Modul-ahli-audit-intern

AUDIT INTERNAL

PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2014

Audit Internal

Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP
dalam rangka Diklat Fungsional Auditor – Diklat Pembentukan Auditor Terampil dan Ahli

Edisi Pertama : Tahun 2014

Penyusun : M. Fahrudin, S.E., M.Acc.
Pereviu : Agus Tri Prasetyo, Ak., M.E.
Narasumber : Wakhyudi, Ak., M.Comm.
Penyunting : Kusmayawati
Penata Letak Didik Hartadi, S.E.

Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720
Telp. (0251) 8249001 ‐ 8249003
Fax. (0251) 8248986 ‐ 8248987
Email : pusdiklat@bpkp.go.id
Website : http://pusdiklatwas.bpkp.go.id
e‐Learning : http://lms.bpkp.go.id

Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau
seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari
Pusat Pendidikan dan Pelatihan Pengawasan BPKP.

A u d i t I n t e r n a l i
Kata Pengantar

Peran dan fungsi aparat pengawasan intern pemerintah (APIP) dalam rangka membantu
manajemen untuk mencapai tujuan organisasi dilaksanakan melalui pemberian jaminan
(assurance activities) dan layanan konsultansi (consulting activities) sesuai standar, sehingga
memberikan perbaikan efisiensi dan efektivitas atas tata kelola, manajemen risiko, dan
pengendalian intern organisasi. Selain itu, Peraturan Pemerintah Nomor 60 Tahun 2008 tentang
Sistem Pengendalian Intern Pemerintah mengatur bahwa pelaksanaan audit intern di
lingkungan instansi pemerintah dilaksanakan oleh pejabat yang mempunyai tugas
melaksanakan pengawasan yang telah memenuhi syarat kompetensi keahlian sebagai auditor.
Hal tersebut selaras dengan komitmen pemerintah untuk mewujudkan pemerintahan yang
transparan dan akuntabel serta bebas korupsi, kolusi, dan nepotisme pada berbagai aspek
pelaksanaan tugas umum pemerintahan dan pembangunan yang dituangkan dalam Undang‐
Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara yang Bersih dan Bebas dari KKN.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah
pendidikan dan pelatihan (diklat) sertifikasi auditor yang bertujuan untuk meningkatkan
pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi
tertentu sesuai dengan perannya sesuai dengan keputusan bersama Kepala Pusat Pembinaan
Jabatan Fungsional Auditor dan Kepala Pusat Pendidikan dan Pelatihan Pengawasan Badan
Pengawasan Keuangan dan Pembangunan Nomor KEP‐82/JF/1/2014 dan Nomor KEP‐
168/DL/2/2014 tentang Kurikulum Pendidikan dan Pelatihan Fungsional Auditor.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar perlu disajikan
dengan sebaik mungkin. Evaluasi terhadap modul perlu dilakukan secara terus menerus untuk
menilai relevansi substansi modul terhadap perubahan lingkungan yang terjadi. Modul ini
ditujukan untuk memutakhirkan substansi modul agar sesuai dengan perkembangan profesi
auditor, dan dapat menjadi referensi yang lebih berguna bagi para peserta diklat sertifikasi
auditor.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan
kontribusi atas terwujudnya modul ini.


Ciawi, 30 April 2014
Kepala Pusdiklat Pengawasan BPKP

Nurdin, Ak., M.B.A.

ii 2 0 1 4 | P u s d i k l a t w a s B P K P

A u d i t I n t e r n a l iii
Daftar Isi

Kata Pengantar .................................................................................................................................. i
Daftar Isi........................................................................................................................................... iii
Daftar Gambar dan Tabel ................................................................................................................. v
Bab I   PENDAHULUAN ................................................................................................................. 1
A. Latar Belakang .................................................................................................................................. 1
B. Kompetensi Dasar ........................................................................................................................... 1
C. Indikator Keberhasilan ................................................................................................................... 2
D. Sistematika Modul .......................................................................................................................... 2
E. Metode Pembelajaran ................................................................................................................... 3
Bab II   GAMBARAN UMUM .......................................................................................................... 5
A. Pengertian Internal Audit .............................................................................................................. 5
B. Perubahan Paradigma APIP .......................................................................................................... 8
C. Perkembangan Risk Based Audit ................................................................................................ 9
D. Kegiatan Assurance dan Konsultansi ....................................................................................... 13
E. Tahapan Penugasan Audit Internal .......................................................................................... 22
Bab III   PERENCANAAN PENUGASAN ASSURANCE ...................................................................... 25
A. Penetapan Tujuan dan Lingkup Penugasan ........................................................................... 30
B. Pemahaman Proses Kerja Auditi ............................................................................................... 32
C. Identifikasi dan Penilaian Risiko ................................................................................................ 35
D. Identifikasi Pengendalian Kunci ................................................................................................ 42
E. Evaluasi Pengendalian .................................................................................................................. 45
F. Penyusunan Rencana Pengujian ............................................................................................... 46
G. Penyusunan Program Kerja ........................................................................................................ 52
H. Pengalokasian Sumber Daya ...................................................................................................... 56
Bab IV   PELAKSANAAN PENUGASAN ASSURANCE ....................................................................... 57
A. Pengujian Dan Pengumpulan Bukti .......................................................................................... 57
B. Evaluasi Bukti dan Pengambilan Kesimpulan ........................................................................ 64
C. Pengembangan Temuan dan Rekomendasi .......................................................................... 66
Bab V   PELAPORAN PENUGASAN ASSURANCE ........................................................................... 73
A. Penyampaian Simpulan Sementara ......................................................................................... 74
B. Penyusunan Laporan .................................................................................................................... 75
C. Monitoring Tindak Lanjut ............................................................................................................ 78

iv 2 0 1 4 | P u s d i k l a t w a s B P K P
Bab VI PENUGASAN KONSULTANSI ............................................................................................. 81
A. Jenis Jasa Konsultansi .................................................................................................................. 81
B. Pemilihan Penugasan Konsultansi ........................................................................................... 83
C. Proses Penugasan Konsultansi .................................................................................................. 84
D. Perencanaan Penugasan Konsultansi ..................................................................................... 85
E. Pelaksanaan Penugasan Konsultansi ...................................................................................... 87
F. Komunikasi dan Tindak Lanjut .................................................................................................. 88
G. Perubahan Jasa Konsultansi ...................................................................................................... 89
H. Kapabilitas yang Diperlukan ...................................................................................................... 89
Bab VII PENGARUH PERKEMBANGAN TEKNOLOGI INFORMASI .................................................. 91
A. Perkembangan Teknologi Informasi ....................................................................................... 91
B. Pemanfaatan Teknologi Informasi oleh Organisasi Pemerintah .................................... 91
C. Pemanfaatan Teknologi Informasi Bagi Auditor Internal ................................................. 93
Daftar Pustaka ................................................................................................................................ 99

A u d i t I n t e r n a l v
Daftar Gambar dan Tabel

Gambar
Gambar 2.1    Lingkup Penugasan Auditor Internal menurut AAIPI .............................................. 13
Gambar 3.1    Petikan DIPA lampiran 1.a tentang Jabaran Anggaran ........................................... 34
Gambar 3.2    Pengendalian Mitigative dan Preventive ................................................................ 39
Gambar 3.3    Peta Risiko ............................................................................................................... 41
Gambar 4.1    Contoh Hubungan PKA dengan KKA ....................................................................... 60
Gambar 4.2    Hubungan Antara Sampling Error Dengan Jumlah Sampling ................................. 61
Gambar 6.1    Jenis Jasa Konsultansi ............................................................................................. 81
Gambar 7.1    Sistem Akuntansi Manual dan Sistem Akuntansi Berbasis komputer .................... 92

Tabel
Tabel 2.1    Perubahan Paradigma Auditor Internal .................................................................... 8
Tabel 2.2    Tingkatan Risk Maturity dan Langkah yang akan diambil Auditor Internal ............ 11
Tabel 2.3    Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi ............... 20
Tabel 3.1    Tahapan Penugasan Assurance............................................................................... 25
Tabel 3.2    Format Hasil Identifikasi Risiko ............................................................................... 36
Tabel 3.3    Format Hasil Penilaian Risiko .................................................................................. 39
Tabel 3.4    Format Tahap Matriks Risiko dan Pengendalian .................................................... 53
Tabel 3.5    Format Program Kerja Audit ................................................................................... 54
Tabel 4.1    Jumlah Populasi dan Sampel (Krejcie dan Morgan) ............................................... 62
Tabel 4.2    Format Matriks Risiko dan Pengendalian serta Hasil Pengujian ............................ 63
Tabel 4.3    Matriks Risiko dan Pengendalian serta judgement yang diambil ........................... 65
Tabel 6.1    Tahap Penugasan Konsultansi ................................................................................ 84

vi 2 0 1 4 | P u s d i k l a t w a s B P K P

A u d i t I n t e r n a l 1
Bab I
PENDAHULUAN

A. LATAR BELAKANG
Perkembangan jasa yang diberikan oleh aparat pengawasan internal (auditor internal) dewasa
ini mengalami peningkatan yang luar biasa, untuk merefleksikan pemberdayaan kedudukan unit
pengawasan internal dalam suatu organisasi. Peran sebagai watchdog yang selama ini menjadi
ciri khas unit pengawasan internal telah mengalami pergeseran dan perluasan menjadi
konsultan dan katalis bagi organisasi.
The Institute of Internal Auditors (IIA) sebagai institusi profesi auditor internal telah menetapkan
standar profesional pelaksanaan audit internal yang menyatakan, bahwa aktivitas audit internal
dirancang untuk memberikan nilai tambah dan meningkatkan operasi organisasi. Auditor
internal membantu organisasi dalam mencapai tujuannya dengan menggunakan pendekatan
yang sistematis dan disiplin, untuk mengevaluasi dan meningkatkan efektivitas pengelolaan
risiko, pengendalian dan proses tata kelola.
Modul ini disusun untuk membekali para auditor/calon auditor agar dapat melaksanakan
penugasan sebagai auditor internal. Lingkup tugas sebagai auditor internal cukup luas, yang
terdiri dari penugasan assurance berupa audit, evaluasi, reviu, dan pemantauan serta
penugasan konsultansi berupa asistensi, bimbingan teknis, konsultan dan penugasan lain. Hal‐
hal yang perlu diketahui calon auditor mengenai kegiatan auditor internal berusaha dicakup
dalam modul ini, namun para auditor/calon auditor internal harus memperkaya
pengetahuannya dengan mencari sumber pengetahuan lain.
B. KOMPETENSI DASAR
Kompetensi dasar yang diharapkan setelah mempelajari modul Audit Internal ini adalah peserta
diklat diharapkan mampu menjelaskan konsepsi pelaksanaan audit intern.

