PERENCANAAN_PENUGASAN_AUDIT_2011.pdf

DIKLAT PENJENJANGAN
AUDITOR MADYA
PTA
KODE MA : 2.220
PERENCANAAN
PENUGASAN AUDIT
2011
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
EDISI KEENAM

Pusat Pendidikan dan Pelatihan Pengawasan
Perencanaan Penugasan Audit
PUSAT PENDIDIKAN DAN PELATIHAN PENGAWASAN
BADAN PENGAWASAN KEUANGAN DAN PEMBANGUNAN
2011

Dikeluarkan oleh Pusat Pendidikan dan Pelatihan Pengawasan BPKP
dalam rangka Diklat Sertifikasi JFA Penjenjangan Auditor Madya/Pengendali Teknis
Edisi Pertama : Tahun 1999
Edisi Kedua (Revisi Pertama) : Tahun 2000
Edisi Ketiga (Revisi Kedua) : Tahun 2003
Edisi Keempat (Revisi Ketiga) : Tahun 2008
Edisi Kelima (Revisi Keempat) : Tahun 2010
Edisi Keenam (Revisi Kelima) : Tahun 2011
Perevisi : Wakhyudi, Ak., M.Comm.
Pereviu : Meidyah Indreswari, S.E., Ak., M.Sc., Ph.D., CKM
Editor : Yeni, S.E., Ak., M.M.
ISBN 979-3873-00-0
Pusdiklatwas BPKP
Jl. Beringin II, Pandansari, Ciawi, Bogor 16720
Telp. (0251) 8249001 ‐ 8249003
Fax. (0251) 8248986 ‐ 8248987
Email : pusdiklat@bpkp.go.id
Website : http://pusdiklatwas.bpkp.go.id
e‐Learning : http://lms.bpkp.go.id
Dilarang keras mengutip, menjiplak, atau menggandakan sebagian atau
seluruh isi modul ini, serta memperjualbelikan tanpa izin tertulis dari
Pusat Pendidikan dan Pelatihan Pengawasan BPKP.

Pusdiklatwas BPKP i
KATA PENGANTAR
Komitmen pemerintah untuk mewujudkan pemerintah yang transparan dan akuntabel serta bebas
Korupsi, Kolusi, dan Nepotisme pada berbagai aspek pelaksanaan tugas umum pemerintahan dan
pembangunan dituangkan dalam Undang‐Undang No. 28 Tahun 1999 tentang Penyelenggaraan Negara
yang Bersih dan Bebas dari KKN. Komitmen ini sudah menjadi agenda yang harus dilaksanakan guna
tercapainya transparansi dan akuntabilitas publik, tidak terkecuali komitmen APIP untuk selalu
meningkatkan peran sertanya dalam mewujudkan pemerintahan yang baik.
Untuk menjaga tingkat profesionalisme aparat pengawasan, salah satu medianya adalah pendidikan dan
pelatihan (diklat) Sertifikasi Jabatan Fungsional Auditor (JFA) yang bertujuan untuk meningkatkan
pengetahuan, keterampilan, dan perubahan sikap/perilaku auditor pada tingkat kompetensi tertentu
sesuai dengan perannya.
Guna mencapai tujuan di atas, sarana diklat berupa modul dan bahan ajar disajikan dengan sebaik
mungkin. Evaluasi terhadap modul dilakukan secara terus menerus untuk menilai relevansi substansi
modul terhadap perubahan lingkungan yang terjadi, oleh karena itu modul ini ditujukan untuk
memutakhirkan substansi modul agar sesuai dengan perkembangan profesi auditor, dan dapat menjadi
referensi yang lebih berguna bagi para peserta diklat sertifikasi JFA.
Akhirnya kami mengucapkan terima kasih kepada semua pihak yang telah memberikan kontribusi atas
terwujudnya modul ini.
Ciawi, Desember 2011
Kepala Pusdiklat Pengawasan BPKP
Meidyah Indreswari, S.E., Ak., M.Sc., Ph.D., CKM
NIP 19570502 198403 2 001

Pusdiklatwas BPKP
ii

Pusdiklatwas BPKP iii
DAFTAR ISI
KATA PENGANTAR .................................................................................................................. i
DAFTAR ISI .............................................................................................................................. iiI
BAB I PENDAHULUAN ........................................................................................................ 1
A. Kompetensi Dasar ............................................................................................. 1
B. Indikator Keberhasilan ...................................................................................... 2
C. Deskripsi Singkat Materi Pembelajaran ............................................................ 2
D. Metode Pemelajaran ......................................................................................... 3
BAB II PEDOMAN PERENCANAAN PENUGASAN AUDIT ...................................................... 4
A. Perencanaan Penugasan Audit .......................................................................... 4
B. Pengelolaan Risiko Aktivitas Audit Internal ...................................................... 7
C. Menghubungkan Rencana Audit dengan Risiko dan Eksposur ......................... 11
D. Menggunakan Proses Manajemen Risiko dalam Perencanaan Audit Internal . 12
E. Latihan Soal ....................................................................................................... 17
BAB III KONSEP DASAR AUDIT INTERNAL BERBASIS RISIKO ................................................. 19
A. Perkembangan Peran Auditor Internal ............................................................. 19
B. Pengertian Risiko ............................................................................................... 20
C. Tanggung Jawab Manajemen ............................................................................ 21
D. Tanggung Jawab Auditor Internal ..................................................................... 22
E. Audit Internal Berbasis Risiko (AIBR) ................................................................. 25
F. Tahapan dalam Audit Internal Berbasis Risiko .................................................. 29
G. Manfaat dan Kelemahan AIBR .......................................................................... 39
H. Latihan Soal ....................................................................................................... 41
BAB IV TAHAPAN DALAM PERENCANAAN PENUGASAN AUDIT BERBASIS RISIKO .............. 43
A. Risiko dan Audit Universe .................................................................................. 43
B. Tahapan dalam Perencanaan Penugasan Audit ................................................ 46
C. Latihan Soal ....................................................................................................... 55
D. Diskusi Kasus ...................................................................................................... 55
BAB V PENYUSUNAN PERENCANAAN PENUGASAN AUDIT BERBASIS RISIKO BAGI APIP.... 57
A. Standar Pelaksanaan Audit Kinerja yang Berkaitan dengan Perencanaan ....... 57
B. Standar Pelaksanaan Audit Investigatif yang Berkaitan dengan Perencanaan 60
C. Pedoman Perencanaan Audit APIP ................................................................... 62
D. Perencanaan Sumber Daya ............................................................................... 83
DAFTAR PUSTAKA ................................................................................................................... 105

Pusdiklatwas BPKP
iv

Pusdiklatwas BPKP 1
Bab I
PENDAHULUAN
Standar Audit Aparat Pengawasan Intern Pemerintah (SA APIP) yang diatur dalam Permenpan Nomor 5
Tahun 2008 tentang Standar Audit APIP, menyatakan bahwa APIP harus menyusun rencana pengawasan
tahunan dengan prioritas pada kegiatan yang mempunyai risiko terbesar dan selaras dengan tujuan
organisasi. APIP diwajibkan menyusun rencana strategis lima tahunan sesuai dengan peraturan
perundang‐undangan. Demikan pula, standar internasional bagi pelaksanaan audit intern secara
profesional (International Standards for the Professional Practice of Internal Auditing) menyatakan
bahwa pimpinan lembaga pengawasan intern harus secara efektif mengelola kegiatan audit intern, untuk
meyakini adanya pemberian nilai tambah bagi organisasi. Untuk mencapai tujuan tersebut, maka
perencanaan menjadi tahap yang krusial. Itulah sebabnya standar tentang perencanaan menetapkan
bahwa pimpinan lembaga pengawasan intern harus menciptakan perencanaan berbasis risiko guna
menentukan prioritas kegiatan audit intern yang konsisten dengan tujuan organisasi.
A. KOMPETENSI DASAR
Modul perencanaan penugasan audit diberikan dalam pendidikan dan pelatihan jabatan fungsional
auditor penjenjangan auditor pengendali teknis selama 20 jam pelatihan. Kompetensi dasar mata ajar
pendidikan dan pelatihan ini adalah peserta diharapkan mampu merencanakan suatu penugasan audit
dan mengomunikasikan hasil perencanaannya kepada pihak‐pihak terkait.
B. INDIKATOR KEBERHASILAN
Indikator keberhasilan modul perencanaan penugasan audit ini adalah setelah para peserta pendidikan
dan pelatihan selesai mengikuti diklat ini, peserta diklat diharapkan memiliki kemampuan berikut ini.
1. Menjelaskan tentang pedoman perencanaan penugasan audit berdasarkan standar internasional.
2. Menjelaskan tentang konsep dasar audit intern berbasis risiko.
3. Menjelaskan tahapan dalam perencanaan penugasan audit berbasis risiko.

Pusdiklatwas BPKP
2
4. Menjelaskan dan menyusun perencanaan penugasan audit dan perencanaan sumber daya dalam
perencanaan audit berdasarkan standar audit APIP.
C. DESKRIPSI SINGKAT MATERI PEMELAJARAN
Materi modul ini terdiri atas lima Bab dengan deskripsi singkat masing‐masing bab sebagai berikut.
Bab I Pendahuluan
Memuat penjelasan tentang kompetensi dasar, indikator keberhasilan, deskripsi singkat materi
pemelajaran, dan metode pemelajaran.
Bab II Pedoman dalam Perencanaan Penugasan Audit
Memuat penjelasan tentang perencanaan penugasan audit, pengelolaan risiko aktivitas audit
intern, dan keterkaitan antara rencana audit dengan risiko dan eksposur.
Bab III Konsep Dasar Audit Intern Berbasis Risiko
Memuat penjelasan tentang perkembangan peran auditor intern, tanggung jawab manajemen
dan auditor intern berkaitan dengan risiko yang dihadapi oleh organisasi, audit intern berbasis
risiko, tahapan audit intern berbasis risiko, manfaat dan kelemahan pendekatan audit intern
berbasis risiko.
Bab IV Tahapan dalam Perencanaan Penugasan Audit Berbasis Risiko
Memuat penjelasan tentang risiko dan peta audit, tahapan dalam perencanaan penugasan
audit berbasis risiko, dan perencanaan penugasan audit individual.
Bab V Penyusunan Perencanaan Penugasan Audit Berbasis Risiko bagi Aparat Pengawasan Intern
Pemerintah
Memuat penjelasan tentang penyusunan perencanaan penugasan audit berbasis risiko bagi
aparat pengawasan intern pemerintah (APIP) beserta formulir yang digunakan dan
perencanaan sumber daya dalam perencanaan audit.

Pusdiklatwas BPKP 3
D. METODE PEMELAJARAN
Agar peserta pendidikan dan pelatihan (diklat) mampu dengan cepat memahami substansi materi
perencanaan penugasan audit, proses belajar mengajar menggunakan pendekatan andragogi
(pemelajaran orang dewasa) melalui metode berikut.
1. Ceramah.
2. Diskusi/tanya jawab.
3. Latihan soal dan pemecahan kasus.
~

Pusdiklatwas BPKP
4
Bab II
PEDOMAN PERENCANAAN PENUGASAN AUDIT
Indikator Keberhasilan
Setelah mempelajari bab ini, diharapkan para peserta diklat dapat memahami
beberapa ketentuan dalam perencanaan penugasan audit dengan mempertimbangkan risiko.
A. PERENCANAAN PENUGASAN AUDIT
Di dalam Standar Audit yang diterbitkan oleh The Institute of Internal Auditor (IIA) butir 2200 –
Perencanaan Penugasan disebutkan bahwa auditor internal harus mengembangkan dan
mendokumentasikan rencana untuk setiap penugasan, yang mencakup tujuan, ruang lingkup, waktu, dan
alokasi sumber daya penugasan.
Selanjutnya, IIA memberikan panduan perencanaan penugasan tersebut secara lebih rinci sebagai
berikut.
1. Auditor internal merencanakan dan melaksanakan penugasan berdasarkan reviu supervisor
dan persetujuan dari pimpinan organisasi auditor internal atau personil yang ditunjuk. Sebelum
dimulainya suatu penugasan, auditor internal menyiapkan program penugasan yang:
a. menyatakan tujuan penugasan
b. mengidentifikasi persyaratan teknis, tujuan, risiko, proses, dan transaksi yang akan diuji atau
diperiksa
c. menyatakan sifat dan luasnya pengujian yang diperlukan
d. mendokumentasikan prosedur auditor internal untuk mengumpulkan, menganalisis,
menafsirkan, dan mendokumentasikan informasi selama penugasan
e. memodifikasi sepanjang penugasan, bila perlu, dengan persetujuan pimpinan organisasi
auditor internal atau personil yang ditunjuk.

