematic risk
management is practiced❖ Will always expect solutions or recommended courses of action❖ Concern for language, context and publicity
FR
Add a footer 28
Key Findings: Implementation• Leadership is key, but complex:❑Governance❑Guidance❑Accountability
• Whole Meal Deal: risk identification alone is dangerous – must create a system that has risk identification, mitigation and communications as a single package and activity
• Build for Transparency: Assume and act as if all documentation will be public
• Fitting It In: Less about cultural change and more about adapting to existing cultures: “We all do risk management now. So what is so different?”
FR
Add a footer 29
Key Findings: Implementation• Staff training and support in using simple tools of risk analysis creates a
common language• Takes time: cannot be flavour of the month: “Just another management
tool.”• Stakeholder engagement: systematic and long term risk management
means inevitably engaging stakeholders and being more transparent• Risk tolerances: search for quantification and rigid limits is often
fruitless and dangerous in public sector: dynamic and nuanced process: ❑ Role of internal leadership in vetting and guiding❑ Role of external engagement❑ Avoiding the mythologies of science and definitivenessRole of demonstrable process
FR
Add a footer 30
Implications for Policy Advisors and Analysts
• Systematic risk management is often about bring the full picture to decision makers
• Avoiding either “the elephant in the room” avoidance syndrome or listening only to the “danger establishment” (Aaron Wildavsky)
• Risk mitigation and communication: serves policy and political ends • Engagement of stakeholders in risk determination: need to establish
governance and rules of engagement• Use of risk management tools in priority setting: address the red
boxes first, stupid!• Systematic or integrated risk management is a way of getting ahead
of the curve
FR
31
FR
32
ENTERPRISE RISK MANAGEMENT AND RISK BASED INTERNAL AUDITING
Risk is defines by ISO 31000 as:
“the effect of uncertainty on objectives”
FR
33
FR
34
Manajemen Risiko PemerintahanCohen (2016), memiliki keunikan :
Eksposur Risiko Sosial
Keterbatasan PemilihanAlat Mitigasi Risiko
Kompleksitas Kebijakandan Tata Kelola
FR
35
Acuan Manajemen Risiko di Indonesia
Pedoman Manajemen RisikoBerbasis Governance (KNKG)
SNI ISO 31000 : 2011, Manajemen Risiko, Prinsip dan
Panduan
PMK No.12/PMK.09/2016 dan No.171/PMK/01/2016 :
Penerapan Manajemen Risikodi Departemen Keuangan
PP No. 60 Tahun 2018 : SistemPengendalian Internal
Pemerintah
FR
36
SYSTEM BASED INTERNAL AUDITING
PROCESS BASED INTERNAL AUDITING
RISK BASED INTERNAL AUDITING
RISK BASED INTERNAL AUDIT
FR
37
FR
Add a footer 38
39
Griffiths (2006) menyatakanada 3 tahapan dalammengimplementasikan RBIA yaitu
• menilai tingkat kematangan proses enterprise risk management (manajemen resiko perusahaan)
• membuat audit plan (rencana audit)• pelaksanaan individual assurance audit
FR
Add a footer 40
Gambar 2.1. Tahapan Implementasi Risk based Internal Auditing Sumber : “Risk Based Internal Auditing – Three Views on Implementation,” – David Griffiths
a.
Management’sRisk Register
(If Available)
Assess Risk Maturity
Risk Defined
Management’s
Risk Register
(amanded)
Asign Risk to Audit
Risk Naive
Risk Aware
Fasilitate Risk
Identification
Audit
Universe
Risk and Audit
Universe (RAU) Audit Plan
Risk Enable
Risk Managed
MMaManaged
Managed
Use Organization’s
Risk
Audit Committee
Report
Individual Audit
Audit Report
Feedback Result into RAU
S
T
A
G
E
1
S
T
A
G
E
2
S
T
A
G
E
3
Tahap 1: PenilaianTingkat Kematangan
Proses Enterprise Risk Management
Add a footer 41
• Tujuan menilai tingkat kematangan (risk maturity) adalah untukmembantu departemen audit internal dalam membuat audit plan.
• Risk naïve adalah level terendah dan risk enabled adalah level tertinggi. Pada masing-masing level tersebut terdapat proses-proses yang menjadi faktor pembeda antar level maturitas.