2 2 0 1 4 | P u s d i k l a t w a s B P K P
C. INDIKATOR KEBERHASILAN
Setelah mengikuti proses pembelajaran ini, peserta diklat diharapkan memiliki pengetahuan
mengenai:
1. prinsip‐prinsip audit kinerja, audit atas aspek keuangan tertentu, audit untuk tujuan
tertentu, dan audit khusus/ investigasi/berindikasi tindak pidana korupsi;
2. prinsip‐prinsip kegiatan pengawasan lain, antara lain kegiatan sosialisasi mengenai
pengawasan, pendidikan dan pelatihan pengawasan, pembimbingan dan konsultansi,
pengelolaan hasil pengawasan, dan pemaparan hasil pengawasan;
3. praktik‐praktik terbaik pelaksanaan audit, evaluasi, reviu, pemantauan, dan kegiatan
pengawasan lain;
4. sistem teknologi informasi dalam melaksanakan kegiatan audit intern; dan
5. metode dan teknik audit, evaluasi, reviu, pemantauan, dan kegiatan pengawasan lain.
D. SISTEMATIKA MODUL
Modul Audit Internal disajikan dengan sistematika sebagai berikut.
Bab I   Pendahuluan
Bab ini berisi latar belakang, kompetensi dasar, indikator keberhasilan, deskripsi
singkat, serta metode pembelajaran.
Bab II   Gambaran Umum
Bab ini menjelaskan mengenai pengertian internal audit, perubahan paradigma APIP,
perkembangan risk based audit, kegiatan assurance dan konsultansi, serta tahapan
penugasan audit internal.
Bab III   Perencanaan Penugasan Assurance
Bab ini menjelaskan mengenai penetapan tujuan dan lingkup assurance audit internal,
pemahaman proses kerja auditi, identifikasi dan penilaian risiko, identifikasi

pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian,
penyusunan program kerja dan pengalokasian sumber daya.
Bab IV   Pelaksanaan Penugasan Assurance
Bab ini menjelaskan mengenai pengujian dan pengumpulan bukti, evaluasi bukti dan
pengambilan kesimpulan serta pengembangan temuan dan rekomendasi.
Bab V   Pelaporan Penugasan Assurance
Bab ini menjelaskan mengenai penyampaian simpulan sementara, penyusunan
laporan, dan monitoring tindak lanjut.
Bab VI   Penugasan Konsultansi
Bab ini menjelaskan mengenai jenis, pemilihan, dan proses serta praktik penugasan
konsultansi selain itu juga menjelaskan mengenai perubahan jasa konsultansi dan
kapabilitas yang diperlukan.
Bab VII   Pengaruh Perkembangan Teknologi Informasi
Bab ini menjelaskan mengenai perkembangan teknologi informasi dan pemanfaatan
teknologi informasi oleh organisasi pemerintah dan bagi auditor internal.
E. METODE PEMBELAJARAN
Metode yang digunakan untuk mencapai tujuan pembelajaran adalah:
1. Ceramah
Widyaiswara/instruktur menjelaskan mengenai Audit Internal atau bersifat deskriptif.
Modul ini secara umum hanya membagi kegiatan audit internal dalam dua kelompok,
yaitu assurance dan konsultansi. Rincian lebih lanjut masing‐masing jenis kegiatan
assurance dan konsultansi tidak dibahas mendalam. Alasannya, uraian lebih lanjut
mengenai berbagai jenis kegiatan ( misalnya audit investigasi, audit pengadaan barang
dan kegiatan lain) akan di bahas di diklat substantive lebih lanjut.

2. Tanya Jawab dan diskusi
Widyaiswara dan peserta bertanya jawab untuk mendalami permasalahan/kondisi yang
terkait dengan permasalahan dalam kegiatan audit internal.
3. Latihan
Peserta berlatih menyelesaikan soal‐soal yang terkait dengan audit internal.

~

Bab II
GAMBARAN UMUM

Indikator Keberhasilan
Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai
pengertian internal audit, perubahan paradigma APIP, perkembangan risk based audit,
kegiatan assurance dan konsultansi, serta tahapan penugasan audit internal.


A. PENGERTIAN INTERNAL AUDIT
Internal audit di seluruh dunia melakukan kegiatan yang cukup bervariasi tergantung pada
kondisi dan kebutuhan organisasi. Akibatnya muncul beberapa definisi internal audit antara lain
sebagai berikut.
Definisi menurut American Accounting Association (AAA) adalah:
Internal audit adalah proses sistematis untuk secara objektif memperoleh dan
mengevaluasi asersi mengenai tindakan dan kejadian‐kejadian ekonomis untuk
meyakinkan derajat kesesuaian antara asersi ini dengan kriteria yang ditetapkan dan
mengomunikasikannya ke pengguna yang berkepentingan.
Definisi Internal Audit menurut Sawyer (2005: 10) adalah:
Internal audit adalah sebuah penilaian yang sistematis dan objektif yang dilakukan auditor
internal terhadap operasi dan kontrol yang berbeda‐beda dalam organisasi untuk
menentukan apakah: (1) informasi keuangan dan operasi telah akurat dan dapat
diandalkan; (2) risiko yang dihadapi organisasi telah diidentifikasi dan diminimalisasi; (3)
peraturan eksternal serta kebijakan dan prosedur internal yang bisa diterima telah diikuti;
(4) kriteria operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan
secara efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif—semua
dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu
anggota organisasi dalam menjalankan tanggung jawabnya secara efektif.
Definisi Audit Internal (Pengawasan intern) menurut Standar Audit Aparat Pengawasan Intern
Pemerintah (APIP) adalah:
Pengawasan intern adalah seluruh proses kegiatan audit, reviu, pemantauan, evaluasi,
dan kegiatan pengawasan lainnya berupa asistensi, sosialisasi dan konsultansi terhadap

penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan yang
memadai bahwa kegiatan telah dilaksanakan sesuai dengan tolok ukur yang telah
ditetapkan secara efektif dan efisien untuk kepentingan pimpinan dalam mewujudkan
kepemerintahan yang baik.
Definisi internal audit menurut The Institute of Internal Auditor’s (IIA) adalah:
Internal auditing is an independent, objective assurance and consulting activity designed to
add value and improve an organization's operations. It helps an organization accomplish
its objectives by bringing a systematic, disciplined approach to evaluate and improve the
effectiveness of risk management, control, and governance processes.
Internal Audit adalah kegiatan konsultasi dan assurance independen yang dirancang untuk
memberikan nilai tambah dan perbaikan operasi organisasi. Internal audit membantu
organisasi untuk mencapai tujuannya melalui pendekatan yang sistematis dan disiplin
dalam mengevaluasi dan meningkatkan efektivitas manajemen risiko, pengendali‐an, dan
proses tata kelola.
Kedua definisi pertama, yaitu definisi menurut AAA dan Sawyer, belum memasukkan peran
auditor internal sebagai konsultan. Sementara dalam praktik, terjadi peningkatan signifikan
peran auditor internal sebagai konsultan yang memberikan nilai tambah bagi organisasi. Maka
definisi yang akan digunakan modul ini adalah dua definisi terakhir, yaitu definisi menurut
Standar Audit APIP dan definisi menurut IIA. Kedua definisi ini serupa dimana membagi peran
auditor internal ke dalam dua kelompok assurance dan consulting (dalam Standar Audit APIP
disebut : pengawasan lainnya).
Analisis lebih lanjut terhadap definisi Internal Auditing dilakukan dengan analisis masing‐masing
kata kunci definisi internal audit menurut IIA sebagai berikut.
Internal Audit
Audit merupakan suatu proses penilaian terhadap informasi, kondisi, operasi dan/atau
pengendalian, yang dilakukan secara objektif oleh pihak yang kompeten dan independen. Kata
internal dapat diartikan bahwa kegiatan audit dilaksanakan sendiri oleh organisasi atau oleh
pegawai organisasi tersebut. Hal ini untuk membedakan dengan audit eksternal yang
dilaksanakan oleh akuntan publik atau Badan Pemeriksa Keuangan (BPK).

Assurance
Peran assurance dilakukan dengan memberikan penilaian/pendapat objektif terkait suatu
entitas, operasi, fungsi, proses, sistem, atau subjek lainnya. Sifat dan lingkup kegiatan assurance
ditentukan oleh auditor internal. Dalam Standar Audit APIP, kegiatan assurance terbagi dalam
kegiatan audit, reviu, pemantauan, dan evaluasi.
Konsultansi
Peran sebagai konsultan muncul setelah terjadi perubahan paradigma auditor internal.
Paradigma lama auditor internal sebagai watchdog, telah bertambah dengan peran sebagai
konsultan dan catalist. Peran konsultan pada umumnya bersifat pemberian saran, atau layanan
lain dengan sifat dan ruang lingkup berdasar kesepakatan antara auditor dengan yang
disepakati dengan manajemen. Layanan konsultasi ini bertujuan untuk memberi nilai tambah
dan meningkatkan tata kelola, manajemen risiko dan pengendalian organisasi. Dalam Standar
Audit APIP, kegiatan konsultansi ini disebut dengan kegiatan pengawasan lainnya, yang terbagi
dalam kegiatan berupa asistensi, sosialisasi dan konsultansi.
Independen
Independen adalah suatu kondisi dimana auditor internal terbebas dari segala kondisi yang
mengancam kemampuannya dalam bertindak objektif/tidak bias.
Membantu Organisasi untuk Mencapai Tujuannya
dalam definisi IIA ditegaskan bahwa tujuan auditor internal adalah membantu organisasi dalam
mencapai tujuannya. Hal ini dapat dilakukan melalui meningkatkan efektivitas manajemen risiko
(dimana risiko yang mengganggu pencapaian tujuan organisasi merupakan fokus utama),
pengendalian internal (untuk memastikan bahwa tujuan organisasi terwujud), dan proses tata
kelola (organisasi tanpa tata kelola yang baik tidak akan berhasil mencapai tujuannya).
Pendekatan yang Sistematis dan Disiplin
Auditor internal telah memiliki standar audit dan standar perilaku yang jelas, sehingga dapat
dijamin bahwa auditor internal telah bekerja dengan sistematis dan disiplin.

B. PERUBAHAN PARADIGMA APIP
Peran auditor internal pada awal keberadaannya berperan utama sebagai watchdog, namun
sejak tahun 1970‐an telah mengalami pergeseran menjadi konsultan. Adapun peran auditor
internal sebagai katalis, baru berkembang sekitar tahun 1990‐an. Perubahan paradigma ini tidak
berarti bahwa peran sebagai watchdog ditinggalkan, tetapi justru peran auditor internal meluas.
Tabel berikut ini menggambarkan secara singkat perubahan paradigma auditor internal.