Pusdiklatwas BPKP 5
2. Pimpinan organisasi auditor internal harus menetapkan tingkat formalitas dan dokumentasi sesuai
dengan kebutuhan organisasi yang bersangkutan. Misalnya formalitas dan dokumentasi dari
hasil rapat‐rapat perencanaan, prosedur penilaian risiko, tingkat rincinya program kerja, dan lain‐
lain. Faktor‐faktor yang perlu dipertimbangkan dalam hal ini antara lain sebagai berikut.
a. Apakah pekerjaan yang dilakukan dan/atau hasil penugasan akan diandalkan oleh pihak
lain? (misalnya oleh auditor eksternal, pemerintah/regulator, atau manajemen)
b. Apakah pekerjaan berhubungan dengan hal‐hal yang terkait, atau berpotensi terkait dengan
proses litigasi, baik yang sedang berjalan ataupun yang mungkin terjadi di masa mendatang?
c. Tingkat pengalaman staf audit internal yang ditugaskan dan tingkat supervisi langsung yang
diperlukan.
d. Apakah penugasan dilakukan oleh staf internal, auditor tamu, atau oleh penyedia layanan
eksternal?
e. Kompleksitas dan ruang lingkup penugasan.
f. Ukuran dari aktivitas audit internal.
g. Nilai dokumentasi (misalnya, apakah dokumentasi tersebut masih akan digunakan dalam
tahun‐tahun berikutnya).
3. Auditor internal menentukan hal‐hal lain terkait perencanaan penugasan, seperti periode yang
dicakup, perkiraan tanggal penyelesaian, dan sebagainya. Auditor internal juga
mempertimbangkan format final komunikasi atau laporan penugasan. Perencanaan ini akan
membantu proses komunikasi atau pelaporan pada saat penyelesaian penugasan yang
bersangkutan.
4. Auditor internal menginformasikan kepada manajemen dan personel lain yang perlu mengetahui
adanya penugasan tersebut, melakukan pertemuan dengan manajemen yang bertanggung jawab
atas aktivitas atau unit yang akan direviu, merangkum serta mendistribusikan hasil diskusi dan
kesimpulan yang dicapai dari pertemuan tersebut, dan menyimpan dokumentasi dalam kertas
kerja penugasan. Topik diskusi antara lain mencakup:
a. tujuan dan ruang lingkup penugasan yang direncanakan
b. sumber daya dan waktu penugasan

Pusdiklatwas BPKP
6
c. faktor‐faktor kunci yang memengaruhi kondisi dan operasi bisnis dari area yang
direviu, termasuk perubahan terkini dalam lingkungan bisnis, baik secara intern ataupun
ekstern
d. perhatian atau permintaan dari manajemen.
5. Pimpinan organisasi auditor internal menentukan bagaimana, kapan, dan kepada siapa hasil
penugasan akan dikomunikasikan. Auditor internal mendokumentasikan hal ini dan
mengomunikasikannya kepada manajemen, bila dipandang perlu, dalam tahap perencanaan
penugasan ini. Auditor internal terus mengomunikasikan setiap perubahan yang memengaruhi
waktu atau pelaporan hasil penugasan kepada manajemen.
B. PENGELOLAAN RISIKO AKTIVITAS AUDIT INTERNAL
Peran dan pentingnya audit internal telah berkembang pesat, dan ekspektasi para stakeholder kunci juga
terus berkembang. Aktivitas audit internal memiliki mandat yang luas untuk mengatasi risiko‐risiko
keuangan, operasional, teknologi informasi, hukum/peraturan, dan risiko strategis. Pada saat yang sama,
banyak aktivitas audit internal menghadapi kesulitan sehubungan dengan ketersediaan personil yang
qualified, tingkat kompensasi yang meningkat, serta permintaan yang tinggi untuk sumber daya dengan
keahlian khusus (misalnya dalam bidang sistem informasi, fraud, dan perpajakan).
Kombinasi dari berbagai faktor ini menyebabkan tingkat risiko yang tinggi bagi aktivitas audit internal
yang bersangkutan. Oleh karena itu, pimpinan organisasi auditor internal perlu mempertimbangkan
risiko‐risiko tersebut dalam pencapaian tujuan aktivitas audit internal. Hal ini sekaligus menunjukkan
bahwa aktivitas audit internal juga tidak kebal terhadap risiko. Mereka harus mengambil langkah yang
diperlukan untuk memastikan bahwa risiko mereka sendiri juga telah dikelola secara memadai.
Secara garis besar, risiko untuk aktivitas audit internal dapat dibedakan ke dalam tiga kategori, yaitu:
1. kegagalan audit (audit failure),
2. keyakinan yang keliru (false assurance),
3. risiko reputasi.
Pembahasan berikut ini menyoroti atribut‐atribut kunci berkaitan dengan risiko‐risiko tersebut dan
bagaimana langkah‐langkah yang perlu diambil oleh aktivitas audit internal untuk memitigasinya.

Pusdiklatwas BPKP 7
1. Kegagalan Audit (Audit Failure)
Setiap organisasi dapat saja mengalami kelemahan pengendalian. Ketika kelemahan pengendalian
tersebut dimanfaatkan sehingga terjadi kerugian ataupun kecurangan, banyak pihak biasanya akan
menanyakan: “Di mana auditor internal?” Pertanyaan tersebut tidak sepenuhnya keliru,
mengingat aktivitas audit internal dapat saja ‘berkontribusi’ dalam terjadinya kerugian tersebut
melalui faktor‐faktor seperti berikut ini.
a. Tidak mengikuti Standar Internasional untuk Praktik Profesional Audit Internal.
b. Program pemastian dan peningkatan kualitas yang tidak berjalan sebagaimana mestinya,
termasuk prosedur untuk memonitor independensi dan objektivitas auditor.
c. Proses penilaian risiko yang kurang efektif pada saat mengidentifikasi area‐area audit yang
penting dalam penilaian risiko strategis (rencana tahunan), serta area‐area berisiko tinggi
dalam perencanaan audit individual. Sebagai akibatnya, kegagalan untuk melakukan audit
secara tepat dan/atau waktu yang terbuang karena ketidaktepatan audit tersebut.
d. Kegagalan untuk mendesain prosedur audit internal yang efektif untuk menguji risiko yang
riil beserta pengendalian terkait yang tepat.
e. Kegagalan untuk mengevaluasi kecukupan desain dan efektivitas pengendalian sebagai
bagian dari prosedur audit internal.
f. Penggunaan tim audit yang tidak memiliki tingkat kompetensi yang tepat berdasarkan
pengalaman atau pengetahuan atas area‐area yang berisiko tinggi.
g. Kegagalan untuk menerapkan skeptisisme profesional yang tinggi dan penambahan
prosedur audit yang diperlukan atas temuan atau kelemahan pengendalian.
h. Kegagalan supervisi audit internal yang memadai.
i. Mengambil keputusan yang keliru ketika menemukan beberapa indikasi kecurangan
seperti, “Ini mungkin tidak material” atau “Kita tidak memiliki waktu atau sumber daya
untuk menangani masalah ini.”
j. Kegagalan untuk mengomunikasikan kecurigaan kepada orang yang tepat.
k. Kegagalan untuk membuat pelaporan secara memadai.
Kegagalan‐kegagalan audit di atas bukan hanya akan memalukan bagi aktivitas audit internal,
namun lebih penting lagi juga dapat membawa organisasi terekspos risiko secara signifikan.
Meskipun tidak ada jaminan mutlak bahwa kegagalan audit tersebut tidak akan terjadi, aktivitas

Pusdiklatwas BPKP
8
audit internal dapat menerapkan praktik‐praktik berikut ini untuk mengurangi risiko‐risiko
tersebut.
a. Menyusun dan menerapkan secara konsisten program pemastian dan peningkatan kualitas.
b. Mereviu peta audit (audit universe) secara periodik dengan memastikan metodologi reviu
untuk menentukan kelengkapan peta audit dengan memerhatikan dinamika profil risiko
organisasi.
c. Mereviu rencana audit secara periodik untuk menilai kembali mana tugas yang memiliki
risiko yang lebih tinggi. Dengan “penandaan” tugas berisiko tinggi, manajemen aktivitas
audit internal memiliki visibilitas yang lebih baik dan memiliki lebih banyak waktu terhadap
tugas‐tugas kritikal.
d. Merencanakan audit secara efektif, karena tidak ada pengganti untuk perencanaan audit
yang efektif. Proses perencanaan yang menyeluruh dengan mencakup fakta‐fakta terkini
yang relevan tentang klien, serta penilaian risiko yang efektif, secara signifikan
dapat mengurangi risiko kegagalan audit. Selain itu, pemahaman ruang lingkup tugas dan
prosedur audit internal yang akan dilakukan, adalah elemen penting dari proses
perencanaan, yang juga akan mengurangi risiko kegagalan audit.
e. Membuat checkpoint yang harus dilakukan oleh manajemen audit internal dalam proses
audit, dan memperoleh persetujuan penyimpangan lingkup/prosedur dari rencana yang
telah disepakati, juga merupakan pengendalian penting.
f. Mendesain audit yang efektif. Dalam banyak kasus, cukup banyak waktu yang dihabiskan
untuk memahami dan menganalisis desain sistem pengendalian intern untuk menentukan
apakah itu memberikan pengendalian yang memadai sebelum memulai pengujian untuk
efektivitasnya. Cara ini akan memberikan dasar yang kuat untuk menemukan sebab
mendasar atau root causes (bukan sekedar gejala), yang terkadang juga merupakan akibat
dari desain pengendalian yang kurang. Mengidentifikasi pengendalian yang kurang/hilang
ini juga akan mengurangi kemungkinan kegagalan audit.
g. Menerapkan reviu manajemen secara lebih dini dan prosedur eskalasi. Keterlibatan
manajemen audit internal dalam proses audit internal (yaitu sebelum penyusunan draf
laporan) memainkan peran penting dalam mengurangi risiko kegagalan audit. Keterlibatan
di sini bisa berupa reviu kertas kerja, diskusi terkait dengan temuan secara lebih dini, atau
terlibat dalam rapat penutupan (closing meeting). Dengan keterlibatan manajemen aktivitas
audit internal dalam proses audit internal secara lebih dini, masalah potensial dalam
penugasan dapat diidentifikasi dan dinilai secara lebih dini. Selain itu, aktivitas audit internal

Pusdiklatwas BPKP 9
perlu juga memiliki prosedur atau pedoman yang menguraikan kapan dan apa jenis isu‐isu
yang perlu diangkat atau dieskalasi ke tingkat manajemen audit internal.
h. Alokasi sumber daya yang tepat untuk menetapkan staf yang tepat bagi setiap penugasan
audit internal. Hal ini terutama penting ketika merencanakan suatu risiko yang lebih tinggi
atau penugasan yang sangat teknis. Memastikan kompetensi yang sesuai ada di tim yang
ditugaskan dapat memainkan peran penting dalam mengurangi risiko kegagalan
audit. Selain kompetensi yang tepat, penting pula untuk memastikan tingkat pengalaman
dalam tim yang bersangkutan, termasuk keterampilan manajemen proyek yang kuat bagi
mereka yang memimpin penugasan audit internal.
2. Keyakinan yang Keliru (False Assurance)
Aktivitas audit internal mungkin saja secara tidak sengaja memberikan efek keyakinan yang keliru.
“False Assurance” adalah suatu keyakinan atau pemastian dari audit beneficiaries yang lebih
didasarkan pada persepsi atau asumsi ketimbang fakta. Dalam banyak kasus, fakta dan persepsi
tercampur baur dalam hal keterlibatan auditor internal pada suatu masalah dapat menyebabkan
false assurance. False assurance sering terjadi pada aktivitas‐aktivitas yang melibatkan auditor
internal dalam penugasan‐penugasan di luar penugasan formal audit internal.
Sebagai contoh, sebuah aktivitas audit internal diminta oleh unit bisnis untuk menyediakan auditor
demi membantu implementasi sistem komputer baru pada satuan kerja/unit
organisasi/perusahaan. Dalam kenyataannya, auditor yang diperbantukan tersebut hanya
membantu beberapa pengujian pada area‐area tertentu dalam sistem tersebut sesuai permintaan
unit bisnis yang bersangkutan. Tak lama setelah implementasi sistem tersebut, ditemukan
kesalahan dalam desain sistem yang mengakibatkan dampak yang cukup serius. Ketika unit bisnis
ditanya bagaimana hal tersebut bisa terjadi, mereka menjawab bahwa aktivitas audit internal
telah terlibat dalam proses dan tidak mengidentifikasi masalah tersebut. Di sini terlihat
inkonsistensi fakta bahwa auditor internal hanya menguji secara parsial dan bukan dalam rangka
penugasan audit sistem informasi secara penuh, dengan persepsi unit bisnis yang bersangkutan
bahwa auditor internal telah terlibat dalam proyek tersebut.
Meskipun tidak ada mitigasi yang dapat menghilangkan secara keseluruhan risiko false
assurance, suatu aktivitas audit internal secara proaktif dapat mengelola risiko ini dengan
melakukan komunikasi yang cukup sering dan jelas dengan berbagai pihak. Praktik‐praktik lain
yang dapat dilakukan antara lain sebagai berikut.

Pusdiklatwas BPKP
10
a. Secara proaktif mengomunikasikan peran dan mandat dari aktivitas audit internal kepada
komite audit, manajemen senior, dan stakeholder kunci lainnya.
b. Secara jelas mengomunikasikan apa yang tercakup dalam penilaian risiko, rencana audit
internal dan penugasan audit internal. Juga secara eksplisit mengomunikasikan apa yang
tidak termasuk dalam lingkup penilaian risiko dan rencana audit internal.
c. Memiliki mekanisme persetujuan terhadap proyek‐proyek yang dimintakan kepada aktivitas
audit internal untuk terlibat. Dalam mekanisme itu ada penilaian peran audit internal dalam
proyek tersebut dan seberapa besar tingkat risiko yang terkait. Penilaian ini dapat
menggunakan pertimbangan lingkup proyek, peran audit internal, ekspektasi pelaporan,
kompetensi yang dibutuhkan, dan independensi auditor internal.
d. Jika auditor internal diperbantukan untuk menambah staf dari suatu proyek,
dokumentasikan peran mereka dan lingkup keterlibatan mereka, serta potensi gangguan
objektivitas dan independensi mereka sebagai auditor internal di masa depan.
3. Risiko Reputasi
Reputasi yang kredibel suatu aktivitas audit internal merupakan bagian penting dari
efektivitasnya. Aktivitas audit internal yang dipandang dengan penghormatan tinggi akan mampu
menarik para profesional terbaik dan akan sangat dihargai oleh organisasi
mereka. Mempertahankan brand yang kuat sangat penting untuk keberhasilan aktivitas audit
internal dan kemampuan untuk memberikan kontribusi optimal kepada organisasi. Dalam banyak
kasus, brand aktivitas audit internal perlu dibangun selama bertahun‐tahun melalui kerja‐kerja
yang berkualitas tinggi secara konsisten. Sangat disayangkan apabila brand ini kemudian hancur
hanya karena satu kejadian buruk yang tidak semestinya.
Sebagai contoh, pada organisasi di mana aktivitas audit internal pada suatu organisasi begitu
dihargai, sehingga menjadi tempat rotasi bagi eksekutif kunci yang dipersiapkan untuk menduduki
jabatan lanjutan. Akan sangat memalukan apabila aktivitas audit internal itu sendiri tidak memiliki
sumber daya dan sistem yang siap menjadi ‘tempat sekolah’ para calon pemimpin tersebut. Ini
terkait kredibilitas institusional. Pada contoh yang lain, perekrutan auditor internal yang tidak
memerhatikan background check, sehingga misalnya, mendapatkan personel yang pernah terlibat
tindakan kriminal atau tidak memiliki kualifikasi yang sesuai, juga dapat mencederai kredibilitas
aktivitas audit internal. Situasi‐situasi tersebut tidak hanya memalukan namun juga merusak
efektivitas aktivitas audit internal. Dengan demikian, menjaga reputasi ini bukan hanya melindungi
brand aktivitas audit internal, namun juga untuk keseluruhan organisasi.