FR
Add a footer 42
Griffiths menyebutkan ada 5 tingkat kematangan suatuorganisasi
• Risk Naïve, organisasi dalam tingkat ini belum ada pendekatan formal untuk manajemen resiko. Fungsi internal auditdalam level kematangan risk naïve adalah sebagai konsultan dalam membuat kerangka manajemen risiko. RBIA dapatditerapkan setelah kerangka tersebut selesai dibuat.
• Risk Aware, organisasi pada tahap kematangan ini belum memiliki daftar risiko. Fungsi internal auditor dalam level inisama seperti pada level Risk Naïve yaitu sebagai konsultan/fasilitator. Internal auditor sebagai konsultan untukmembantu manajer mengindentifikasi risiko-risiko yang menjadi tanggung jawabnya, menilai risiko tersebut danmemberikan masukan kepada manajer bagaimana merespon risiko-risiko tersebut. Organisasi pada level ini belummemiliki kerangka manajemen risiko, maka RBIA tidak dapat diterapkan.
• Risk Defined, organisasi pada tahap kematangan ini telah ada kebijakan dan strategi manajemen risiko dan telahdikomunikan. Segala risiko telah diidentifikasi hanya saja belum menyatukan risiko tersebut dalam daftar risiko yanglengkap dan terintegrasi. Pada level ini, internal auditor berperan sebagai konsultan dalam memfasilitasi pernyatuanrisiko yang telah dibuat oleh manajer. Audit internal akan lebih banyak memberikan masukkan bagi manajer untukmengambil tindakan yang perlu diambil pada saat ditemukan permasalahan-permasalahan.
FR
Add a footer 43
• Risk Managed, organisasi pada level ini telah mengembangkan pendekatan manajemen risiko secara menyeluruhserta telah dikomunikasikan. Organisasi pada tingkat ini berada di bawah tingkat risk enable, dimana untukbeberapa bagian/divisi dari suatu organisasi masih ada yang memerlukan beberapa perhatian khusus dari internalauditor. Organisasi pada tahap ini masih memerlukan peranan internal auditor dalam hal memberikan rekomendasikepada pihak manajemen.
• Risk Enable, pada level ini manajemen risiko dan pengendalian intern telah melekat sepenuhnya dengan operasiatau aktivitas organisasi. Organisasi pada level ini telah memiliki suatu daftar risiko yang lengkap dengan penilaianrisiko bawaan (inherent risk) dan pengawasan yang telah didesign untuk merespon inherent risk tersebut dan nilairisiko setelah ada pengawasan tersebut (residual risk). Jika organisasi sudah berada pada tahapan ini, maka kecilkemungkinan di dapati tenuan-temuan signifikan berkaitan dengan dari peranan utama dari internal audit.Perhatian utama dari internal auditor pada level ini adalah apakah risiko-risiko kunci telah dilaporkan kepada topmanajemen dan pengawasan terhadap pengendalian internal telah dijalankan oleh manajer dengan baik.Organisasi pada tingkat risk enable ini dianggap sudah cukup matang dalam menjalankan proses manajemen risikosecara penuh sehingga jika ditemukan kelemahan-kelemahan pada saat hasil audit nantinya, diharapkanmanajemen sudah aware dan telah mengetahui tindakan-tindakan yang perlu diambil untuk mengatasi kelemahantersebut.
Griffiths menyebutkan ada 5 tingkat kematangan suatuorganisasi
Tahap 2: MembuatRencana Audit
• Hasil yang diperoleh pada tahap ini adalah Risk & Audit Universe (RAU) yang digunakan oleh internal auditor sebagai dasar pembuatan audit plan.
• Risk & Audit Universe adalah suatu hasil yang menghubungkan risk register yang dibuat oleh manajemen dengan audit yang akan dilakukan oleh internal auditor untuk memberi keyakinan bahwa setiap risiko telah dikelola denganefektif.
Tahap 3: Pelaksanaan Audit
• Menentukan penekanan audit berdasarkan tingkat risk maturity organisasi
• Melakukan diskusi mengenai isu yang muncul dengan pihak manajemendan kemudian membuat laporan audit.
• Melakukan update risk & Audit Universe setelah mendapat persetujuandari manajemen.
THANK YOU