URAIAN   WATCHDOG   CONSULTANT   CATALYST
Proses
Audit kepatuhan
(Compliance Audit)
Audit operasional   Assurance
Fokus
Adanya Variasi
(penyimpangan, kesalahan
atau kecurangan dll)
Penggunaan sumber daya
(resources)
Nilai (Values)
Impact   Jangka pendek   Jangka menengah   Jangka panjang
Tabel 2.1    Perubahan Paradigma Auditor Internal
Peran watchdog meliputi aktivitas inspeksi, observasi, perhitungan, pengujian transaksi yang
bertujuan untuk memastikan ketaatan terhadap ketentuan, peraturan atau kebijakan yang telah
ditetapkan. Audit yang dilakukan adalah audit kepatuhan (compliance audit) dan apabila
dijumpai penyimpangan dapat dilakukan koreksi atas sistem pengendalian manajemen. Peran
watchdog umumnya menghasilkan rekomendasi yang mempunyai dampak jangka pendek, yaitu
perbaikan atas kesalahan yang sudah terjadi.
Peran auditor internal sebagai konsultan diharapkan dapat memberikan manfaat berupa
nasehat (advice) dalam pengelolaan sumber daya (resources) organisasi, sehingga dapat
membantu tugas para pimpinan di tingkat operasional. Audit yang dilakukan adalah audit
operasional yaitu untuk meyakini apakah organisasi telah memanfaatkan sumber daya
organisasi secara ekonomis, efisien, dan efektif, sehingga dapat dinilai apakah manajemen telah
menjalankan aktivitas organisasi yang mengarah kepada tujuannya. Rekomendasi yang dibuat
umumnya bersifat jangka menengah, yaitu memperbaiki dan meningkatkan efektifitas dan
efisiensi operasi organisasi.
Peran auditor internal sebagai katalis berkaitan dengan jaminan kualitas (quality assurance).
Auditor diharapkan dapat membimbing manajemen dalam mengenali berbagai risiko yang
mengancam pencapaian tujuan organisasi. Pemberian jasa jaminan kualitas bertujuan untuk
meyakinkan bahwa aktivitas organisasi yang dijalankan, telah menghasilkan keluaran (output)

yang dapat memenuhi kebutuhan penggunanya. Dalam memainkan perannya sebagai katalis,
auditor internal berperan sebagai fasilitator dan agen perubahan (agent of change). Dampak
dari peran ini bersifat jangka panjang karena fokus katalis adalah nilai jangka panjang (long‐term
values) dari organisasi, terutama berkaitan dengan tujuan organisasi yang dapat memenuhi
kepuasan pelanggan (customer satisfaction) dan masyarakat (stakeholders).
C. PERKEMBANGAN RISK BASED AUDIT
Mengapa Risiko menjadi pusat perhatian Auditor Internal?
Definisi Risiko menurut Peraturan Pemerintah Nomor 60 Tahun 2008 adalah Kemungkinan
kejadian yang mengancam pencapaian tujuan instansi pemerintah. Sementara itu, tujuan
auditor internal adalah membantu organisasi untuk mencapai tujuannya, maka sudah
seharusnya risiko organisasi menjadi pusat perhatian auditor internal organisasi tersebut.
Pemahaman auditor terkait risiko yang dihadapi organisasi memegang peranan penting dalam
perencanaan dan pelaksanaan setiap penugasan. Auditor harus memaksimalkan segala
sumberdaya, waktu, tenaga dan biaya yang terbatas pada area pemeriksaan yang berisiko
tinggi. Pemahaman auditor terkait risiko organisasi dapat diperoleh dari risk register (daftar
risiko) yang disusun oleh manajemen. Namun, sebelum auditor memanfaatkan daftar risiko
tersebut, terlebih dahulu harus menilai tingkatan risk maturity (kematangan manajemen risiko)
organisasi.
Manajemen Risiko
Menurut Peraturan Pemerintah Nomor 60 Tahun 2008, pemimpin instansi pemerintah wajib
melakukan penilaian risiko secara periodik dan komprehensif. Risiko‐risiko tersebut harus
dipertimbangkan dalam setiap pengambilan keputusan. Penilaian risiko adalah kegiatan
penilaian atas kemungkinan dan dampak kejadian yang dapat mengancam pencapaian tujuan
Instansi Pemerintah. Langkah penilaian risiko terdiri dari:
1. Identifikasi risiko: untuk mengenali risiko‐risiko yang mengancam tujuan organisasi yang
bersumber dari eksternal dan internal serta faktor lain yang dapat meningkatkan risiko.
2. Analisis risiko: untuk menentukan tingkat (scoring) probabilitas dan dampak dari risiko
yang telah diidentifikasi terhadap pencapaian tujuan Instansi Pemerintah.

Risiko‐risiko ini merupakan tanggung jawab manajemen selaku pemilik risiko. Manajemen harus
membangun pengendalian internal (internal control) untuk menjaga agar risiko‐risiko tetap
berada di tingkat yang dapat ditolerir (dibawah risk appetite). Serangkaian proses sejak
identifikasi, analisis, pengelolaan, dan pengendalian risiko untuk memberikan keyakinan
yang memadai tentang pencapaian tujuan adalah kegiatan manajemen risiko.
Risk Maturity
Risk Maturity Level adalah tingkatan sejauh mana manajemen risiko telah diadopsi dan
diterapkan di seluruh organisasi untuk mengidentifikasi, menganalisis, menentukan response
risiko dan melaporkan peluang/ancaman yang dapat mempengaruhi pencapaian tujuan
organisasi. Tingkat risk maturity berpengaruh pada rencana audit yang disusun auditor internal.
Untuk mengetahui sejauh mana tingkat risk maturity suatu organisasi auditor internal dapat
melakukan hal‐hal sebagai berikut.
1. Melakukan wawancara dengan jajaran pimpinan organisasi untuk mengatahui proses yang
telah diterapkan untuk meningkatkan manajemen risiko. Proses yang telah dilakukan oleh
manajemen dapat berupa pelatihan, workshop, membuat questionnaire tentang risiko dan
wawancara dengan pemilik risiko. Hasil akhir dari proses ini adalah risk register yang
komprehensif dan kesimpulan bagaimana risk manajemen tertanam dalam organisasi.
2. Mengumpulkan informasi/bukti yang mendukung simpulan diatas antara lain berupa:
a. tujuan organisasi;
b. kertas kerja penilaian risiko berupa scoring dampak dan probabilitas untuk
menyusun peringkat risiko;
c. tingkat risk appetite yang ditetapkan pimpinan operasi;
d. prosedur yang digunakan manajemen untuk mengidentifikasi risiko;
e. bukti bahwa manajemen mempertimbangkan risiko dalam pengambilan keputusan;
f. daftar risiko organisasi yang menunjukkan hubungan antara tujuan, risiko, pemilik
risiko, score dampak dan probabilitas untuk inherent risk dan residual risk. termasuk
risk response dan pengendalian yang telah diterapkan serta tingkat risk appetite
yang dikehendaki pimpinan organisasi; dan

g. dokumen lain yang membuktikan adanya komitmen pimpinan terhadap penerapan
manajemen risiko.
Tingkat risk maturity auditi mempengaruhi langkah audit yang akan diambil. Dalam table berikut
digambarkan tingkatan risk maturity dan langkah yang akan diambil auditor internal.

Risk Maturity Karakteristik kunci Pendekatan Internal Audit
Risk Naive
Organisasi belum menerapkan
Manajemen Risiko secara formal
Memfasilitasi organisasi membangun
manajemen risiko.
Auditor melakukan penilaian risiko dengan
keterlibatan manajemen.
Risk Aware
Penerapkan Manajemen Risiko
Organisasi secara acak (scattered silo
approach)
Memfasilitasi organisasi membangun
manajemen risiko.
Auditor melakukan penilaian risiko dengan
keterlibatan manajemen.
Risk Defined
Strategi dan kebijakan manajemen
risiko telah dikomunikasikan dan
tingkatan risiko yang dapat ditolerir
(risk appetite) telah ditetapkan
Memfasilitasi penyempurnaan manajemen
risiko. Audit memanfaatkan hasil penilaian
risiko yang dilakukan manajemen
Risk Managed
Risk manajemen telah diterapkan dan
dan telah dikomunikasikan ke seluruh
anggota organisasi.
Penekanan audit pada proses manajemen
risiko. Perhatian khusus diberikan untuk
memverifikasi pemantauan risiko utama.
Risk Enabled
Organisasi telah mengintegrasikan
manajemen risiko dan internal control
Penekanan audit pada proses manajemen
risiko. Perhatian khusus diberikan untuk
memverifikasi pemantauan risiko utama.
Tabel 2.2   Tingkatan risk maturity dan langkah yang akan diambil auditor internal
Hasil penilaian tingkat risk maturity dapat digunakan sebagai bahan pertimbangan dalam
menentukan pendekatan audit yang akan digunakan oleh auditor internal sebagai berikut.
1. Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen risiko
secara acak) dan risk naive (manajemen resiko belum diterapkan secara formal), maka
auditor tidak dapat meyakini risk register organisasi. Dalam kondisi seperti ini, internal
auditor dapat menjalankan peran konsultatifnya, yaitu bertindak sebagai konsultan dalam
proses pemahaman dan penerapan manajemen risiko bagi organisasi.

Auditor internal dimungkinkan untuk melakukan audit berbasis risiko setelah dilakukan
fasilitasi penyusunan risk register organisasi. Auditor internal tidak dapat menetapkan
risiko tanpa keterlibatan pihak manajemen, karena pemilik dan penanggung jawab risiko
adalah manajemen. Hal ini dilakukan untuk menghindari kesalahpahaman pihak
manajemen yang menganggap bahwa auditor internal yang bertanggung jawab terhadap
risiko organisasi.
2. Pada kondisi risk defined (strategi dan kebijakan manajemen risiko telah ditetapkan),
pekerjaan audit diawali dengan verifikasi apakah proses manajemen risiko sudah berjalan
dengan efektif. Pekerjaan audit lebih detail diperlukan untuk meyakinkan bahwa semua
risiko sudah diidentifikasi dan pengendalian terhadap risiko telah berjalan efektif.
3. Pada kondisi risk managed dan risk enabled, pekerjaan audit tidak lagi diarahkan untuk
menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Perhatian khusus
diarahkan pada proses manajemen risiko dan verifikasi terhadap pemantauan manajemen
atas risiko‐risiko kunci dalam organisasi.
Audit Universe (Peta Objek Audit)
Dari hasil penilaian risk maturity, dapat diperoleh daftar risiko (risk register) organisasi. Dalam
konteks kondisi manajemen risiko yang masih naïve dan aware, daftar ini dapat diperoleh dari
hasil fasilitasi penyusunan risk register. Bila manajemen risiko organisasi telah mencapai level
managed dan enabled, auditor dapat menggunakan daftar risiko yang dihasilkan manajemen.
Daftar risiko ini merupakan sumber penyusunan audit universe yang akan digunakan dalam
proses perencanaan dan pelaksanaan audit selanjutnya.
Audit Universe (peta audit) merupakan daftar semua kemungkinan audit yang dapat dilakukan
dan dimanfaatkan untuk perencanaan audit jangka panjang (lebih dari satu tahun), menyusun
strategi audit, dan aktivitas audit lainnya. Peta audit adalah risk register yang telah
dikembangkan lebih lanjut yang memuat informasi sebagai berikut.
• Risiko yang telah teridentifikasi dan telah dilengkapi dengan score.
• Tujuan yang terancam oleh masing‐masing risiko.
• Pemilik Risiko (risk owner).
• Pengendalian yang diterapkan oleh manajemen.