Pusdiklatwas BPKP 11
Berdasarkan uraian di atas, menjadi sangat penting bagi aktivitas audit internal untuk senantiasa
menimbang risiko‐risiko yang dihadapi yang dapat memengaruhi reputasi ini serta
mengembangkan strategi mitigasi untuk mengatasi risiko‐risiko tersebut. Di antara praktik‐praktik
yang lazim untuk memitigasi risiko‐risiko ini, antara lain berikut ini.
a. Menerapkan program pemastian kualitas dan peningkatan yang kuat terhadap semua
proses dalam aktivitas audit internal, termasuk SDM dan perekrutan.
b. Secara berkala melakukan penilaian risiko untuk aktivitas audit internal sendiri, untuk
mengidentifikasi potensi risiko terhadap brand‐nya.
c. Terus‐menerus menegakkan kode etik dan standar perilaku untuk auditor internal.
d. Memastikan bahwa aktivitas audit internal telah mematuhi seluruh kebijakan dan peraturan
yang berlaku dalam organisasi.
Walaupun tentu tidak diharapkan, dalam hal kondisi atau kejadian buruk tersebut di atas menimpa
aktivitas audit internal, maka pimpinan organisasi auditor internal harus mereviu dan menganalisis akar
permasalahannya. Root cause analysis ini akan memberikan pemahaman apakah ada perubahan yang
terjadi dalam proses dan lingkungan pengendalian aktivitas audit internal yang perlu diperhatikan, agar
masalah tersebut sedapat mungkin tidak terjadi lagi di masa depan.
C. MENGHUBUNGKAN RENCANA AUDIT DENGAN RISIKO DAN EKSPOSUR
Di dalam Standar tentang Perencanaan, pimpinan organisasi auditor internal harus menetapkan rencana
berbasis risiko untuk menentukan prioritas aktivitas audit internal, yang konsisten dan selaras dengan
tujuan organisasi. Untuk itu, pimpinan organisasi auditor internal harus mempertimbangkan kerangka
kerja manajemen risiko organisasi, termasuk dengan menggunakan risk appetite yang ditetapkan oleh
manajemen untuk berbagai kegiatan atau bagian dari organisasi. Jika kerangka kerja manajemen risiko
tidak tersedia, pimpinan organisasi auditor internal menggunakan penilaiannya sendiri atas risiko‐risiko
yang ada setelah berkonsultasi dengan jajaran manajemen puncak dalam organisasi.
Selanjutnya, IIA memberikan panduan untuk menghubungkan (linking) antara rencana audit dan risiko
tersebut, yaitu sebagai berikut.
1. Dalam mengembangkan rencana audit aktivitas audit internal, banyak pimpinan organisasi auditor
internal memandang penting untuk pertama‐tama mengembangkan atau memperbarui peta
audit (audit universe). Peta audit adalah daftar semua kemungkinan audit yang dapat dilakukan.

Pusdiklatwas BPKP
12
Pimpinan organisasi auditor internal dapat memperoleh masukan atas peta audit dari manajemen
puncak.
2. Peta audit mencakup komponen‐komponen dari rencana strategis organisasi. Dengan mencakup
komponen‐komponen dari rencana strategis organisasi, peta audit telah mempertimbangkan dan
mencerminkan tujuan bisnis secara keseluruhan. Rencana strategis juga cenderung mencerminkan
sikap organisasi terhadap risiko dan tingkat kesulitan untuk mencapai tujuan yang telah
ditetapkan. Peta audit biasanya akan dipengaruhi oleh hasil proses manajemen risiko. Rencana
strategis organisasi itu juga mempertimbangkan lingkungan di mana organisasi beroperasi. Faktor‐
faktor lingkungan yang sama kemungkinan akan berdampak terhadap peta audit dan penilaian
risiko‐risiko terkait.
3. Pimpinan organisasi auditor internal menyiapkan rencana audit berdasarkan peta audit, masukan
dari manajemen puncak dalam organisasi, serta penilaian risiko dan eksposur yang memengaruhi
organisasi. Tujuan utama audit adalah untuk memberikan keyakinan (assurance) dan informasi
bagi manajemen puncak dalam organisasi untuk membantu mereka mencapai tujuan organisasi,
termasuk penilaian efektivitas kegiatan manajemen risiko dari manajemen puncak.
4. Peta audit dan rencana audit yang terkait akan diperbarui untuk mencerminkan perubahan dalam
arah, tujuan, penekanan, dan fokus manajemen. Disarankan untuk menilai peta audit setidaknya
setiap tahun, sehingga mencerminkan strategi dan arah organisasi terkini. Dalam beberapa situasi,
rencana audit mungkin perlu diperbarui lebih sering (misalnya, triwulanan) untuk merespons
terhadap perubahan dalam bisnis organisasi, operasi, program, sistem, dan pengendalian.
5. Jadwal penugasan audit didasarkan pada faktor‐faktor antara lain, penilaian risiko dan eksposur.
Pemrioritasan diperlukan untuk membuat keputusan pembagian sumber daya. Terdapat berbagai
model risiko untuk membantu pimpinan organisasi auditor internal. Sebagian besar model risiko
menggunakan faktor risiko seperti dampak (impact), kemungkinan (likelihood), materialitas,
likuiditas aset, kompetensi manajemen, kualitas dan kepatuhan pengendalian internal, tingkat
perubahan atau stabilitas, waktu dan hasil penugasan audit terakhir, kompleksitas, dan karyawan.
D. MENGGUNAKAN PROSES MANAJEMEN RISIKO DALAM PERENCANAAN AUDIT
INTERNAL
Dalam standar audit tentang Perencanaan, pimpinan organisasi auditor internal harus menetapkan
rencana berbasis risiko untuk menentukan prioritas aktivitas audit internal, yang konsisten selaras
dengan tujuan organisasi. Dengan demikian, tidak terhindarkan bagi aktivitas audit internal untuk

menggunakan proses manajemen risiko yang ada di dalam organisasi sebagai bagian dari proses
perencanaan tersebut. Penggunaan proses yang ada sangat penting karena akan mendorong cara
pandang dan bahasa yang sama antara aktivitas audit internal dan unit lain di dalam organisasi terhadap
risiko dan proses manajemen risiko.
Penggunaan manajemen risiko dalam perencanaan ini diberikan pedoman lebih lanjut oleh IIA yaitu
sebagai berikut.
1. Manajemen risiko adalah bagian penting dalam penerapan tata kelola yang sehat yang menyentuh
seluruh kegiatan organisasi. Banyak organisasi yang tergerak untuk mengadopsi pendekatan
manajemen risiko yang konsisten dan holistik, yang terintegrasi sepenuhnya ke dalam manajemen
organisasi. Ini berlaku di semua tingkatan organisasi, baik tingkat organisasi keseluruhan, fungsi,
atau unit bisnis. Manajemen biasanya menggunakan kerangka kerja manajemen risiko tertentu
untuk melakukan penilaian dan mendokumentasikan hasil penilaian.
2. Suatu proses manajemen risiko yang efektif dapat membantu dalam mengidentifikasi
pengendalian utama yang terkait dengan risiko melekat (inherent risk) yang signifikan. Enterprise
Risk Management (ERM) adalah istilah yang umum digunakan. The Committee of Sponsoring
Organizations (COSO) dari Treadway Commission mendefinisikan ERM sebagai “suatu proses, yang
dilakukan oleh dewan direksi organisasi, manajemen, dan personil lainnya, diterapkan dalam
menyusun strategi di seluruh perusahaan, yang dirancang untuk mengidentifikasi kejadian
potensial yang dapat memengaruhi organisasi, dan mengelola risiko untuk berada dalam risk
appetite, untuk memberikan keyakinan memadai tentang pencapaian tujuan organisasi”.
Pelaksanaan pengendalian adalah salah satu metode yang umum digunakan oleh manajemen
untuk mengelola risiko agar tetap di dalam risk appetite‐nya. Auditor internal melakukan audit
terhadap pengendalian kunci dan memberikan keyakinan pada proses manajemen risiko yang
signifikan.
3. Standar mendefinisikan pengendalian sebagai “setiap tindakan yang diambil oleh manajemen,
dewan, dan pihak lain untuk mengelola risiko dan meningkatkan kemungkinan bahwa tujuan dan
sasaran akan dicapai. Manajemen merencanakan, mengatur, dan mengarahkan pelaksanaan
tindakan yang cukup untuk memberikan keyakinan memadai bahwa tujuan dan sasaran akan
dicapai.”
4. Dua konsep risiko yang fundamental adalah risiko melekat (inherent risk) dan risiko sisa (residual
risk, juga dikenal sebagai current risk). Auditor eksternal/finansial sejak lama telah memiliki
konsep risiko melekat yang secara ringkas diartikan sebagai kerentanan salah saji material atas

Pusdiklatwas BPKP
14
informasi atau data, dengan asumsi tidak terdapat pengendalian terkait untuk memitigasi
kerentanan tersebut. Standar mendefinisikan risiko residual sebagai “risiko yang tersisa setelah
manajemen mengambil tindakan untuk mengurangi dampak (impact) dan kemungkinan
(likelihood) dari suatu peristiwa buruk (adverse events), termasuk aktivitas pengendalian dalam
menanggapi risiko.” Sedangkan current risk sering didefinisikan sebagai risiko yang dapat dikelola
dalam pengendalian atau sistem pengendalian yang ada.
5. Pengendalian utama (key control) dapat didefinisikan sebagai pengendalian atau kelompok
pengendalian yang membantu mengurangi risiko ke tingkat yang dapat ditoleransi, di luar risiko
yang dinyatakan tidak dapat diterima. Dalam suatu proses manajemen risiko yang efektif (dengan
dokumentasi yang memadai), pengendalian utama dapat dengan mudah diidentifikasi dari
perbedaan antara risiko melekat dan risiko residual. Jika penilaian belum diberikan terhadap risiko
melekat, auditor internal dapat melakukan sendiri estimasi penilaian risiko melekat tersebut. Pada
saat mengidentifikasi pengendalian utama (dengan asumsi auditor internal telah dapat
menyimpulkan bahwa proses manajemen risiko berada pada tingkat mature dan dapat
diandalkan), auditor internal perlu mencari:
a. faktor‐faktor risiko individual mana yang terdapat penurunan yang signifikan dari risiko
melekat ke risiko residual (terutama jika risiko melekat sangat tinggi), Ini untuk menyoroti
pengendalian yang penting/utama bagi organisasi
b. pengendalian‐pengendalian yang berfungsi untuk memitigasi sejumlah besar risiko.
6. Perencanaan audit internal perlu memanfaatkan proses manajemen risiko organisasi, bila proses
tersebut telah berjalan. Dalam merencanakan penugasan, auditor internal perlu
mempertimbangkan risiko signifikan dari kegiatan dan juga sarana yang digunakan manajemen
untuk memperkecil risiko tersebut pada tingkat yang dapat diterima. Auditor internal
menggunakan teknik penilaian risiko dalam pengembangan rencana aktivitas audit internal
termasuk dalam menentukan prioritas untuk mengalokasikan sumber daya audit internal.
Penilaian risiko digunakan untuk mereviu area‐area yang dapat diaudit (auditable units) dan untuk
kemudian dipilih area‐area yang memiliki risiko terbesar ke dalam rencana aktivitas audit internal.
7. Auditor internal mungkin tidak memenuhi kualifikasi yang diperlukan untuk mengevaluasi setiap
kategori risiko dan proses ERM di dalam organisasi (misalnya, audit internal terhadap kesehatan
dan keselamatan kerja, audit lingkungan, atau instrumen keuangan yang kompleks). Pimpinan
organisasi auditor internal harus memastikan untuk menggunakan auditor internal dengan
keahlian khusus atau penyedia layanan eksternal untuk melakukan evaluasi dengan tepat.