• Simpulan hasil audit sebelumnya mengenai efektifitas pengendalian setiap risiko.
• Informasi mengenai audit‐audit yang telah dan akan dilakukan.
• Informasi lain terkait pengendalian dan risiko.
Peta Audit sebaiknya disimpan dalam bentuk data base (misalnya Access), bukan spreadsheet
(misalnya Excel). Keuntungan penggunaan data base adalah data yang disimpan relatif lebih
terjaga keamanan, konsistensi dan integritasnya. Dalam bentuk data base, peta audit lebih
mudah dalam menghasilkan laporan misalnya:
• Penugasan‐penugasan audit yang sedang berlangsung.
• Risiko‐risiko yang mengancam tujuan tertentu.
• Rincian risiko‐risiko yang diurutkan berdasar score‐nya.
• Beragam laporan lain sesuai data‐data yang disimpan dalam data base.
D. KEGIATAN ASSURANCE DAN KONSULTANSI
Gambaran lingkup penugasan auditor internal menurut Draft Standar Audit Intern Pemerintah
Indonesia yang disusun Asosiasi Auditor Intern Pemerintah Indonesia (AAIPI), dapat
digambarkan dalam skema sebagai berikut.

Gambar 2.1 Lingkup Penugasan Auditor Internal menurut AAIPI

Peran Auditor Internal
Peran audit internal menurut Standar Audit APIP dan IIA dapat dibagi dalam dua kelompok,
yaitu assurance dan konsultansi. Standar audit APIP menyatakan bahwa pengawasan intern
adalah seluruh proses kegiatan (assurance) audit, reviu, pemantauan, evaluasi, dan kegiatan
pengawasan lainnya (konsultansi) berupa asistensi, sosialisasi dan konsultansi. Hal ini senada
dengan IIA yang membagi secara tegas tugas auditor internal dengan pernyataan bahwa:
“Internal auditing is an independent, objective assurance and consulting activity”.
IIA dalam International Standards for the Professional Practice of Internal Auditing (IPPF‐2013)
mendefinisikan kedua peran ini sebagai berikut.
Assurance services : An objective examination of evidence for the purpose of providing an
independent assessment on governance, risk management, and control processes for the
organization. Examples may include financial, performance, compliance, system security,
and due diligence engagements.
Terjemahannya: Kegiatan Penjaminan adalah pemeriksaan bukti‐bukti secara objektif
untuk memberikan penilaian independen tentang manajemen risiko, pengendalian, dan
proses tata kelola. Contohnya dapat berupa penugasan terkait keuangan, kinerja,
ketaatan, dan keamanan sistem
Consulting Services : Advisory and related client service activities, the nature and scope of
which are agreed with the client, are intended to add value and improve an organization’s
governance, risk management, and control processes without the internal auditor
assuming management responsibility. Examples include counsel, advice, facilitation, and
training.
Terjemahannya : Kegiatan konsultansi adalah pemberian saran terkait aktivitas organisasi.
Sifat dan lingkup penugasan disepakati bersama untuk memberikan nilai tambah dan
perbaikan risiko, pengendalian, dan proses tata kelola organisasi. Contohnya dapat berupa
konsultansi, pemberian saran, fasilitasi dan pelatihan.

Persamaan dan Perbedaan Assurance dan Konsultansi
Persamaan kedua peran ini adalah bertujuan untuk meningkatkan governance, risk
management, and control (GRC) organisasi. Bedanya, assurance dilakukan melalui pemeriksaan
bukti‐bukti yang bertujuan menilai GRC, sedangkan konsultansi dilakukan melalui kegiatan
pemberian saran perbaikan GRC.

Perbedaan mendasar antara kedua peran ini adalah sebagai berikut.
1. Pihak‐pihak yang Terlibat
Dalam kegiatan konsultansi, pihak yang terlibat hanya dua pihak, yaitu pihak manajemen
selaku peminta/penerima saran dan auditor internal selaku pemberi saran. Dalam
kegiatan assurance ada tiga pihak terlibat, yaitu manajemen selaku auditi, auditor internal
selaku pelaksana kegiatan dan pihak ketiga yang memanfaatkan hasil kegiatan assurance
ini.
2. Standar Pelaksanaan
Standar audit APIP sementara ini belum mengatur kegiatan konsultansi, namun IIA
menerbitkan standar pelaksanaan berupa IPPF‐2013. Dalam standar ini, Attribute
Standard dan Performance Standard berlaku pada semua kegiatan Assurance dan
Konsultansi, dengan perbedaan standard untuk masing masing peran.
3. Tujuan Kegiatan
Kegiatan assurance bertujuan untuk memberikan penilaian independen dengan lingkup
dan sifat kegiatan yang ditentukan oleh auditor. Sedangkan kegiatan konsultansi
bertujuan untuk memberikan saran, pelatihan dan fasilitasi. Sifat dan lingkup kegiatan
konsultansi ditetapkan sesuai kesepakatan antara manajemen dan auditor internal.
4. Penyampaian Hasil Kegiatan.
Jenis informasi yang disampaikan untuk berbagai kegiatan assurance relative sama,
sehingga format laporan dapat dikatakan tidak jauh berbeda. Keseragaman format ini
mempermudah pembaca laporan untuk mencari informasi tertentu yang mereka
butuhkan. Laporan kegiatan konsultansi sebaliknya, sangat berbeda tergantung jenis dan
lingkup penugasan yang disepakati. Bentuk dan isi laporan konsultansi disesuaikan dengan
kebutuhan, dalam bentuk yang dianggap paling efektif dan efisien dalam menyampaikan
pesan.

Jenis Kegiatan Assurance
Menurut Draft Standar Audit Intern Pemerintah Indonesia (AAIPI), kegiatan assurance yang
dilakukan oleh APIP meliputi kegiatan berikut ini.
1. Audit adalah proses identifikasi masalah, analisis, dan evaluasi bukti yang dilakukan secara
independen, objektif dan profesional berdasarkan standar audit, untuk menilai kebenaran,
kecermatan, kredibilitas, efektifitas, efisiensi, dan keandalan informasi pelaksanaan tugas
dan fungsi instansi pemerintah. Jenis audit yang dapat dilakukan APIP dapat terbagi dalam
tiga kelompok, yaitu:
a. Audit keuangan adalah audit atas laporan keuangan, yang terbagi atas:
1) Audit keuangan yang bertujuan untuk memberikan opini atas kewajaran
penyajian laporan keuangan sesuai dengan prinsip akuntansi yang diterima
umum. Dalam penugasan ini auditor wajib menggunakan Standar Pemeriksaan
Keuangan Negara (SPKN) dan/atau Standar Profesional Akuntan Publik (SPAP).
2) Audit terhadap aspek keuangan tertentu (audit atas laporan keuangan bukan
untuk memberikan opini), contohnya antara lain:
a) audit atas bagian dari laporan keuangan/informasi keuangan;
b) audit atas laporan pendapatan dan biaya;
c) audit atas laporan penerimaan dan pengeluaran kas;
d) audit atas laporan aktiva tetap, permintaan anggaran;
e) audit pengelolaan keuangan dana dekonsentrasi; dan
f) audit Keuangan Lainnya.
b. Audit kinerja adalah audit atas pelaksanaan tugas dan fungsi instansi pemerintah
yang terdiri atas audit aspek ekonomi, efisiensi, dan audit aspek efektivitas, serta
ketaatan pada peraturan. Contoh Audit kinerja antara lain:
1) audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan pada
peraturan;
2) post audit dengan sasaran ekonomis, efisiensi, dan efektivitas, serta ketaatan
pada peraturan;

3) audit kinerja atas penyusunan dan pelaksanaan anggaran;
4) audit kinerja atas penerimaan, penyaluran, dan penggunaan dana;
5) audit kinerja atas pengelolaan aset dan kewajiban;
6) audit operasional program/kegiatan;
7) audit akuntabilitas kinerja; dan
8) audit sistem informasi.
c. Audit dengan tujuan tertentu adalah audit di luar audit keuangan dan audit kinerja
yang bertujuan untuk memberikan simpulan atas suatu hal yang diaudit. Yang
termasuk dalam kategori ini antara lain:
1) audit investigatif adalah proses mencari, menemukan, dan mengumpulkan
bukti secara sistematis yang bertujuan mengungkapkan terjadi atau tidaknya
suatu perbuatan dan pelakunya guna dilakukan tindakan hukum selanjutnya;
2) audit terhadap masalah yang menjadi fokus perhatian pimpinan organisasi;
3) audit ketaatan (compliance audit);
4) audit atas tindak kecurangan/fraud audit;
5) audit atas kegiatan melawan hukum/illegal act audit;
6) mengumpulkan data dan/atau informasi intelijen;
7) fraud audit/illegal act audit/audit atas tindak kecurangan/KKN/audit forensik/
audit investigatif;
8) memproses penyelesaian TP/TGR;
9) audit atas berbagai indikasi pemborosan (waste, abuse);
10) audit khusus terhadap adanya pengaduan masyarakat terkait dugaan
penyimpangan dalam pengelolaan aset, pelayanan publik atau pelaksanaan
pemerintahan;

11) membantu aparat penegak hukum (APH) untuk memberikan keterangan
ahli/pendampingan pemberian keterangan ahli dalam peradilan kasus hasil
pengawasan;
12) membantu aparat penegak hukum (APH) untuk melakukan penghitungan
kerugian keuangan negara (audit PKKN);
13) audit atas pengelolaan aset;
14) audit atas kepegawaian;
15) memberikan kesaksian dalam peradilan kasus hasil pengawasan non keuangan
seperti kasus perceraian, indisipliner pegawai, dan kasus perselingkuhan;
16) mengkaji sistem pengendalian manajemen objek pengawasan;
17) pengendalian intern terhadap ketaatan hukum dan peraturan atas proses
tender, akuntansi, hibah, bantuan, dan kontrak;
18) audit ketaatan atas hukum dan peraturan;
19) audit penyesuaian harga;
20) audit klaim;
21) audit lingkungan;
22) audit sosial, audit atas efektifitas bantuan sosial (misalnya: bantuan langsung
tunai/BLT);
23) audit khusus dalam rangka serah terima jabatan (sertijab)/alih jabatan;
24) pemeriksaan dalam rangka berakhirnya masa jabatan kepala daerah;
25) audit atas catatan‐catatan akuntansi intern (internal accounting records);
26) audit buril, seperti: melaksanakan verifikasi, serta pengujian dan penilaian
dokumen; dan
27) audit yang bersifat khas lainnya.