8. Proses dan sistem manajemen risiko bisa diterapkan secara berbeda‐beda di antara organisasi di
seluruh dunia, sesuai dengan tingkat kematangan (maturity level) manajemen risiko pada
organisasi yang bersangkutan. Apabila organisasi memiliki kegiatan manajemen risiko secara
terpusat, peran kegiatan ini termasuk pula mengoordinasikan dengan manajemen mengenai reviu
terus‐menerus terhadap struktur pengendalian agar terus sesuai dengan selera risiko (risk
appetite) yang terus bergerak. Proses manajemen risiko yang digunakan di berbagai belahan
dunia mungkin memiliki logika, struktur, dan terminologi yang berbeda. Oleh karena itu, auditor
internal perlu membuat penilaian terhadap proses manajemen risiko organisasi untuk kemudian
menentukan bagian mana dari proses tersebut yang dapat digunakan dalam mengembangkan
rencana aktivitas audit internal dan bagian mana untuk perencanaan penugasan audit internal
secara individual.
9. Faktor‐faktor yang perlu diperhatikan ketika mengembangkan rencana audit internal meliputi
berikut ini.
a. Risiko inheren – Apakah telah diidentifikasi dan dinilai?
b. Risiko residual – Apakah telah diidentifikasi dan dinilai?
c. Pengendalian mitigasi, rencana kontinjensi, dan aktivitas pemantauan – Apakah telah
dikaitkan dengan peristiwa dan/atau risiko individual?
d. Daftar risiko (risk register) – Apakah disusun secara sistematis, lengkap, dan akurat?
e. Dokumentasi – Apakah risiko dan kegiatan didokumentasikan?
Selain itu, auditor internal perlu berkoordinasi dengan penyedia layanan assurance lainnya serta
mempertimbangkan apakah dapat menggunakan hasil pekerjaan mereka (hal ini diatur lebih lanjut
dalam practice advisory mengenai assurance maps).
10. Piagam audit internal pada umumnya mengharuskan aktivitas audit internal untuk fokus pada
area‐area yang berisiko tinggi, baik dari aspek risiko melekat ataupun residual. Aktivitas audit
internal perlu mengidentifikasi area‐area yang memiliki risiko melekat tinggi, risiko residual tinggi,
dan sistem pengendalian utama yang diandalkan organisasi untuk melakukan mitigasi. Jika
aktivitas audit internal mengidentifikasi adanya area‐area risiko residual yang tidak dapat diterima
(unacceptable), manajemen perlu segera diberitahu sehingga risiko tersebut dapat ditangani. Dari
proses ini auditor internal akan mampu mengidentifikasi berbagai jenis kegiatan yang bisa
dimasukkan dalam rencana kegiatan, termasuk berikut ini.

Pusdiklatwas BPKP
16
a. Kegiatan reviu/assurance pengendalian – di mana auditor internal melakukan reviu
kecukupan dan efisiensi sistem pengendalian serta memberikan assurance bahwa
pengendalian telah berjalan dan risiko telah dikelola secara efektif.
b. Kegiatan inquiry di mana ketika manajemen organisasi mendapati pengendalian tertentu
berada pada tingkatan yang tidak dapat diterima, terkait dengan suatu kegiatan bisnis atau
area risiko terkait serta auditor internal melakukan serangkaian prosedur untuk
mendapatkan pemahaman yang lebih baik tentang risiko dan pengendalian dimaksud.
c. Kegiatan konsultasi (consulting) – di mana auditor internal menyarankan manajemen
organisasi mengembangkan sistem pengendalian untuk mengurangi risiko saat ini (current
risk) yang berada pada tingkatan tidak dapat diterima.
Auditor internal juga mengidentifikasi pengendalian yang tidak perlu, tumpang tindih, berlebihan,
atau kompleks sehingga tidak efisien dalam mengurangi risiko. Dalam kasus‐kasus ini, biaya
pengendalian mungkin lebih besar daripada manfaat yang didapatkan, sehingga desain
pengendalian mungkin perlu diperbaiki.
11. Untuk memastikan bahwa risiko yang relevan teridentifikasi, proses identifikasi risiko harus
dilakukan secara sistematis dan didokumentasikan dengan jelas. Dokumentasi dapat bervariasi,
dari cukup dilakukan dengan spreadsheet untuk organisasi yang kecil hingga penggunaan
perangkat lunak yang canggih untuk organisasi yang kompleks. Prinsipnya adalah bahwa kerangka
kerja manajemen risiko didokumentasikan secara keseluruhan.
12. Dokumentasi manajemen risiko di dalam sebuah organisasi bisa berada di berbagai tingkat di
bawah tingkatan strategis dari proses manajemen risiko. Banyak organisasi mengembangkan
daftar risiko untuk mendokumentasikan risiko‐risiko di bawah tingkat strategis, yang berisi
dokumentasi mengenai risiko signifikan di suatu area beserta penilaian risiko melekat dan residual,
pengendalian utama, dan faktor‐faktor mitigasinya. Selanjutnya, dapat dilakukan alignment untuk
mengidentifikasi hubungan yang lebih langsung antara kategori dan aspek risiko yang
terdokumentasikan dalam register risiko dengan dokumentasi peta audit yang ada pada aktivitas
audit internal.
13. Beberapa organisasi mungkin mengidentifikasi beberapa area dengan risiko melekat yang tinggi
sekaligus. Meskipun risiko yang tinggi harus menjadi perhatian aktivitas audit internal, namun
tidak selalu untuk memasukkan semuanya ke dalam perencanaan audit internal. Dalam hal daftar
risiko masih menunjukkan adanya beberapa area yang berisiko tinggi, namun tidak ada tindakan
manajemen serta tidak memungkinkan lagi untuk dimasukkan dalam perencanaan aktivitas audit

internal, pimpinan organisasi auditor internal melaporkan area‐area tersebut secara terpisah
kepada jajaran manajemen puncak dengan rincian analisis risiko dan alasan kurangnya/
ketidakefektifan pengendalian internal terkait.
14. Area‐area yang memiliki risiko yang lebih rendah, tidak selamanya diabaikan untuk masuk dalam
perencanaan audit internal. Secara berkala, area‐area dengan risiko lebih rendah dapat dipilih
untuk menunjukkan bahwa area‐area tersebut tetap merupakan area yang di‐cover oleh aktivitas
audit internal dan lebih penting lagi, untuk memastikan risiko‐risiko yang pernah dinilai rendah
tersebut tetap rendah. Lebih lanjut, aktivitas audit internal perlu menetapkan metode untuk
mempergilirkan prioritas risiko‐risiko yang belum tersentuh oleh audit internal.
15. Rencana aktivitas audit internal pada umumnya difokuskan pada berikut ini.
a. Risiko residual yang tidak dapat diterima di mana manajemen perlu segera bertindak. Ini
merupakan area‐area dengan pengendalian utama atau faktor‐faktor mitigasi yang minimal.
b. Sistem pengendalian di mana organisasi sangat tergantung/mengandalkan.
c. Area‐area dimana terdapat perbedaan besar antara risiko melekat dengan risiko residual.
d. Area‐area di mana risiko melekat sangat tinggi.
16. Ketika merencanakan penugasan audit internal individual, auditor internal mengidentifikasi dan
menilai risiko terkait dengan area yang sedang diaudit.
E. LATIHAN SOAL
1. Jelaskan risiko berupa keyakinan yang keliru (false assurance) dalam aktivitas audit internal!
2. Jelaskan praktik‐praktik yang lazim untuk memitigasi risiko dalam aktivitas audit internal berbasis
risiko!
3. Jelaskan perbedaan antara risiko melekat (inherent risk) dengan risiko sisa (residual risk)!
4. Jelaskan jenis kegiatan yang dapat dimasukkan dalam rencana kegiatan internal auditor setelah
dilakukannya identifikasi risiko!
5. Apa yang harus dilakukan oleh auditor internal terhadap area‐area yang memiliki risiko yang lebih
rendah dari risk appetite?

Pusdiklatwas BPKP
18
~

Bab III
KONSEP DASAR AUDIT INTERNAL BERBASIS RISIKO
Setelah mempelajari bab ini, diharapkan para peserta diklat mampu
menjelaskan perkembangan peran auditor internal, pengertian audit berbasis risiko,
perbedaan pendekatan antara audit internal secara tradisional dengan
audit berbasis risiko, tahapan dalam audit berbasis risiko, manfaat dan
kelemahan pendekatan audit berbasis risiko.
A. PERKEMBANGAN PERAN AUDITOR INTERNAL
Definisi dan peran audit internal telah mengalami evolusi yang pesat hingga saat ini. Pada awalnya,
peran audit internal hanya terbatas semata‐mata pada proses pengidentifikasian pelanggaran dan
menekankan ketaatan terhadap ketentuan perundang‐undangan yang berlaku. Dalam
perkembangannya, audit internal diperkenalkan kepada pemahaman yang menyeluruh mengenai risiko
dalam organisasi auditi atau yang dikenal dengan audit internal berbasis risiko (risk‐based internal
auditing). Berikut ini adalah evolusi yang terjadi pada pendekatan peran audit internal, menurut Paul J.
Sobel (2004).
Pendekatan awal audit internal hanya berupa shotgun approach, yakni merupakan pendekatan audit
internal secara tradisional berupa post the facts, dimana audit hanya bertujuan untuk mengungkap
temuan, mencari‐cari dan mengidentifikasi kesalahan maupun pelanggaran baik dalam aktivitas,
kebijakan maupun pelaporan organisasi. Selanjutnya, pendekatan audit internal berkembang menjadi
compliance‐based approach, yakni pendekatan audit dengan melakukan pengecekan terhadap
keselarasan antara kebijakan dan prosedur yang dilaksanakan oleh organisasi dengan ketetapan regulasi.
Hal ini mempunyai keterbatasan, misalnya, jika terdapat aktivitas yang tidak sejalan dengan aturan dan
merupakan inovasi pihak manajemen organisasi karena aturan yang ditetapkan sudah tidak sesuai
dengan kondisi yang ada (out of date). Jika auditor tidak bisa memahami perspektif pihak manajemen
auditi maka pendekatan audit internal seperti ini bisa jadi kontraproduktif, karena membatasi kreativitas

Pusdiklatwas BPKP
20
pihak manajemen auditi. Artinya, meskipun manajemen bertindak berdasarkan ketentuan dan
kreativitas (inovatif) tetapi hal tersebut mungkin tidak dapat diterima oleh auditor.
Dalam perkembangan berikutnya, audit internal mengikuti pendekatan control‐based approach, yaitu
auditor menggunakan pengendalian internal yang merupakan praktik terbaik (best practice) sebagai
acuan/kriteria dalam audit. Tim auditor punya checklist dan framework tersendiri mengenai aktivitas
mana saja yang perlu dikendalikan. Kelemahan dari pendekatan ini adalah auditor internal seringkali
terlalu menekankan pada unsur pengendalian, sehingga melupakan pertimbangan faktor praktis
maupun cost‐benefit dalam implementasi pengendalian tersebut.
Perkembangan pendekatan audit internal terkini sudah mengarah kepada audit internal berbasis risiko
(risk‐based audit), dimana auditor pertama‐tama harus memahami dulu bagaimana visi, misi, tujuan,
target, dan strategi dari organisasi, baru kemudian mengidentifikasi dan menganalisis risiko yang
berpotensi menghalangi pencapaian tujuan. Auditor bertugas untuk menentukan apakah pengendalian
sudah ditempatkan dengan baik dan berjalan secara efektif dalam mengelola risiko organisasi. Pada
metodologi risk‐based audit, manajemen organisasi tidak hanya sekadar memiliki pemahaman yang
menyeluruh mengenai risiko, melainkan juga mengontrol pengelolaannya dan memastikan bahwa
pengendalian yang ada sudah berjalan secara efektif.
Berdasarkan uraian tersebut di atas, dapat disimpulkan bahwa pada awalnya peran audit internal hanya
sekedar post the facts atau mengungkap fakta atau temuan kesalahan. Dengan pendekatan risk‐based
audit, auditor internal saat ini diharapkan dapat melakukan anticipation before the facts, yaitu
melakukan tindakan antisipasi sebelum kesalahan benar‐benar terjadi. Untuk melakukan pendekatan
risk‐based audit ini, fungsi manajemen risiko dari suatu organisasi harus bekerja sama dengan fungsi
audit internal sehingga risiko dapat terus‐menerus dimonitor dan dikelola secara proaktif sebelum
benar‐benar terjadi dan membahayakan pencapaian tujuan organisasi.
B. PENGERTIAN RISIKO
Dalam kehidupan setiap manusia, baik secara sadar maupun tidak sadar, selalu berhadapan dengan
risiko. Kegagalan mencapai target, tujuan dan sasaran yang telah ditetapkan merupakan risiko dalam
kehidupan manusia dan organisasi. David Mc. Namee dan Georges Selim (1998) memberikan definisi
tentang risiko (risk) sebagai berikut: “Risk is a concept used to express uncertainty about events and/or
their outcomes that could have a material effect on the goals of the organizations.” Dalam kalimat yang
sederhana, risiko adalah suatu istilah/terminologi yang digunakan untuk mengekspresikan

ketidakpastian tentang kejadian dan/atau dampaknya yang dapat berpengaruh secara signifikan atas
pencapaian tujuan organisasi.
Melalui definisi di atas, dapat disimpulkan bahwa konsep risiko selalu memiliki keterkaitan dengan
ketidakpastian atas suatu kejadian baik yang disadari maupun yang tidak disadari sebelumnya. Akan
tetapi, risiko bukanlah sesuatu yang perlu dikhawatirkan sepanjang risiko tersebut dapat dikelola dengan
baik. Pengelolaan risiko inilah yang sering disebut dengan istilah risk management. Pengelolaan risiko
merupakan pengelolaan atas ketidakpastian.
C. TANGGUNG JAWAB MANAJEMEN
Setiap kegiatan yang dilaksanakan untuk mencapai suatu tujuan atau sasaran akan menghadapi berbagai
risiko. Kunci keberhasilan mencapai tujuan atau sasaran adalah bagaimana pihak manajemen organisasi
mengelola risiko tersebut. Pengertian manajemen risiko didefinisikan oleh The Institute of Internal
Auditor (IIA), yaitu sebagai berikut:
“A process to identify, assess, manage, and control potential events or situation, to provide
reasonable assurance regarding the achievement of the organization’s objectives. Risk
management is a fundamental element of corporate governance. Management is
responsible for establishing and operating the risk management framework on behalf of the
board.”
Suatu proses pengidentifikasian, penilaian, pengelolaan, dan pengendalian kejadian atau
situasi potensial untuk memberikan keyakinan yang memadai tentang pencapaian tujuan
organisasi. Manajemen risiko adalah elemen fundamental dari pengelolaan yang baik.
Manajemen bertanggung jawab untuk menciptakan dan mengoperasikan kerangka
manajemen risiko untuk kepentingan organisasi.
Tantangan yang dihadapi oleh pihak manajemen adalah bagaimana pihak manajemen dapat
mengantisipasi berbagai risiko yang memiliki peluang untuk menghambat pencapaian tujuan organisasi.
Australian Risk Management Standard 4360 mendefinisikan manajemen risiko sebagai “kultur, proses,
dan struktur yang diarahkan untuk merealisasikan peluang potensial dan sekaligus mengelola dampak
yang merugikan”.
Selanjutnya, merujuk pada pedoman manajemen risiko yang dikeluarkan oleh Smith and Turnbull (2003),
secara jelas dikatakan bahwa yang bertanggung jawab terhadap risiko baik internal maupun eksternal
adalah manajemen organisasi. Manajemen harus mengidentifikasi risiko, melakukan penilaian, dan
membuat daftar/register risiko. Unit Enterprise Risk Management merupakan salah satu komponen
internal control kerangka COSO (Committee on the Sponsoring Organization of the Treadway