2. Reviu adalah penelaahan ulang bukti‐bukti suatu kegiatan untuk memastikan bahwa
kegiatan tersebut telah dilaksanakan sesuai dengan ketentuan, standar, rencana, atau
norma yang telah ditetapkan. Contoh reviu antara lain:
a. reviu atas laporan keuangan;
b. reviu atas sistem pengendalian intern pemerintah (SPIP);
c. reviu atas rencana kegiatan dan anggaran (RKA);
d. reviu atas usulan revisi yang mengubah plafon anggaran;
e. reviu atas aspek keuangan tertentu;
f. reviu aspek kinerja tertentu;
g. reviu periodik atas pengelolaan keuangan;
h. reviu atas aspek tertentu penyelenggaraan pemerintahan dan pembangunan; dan
i. reviu atas hasil kajian pengawasan tertentu.
3. Pemantauan adalah proses penilaian kemajuan suatu program/kegiatan dalam mencapai
tujuan yang telah ditetapkan. Contoh pemantauan antara lain:
a. pemantauan tindak lanjut hasil pemeriksaan;
b. pemantauan terhadap pelaksanaan kebijakan;
c. pemantauan realisasi penyerapan anggaran;
d. pemantauan capaian kinerja instansi pemerintah;
e. monitoring dana dekonsentrasi; dan
f. pemantauan persidangan perkara pidana.
4. Evaluasi adalah rangkaian kegiatan membandingkan hasil/prestasi suatu kegiatan dengan
standar, rencana, atau norma yang telah ditetapkan, dan menentukan faktor‐ faktor yang
mempengaruhi keberhasilan atau kegagalan suatu kegiatan dalam mencapai tujuan.
Contoh evaluasi antara lain:
a. evaluasi dan penilaian atas efektivitas proses tata kelola;
b. evaluasi dan penilaian atas efektivitas manajemen risiko;
c. evaluasi dan penilaian atas efektivitas penerapan sistem pengendalian intern;

d. evaluasi atas efektivitas suatu program;
e. evaluasi kelembagaan;
f. evaluasi kebijakan;
g. evaluasi strategi pelaksanaan kegiatan;
h. evaluasi akuntabilitas kinerja instansi pemerintah (AKIP); dan
i. evaluasi hasil pengembangan sistem informasi.
Masing‐masing kegiatan assurance (audit, reviu, pemantauan dan evaluasi) memiliki derajat
assurance yang berbeda sesuai sifat dan jumlah bukti yang akan diuji. Derajat assurance
berbanding lurus dengan jumlah bukti yang dikumpulkan dan dievaluasi, sebagaimana
tergambar dalam table berikut.

Jenis Penugasan Derajat Assurance Jumlah Bukti Dikumpukan Sifat Assurance
Audit Tinggi Banyak Positif
Reviu Sedang Cukup Banyak Negatif
Assurance Lain Bervariasi   Bervariasi   Negatif

Tabel 2.3   Derajat Assurance dan Jumlah Bukti yang Dikumpulkan dan Dievaluasi
Positive assurance (biasa disebut reasonable assurance/jaminan memadai) diberikan oleh
auditor internal untuk memberikan keyakinan bahwa informasi yang diaudit telah sesuai dengan
kriteria/ketentuan. Contoh:
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil audit yang telah dilakukan, disimpulkan bahwa pelaksanaan tugas dan
fungsi Satker XYZ telah dilaksanakan dengan efektif dalam mencapai tujuan organisasi”.
Negative assurance/jaminan terbatas yang diberikan oleh auditor ‘hanya’ memberi keyakinan
bahwa tidak ditemukan adanya penyimpangan/bukti adanya penyimpangan dari kriteria yang
digunakan. Contoh :
• Dalam penilaian efektifitas kegiatan, pernyataan jaminan memadai dapat diberikan dalam
bentuk: “Dari hasil evaluasi yang telah dilakukan, tidak ditemukan bukti bahwa
pelaksanaan tugas dan fungsi Satker XYZ dilaksanakan dengan tidak efektif”.

Jenis Kegiatan Konsultansi
Kegiatan konsultasi sangat bervariasi baik bentuk dan sifatnya, disesuaikan dengan kesepakatan
antara auditor dan manajemen. Kegiatan ini dapat didesain sesuai kebutuhan manajemen untuk
mengatasi masalah tertentu. Walaupun demikian, kegiatan ini hanya dapat dilaksanakan
sepanjang tidak mengganggu independensi dan objektifitas auditor internal.
Kegiatan konsultansi dapat berbentuk pemberian saran (advisory role), pelatihan (training role),
dan bimbingan teknis (facilitative role). Namun, dalam praktik kegiatan konsultansi tidak dapat
dipisahkan secara tegas antara advisory role, training role, dan facilitative role. Misalnya dalam
kegiatan facilitative, auditor juga berperan advisory. Demikian juga dalam kegiatan training role,
auditor internal juga memberika saran (advisory role)
1. Advisory Role
Pada umumnya, kegiatan konsultansi bersifat memberikan saran kepada manajemen.
Kegiatan dapat dilakukan dalam bentuk kajian dan penyampaian rekomendasi. Setiap
organisasi tentu mengalami berbagai tantangan, untuk menghadapinya manajemen dapat
meminta auditor untuk memberikan saran misalnya dalam hal‐hal berikut.
a. Membangun desain pengendalian internal.
b. Membangun prosedur dan kebijakan.
c. Memberikan saran tentang kegiatan yang berisiko tinggi.
d. Membangun manajemen risiko.
2. Training Role
Auditor pada umumnya berpengalaman melaksanakan tugas assurance dan memiliki
pengetahuan yang dapat dibagi dengan manajemen. Pengetahuan auditor yang dapat
diberikan terkait berbagai kriteria/peraturan, manajemen risiko, pengendalian internal
dan best practices. Auditor dapat membagikan/menyebarkan/mendesiminasikan
pengetahuan tersebut atas permintaan manajemen melalui pelatihan, workshop, atau
sosialisasi.

3. Facilitative Role
Manajemen juga bisa meminta auditor internal untuk terlibat lebih jauh, misalnya sebagai
fasilitator (facilitative role). Peran fasilitator ini dilaksanakan dalam bentuk pendampingan
asistensi dan bimbingan teknis pendampingan. Internal auditor telah berpengalaman
dalam melakukan analisis pengendalian yang diperlukan untuk menangani sebuah risiko.
Internal auditor dapat membimbing manajemen untuk menemukan ‘kelemahan’ sebuah
pengendalian dan membimbing manajemen membangun pengendalian untuk menutup
kelemahan tersebut.
Selaku fasilitator, auditor internal terlibat langsung dalam kegiatan manajemen. Yang
harus diperhatikan adalah dalam melakukan asistensi, internal auditor tidak boleh
bertindak sebagai pengambil keputusan yang menjadi tanggung jawab manajemen.
Standar IPPF mengatur bahwa ketika membantu manajemen, auditor internal harus
menghindari asumsi dari manajemen, bahwa auditor telah mengambil alih tanggung
jawab manajemen selaku penanggung jawab risiko.
E. TAHAPAN PENUGASAN AUDIT INTERNAL
Menurut Institut of Internal Auditors ‐ Research Foundation (IIA‐RF)1
, tahapan penugasan
auditor internal baik penugasan assurance maupun konsultansi secara umum terbagi dalam tiga
tahap utama, yaitu: perencanaan, pelaksanaan dan pelaporan. Dalam praktik tidak ada garis
tegas yang membagi ketiga tahap ini. Tahap perencanaan tidak berhenti saat dimulainya tahap
pelaksanaan, karena penyesuaian rencana perlu dilakukan saat ditemukan adanya
penyimpangan. Penyampaian simpulan (tahap pelaporan) tidak harus setelah tahap
pelaksanaan penugasan selesai, namun dapat dilakukan saat ditemukan adanya masalah yang
perlu penanganan segera.
Penugasan Assurance
Penugasan assurance bervariasi sesuai tujuan dan lingkupnya, namun dengan tahapan
penugasan relatif sama. Tahapan‐tahapan berikut pada umumnya dilakukan di setiap kegiatan
assurance, dengan sedikit penyesuaian pelaksanaan. Tahapan kegiatan assurance dapat dirinci
sebagai berikut.

1
Kurt F Reding et al (IIA-RF), 2009, Internal Auditing: Assurance and Consulting Services, 2nd Edition

1. Perencanaan
a. Penetapan tujuan dan lingkup penugasan.
b. Pemahaman auditi.
c. Identifikasi dan penilaian risiko.
d. Identifikasi pengendalian kunci.
e. Evaluasi pengendalian.
f. Penyusunan rencana pengujian.
g. Penyusunan program audit.
h. Pengalokasian sumber daya.
2. Pelaksanaan
a. Pengujian dan pengumpulan bukti.
b. Evaluasi bukti dan pengambilan kesimpulan.
c. Pengembangan temuan dan rekomendasi.
3. Pelaporan
a. Penyampaian simpulan sementara.
b. Penyusunan laporan.
c. Distribusi laporan.
d. Monitoring tindak lanjut.
Penugasan Konsultansi
Berbeda dengan kegiatan assurance, kegiatan konsultansi berbeda tahapannya untuk setiap
kegiatan. Hal ini disebabkan lingkup, sifat dan metode kegiatan ditetapkan berdasar
kesepakatan antara auditor dan manajemen. Dengan kata lain, bentuk penugasan konsultansi
sangat bergantung kebutuhan manajemen. Berikut adalah tahapan kegiatan konsultansi secara
umum penerapannya disesuaikan lingkup dan tujuan penugasan. Tahapan kegiatan konsultansi
dapat dirinci sebagai berikut.

1. Perencanaan
a. Penentuan tujuan dan lingkup.
b. Permintaan persetujuan tujuan dan lingkup penugasan dari manajeman.
c. Pemahaman lingkup penugasan dan proses bisnis.
d. Pemahaman risiko yang terkait (jika diperlukan).
e. Pemahaman pengendalian terkait (jika diperlukan).
f. Evaluasi desain pengendalian.
g. Penyusunan rencana penugasan.
h. Pengalokasian sumber daya.
2. PELAKSANAAN
a. Penugasan Advisory
1) Pengumpulan dan evaluasi bukti.
2) Penyusunan saran.
b. Penugasan Training dan Fasilitative
1) Penutupan bahan fasilitasi/training.
2) Pelaksanaan fasilitasi/training.
3) Evaluasi efektifitas.
3. PELAPORAN
a. Penyampaian simpulan sementara.
b. Penyusunan laporan.
c. Distribusi laporan.
d. Monitoring tindak lanjut (jika diperlukan).

Bab III
PERENCANAAN PENUGASAN ASSURANCE

Indikator Keberhasilan
Setelah mempelajari bab ini, peserta diklat diharapkan memiliki pengetahuan mengenai
tahapan praktik perencanaan assurance audit internal yaitu: penetapan tujuan dan lingkup
assurance audit internal, pemahaman proses kerja auditi, identifikasi dan penilaian risiko,
identifikasi pengendalian kunci, evaluasi pengendalian, penyusunan rencana pengujian,
penyusunan program kerja dan pengalokasian sumber daya.

Kegiatan assurance merupakan penilaian objektif yang dilakukan auditor internal atas bukti
untuk memberikan pendapat independen mengenai tata kelola, manajemen risiko dan proses
pengendalian. Jenis dan lingkup penugasan assurance ditentukan oleh instansi auditor internal
(APIP). Telah dibahas sebelumnya bahwa kegiatan assurance dapat dilaksanakan dalam
berbagai bentuk antara lain: audit keuangan, audit kinerja, audit dengan tujuan tertentu,
evaluasi, reviu dan pemantauan/monitoring. Tahapan seluruh kegiatan ini dapat digambarkan
sebagai berikut.

Tabel 3.1    Tahapan Penugasan Assurance

Dalam praktik, beberapa penugasan assurance tidak menggunakan tahapan tersebut di atas. Hal
ini disebabkan, ada beberapa penugasan yang telah diatur dengan ketentuan khusus. Misalnya
penugasan‐penugasan sebagai berikut.
1. Evaluasi Akuntabilitas Kinerja Instansi Pemerintah (AKIP)
Evaluasi AKIP diatur dengan Petunjuk Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi
Pemerintah (Juklak Evaluasi AKIP) yang setiap tahun diterbitkan oleh Menteri
Pendayagunaan Aparatur Negara dan Reformasi Birokrasi (MenPanRB). Salah satunya
adalah Peraturan Menteri Pendayagunaan Aparatur Negara dan Reformasi Birokrasi
Nomor 20 Tahun 2013 tentang Perubahan Lampiran Peraturan Menteri Pendayagunaan
Aparatur Negara dan Reformasi Birokrasi Nomor 25 Tahun 2012 Tentang Petunjuk
Pelaksanaan Evaluasi Akuntabilitas Kinerja Instansi Pemerintah.
Evaluasi AKIP adalah aktivitas analisis yang sistematis, pemberian nilai, atribut, apresiasi,
dan pengenalan permasalahan, serta pemberian solusi atas masalah yang ditemukan
untuk tujuan peningkatan kinerja dan akuntabilitas instansi/unit kerja pemerintah.
Metodologi yang digunakan untuk melakukan evaluasi akuntabilitas kinerja instansi
dengan menggunakan teknik "criteria referenced survey", dengan cara menilai secara
bertahap langkah demi langkah (step by step assessment) setiap komponen dan
selanjutnya menilai secara keseluruhan (overall assessment) dengan kriteria evaluasi dari
masing‐masing komponen yang telah ditetapkan sebelumnya. Kriteria evaluasi kinerja
instansi pemerintah ditentukan dengan berdasarkan kepada:
a. kebenaran normatif sebagaimana yang ditetapkan dalam pedoman penyusunan
laporan akuntabilitas kinerja instansi pemerintah;
b. kebenaran normatif yang bersumber pada modul‐modul atau buku‐buku petunjuk
mengenai sistem AKIP;
c. kebenaran normatif yang bersumber pada best practice baik di Indonesia maupun di
luar negeri;
d. kebenaran normatif yang bersumber pada berbagai praktik manajemen strategis,
manajemen kinerja, dan sistem akuntabilitas yang baik.

Penilaian apakah suatu instansi telah memenuhi suatu kriteria, harus didasarkan pada
fakta objektif dan professional judgement dari para evaluator. Teknik evaluasi pada
dasarnya merupakan cara/alat/metode yang digunakan untuk pengumpulan dan analisis
data. Berbagai teknik evaluasi dapat dipilih untuk digunakan dalam evaluasi ini, namun
demikian pada akhirnya teknik yang digunakan harus dapat mendukung penggunaan
metode evaluasi yang telah ditetapkan, sehingga mampu menjawab tujuan dilakukannya
evaluasi ini. Berbagai teknik pengumpulan data antara lain: kuisioner, wawancara,
observasi, studi dokumentasi atau kombinasi beberapa teknik tersebut. Sedangkan teknik
analisis data antara lain: telaahan sederhana, berbagai analisis dan pengukuran, metode
statistik, pembandingan, analisis logika program dan sebagainya.
Ruang lingkup evaluasi AKIP meliputi kegiatan evaluasi terhadap perencanaan strategis
dan perencanaan kinerja tahunan, pelaksanaan program dan kegiatan, pengukuran
capaian kinerja, serta pelaporan kinerja, informasi kinerja yang dipertanggungjawabkan
dalam LAKIP bukanlah satu‐satunya yang digunakan dalam menentukan nilai evaluasi,
akan tetapi juga termasuk berbagai hal yang dapat dihimpun guna mengukur keberhasilan
ataupun keunggulan instansi.
Untuk keberhasilan pelaksanaan evaluasi, terlebih dahulu perlu didefinisikan kepentingan
pihak‐pihak pengguna hasil evaluasi. Informasi yang dihasilkan dari suatu evaluasi antara
lain mencakup:
a. informasi untuk mengetahui tingkat kemajuan/perkembangan (progress);
b. informasi untuk membantu agar kegiatan tetap dalam alurnya; dan
c. informasi untuk meningkatkan efisiensi.
2. Audit Investigatif
Audit Investigastif dilakukan berdasar Peraturan Menteri Pendayagunaan Aparatur Negara
(Permen PAN) Nomor PER/05/M.PAN/03/2008 tentang Standar Audit Aparat Pengawasan
Internal Pemerintah, juga harus berpedoman pada Peraturan Kepala BPKP Nomor
PER‐1314/K/D6/2012 tentang Pedoman Penugasan Bidang Investigasi (PPBI).
Audit Investigatif adalah proses mencari, menemukan, dan mengumpulkan bukti secara
sistematis yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan dan
pelakunya guna dilakukan tindakan hukum selanjutnya. Berdasarkan pengertian audit

investigatif di atas, maka dalam audit investigatif terdapat proses pengungkapan terjadi
atau tidaknya suatu perbuatan dan pelakunya dengan tujuan untuk membuktikan ada
atau tidaknya perbuatan melanggar hukum.
Dengan demikian, terkait dengan pengelolaan keuangan negara, audit investigatif
merupakan suatu upaya untuk membuktikan ada tidaknya suatu perbuatan yang
melanggar hukum sehingga apabila perbuatan terbukti, maka akan dikualifikasikan apakah
perbuatan tersebut termasuk kesalahan administrasi yang nantinya akan dilakukan
tuntutan ganti rugi/tuntutan perbendaharaan atau terdapat indikasi tindak pidana
korupsi/terdapat indikasi tindak pidana lain.
Tahapanan kegiatan audit investigasi adalah sebagai berikut.
a. Pra‐perencanaan
Pra‐perencanaan dalam audit investigatif meliputi proses pengidentifikasian
masalah dalam kegiatan yang memerlukan audit investigatif, penyusunan hipotesis
awal atas masalah yang diidentifikasi, dan pengolahan hipotesis, hingga
ditetapkannya simpulan berupa layak atau tidaknya dilakukan suatu audit
investigatif terhadap masalah tersebut.
b. Perencanaan
Penyusunan rencana penugasan audit meliputi kegiatan penetapan sasaran dan
ruang lingkup audit investigatif serta melakukan alokasi sumber daya dalam rangka
melaksanakan penugasan tersebut.
c. Pengumpulan dan Evaluasi Bukti
Pelaksanaan pengumpulan dan evaluasi bukti harus difokuskan pada upaya
pengujian hipotesis untuk mengungkapkan: fakta‐fakta dan proses kejadian (modus
operandi), sebab dan dampak penyimpangan, serta pihak‐pihak yang diduga
terlibat/bertanggung jawab atas kerugian keuangan negara/daerah.
d. Pelaporan
Proses dokumentasi atas hasil pelaksanaan audit investigatif merupakan tahap yang
sama pentingnya dengan tahapan lain dalam audit investigatif atas suatu kasus.

Biasanya bentuk dokumentasi tersebut berupa laporan tertulis. Laporan tertulis
merupakan suatu bukti bahwa audit investigasi telah dilaksanakan sesuai dengan
prosedur yang berlaku.
Auditor harus mempertimbangkan bahwa laporan hasil audit investigasi akan dibaca
oleh banyak pihak termasuk pihak‐pihak mempunyai kepentingan yang
bertentangan dengan auditor. Dengan demikian, dalam menyusun laporannya
auditor harus mampu bertahan dengan apa yang sudah ditulisnya. Untuk itu, ia
harus dapat meyakinkan bahwa laporan telah dibuat sesuai dengan prosedur dan
telah menjawab pertanyaan klasik yaitu: siapa, apa, mengapa, dimana, bilamana,
dan bagaimana.
3. Reviu Laporan Keuangan
Reviu atas laporan keuangan pemerintah diatur dengan Peraturan Menteri Keuangan
Nomor 41/PMK.09/2010 tentang Standar Reviu atas Laporan Keuangan Kementerian
Negara/Lembaga dan Peraturan Menteri Dalam Negeri Nomor 4 Tahun 2008 tentang
Pedoman Pelaksanaan Reviu atas Laporan Keuangan Pemerintah Daerah.
Reviu atas laporan keuangan adalah proses penelaahan atas penyelenggaraan akuntansi
dan penyajian laporan keuangan kementerian/lembaga/pemerindah daerah (K/L/D) yang
dilakukan oleh aparat pengawasan intern pemerintah (APIP) yang kompeten untuk
memberikan keyakinan terbatas bahwa akuntansi telah diselenggarakan berdasarkan
sistem akuntansi dan telah disajikan sesuai dengan standar akuntansi pemerintah.
Laporan keuangan pemerintah dimaksud terdiri atas:
a. laporan realisasi anggaran;
b. neraca;
c. laporan arus kas; dan
d. catatan atas laporan keuangan.
Tahapan reviu laporan keuangan adalah sebagai berikut.
a. Perencanaan, kegiatan yang dilakukan dalam tahap ini berupa penentuan objek,
proses dan akun yang akan direviu serta pemilihan langkah‐langkah reviu.

b. Pelaksanaan, kegiatan yang dilakukan dalam tahap ini penelaahan atas
penyelenggaraan akuntansi dan laporan keuangan K/L pada unit reviu penyusunan
KKR.
c. Pelaporan berupa penyusunan:
1) catatan hasil reviu;
2) ikhtisar hasil reviu; dan
3) laporan hasil reviu.
d. Pendampingan selama pemeriksaan BPK. Yang dapat dilakukan oleh APIP dalam
tahap ini adalah:
1) menjelaskan kepada BPK mengenai hasil reviu atas laporan keuangan K/L agar
dapat digunakan oleh BPK;
2) mendukung kelancaran pelaksanaan pemeriksaan BPK;
3) mengantisipasi permasalahan/kendala yang dihadapi oleh unit akuntansi pada
saat pelaksanaan pemeriksaan oleh BPK;
4) membantu penyamaan persepsi unit akuntansi terhadap temuan hasil
pemeriksaan BPK;
5) mendampingi unit akuntansi dalam pertemuan akhir dengan BPK untuk
membahas hasil pemeriksaan; dan
6) Mendorong unit akuntansi untuk segera memperbaiki laporan keuangan
berdasarkan hasil pemeriksaan BPK.
A. PENETAPAN TUJUAN DAN LINGKUP PENUGASAN
Langkah pertama dalam memulai suatu penugasan adalah menentukan tujuan (apa yang akan
dicapai) dan lingkup penugasan (apa yang akan diuji). Pada bagian sebelumnya telah disebutkan
bahwa kegiatan assurance dapat berbentuk audit, reviu, evaluasi dan pemantauan. Pembagian
penugasan ini berdasarkan tujuan dan lingkup penugasan. Misalnya, jika sebuah penugasan
bertujuan untuk memberikan positive assurance (keyakinan memadai) maka jenis