Pusdiklatwas BPKP
22
Commission) yang harus dimiliki oleh organisasi. Unit inilah yang bertanggung jawab dalam mengelola
risiko dalam suatu organisasi. Risiko yang sudah diolah (diidentifikasi, dinilai, dan dikategorikan) dan
dimasukkan dalam register risiko.
Pengelolaan risiko menyangkut langkah pihak manajemen untuk membuat agar risiko dapat dikendalikan
di bawah batas toleransi (risk appetite). Menurut David Griffiths (2006), pengelolaan risiko dilakukan
dengan cara sebagai berikut.
1. Avoid the risks atau menghindari risiko. Contoh cara menghindari risiko adalah dengan
menghentikan kegiatan yang menghasilkan bahan‐bahan kimia yang berbahaya, meskipun
sebenarnya peluang bisnis ini bagus.
2. Transfer risks atau memindahkan risiko. Contoh pengalihan risiko yang mudah dipahami adalah
dengan menutup asuransi untuk mengalihkan risiko kepada pihak lain.
3. Tolerate risks without planning any contingencies atau menolerir risiko tanpa menyiapkan rencana
antisipasi. Contohnya, risiko kejatuhan benda‐benda langit yang tidak bisa diantisipasi sehingga
tidak ada persiapan khusus untuk mencegahnya.
4. Tolerate risks and plan contingencies atau menolerir risiko dan menyiapkan langkah antisipatif.
Contohnya, kemungkinan kerusakan yang terjadi pada pabrik/alat produksi/reaktor nuklir
diantisipasi dengan menggunakan beberapa rencana tindakan.
5. Treat risk atau menangani risiko, yaitu melakukan proses tertentu untuk mengurangi konsekuensi
atas kemungkinan terjadinya risiko. Proses seperti ini dilakukan dengan memasang sejumlah alat
pengendalian seperti memasang alat alarm kebakaran atau alarm bencana tsunami.
D. TANGGUNG JAWAB AUDITOR INTERNAL
Dalam konteks risiko ini, audit internal memberikan opini secara objektif dan independen kepada
manajemen organisasi berkaitan dengan pertanyaan: apakah semua risiko yang ada telah dikelola dalam
batas toleransi yang telah ditetapkan? Berdasarkan pernyataan tersebut, terdapat tiga kata kunci yang
sangat relevan dengan tugas dan peran auditor internal. Kata kunci penting pertama, yaitu objektif harus
dimaknai bahwa opini yang disampaikan oleh auditor internal semata‐mata hanya berdasarkan fakta
yang ditemukan dan tidak bias dalam menyampaikannya serta bukan didasarkan pada apa yang
dikehendaki oleh pimpinan. Kata kunci kedua, yaitu independen harus dimaknai bahwa dipandang dari
sisi auditi, auditor internal dalam organisasi harus memiliki kebebasan (diatur dalam audit charter) untuk
menilai seluruh kegiatan organisasi dan bertanggung jawab langsung kepada pimpinan tertinggi

organisasi yang bersangkutan. Kata kunci ketiga, opini diberikan setelah auditor internal melakukan
sejumlah prosedur yang disusun dalam program kerja audit yang dipandu oleh standar audit bagi auditor
internal.
Peran auditor internal dalam konteks risiko adalah mengevaluasi pengelolaan risiko yang dilakukan oleh
manajemen dan memberikan masukan jika masih dijumpai kurang efektifnya pengelolaan risiko
manajemen yang pada gilirannya dapat menghambat atau menggagalkan pencapaian tujuan organisasi.
Dalam rangka memenuhi tugasnya, auditor internal harus menyusun perencanaan audit berbasis risiko
mulai dari cakupan strategis hingga cakupan operasional. Gagasan ini dikemukakan oleh David McName
dan George Selim (1998) dengan judul: Model for Improving Audit Intern Service to the Organization
through Risk Management Techniques.
Model peningkatan pelayanan audit intern bagi organisasi melalui teknik pengelolaan risiko merupakan
terobosan baru paradigma auditor intern. Manajemen dalam mengelola organisasi dihadapkan dengan
semakin kompleksnya lingkungan yang mengglobal dan risiko menjadi elemen pusat dari tata kelola
yang baik (good governance). Kesadaran pentingnya pengelolaan risiko sebagai kunci proses
organisasional yang memberikan kesempatan unik kepada profesi auditor internal untuk menggeser
fokusnya kepada aspek risiko. Paradigma baru mengakui bahwa risiko merupakan pemicu aktivitas
organisasi. Tata kelola yang baik merupakan tanggapan organisasi stratejik terhadap risiko. Paradigma
baru juga mengakui tanggapan organisasi terhadap risiko pada industri secara spesifik. Secara lengkap,
model peningkatan pelayanan audit intern bagi organisasi melalui teknik pengelolaan risiko disajikan
pada Gambar 3.1. di bawah ini.

Pusdiklatwas BPKP
24
Gambar 3.1.
Model for Improving Audit Intern Service to the Organization
Through Risk Management Techniques
Gambar 3.1. menunjukkan keterlibatan audit internal sejak tahap perencanaan strategis sebagai upaya
memberikan nilai tambah atas pengelolaan risiko, pengendalian dan tata kelola. Gambar di atas juga
menggambarkan peran pengelolaan risiko dan audit internal serta hubungannya dalam tata kelola yang
baik. Pimpinan organisasi audit internal perlu melakukan penelaahan secara menyeluruh ke dalam

proses pengelolaan risiko dengan menciptakan “bahasa umum” dan kerangka risiko dalam
mendiskusikan risiko dengan pimpinan organisasi. Pimpinan organisasi yang berupaya mencapai tujuan
organisasi harus menyadari adanya risiko yang dapat menghambat pencapaian tujuan, sehingga
pengakuan dan apresiasi atas risiko bisnis harus dilakukan pada tingkat strategis. Proses perencanaan
strategis terkomunikasikan kepada pihak audit internal dalam proses pengidentifikasian audit universe
yang merupakan titik awal dalam mekanisme audit berbasis risiko.
Peran audit internal pada Gambar 3.1. tersebut dimulai pada tahap proses penetapan audit universe
yang kemudian mengerucut pada rencana audit tahunan yang direviu secara periodik dan disebut
dengan penilaian risiko makro audit internal. Kemudian, penetapan lingkup audit individual yang
terdapat dalam rencana audit tahunan yang berakhir pada tahap evaluasi risiko bisnis yang dikelola dan
disebut dengan penilaian risiko mikro audit internal. Pada tahap inilah auditor internal melakukan
validasi atas pengidentifikasian risiko dan penanganan risiko tersebut yang dilakukan oleh pihak
manajemen.
E. AUDIT INTERNAL BERBASIS RISIKO (AIBR)
Praktik audit internal mencapai suatu definisi baru yang dikeluarkan oleh IIA pada tahun 1999, yaitu
sebagai berikut:
“Internal auditing is an independent, objective assurance and consulting activity designed
to add value and improve an organization’s operations. It helps an organization
accomplish its objectives by bringing a systematic, discplined approach to evaluate and
improve the effectiveness of risk management, control, and governance processes.”
Definisi tersebut merefleksikan perubahan yang signifikan dalam audit internal. Definisi baru tersebut
membuat peran audit internal tidak hanya terfokus pada pengawasan operasional tetapi menjadi bagian
dari perbaikan langsung organisasi, menciptakan nilai tambah (value creating), membantu dalam
pengelolaan risiko, pengendalian, dan dalam rangka menjaga proses tata kelola yang baik.
Aktivitas audit internal yang merupakan bagian dari mekanisme internal corporate governance
diharapkan dapat mendorong percepatan pemenuhan keinginan shareholder dan stakeholder yang
semakin kompleks dan beragam. Hubungan proses audit internal, manajemen risiko dan good
governance (GG) dapat dilihat pada Gambar 3.2. berikut ini.

Pusdiklatwas BPKP
26
Sumber: Robert Tampubolon, Risk and System Based Internal Audit, 2005.
Gambar 3.2. Risk Based Internal Auditing
Berdasarkan Gambar 3.2. tersebut di atas, dapat dijelaskan berikut ini.
1. Sebagai hasil dari proses audit internal akan ditemukan risiko‐risiko yang mungkin terjadi dalam
organisasi, dan risiko‐risiko tersebut akan menjadi dasar pertimbangan penentuan strategi
organisasi.
2. Residual risk yang terjadi dari proses audit internal diminimalkan melalui proses manajemen risiko
dan diharapkan dapat berubah menjadi opportunity.
Permasalahan yang terjadi dalam pengelolaan organisasi bisnis di Amerika Serikat (AS) telah mendorong
kesadaran manajemen akan pentingnya pengendalian internal, pengelolaan risiko dan tata kelola
organisasi yang baik. Pada tahun 2001, di AS banyak terjadi kebangkrutan perusahaan. Hoyle, Schaefer,
Doupnik, 2007, menjelaskan fenomena tersebut sebagai berikut.
”Since beginning of 2001, more than 60.000 companies have sought bankruptcy protection,
and the number of affected employees is rising fast in 2001, the 10 largest companies filling
for bankruptcy reported employing about 140.500 people in their most recent annual report
before the filling. The top 15 US bankruptcies have occured since 2001: World Com Inc, July
2002; USD 103.9 billion, Enron Corp, Desember 2, 2001; USD 63,4 billion; Conceco Inc,
Desember 17, 2002; USD 61,4 billion, etc.”
Banyaknya kebangkrutan yang terjadi di AS menyebabkan Pemerintah AS membuat sebuah undang‐
undang yang disahkan pada tanggal 30 Juli 2002 dengan nama The Public Accounting Reform and
Investor Protection Act. Undang‐undang ini sering disebut Sarbanox, yang diambil dari nama dua orang
pencetusnya yaitu Senator Paul Spros Sarbane dan Congressman Michael G. Oxley. Tujuan dari undang‐
undang ini adalah untuk meningkatkan akuntabilitas manajemen perusahaan publik, memperbaiki

corporate governance, meningkatkan pengawasan terhadap kantor akuntan publik dan mengembalikan
kepercayaan investor terhadap pasar modal.
Committee of The Sponsoring Organization of The Treadway Commission (COSO), pada tahun 2002,
memperkenalkan konsep baru di dalam pengelolaan risiko perusahaan, yaitu Enterprise Risk
Management (ERM). ERM merupakan kerangka kerja dari manajemen risiko yang lebih luas, termasuk
pemenuhan tujuan Sarbanox seperti corporate governance issue, akuntabilitas dan meningkatkan
kepercayaan investor terhadap perusahaan‐perusahaan publik.
Kondisi tersebut di atas juga melahirkan kesadaran profesi auditor terhadap pentingnya
mempertimbangkan risiko dalam aktivitas audit. Berkaitan dengan pelaksanaan audit internal, audit
internal berbasis risiko (risk‐based internal auditing) merupakan suatu kegiatan dimana audit internal
secara keseluruhan ikut dalam melakukan pengelolaan aktivitas suatu kegiatan usaha khususnya yang
mengandung risiko didalamnya. Adapun pengertian dari audit internal berbasis risiko (risk‐based internal
auditing) menurut David O’Regan (2001) adalah “Risk‐based auditing (RBA) is auditing in which audit
objectives and audit planning are driven by a risk assessment philosopy.”
Kemudian, Lawrence B. Sawyer (2005) menyatakan bahwa:
“Audit internal berbasis risiko (risk‐based auditing) secara tradisional merupakan observasi
dan analisis kontrol, kemudian berlanjut ke penentuan risiko yang berkaitan dengan operasi
dan akhirnya ke penentuan apakah aktivitas ini sesuai dengan tujuan‐tujuan organisasi.
Konsep manajemen risiko dalam audit internal semakin diterima karena risiko tidak dapat
dihindarkan di semua jenis operasi.”
Pengertian lain dari AIBR menurut Amin Widjaja Tunggal (2006) adalah:
“Konsep risk‐based internal auditing merupakan identifikasi suatu risiko bisnis, semakin
tinggi risiko suatu area, maka harus semakin tinggi pula perhatian dalam audit area
tersebut. Auditor harus memahami aspek pengendalian dari bisnis yang bersangkutan.
Pemahaman terhadap proses bisnis termasuk memahami risiko dan pengendalian dari
sistem dalam mencapai sasaran atau tujuan organisasi.”
Selanjutnya, Amin Widjaja Tunggal (2006) juga menyatakan AIBR berdasarkan tujuannya, yaitu “risk‐
based internal auditing adalah audit yang difokuskan dan diprioritaskan pada risiko bisnis dan prosesnya
serta pengendalian terhadap risiko yang dapat terjadi.”
Berdasarkan beberapa pengertian di atas, dapat disimpulkan bahwa AIBR merupakan audit yang lebih
difokuskan pada pengelolaan risiko dimana auditor internal ikut melakukan pengelolaan risiko agar