penugasannya adalah ‘audit’. Keyakinan memadai yang diberikan membawa konsekuensi
bahwa penugasan akan menggunakan sumber daya lebih terkait banyaknya jumlah bukti yang
harus diuji. Audit dapat dikelompokkan lebih lanjut sesuai tujuannya, misalnya sebagai berikut.
1. Audit yang bertujuan untuk memberi opini atas laporan keuangan disebut Audit
Keuangan.
2. Audit yang bertujuan untuk menilai efektifitas dan efisiensi sebuah kegiatan/program
disebut Audit Kinerja.
3. Audit yang bertujuan untuk menilai ketaatan terhadap peraturan tertentu (compliance
audit) disebut Audit Kinerja.
4. Audit yang bertujuan mengungkapkan terjadi atau tidaknya suatu perbuatan yang
melawan hukum disebut Audit Investigasi (audit tujuan tertentu).
Dalam hal keterbatasan sumber daya atau cukup dengan jaminan terbatas, jenis penugasan
dapat disesuaikan. Penugasan dapat dilakukan dalam bentuk reviu, evaluasi atau pemantauan,
yang hanya memberikan negative assurance (keyakinan terbatas). Pemberian keyakinan
terbatas ini dapat dikelompokkan lagi berdasar tujuannya, misalnya sebagai berikut.
1. Penelaahan ulang bukti‐bukti suatu kegiatan yang bertujuan untuk memastikan bahwa
kegiatan telah dilaksanakan sesuai dengan ketentuan disebut Reviu.
2. Kegiatan yang bertujuan untuk menilai kemajuan suatu program/kegiatan dalam
mencapai tujuan yang telah ditetapkan disebut Pemantauan.
3. Rangkaian kegiatan yang bertujuan membandingkan hasil/prestasi suatu kegiatan dengan
standar, rencana, atau norma disebut Evaluasi.
Lingkup penugasan adalah batasan hal‐hal yang akan diuji. Batasan tersebut dapat berupa
proses tertentu, tingkatan tertentu, periode waktu dan/atau wilayah tertentu. Keputusan
menentukan lingkup penugasan memerlukan professional judgement dari pimpinan instansi
auditor internal. Penentuan lingkup penugasan yang jelas, membantu tim audit untuk lebih
fokus pada pengujian tertentu. Bagi pembaca laporan, pernyataan lingkup penugasan yang jelas
dapat mempermudah untuk memahami permasalahan dan simpulan yang disampaikan dalam
laporan.

Contoh kasus:
Pada tahun 2014, sebuah Satuan Kerja XYZ melaksanakan pengadaan 300 set komputer
dan 15.000 eksemplar buku untuk 150 sekolah yang tersebar di 15 kecamatan. Pengadaan
ini menggunakan dana APBN yang bersumber dari DIPA Satker XYZ. Auditor internal
ditugaskan untuk memastikan bahwa kegiatan pengadaan komputer tersebut telah sesuai
peraturan yang berlaku tentang pengadaan barang/jasa instansi pemerintah.
Atas penugasan tersebut auditor internal menetapkan tujuan dan lingkup sebagai berikut.
• Tujuan penugasan: memberi positive assurance bahwa pengadaan komputer
tersebut telah sesuai ketentuan yang berlaku.
• Lingkup penugasan: pengadaan komputer pada satker XYZ pada tahun 2014.
• Nama penugasan: audit kinerja atas pengadaan komputer pada Satker XYZ tahun
2014.
B. PEMAHAMAN PROSES KERJA AUDITI
Dalam merencanakan penugasan, auditor internal harus memahami auditi (tujuan, proses dan
area yang menjadi lingkup penugasan). Kegagalan dalam memahami auditi dapat berakibat
pengujian yang tidak lengkap atau kesalahan pengalokasian sumber daya. Yang pertama harus
dipahami oleh auditor internal adalah tujuan organisasi. Tujuan organisasi dapat diartikan
sebagai sesuatu yang diupayakan untuk dicapai oleh organisasi. Informasi yang diuji pada
umumnya terkait pernyataan (assertion) auditi sejauh mana tujuan organisasi telah tercapai dan
proses yang dilakukan manajemen dalam mencapainya.
Auditor internal dapat menggunakan berbagai sumber untuk memahami auditi. Salah satunya
dengan memanfaatkan data yang telah tersedia, misalnya data‐data sebagai berikut.
1. Renstra
2. Kebijakan
3. Prosedur Baku
4. Uraian tugas masing‐masing pegawai yang terlibat
5. Process Map/Flow Chart keseluruhan proses
6. Dokumentasi lain misalnya laporan efektifitas internal control

Atas data‐data tersebut dapat dilakukan prosedur analitis lebih lanjut dengan langkah sebagai
berikut.
1. Membandingkan data tahun ini dengan data tahun sebelumnya.
2. Analisis rasio misalnya tingkat penyerapan anggaran (realisasi/anggaran).
3. Mengukur tingkat kemandirian keuangan pemerintah daerah (PAD/total pendapatan).
4. Mengukur tingkat capaian kinerja, baik kinerja keuangan maupun kinerja non keuangan.
Perkembangan teknologi dalam pengelolaan keuangan pemerintah dan kegiatan lainnya dapat
dimanfaatkan oleh auditor untuk mempermudah pelaksanaan tugas. Misalnya dengan
memanfaatkan sistem informasi yang ada, auditor internal dapat dengan mudah memperoleh
informasi sebagai berikut.
1. Jumlah atau persentase pembayaran yang dilakukan setelah tanggal jatuh tempo.
2. Pengelompokkan data berdasar jumlah pembayaran atau penerima pembayaran.
3. Pembayaran dengan jumlah yang sama terhadap rekanan yang sama.
Contoh kasus:

Melanjutkan kasus Satker XYZ tersebut di atas, dilakukan pemahaman tujuan dan proses
pengadaan komputer. Yang pertama harus dilakukan oleh auditor adalah memahami
‘tujuan auditi’. Tujuan auditi secara umum terlukis dalam dokumen Rencana Strategis
(Renstra). Dari tujuan tingkat organisasi, manajemen menjabarkan dalam tujuan kegiatan.
Informasi tujuan kegiatan dapat di peroleh dari dokumen Daftar Isian Pelaksanaan
Anggaran (DIPA) untuk APBN, dan Dokumen Pelaksanaan Anggaran (DPA‐SKPD). Gambar
berikut adalah petikan DIPA lampiran 1.a tentang Jabaran Anggaran, terdapat informasi
mengenai indikator kinerja output dan outcome tingkat program dan kegiatan.


Gambar 3.1 Petikan DIPA lampiran 1.a tentang Jabaran Anggaran

Tujuan Satker XYZ yang tertuang dalam Renstra adalah “Mewujudkan perluasan dan
pemerataan kesempatan memperoleh pendidikan yang bermutu di Kota XYZ”. Tujuan
tingkat organisasi ini di jabarkan lebih lanjut dalam indikator kegiatan pengadaan
komputer, yaitu “Tersedianya komputer di sekolah sebagai sarana peningkatan
kemampuan siswa dalam bidang teknologi informasi”.
Prosedur pelaksanaan kegiatan (Standard Operating Procedure – SOP) dapat diperoleh
dari Satker XYZ. Sebagai auditor internal sudah selayaknya memiliki akses untuk
memperoleh dokumen tersebut. Dalam contoh kasus Pengadaan Barang dan Jasa (PBJ) ini,
prosedur pengadaan sudah ditetapkan dalam Peraturan Presiden Republik Indonesia
Nomor 54 Tahun 2010 dan perubahannya tentang Pengadaan Barang/Jasa Pemerintah.
Dalam tahap pemahaman auditi ini, auditor internal berusaha mengumpulkan berbagai
informasi terkait kegiatan yang dilakukan Satker XYZ. Misalnya: spesifikasi komputer,
pengadaan tahun sebelumnya, pengadaan sejenis yang dilakukan oleh satker lain dan
informasi lain yang relevan. Proses PBJ yang sudah dilaksanakan dengan metode e‐
procurement, melalui LPSE (lembaga pengadaan secara elektronik), memberi auditor
internal banyak keuntungan. Auditor dapat memperoleh berbagai informasi terkait proses
PBJ, misalnya:

1. harga perkiraan sendiri (HPS);
2. dokumen pengadaan (spesifikasi dan syarat‐syarat lain);
3. peserta yang mendaftar dan peserta yang melakukan penawaran;
4. tanya jawab yang terjadi dalam proses pemberian penjelasan;
5. hasil evaluasi kualifikasi, teknis, dan harga; dan
6. pemenang lelang.
Pemanfaatan teknologi informasi dalam kegiatan manajemen sangat membantu auditor
internal. Dalam contoh audit PBJ ini, auditor memperoleh banyak informasi penting
dengan mudah. Demikian pula penggunaan sistem informasi lainnya seperti SIMDA, SAK,
SIMAK BMN, dan sistem informasi lainnya dapat memberi informasi penting dengan cara
mudah.

C. IDENTIFIKASI DAN PENILAIAN RISIKO
Dalam bagian sebelumnya telah dijelaskan konsep risk maturity. Auditor internal idealnya telah
melakukan pengujian dan memiliki informasi risk maturity level setiap organisasi/satuan kerja
yang menjadi lingkup pengawasannya. Informasi ini sangat bermanfaat dalam penugasan tahap
ini (identifikasi dan penilaian risiko).
Pada kondisi risk managed dan risk enabled, auditor internal mendapat informasi risiko yang
dihadapi organisasi dari daftar risiko kunci hasil proses manajemen risiko organisasi. Pada
kondisi risk defined auditor cukup dengan melakukan verifikasi apakah proses manajemen risiko
sudah berjalan dengan efektif. Bila proses manajemen risiko sudah berjalan dengan baik,
auditor internal dapat menggunakan daftar risiko organisasi. Namun, bila ternyata kematangan
manajemen risiko organisasi masih pada tingkat risk naïve dan aware, auditor perlu
menjalankan peran konsultatifnya.
Dalam kondisi organisasi berada pada level risk aware dan risk naïve, maka auditor bertindak
sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi organisasi.
Sekali lagi, auditor harus melibatkan manajemen dalam proses identifikasi dan penilaian risiko
ini. Hal ini dilakukan untuk menghindari kesalahpahaman pihak manajemen yang menganggap
bahwa auditor internal yang bertanggung jawab terhadap pengelolaan (manajemen) risiko
organisasi.

Identifikasi Risiko
Identifikasi risiko adalah proses menetapkan apa, dimana, kapan, mengapa, dan bagaimana
sesuatu risiko dapat terjadi, sebelum risiko timbul dan berdampak negatif terhadap pencapaian
tujuan. Hasil identifikasi risiko adalah suatu daftar risiko‐risiko yang berpotensi mengancam
pencapaian tiap tujuan organisasi.
Dalam rangka menjamin perolehan identifikasi risiko yang akurat, penilaian risiko harus
menggunakan metodologi yang tepat dan melibatkan para pemilik risiko yang terkait dengan
kegiatan yang dinilai risikonya. Metodologi yang tepat akan mengarahkan ketepatan proses
penilaian, sedang keterlibatan para pemilik risiko penting karena mereka yang mengerti
kegiatan dan menjadi pihak yang terkena dampak atas kegagalan pencapaian tujuan.
Identifikasi dilakukan melalui wawancara dengan para pihak yang terkait dengan kegiatan yang
dinilai risikonya, evaluasi dokumen, pengamatan dan pendekatan lainnya untuk menggali risiko
yang ada. Finalisasi hasil identifikasi dilakukan melalui proses rapat internal (Focus Group
Discussion‐FGD) untuk mengkonfirmasi ulang risiko yang telah teridentifikasi dan untuk
meminta masukan atas risiko‐risiko baru yang sebelumnya belum teridentifikasi.
COSO ‐ Enterprise Risk Management (2004) menyebutkan bahwa sumber risiko dapat
dikelompokkan menjadi dua faktor, yaitu faktor internal dan faktor eksternal. Yang termasuk
dalam faktor eksternal antara lain perubahan ekonomi, bencana alam, peristiwa politik,
perubahan sosial dan perkembangan teknologi. Sedangkan yang termasuk dalam faktor internal
antara lain infrastruktur organisasi, personil, proses bisnis dan kondisi teknologi organisasi.
Output identifikasi risiko adalah daftar risiko yang sekurang‐kurangnya memuat informasi
tentang tujuan terkait risiko, pernyataan risiko pemilik risiko, sumber risiko dan pengendalian
yang ada. Hasil identifikasi risiko dapat dituangkan dalam format berikut.