Pusdiklatwas BPKP
28
tujuan organisasi dapat tercapai dan dapat mengurangi risiko yang akan dihadapi oleh organisasi yang
bersangkutan.
AIBR mengubah pendekatan audit sehingga dapat memberikan nilai tambah bagi pihak‐pihak yang
terkait dengan aktivitas audit internal. Berikut ini disajikan perbedaan antara pendekatan AIBR dengan
pendekatan audit tradisional menurut Amin Widjaja Tunggal (2006):
Tabel 3.3.
Perbedaan audit tradisional dengan risk based internal auditing
No.
Perubahan/
Perbedaan
Pendekatan lama/Audit tradisional Pendekatan Baru/IABR
1. Audit Universe Lebih mengutamakan area finansial
dan kepatuhan kepada kebijakan
dan prosedur internal.
Semua aktivitas usaha, khususnya
yang mengandung risiko usaha
(business risk).
2. Tujuan Audit Lebih memastikan bahwa
pengendalian internal bekerja
secara efektif dan perannya untuk
meningkatkan efisiensi tanpa
melihat keberadaannya untuk
mengendalikan risiko.
Lebih memberikan kepastian
(assurance) bahwa risiko yang
diidentifikasi telah dikurangi ke
tingkat yang dapat diterima.
3. Rencana Audit
Tahunan
Siklus audit ditetapkan secara
berkala dan biasanya dilakukan
secara mendadak tanpa
memerhatikan tingkat risiko.
Audit lebih diprioritaskan ke area
yang berisiko tinggi.
4. Tugas Lapangan Dilakukan berdasarkan pada
seperangkat rencana kerja yang
mungkin tanpa tujuan yang spesifik.
Tugas lapangan lebih memastikan
perusahaan telah mengidentifikasi,
mengendalikan dan memantau
semua risiko yang ada.
5. Pengujian Pengujian untuk mengonfirmasi
bekerjanya pengendalian tanpa
mengurutkan menurut tingkat
kepentingannya dan lebih
mengarah kepada penemuan
kesalahan walaupun tidak material
dengan akibat laporan yang tebal.
Masih tetap menggunakan teknik
pengujian yang sama, tetapi lebih
memastikan bahwa pengendalian
utama (important risk control)
berfungsi dengan baik untuk
mengurangi risiko.
6. Pelaporan Lebih mengutamakan
penyimpangan yang signifikan
dengan tetap merekam semua
penyimpangan yang tidak material
tetapi jumlahnya banyak.
Lebih memberi keyakinan bahwa
semua risiko khususnya yang utama
telah dikelola secara baik, dan
melaporkan secara rinci risiko yang
tidak dikurangi dengan baik.

7. Rekomendasi Rekomendasi diberikan dalam
kaitan dengan pengendalian agar
diperkuat, memerhatikan cost
benefit, efisiensi, dan efektivitas.
Rekomendasi akan diberikan dalam
kaitan dengan manajemen risiko
agar risiko dihindari, diakhiri,
ditransfer, didiversifikasi atau
diterima dan dikelola.
Berdasarkan Tabel 3.3. di atas dapat diketahui bahwa audit internal yang berbasiskan risiko merupakan
suatu kegiatan dimana audit secara keseluruhan lebih mengutamakan aktivitas yang mengandung risiko
serta memastikan bahwa risiko yang diidentifikasi telah dikurangi ke tingkat yang dapat diterima dan
audit ini juga lebih diprioritaskan ke dalam mengendalikan dan memantau semua risiko yang ada.
Dengan kata lain, audit internal berbasis risiko merupakan kegiatan yang difokuskan kepada pengelolaan
risiko di dalam suatu organisasi.
F. TAHAPAN DALAM AUDIT INTERNAL BERBASIS RISIKO
1. Proses Penaksiran Risiko
Penaksiran risiko pada dasarnya merupakan penentuan tingkat kemungkinan terjadinya risiko
serta pengaruh/akibat yang harus ditanggung oleh entitas/organisasi. Terdapat dua unsur yang
menjadi dasar untuk melakukan penaksiran risiko yaitu:
a. konsekuensi risiko (consequences atau impact) adalah outcomes/dampak dari risiko
diambilnya suatu putusan, baik yang bersifat positif maupun negatif
b. kemungkinan terjadinya suatu risiko (likelihood atau probability) adalah tingkat kejadian
risiko atau kemungkinan perubahan dari suatu kedaaan.
Pengukuran yang dapat diberikan kepada dua unsur tersebut bisa jadi agak rumit (kompleks),
namun contoh di bawah ini dibuat relatif sederhana. Untuk memudahkan melakukan penaksiran
risiko, setiap unsur dibagi menjadi lima tingkatan, sebagai berikut.

Pusdiklatwas BPKP
30
Tabel 3.4.
No. Konsekuensi jika risiko terjadi
Tingkat kejadian
risiko
Pengukurannya
dibuat menjadi
1. a. Dibubarkannya organisasi.
b. Kerugian yang diderita cukup besar.
c. Dampaknya dirasakan untuk jangka
panjang.
Hampir pasti terjadi Sangat Tinggi (5)
2. Menghambat pencapaian tujuan penting
organisasi secara jangka panjang.
Kemungkinan
terjadi lebih tinggi
Tinggi (4)
3. Menghalangi pencapaian tujuan organisasi
untuk jangka waktu tertentu (terbatas).
Dapat terjadi Menengah (3)
4. Menyebabkan ketidak nyamanan, tetapi
tidak menghambat pencapaian tujuan
organisasi yang signifikan.
Jarang terjadi Rendah (2)
5. Menyebabkan kekurang nyamanan dan
tidak menghambat pencapaian tujuan.
Belum pasti
terjadinya
Sangat Rendah (1)
Jika dimungkinkan, akan sangat berguna bila pada ”konsekuensi terjadinya sebuah risiko”
ditambahkan suatu nilai/skor tertentu, sebagai contoh ”kerugian negara di atas Rp100.000.000,00
yang timbul dalam proses pengadaan barang/jasa fiktif dapat dianggap sebagai sesuatu yang
mengancam reputasi organisasi”. Namun demikian, yang diperlukan di sini bukan akurasi atau
ketepatan nilainya tetapi hanya untuk memperkirakan pada batasan nilai berapa yang dapat
ditetapkan sebagai dasar pelaksanaan audit.
Oleh karena diperlukan suatu nilai untuk dijadikan dasar pengukuran, maka pada setiap unsur baik
pada unsur tingkat kejadian dan unsur konsekuensi harus diberi bobot nilai. Sebagai contoh nilai 5
untuk tingkat risiko yang sangat tinggi. Unsur konsekuensi dan unsur tingkat kejadian harus
dikalikan bobot nilainya sehingga diperoleh satu bobot tunggal untuk mengukur signifikasi sebuah
risiko.
Dalam melakukan penaksiran risiko, idealnya dipahami pengertian mengenai risiko yang ada
sebelum dan sesudah dilakukannya penanganan risiko, yaitu:
a. inherent risk (risiko melekat atau absolut), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko pada saat manajemen
belum melakukan suatu tindakan terhadap pengendalian intern,

b. residual risk (risiko bersih atau terkendali), bobot risiko diukur melalui penaksiran atas
konsekuensi dan tingkat kejadiannya terhadap terjadinya risiko setelah pengendalian intern
diberlakukan.
Dalam praktik, hal yang paling mudah dikerjakan adalah mengukur inherent risk pada suatu
kegiatan atau proyek yang baru diimplementasikan, karena sangat besar kemungkinan belum ada
pengendalian intern yang ditetapkan. Sedangkan untuk kegiatan yang bersifat rutin pada
umumnya akan lebih sulit untuk diukur.
Membobot konsekuensi juga tidak terlalu sulit karena pada umumnya pengendalian tidak
mengurangi konsekuensi yang timbul, tetapi hanya mengendalikan tingkat kejadiannya. Namun,
bagaimana tingkat kemungkinan terjadinya risiko jika tidak ada pengendalian di dalamnya? Sudah
pasti risiko kemungkinan terjadinya sangat tinggi. Oleh karena itu, pada umumnya auditor dalam
menaksir risiko biasanya hanya melakukan terhadap risiko tersisa (residual risk) karena auditor
biasanya menganggap manajemen telah menerapkan pengendalian intern secara memadai.
Hal yang sebenarnya sangat berbahaya adalah adanya asumsi bahwa pengendalian telah ada dan
telah dilaksanakan. Karena tujuan audit internal adalah dalam rangka memberikan simpulan dan
pendapat kepada pihak manajemen apakah pengendalian yang ada telah mampu mengendalikan
risiko secara tepat, oleh karenanya dalam perencanaan audit internal harus memilih inherent risk
sebagai dasar penilaian dan bukan pada residual risk. Risiko residual akan dinilai oleh auditor pada
saat penugasan auditnya.
2. Penetapan Risiko yang Dapat Diterima
Dalam pembahasan materi mengenai pengelolaan risiko ini selalu ditekankan mengenai seberapa
jauh pengelolaan risiko yang dilaksanakan oleh manajemen sampai pada tingkat yang dapat
diterima. Penaksiran risiko dengan memberi bobot sebelum dan sesudah dijalankannya
pengendalian intern dimulai dengan penetapan batasan risiko yang dianggap layak oleh
manajemen yang disebut risk appetite.
Suatu metode untuk menentukan dapat diterima atau tidaknya suatu risiko dapat dilakukan
dengan menggunakan suatu tabel yang mengaitkan antara kemungkinan terjadinya risiko
(likelihood) dan konsekuensi atau dampak terjadinya risiko (consequences) seperti digambarkan
dalam Diagram Risk Map di bawah ini.

Pusdiklatwas BPKP
32
Inherent Risk
K
e
m
u
n
g
k
i
n
a
n
t
e
j
a
d
i
r
i
s
i
k
o
(likelihood)
Hampir
pasti terjadi
5
5
Issue
tambahan
10
Issue utama
15
Tidak
diterima
20
Tidak
diterima
25
Tidak
diterima
Sering
terjadi
4
4
Dapat
diterima
8
Issue
tambahan
12
Issue utama
16
Tidak
diterima
20
Tidak
diterima
Mungkin
terjadi
3
3
Dapat
diterima
6
Issue
tambahan
9
Issue utama
12
Issue utama
15
Tidak
diterima
Kadang‐
kadang
2
2
Dapat
diterima
4
Dapat
diterima
6
Issue
tambahan
8
Issue
Tambahan
10
Issue utama
Jarang
1
1
Dapat
diterima
2
Dapat
diterima
3
Dapat
diterima
4
Dapat
diterima
5
Issue utama
Tidak
signifikan
1
Kecil
2
Moderat
3
Besar
4
Bencana
5
Dampak atas Risiko (consequences)
Gambar 3.5. Diagram Risk Map
Keterangan:
Tidak Diterima : Perlu tindakan segera untuk mengatasi risiko
Issue Utama : Perlu tindakan untuk mengatasi risiko
Issue Tambahan : Tindakan disarankan dilakukan jika sumber daya tersedia.
Dapat Diterima : Tidak perlu ditindaklanjuti.