No Tujuan Pernyataan Risiko
Pemilik
Risiko
Sumber Risiko
Pengendalian yang
AdaSumber
Uncotrollable
/Controllable (U/C)
Uraian
Tabel 3.2    Format Hasil Identifikasi Risiko

Contoh kasus:
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil identifikasi risiko. Dalam praktik
jumlah risiko dapat berjumlah cukup banyak, dalam contoh ini hanya ditampilkan beberapa
risiko. Hasil identifikasi risiko adalah sebagai berikut.

N0 TUJUAN
PERNYATAAN
RISIKO
PEMILIK
RISIKO
SUMBER RISIKO PENGENDALIAN YANG
ADASUMBER U/C URAIAN
1 Tersedianya
komputer sebagai
sarana
peningkatan
kemampuan
teknologi
informasi
Spesifikasi teknis
tidak sesuai
kebutuhan.
PA/KPA,
PPK,
PPHP
Internal
External
C Kelalaian PPK
dalam
membuat
spesifikasi,
kelalalian
PPHP dalam
menerima
barang.
• PPK membuat
spesifikasi teknis
• Spesifikasi teknis
menjadi bagian
dokumen pengadaan
• Spesifikasi teknis dimuat
dalam kontrak
• PPHP menerima barang
dibandingkan dengan
kontrak
Jumlah komputer
diterima tidak
sesuai kebutuhan
PA/KPA,
PPK,
PPHP
Internal
External
C kelalalian
PPHP dalam
menerima
barang.
• Jumlah barang diatur
dalam dokumen
pengadaan
• Jumlah barang dimuat
dalam kontrak
• PPHP menerima barang
dibandingkan dengan
kontrak
Penyedia barang
tidak sanggup
melaksanakan
pengadaan
PA/KPA,
PPK,
ULP
Internal
External
C kelalaian ULP
dalam
melakukan
kualifikasi
calon penyedia
• Kualifikasi penyedia
diatur dalam dokumen
lelang
• ULP melakukan
evaluasi kualifikasi calon
penyedia barang

PA   = Pengguna Anggaran
KPA   = Kuasa PA
PPK   = Pejabat Pembuat Komitmen
PPHP   = Panitia Penerima Hasil Pekerjaan
ULP   = Unit Layanan Pengadaan
U/C   = Uncontrolabe/controllable

Contoh lain identifikasi risiko untuk kegiatan pelayanan, misalnya pelayanan penerbitan
sertifikat tanah di kantor Badan Pertanahan Nasional (BPN) adalah sebagai berikut.
• Standar pelayanan minimal tidak dipahami para pegawai.
• Pemungutan biaya layanan melebihi ketentuan (pungli) yang dilakukan oleh staf BPN.

• Pemohon sertifikat menggunakan jasa calo.
• Pelayanan dilakukan staf BPN tidak sesuai prosedur.
Penilaian Risiko
Penilaian risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang
menjadi dasar untuk melakukan penaksiran risiko yaitu:
1. dampak risiko (consequences atau impact) adalah besarnya efek bila risiko terjadi; dan
2. kemungkinan terjadinya suatu risiko (likelihood atau probability) adalah tingkat
kemungkinan risiko akan terjadi.
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa dilakukan secara kuantitatif
atau kualitatif. Metode pengukuran secara kualitatif dilaksanakan dengan menetapkan skala
penilaian. Misalnya, dampak diukur dengan skala kualitatif sebagai berikut. Sangat Besar (5),
Besar (4), Menengah (3), Kecil (2) dan Sangat Kecil (1).
Sedangkan probailitas diukur dengan skala: (5) hampir pasti, (4) cenderung terjadi, (3) mungkin
terjadi, (2) kadang‐kadang terjadi dan (1) sangat jarang terjadi.
Metode kuantitatif menggunakan angka/nilai numerik untuk menyatakan besarnya probabilitas
dan dampak. Nilai yang digunakan dari berbagai sumber, salah satunya adalah dari data historis
selama beberapa tahun. Metode campuran menggunakan gabungan metode kuantitatif dan
metode kualitatif. Masing‐masing metode ini memiliki kelebihan dan kekurangan, namun jika
dilakukan dengan cara benar, ketiga metode ini akan menghasilkan peringkat risiko yang relatif
sama. Yang diperlukan di sini bukan akurasi atau ketepatan nilainya tetapi hanya untuk
memperkirakan peringkat risiko, mana risiko yang melebihi batas toleransi dan seberapa besar
pengaruh pengendalian yang ada terhadap tingkat risiko.
Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada
sebelum dan sesudah dilakukannya penanganan risiko, yaitu:
• inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen
belum melakukan suatu tindakan terhadap pengendalian intern; dan

• residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian
intern diberlakukan.
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu
kegiatan yang baru diimplementasikan, karena sangat besar kemungkinan belum ada
pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada
umumnya inherent risk akan lebih sulit untuk diukur, karenanya auditor akan menilai residual
risk‐nya.
Jika probabilitas risiko inheren tinggi, maka pengendalian yang bersifat preventive harus
diterapkan. Jika dampak terjadinya risiko inheren besar, maka pengendalian mitigative yang
diterapkan.

Gambar 3.2   Pengendalian Mitigative dan Preventive

No TUJUAN RISIKO
PEMILIK
RISIKO
INHERENT RISK
PENGENDALIAN
RESIDUAL RISK
RISK
RESPONSE
RISK
APPETITE DAMPAK PROB
Risk
Level
DAMPAK PROB
Risk
Level





Tabel 3.3   Format Hasil Penilaian Risiko

Keterangan :
• Tujuan adalah sesuatu yang ingin dicapai oleh organisasi/manajemen. Tujuan dapat
dikelompokkan kedalam kategori: strategis (memberi nilai tambah bagi stakeholders),
operasional (terkait kinerja, efektifitas dan efisiensi organisasi), pelaporan (kehandalan
laporan laporan internal/eksternal dan keuangan/non keuangan) dan ketaatan (terhadap
peraturan dan hukum).
• Risiko adalah kemungkinan terjadinya sebuah kejadian yang mengancam pencapaian
tujaun organisasi
• Pemilik risiko adalah manajemen/pejabat yang bertanggung jawab untuk menangani risiko
pada unit kerja yang menjadi tanggungjwabnya.
• Inherent risk (risiko bawaan) adalah risiko yang murni ada tanpa memperhitungkan
pengendalian yang sudah ada (eksis), atau risiko yang diukur sebelum memperhitungkan
kondisi pengendaliannya.
• Residual risk (risiko sisa) adalah sisa dari risiko bawaan setelah diterapkannya sebuah
pengendalian.
• Risk response (respon risiko) adalah tindakan atau serangkaian tindakan manajemen yang
bertujuan untuk menangani risiko. Respon risiko dapat dikelompokkan dalam empat
kelompok, yaitu: avoidace (menolak risiko), reduction/mitigate (menerapkan
pengendalian), sharing (membagi risiko) and accept (menerima risiko cukup dilakukan
monitor).
• Risk appetite (selera risiko) adalah sejumlah (sekumpulan) risiko dalam entitas yang akan
diterima dalam rangka pencapaian tujuan organisasi.
• Dampak risiko adalah pengaruh atau akibat yang ditimbulkan seandainya risiko terjadi.
• Probabilitas adalah tingkat atau kemungkinan terjadinya risiko.
Untuk mempermudah penyampaian informasi, hasil penilaian risiko dituangkan dalam peta
risiko. Masing‐masing risiko akan ditempatkan di posisi sesuai probabilitas dan dampaknya.
Contoh peta risiko adalah sebagai berikut.

Probabilitas
5

4

3

2

1

1 2 3 4 5
Dampak
Gambar 3.3   Peta Risiko
Contoh kasus:
Melanjutkan kasus Satker XYZ, berikut akan dicontohkan hasil penilaian risiko. Dalam praktik
jumlah risiko dan pengendaliannya dapat berjumlah cukup banyak, dalam contoh ini hanya
ditampilkan satu buah risiko. Hasil penilaian risiko adalah sebagai berikut.
NO TUJUAN   RISIKO
PEMILIK
RISIKO
INHERENT RISK
PENGENDALIAN
RESIDUAL RISK RISK
RESPONSE
RISK
APPETITE DAMPAK PROB DAMPAK PROB
1   Tersedianya
komputer
sebagai
sarana
peningkatan
kemampuan
teknologi
informasi
Spesifikasi
teknis tidak
sesuai
kebutuhan.
PA/KPA,
PPK,
PPHP
5 3 • PPK
membuat
spesifikasi
teknis
• Spesifikasi
teknis
menjadi
bagian
dokumen
pengadaan
• Spesifikasi
teknis dimuat
dalam
kontrak
• PPHP
menerima
barang
dibandingkan
dengan
kontrak
3 1 Menurunka
n level
risiko
4

Bila digambarkan dalam peta risiko, inheren risk dan residual risk risiko “Spesifikasi teknis tidak
sesuai kebutuhan” dapat digambarkan sebagai berikut.
Probabilitas
5

4

3




IR
2

1

RR

1 2 3 4 5
Dampak
IR = Inherent Risk
RR=Residual Risk

D. IDENTIFIKASI PENGENDALIAN KUNCI
Pada tahap ini, tugas auditor internal adalah mengidentifikasi pengendalian yang paling
berperan untuk menekan risiko sampai di level yang dapat diterima. Dalam praktik, banyak
pengendalian yang diterapkan dalam suatu proses. Semua pengendalian ini memiliki peran
untuk menekan risiko, namun hanya beberapa yang benar‐benar berpengaruh. Pengendalian
yang benar‐benar berpengaruh ini selanjutnya disebut pengendalian kunci.
Untuk menentukan pengendalian kunci, perlu dipahami berbagai aktivitas pengendalian sebagai
berikut.
1. Persetujuan (approving) dari pihak yang memiliki kewenangan. Misalnya persetujuan
untuk membayar sejumlah uang oleh Pengguna Anggaran (PA) atau Kuasa Pengguna
Anggaran (KPA).

Modul-ahli-audit-intern

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Modul-ahli-audit-intern

Similar to Modul-ahli-audit-intern (20)

Recently uploaded

Recently uploaded (17)

Modul-ahli-audit-intern