Berdasarkan tabel kemungkinan dan dampak risiko tersebut, pihak manajemen dapat menentukan
rencana tindakan apa yang harus dilakukan untuk mengatasi dampak kombinasi antara keduanya.
Batas (berupa garis tebal hitam) antara dapat diterimanya suatu risiko dengan risiko yang perlu
ditangani, area di bawah garis tebal adalah area risiko yang dapat diterima yang disebut sebagai
risk appetite. Apabila inherent risk berada di bawah batas garis batas tebal tersebut maka risiko
tersebut harus diatasi, dialihkan atau bisa ditoleransi.
3. Penyusunan Prioritas Risiko (Risk Prioritization)
Tujuan dari penentuan prioritas risiko adalah untuk mengidentifikasi risiko yang akan
diprioritaskan untuk ditangani (diredakan tingkat kemungkinan terjadinya). Metode kuantitatif
atau kualitatif dapat digunakan untuk mengklasifikasikan risiko sesuai tingkat kesulitan dan
potensi pengaruhnya terhadap entitas. Penentuan prioritas risiko yang akan dikelola harus
mempertimbangkan:
a. kemungkinan terjadinya risiko (likelihood),
b. konsekuensi risiko (consequences),
c. biaya yang diperlukan untuk meredakan/menangani risiko tersebut.
Pengungkapan dalam Gambar 3.5. di atas ditujukan untuk memudahkan auditor internal dalam
menentukan fokus perhatian yang utama dalam pengelolaan risiko (risk prioritization) yakni pada
keadaan yang menempati kelompok Tidak Diterima (kemungkinan besar terjadi dan dampaknya
material).
4. Persyaratan Dasar AIBR
Dalam pelaksanaan perencanaan AlBR, persyaratan yang harus dipenuhi oleh manajemen dan
auditor internal adalah sebagai berikut.
a. Auditor internal telah mengetahui risiko melekat (inherent risk) yang signifikan dan risiko
tersebut berada pada tingkatan yang dapat ditoleransi di lingkup organisasi tersebut. Risiko
yang berada pada tingkatan yang dapat ditoleransi lazim disebut sebagai risk appetite.
b. Risiko dimaksud telah dievaluasi sehingga auditor internal dapat memrioritaskan urutan
penanganannya.
c. Bentuk‐bentuk risiko yang masih dapat ditoleransi (risk appetite) telah didefinisikan secara
jelas, sehingga antara risiko melekat dan risiko tersisa (residual risk) dapat ditentukan

Pusdiklatwas BPKP
34
apakah berada pada batas atas atau pada batas bawah.
Persyaratan ini akan memengaruhi pada pengambilan simpulan atas pertanyaan berikut:
a. Apakah manajemen telah merancang seperangkat kebijakan yang tepat atas pengendalian
intern?
b. Apakah manajemen telah menyetujui tingkat risiko yang dapat diterima (risk appetite)?
c. Apakah manajemen telah mendapatkan pelatihan secara memadai untuk mengidentifikasi
dan mengevaluasi risiko, untuk merancang, mengoperasikan, dan memantau sistem
pengendalian intern yang sejalan dengan kebijakan yang ditetapkan oleh lembaga/institusi?
5. Tahapan dalam AIBR
Perencanaan AIBR berbasis risiko merujuk pada daftar/register risiko yang telah dibuat oleh Unit
Manajemen Risiko yang ada dalam suatu organisasi. Berdasarkan daftar/register risiko dimaksud,
auditor internal melakukan penilaian mengenai seberapa baik manajemen organisasi memahami
risiko dan bagaimana cara mengelola risiko dimaksud. Daftar/register risiko merupakan daftar
risiko yang dihadapi organisasi setelah melalui proses identifikasi, penilaian pemberian
bobot/klasifikasi. Manajemen organisasi harus memberikan persetujuan terhadap register risiko
termasuk skornya. Register risiko harus di‐update secara reguler dalam arti mengeluarkan risiko
tertentu dari daftar, kemudian menambahkan risiko baru dan memberikan skor/bobot terhadap
masing‐masing risiko. Keberadaan register risiko yang valid sangat dibutuhkan dalam membuat
perencanaan audit. Sebagai informasi bagi peserta diklat dalnis, cara penyusunan register risiko
dibahas dalam modul lain, yaitu dalam modul diklat teknis substantif Manajemen Risiko.
Tahapan dalam AIBR berkaitan dengan langkah‐langkah yang dilakukan oleh auditor internal untuk
memberikan pendapat apakah risiko‐risiko telah dikelola secara tepat. Tahapan dalam IABR dibagi
menjadi 3, yaitu sebagai berikut:
a. Tahap I: Memastikan Keandalan Register Risiko
Pada Diagram di bawah ini digambarkan urut‐urutan dalam proses kegiatan untuk
memastikan keandalan register risiko pada suatu organisasi. Seperti telah disebutkan di
atas, register risiko disusun oleh unit manajemen risiko atau unit yang bertanggung jawab
atas pengelolaan risiko dalam organisasi.

Risk Register
Assess Risk Maturity
Risk Naive
Risk Aware
Risk Enabled
Risk Managed
Risk Defined
Risk Register
(Updated) Use organization’s
risks
Facilitate Risk
identification
Ke Phase II
Dari proses penilaian risiko tersebut dapat diketahui sampai seberapa jauh tingkat
kematangan organisasi dalam pemahaman risiko dan penerapan manajemen risikonya,
yaitu sebagai berikut:
1) Jika risk maturity organisasi berada pada level risk aware (penerapan manajemen
risiko secara acak) dan risk naive (belum ada pendekatan manajemen resiko yang
formal), maka tidak mungkin organisasi tersebut menerapkan AIBR. Dalam kondisi
seperti ini, internal auditor dapat menjalankan peran konsultatifnya, yaitu bertindak

Pusdiklatwas BPKP
36
sebagai konsultan dalam proses pemahaman dan penerapan manajemen risiko bagi
organisasi auditi.
2) Jika suatu organisasi telah menerapkan secara terintegrasi antara manajemen risiko
dan internal control maka dikatakan bahwa organisasi tersebut berada pada level risk
enabled.
3) Jika suatu organisasi menggunakan pendekatan enterprise‐wide risk management dan
mengomunikasikannya ke seluruh anggota organisasi maka organisasi tersebut
berada pada level risk managed.
4) Jika strategi dan kebijakan manajemen risiko telah dikomunikasikan dan tingkatan
risiko yang dapat ditolerir (risk appetite) telah ditetapkan, maka organisasi berada
pada level risk defined.
Berdasarkan uraian di atas, dapat disimpulkan bahwa tugas auditor internal pada tahap I
adalah memastikan apakan semua risiko yang berada di atas risk appetite telah diidentifikasi
dan dievaluasi guna memastikan apakah register risiko sudah dapat menjadi dasar
penyusunan Risk and Audit Universe (RAU) dan perencanaan audit. Dengan kata lain, pada
tahap ini auditor internal akan mengonfirmasikan kepada pihak manajemen auditi, apakah
mereka telah menyusun/memiliki daftar risiko (risk register) yang dapat digunakan oleh
auditor intern sebagai dasar menyusun perencanaan audit.
Di samping itu, berdasarkan hasil penilaian auditor internal pada tahap I di atas, David
Griffiths (2006) mengemukakan beberapa kemungkinan tindakan auditor internal, seperti
tercantum pada Tabel 3.7. berikut ini.

Tabel 3.7. Tindakan Auditor Internal Berdasarkan Hasil Penilaian Risiko
Berdasarkan Tabel 3.7. di atas, maka peran dan tugas auditor internal dapat berbentuk
memberikan penilaian (assurance), konsultan (consultancy), atau tidak melakukan AIBR,
dengan uraian sebagai berikut:
1) Pada kondisi risk managed atau risk enabled, pekerjaan audit rinci tidak diarahkan
untuk menemukan kesalahan penetapan risiko atau kelemahan pengendalian. Akan
tetapi, titik berat audit adalah pada proses manajemen risiko, seperti ketersediaan
dan kapabilitas sumber daya, proses pencatatan, metode kerja, dan proses pelaporan.
Perhatian khusus diarahkan pada verifikasi terhadap pemantauan pengendalian
manajemen terhadap risiko‐risiko kunci dalam organisasi.

Pusdiklatwas BPKP
38
2) Pada kondisi risk defined, pekerjaan audit mencakup verifikasi apakah proses
manajemen risiko sudah berjalan dengan efektif. Akan tetapi, pekerjaan audit rinci
diperlukan untuk meyakinkan bahwa semua risiko sudah diidentifikasi dan pengujian
telah dilakukan untuk memastikan bahwa pengendalian telah dilaksanakan.
3) Pada kondisi risk naïve atau risk aware, auditor internal dimungkinkan untuk
melakukan audit berbasis risiko. Akan tetapi, perlu dilakukan pelatihan manajemen
dan workshop tentang risiko untuk menentukan risiko dalam organisasi. Auditor
internal tidak boleh menetapkan risiko tanpa keterlibatan pihak manajemen atau
menetapkan sendiri daftar risiko pada organisasi auditi. Hal ini dilakukan untuk
menghindari kesalahpahaman pihak manajemen auditi bahwa auditor internal yang
bertanggung jawab terhadap manajemen risiko organisasi auditi.
b. Tahap II: Kompilasi Risk and Audit Universe (RAU) dan Rencana Audit
Pada tahap kedua ini, akan ditentukan risiko‐risiko mana yang akan dimasukkan dalam
rencana audit. Daftar rencana audit ini juga telah mempertimbangkan latar belakang
terjadinya risiko dan aspek lain seperti ketersediaan sumber daya, instruksi manajemen
untuk memrioritaskan suatu audit pada bidang tertentu dan lain‐lain. Jadi, pada tahap II ini
Risk and Audit
Universe
(RAU)
Audit Plans
Assign Risks to
Audit
From Phase I
Next Process

auditor internal akan mengonfirmasikan kepada manajemen, siapakah yang dapat memberi
pendapat atas risiko‐risiko tersebut, dan kapan waktunya. Kelompokkan risiko‐risiko ini
untuk penugasan audit ke dalam kelompok risiko dan peta komprehensif auditi (risk and
audit universe). Tetapkan dalam rencana audit tahunan (annual audit plan), untuk disyahkan
oleh pejabat yang berwenang.
c. Tahap III: Melakukan Audit Individual
Pada tahap ketiga ini, auditor internal akan melakukan audit individual terhadap setiap
sasaran yang telah ditetapkan untuk memberikan pendapat/simpulan. Selanjutnya, auditor
internal akan menyusun laporan hasil audit, menyampaikan kepada pihak yang
berkepentingan secara berkala, dan melakukan up date terhadap risiko yang dijumpai ke
dalam audit universe, jika diperlukan.
Di samping tahapan AIBR yang diuraikan di atas, Amin Widjaja Tunggal (2006) menyatakan bahwa
terdapat lima tahapan dalam melakukan AIBR, yaitu sebagai berikut.
a. Memastikan bahwa risk register (dokumentasi risiko) yang sudah dimiliki oleh unit usaha
dapat dijadikan sebagai dasar perencanaan audit.
b. Memutuskan risiko yang dimiliki oleh manajemen untuk diberikan opini oleh audit internal.
c. Menyusun rencana audit tahunan.
d. Melakukan audit individual ke setiap unit usaha.
e. Menyampaikan laporan secara periodik ke manajemen.
G. MANFAAT DAN KELEMAHAN AIBR
Seperti telah diuraikan di atas, AIBR merupakan metodologi yang memastikan bahwa manajemen risiko
sudah dilakukan sesuai dengan risk appetite yang dimiliki organisasi. Pendekatan audit ini
menitikberatkan pada langkah‐langkah dalam mengevaluasi risiko‐risiko organisasi, baik risiko strategis,
finansial, operasional, regulasi dan lainnya. Dengan menggunakan pendekatan AIBR, risiko‐risiko yang
tinggi menjadi prioritas untuk diaudit sehingga manajemen bisa mengetahui area baru mana yang
berisiko dan area mana yang pengendaliannya harus diperbaiki.
Menurut David Griffiths (2006), terdapat berbagai manfaat dalam audit dengan pendekatan AIBR, antara
lain sebagai berikut ini.

Pusdiklatwas BPKP
40
1. Konsep AIBR merupakan konsep yang sederhana karena tidak memerlukan definisi yang kompleks
mengenai pengendalian internal atau audit internal dan melibatkan seluruh bagian organisasi.
2. Terpadu karena rekomendasi yang diberikan oleh auditor internal diperoleh berdasarkan
pendalaman atas pengendalian, risiko, dan proses pencapaian tujuan organisasi dengan
menggunakan RAU dan audit database.
3. Organisasi terlibat secara langsung dalam proses audit, melihat secara langsung proses audit dan
merasakan secara langsung manfaat audit sehingga akan mendukung pekerjaan auditor.
4. Penggunaan sumber daya dapat dipertanggungjawabkan dengan baik karena dalam perencanaan
audit sudah didasarkan pada kebutuhan yang riil sesuai dengan tingkat risiko yang dihadapi.
5. Pekerjaan audit menjadi lebih menantang dan menarik bagi staf auditor karena tidak hanya
berkutat dengan masalah‐masalah keuangan saja.
6. Pelaksanaan IABR menjadi lebih efisien karena audit diarahkan pada kegiatan‐kegiatan yang
memiliki tingkat risiko yang tinggi.
7. Auditor dapat menyusun peringkat rekomendasi untuk memberikan nilai tambah yang terbesar
terhadap organisasi.
8. IABR memberikan perhatian terhadap risiko yang dikendalikan terlalu ketat sehingga dapat
meningkatkan efisiensi.
Di samping manfaat, David Griffiths (2006) juga mengemukakan beberapa kelemahan IABR, yaitu sebagai
berikut.
1. Hubungan yang terlalu dekat antara auditor dengan pihak manajemen dimungkinkan dapat
mengurangi independensi fungsi audit internal dalam organisasi.
2. Memerlukan kerja keras karena auditor harus dapat meyakinkan pihak manajemen untuk
menerapkan manajemen risiko terlebih dahulu sebelum auditor dapat melaksanakan audit.
3. Meskipun prinsip dasar IABR itu sederhana tetapi dalam pelaksanaannya cukup rumit.
4. Memerlukan pelatihan tambahan bagi staf auditor.
5. Dengan memfokuskan audit pada aktivitas yang memiliki risiko tinggi maka hal‐hal yang
sebelumnya dianggap penting oleh manajemen puncak mungkin tidak termasuk dalam cakupan
audit.

H. LATIHAN SOAL
1. Jelaskan pergeseran peran auditor internal dalam melaksanakan kegiatan audit!
2. Jelaskan perbedaan tanggung jawab antara manajemen dan auditor internal terkait dengan risiko
dalam organisasi auditi!
3. Jelaskan langkah‐langkah yang dilakukan oleh manajemen dalam mengelola risiko!
4. Uraikan perbedaan antara pendekatan IABR dengan pendekatan tradisional dalam audit internal!
5. Uraikan manfaat dan kelemahan IABR!
~

Pusdiklatwas BPKP
42

Bab IV
TAHAPAN DALAM PERENCANAAN
PENUGASAN AUDIT BERBASIS RISIKO
Setelah mempelajari bab ini, diharapkan para peserta diklat dapat memahami risiko dan audit
universe, serta tahapantahapan dalam proses perencanaan penugasan audit berbasis risiko.
A. RISIKO DAN AUDIT UNIVERSE
Kepedulian APIP terhadap risiko harus sudah dilakukan sejak perencanaan. Kepedulian terhadap risiko
bukan saja dalam penyusunan Program Kerja Audit (PKA), tetapi juga dalam penyusunan program kerja
pengawasan baik dalam Program Kerja Pengawasan Tahunan (PKPT) maupun Program Kerja Jangka
Panjang (Rencana Induk Pengawasan). Melalui PKPT, masing‐masing APIP dapat menyusun program
kerja pengawasannya lebih efektif karena dapat merencanakan auditi mana yang diprioritaskan untuk
diaudit dengan memerhatikan tingkat risiko auditnya.
Bila ditinjau dari kepentingan yang lebih luas yaitu dari sisi kepentingan pemerintah secara umum,
kepedulian akan risiko bukan hanya ditinjau dari tingkat kerentanannya saja, tetapi ditinjau pula dari segi
tugas pokok dan fungsi masing‐masing entitas. Apakah entitas tersebut sangat penting peranannya
untuk menunjang tugas umum pemerintahan dan pembangunan dan apakah entitas tersebut telah
cukup efektif dalam memberi pelayanan kepada masyarakat?
Kepedulian terhadap risiko juga sangat penting agar program kerja audit dapat lebih efektif dan efisien
karena tingkat kerentanan dan titik‐titik kritis dari operasi auditi sudah dapat diperhitungkan.
Langkah lanjutan setelah daftar risiko disusun adalah langkah penetapan risiko dan peta audit (audit
universe). Menurut University of Birmingham dalam audit glossary, pengertian audit universe adalah:
An inventory of audit areas that is compiled and maintained to identify areas for audit
during the audit planning process. Traditionally, the list included all financial and key

Pusdiklatwas BPKP
44
operational systems as well as schools and other units that would be audited as part of the
overall cycle of planned work. The audit universe serves as the source from which the five‐
year audit plan and the annual audit schedule are prepared. Developments in the approach
to auditing and audit planning have meant that the audit universe is now determined by risk
(i.e. a risk universe) and that the new risk‐based approach to auditing results in planning
that is driven by the University’s risk register. The universe will be periodically revised to
reflect changes in the overall risk profile. An inventory of audit areas, or audit universe, will
be complied and maintained.
Jadi, audit universe merupakan peta tentang auditi dan berbagai variabel terkait dengan auditi,
menyangkut kepentingan audit yang dibangun oleh auditor (lembaganya) berkenaan dengan seluruh
proses audit dan sesuai dengan tujuan audit. Audit universe memungkinkan auditor untuk melaksanakan
perencanaan audit, menyusun strategi audit, melakukan pendekatan audit, menerapkan teknik audit,
merancang output audit, mengendalikan risiko audit, dan melakukan aktivitas audit lainnya.
Daftar risiko dan peta audit berisi informasi tentang berikut ini.
1. Risiko‐risiko yang telah diidentifikasi dan/atau diketahui oleh manajemen dan auditor intern
beserta bobot risikonya.
2. Proses penanganan, dan kemungkinan dampak terjadinya akibat ancaman risiko tersebut.
3. Siapa pemilik risiko atau dimana risiko tersebut dapat terjadi.
4. Simpulan audit yang dapat diberikan kepada pihak auditi terhadap setiap risiko yang telah
teridentifikasi.
5. Rincian dan simpulan hasil yang lalu dan kemungkinan yang diharapkan pada audit berikutnya.
6. Rincian atas pelaksanaan pengendalian risiko.
Berdasar informasi tersebut dapat diperoleh laporan‐laporan berikut.
1. Data rencana audit yang akan dilaksanakan pada tahun/periode berjalan.
2. Risiko‐risiko yang diproses berdasarkan urutan ancamannya, signifikansinya dan alternatif
penanganan yang dapat ditempuh.
3. Laporan lainnya termasuk komposisi sumber daya (tenaga, anggaran dan alokasi waktu) yang akan
terlibat dalam penugasan audit.
Perencanaan audit merupakan langkah identifikasi prosedur dan teknik audit, yang harus dan akan
diselesaikan auditor pada saat penugasan audit, serta penetapan waktu yang dibutuhkan.

Secara teoritis, dapat saja audit database yang mencakup kumpulan hasil audit tahun‐tahun lalu
dimasukkan ke dalam daftar risiko dan peta audit (audit universe), tetapi karena volume laporan yang
dihasilkan begitu banyak sehingga sedikit sekali unit APIP yang telah mengelola database hasil
pengawasannya secara baik dari waktu ke waktu. Sebagai alat bantu dalam AIBR maka database minimal
yang dibutuhkan dapat menggunakan database temuan‐temuan hasil audit tahun‐tahun lalu, yang oleh
APIP biasanya dituangkan dalam Daftar Temuan dan Tindak Lanjut Hasil Audit.
Audit universe dituangkan dalam suatu profil, yang dikenal sebagal profil audit universe. Profil ini tidak
saja terbatas pada unit kerja tertentu tetapi dapat berkembang atau dikembangkan sesuai dengan
tujuan atau sasaran audit dan cakupan audit.
Pemahaman secara benar dan sistem dokumentasi yang baik atas profil audit universe akan sangat
membantu auditor dalam mengidentifikasi risiko berikut.
1. Risiko apa saja yang mungkin akan dihadapi?
2. Bagian/unit organisasi mana saja yang memiliki risiko tinggi?
3. Sistem pengendalian mana saja yang dianggap cukup kuat, atau sebaliknya?
4. Dampak apakah yang mungkin ditimbulkan karena kelemahan sistem pengendalian intern?
5. Pengidentifikasian rekomendasi potensial apakah yang dapat diberikan?
Pengenalan dan pemahaman risiko melalui pemahaman audit universe akan mendorong dan
memungkinkan auditor untuk:
1. menjadi lebih kompeten
2. menyusun perencanaan audit secara lebih terpola dan memenuhi kriteria yang ditetapkan dalam
standar audit
3. memungkinkan lembaga audit internal membangun audit master plan yang berjangka waktu
panjang, sehingga putaran atau siklus audit yang rasional dapat diterapkan.
Kelemahan yang terjadi pada audit internal biasanya menyangkut tidak tersedianya suatu profil audit
universe, baik mengenai rencana penugasan maupun potensi sumber daya yang disusun secara definitif,
sehingga sulit untuk dapat menganalisis antara kebutuhan sumber daya yang tersedia dengan beban
penugasan audit yang harus dilakukan.
Penetapan kebutuhan sumber daya audit jika dikaitkan dengan masalah risiko audit, maka akan
berkaitan dengan:

Pusdiklatwas BPKP
46
1. besar kecilnya lembaga audit internal
2. luasnya cakupan tugas dan tanggung jawab
3. kompetensi dan kemampuan auditor
4. jumlah auditor yang tersedia
5. dukungan dana, sarana, dan prasarana.
Agar menjadi lebih operasional, profil audit universe untuk suatu perencanaan pengawasan pada
umumnya dijabarkan menjadi audit master plan. Audit Master Plan seringkali dikenal sebagai Rencana
Induk Pengawasan dengan jangka waktu 1 tahun, 3 tahun atau 5 tahunan tergantung besar kecilnya
lembaga pengawasan.
Audit Master Plan yang disusun berdasarkan risiko audit akan menghasilkan berikut.
1. Suatu peta titik‐titik kritis dari setiap aktivitas dalam organisasi tertentu dan titik kritis dari luar
organisasi yang relevan dengan tujuan audit.
2. Rancangan strategi audit yang tepat dan bahkan merancang sejak awal arah rekomendasi, hal ini
memberi dampak positif audit lapangan (field audit) yang minimum, sehingga audit lapangan
dilaksanakan dengan efisien.
B. TAHAPAN DALAM PERENCANAAN PENUGASAN AUDIT
Tahapan yang tercakup dalam perencanaan atas penugasan AIBR secara lengkap mencakup:
1. menilai keandalan daftar risiko
2. menetapkan daftar risiko versi auditor
3. mengelompokkan risiko dalam rencana audit
4. menetapkan rencana audit.
Uraian secara rinci tahapan di atas adalah sebagai berikut.
1. Menilai Keandalan Daftar Risiko.
Penilaian terhadap keandalan daftar risiko yang telah teridentifikasi, baik oleh manajemen melalui
control self risk assessment (CSRA) maupun hasil pemetaan risiko oleh auditor internal
berdasarkan hasil audit yang lalu, adalah dalam rangka menilai apakah risiko‐risiko yang berada di

atas risk appetite telah teridentifikasi seluruhnya dan telah dievaluasi secara tepat oleh
manjemen, sehingga daftar risiko yang ada dapat digunakan sebagai dasar penetapan risiko pada
perencanaan audit.
Untuk menilai keandalan daftar risiko dapat ditempuh langkah‐langkah sebagai berikut.
a. Diskusikan arti risiko dan pemahaman tentang risiko dengan pihak terkait yang berwenang.
Dalam langkah ini harus diperoleh keyakinan bahwa pihak manajemen telah menetapkan
langkah‐langkah yang diperlukan untuk menangani risiko‐risiko yang dapat terjadi dalam
organisasi. Biasanya langkah tersebut mencakup pelatihan, workshop penanganan risiko,
mengajukan pertanyaan‐pertanyaan terkait risiko, dan wawancara dengan manajer risiko.
b. Menguji dokumentasi mengenai berikut.
1) Visi, misi dan tujuan organisasi.
2) Metode yang digunakan oleh manajemen untuk menentukan risiko‐risiko signifikan
yang mungkin ada dan proses menghadapi ancaman yang dilakukan oleh yang
bertanggung jawab.
3) Sistem penaksiran yang digunakan untuk mengukur risiko dan menentukan tingkat
signifikan risiko. Idealnya dalam penaksiran ini termasuk nilai‐nilai untuk menetapkan
skala konsekuensi atau dampak risiko.
4) Pernyataan dari pihak manajemen mengenai ukuran‐ukuran risiko yang dipergunakan
(risk appetite).
5) Bagaimana pertimbangan suatu risiko ditangani dalam suatu proses penanganan oleh
manajemen, khususnya oleh penanggung jawab kegiatan.
6) Risiko yang mungkin dihadapi oleh organisasi pengawasan intern, khususnya
berkaitan dengan simpulan yang harus diberikan oleh auditor terkait tersedianya
daftar risiko yang telah disusun oleh pihak manajemen.
c. Uji kelengkapan prosedur pendukung penanganan risiko, apakah telah tersedia secara
memadai dan telah dipatuhi oleh seluruh unit di dalam organisasi.
d. Buat simpulan apakah daftar risiko yang tersedia telah cukup untuk dijadikan dasar untuk
menetapkan perencanaan penugasan audit.

Pusdiklatwas BPKP
48
1) Jika dapat digunakan, dan diperlukan penyempurnaan ringan, maka minta pihak
manajemen untuk melakukannya.
2) Jika tidak dapat dipergunakan, sebagian atau seluruhnya, selanjutnya unit audit
internal memutuskan untuk menetapkan langkah untuk memfasilitasi
penyusunannya.
2. Menetapkan Daftar Risiko Versi Auditor Internal.
Tujuan penetapan daftar risiko pada tahap ini adalah sebagai berikut.
a. Untuk menetapkan risiko‐risiko yang harus dimasukkan dalam rencana audit.
b. Untuk mengalokasikan risiko‐risiko ke dalam prosedur audit yang akan diberikan simpulan
untuk disampaikan kepada pihak manajemen.
c. Untuk menetapkan risiko‐risiko yang dapat ditoleransi dan berada pada risk appetite yang
tidak memerlukan pengujian lebih lanjut.
d. Pertimbangan manajemen atas risiko‐risiko yang tidak dapat dimasukkan pada risk appetite
tetapi dapat ditoleransi oleh manajemen. Pada kondisi ini keputusan sepenuhnya menjadi
tanggung jawab manajemen.
e. Manajemen telah mengalihkan risiko, sebagai contoh telah dipertanggungkan pada
perusahaan asuransi. Audit tetap diperlukan untuk meyakinkan bahwa risiko benar‐benar
telah dialihkan kepada pihak ketiga.
f. Manajemen akan mengatasi risiko. Risiko yang akan ditangani manajemen ini merupakan
risiko yang termasuk dalam rencana audit, untuk meyakinkan bahwa risiko tersebut apakah
pihak manajemen telah menjalankan suatu strategi dengan tepat sehingga risiko telah dapat
diatasi dengan baik.
g. Adanya risiko‐risiko yang sedang diaudit oleh pihak ketiga (auditor eksternal, tim kendali
mutu dan pihak keamanan dan keselamatan kerja), yaitu pihak‐pihak yang memberikan
hasilnya langsung ke pihak manajemen maupun melalui auditor internal.
h. Risiko yang dapat dikelola dan berada dalam lingkup risk appetite, seperti yang tercantum
pada hasil audit periode sebelumnya. Untuk meyakinkan bahwa simpulan atas evaluasi
risiko, hasil audit, pengendalian risiko oleh manajemen, perubahan‐perubahan penting yang
terjadi, audit internal dapat memberikan suatu keyakinan bahwa risiko‐risiko dimaksud
tetap berada dalam lingkup risk appetite dan jika telah terjadi perubahan maka harus
direkomendasikan untuk dimasukkan dalam rencana audit.

PERENCANAAN_PENUGASAN_AUDIT_2011.pdf

PERENCANAAN_PENUGASAN_AUDIT_2011.pdf

Recommended

Recommended

More Related Content

Similar to PERENCANAAN_PENUGASAN_AUDIT_2011.pdf

Similar to PERENCANAAN_PENUGASAN_AUDIT_2011.pdf (20)

Recently uploaded

Recently uploaded (20)

PERENCANAAN_PENUGASAN_AUDIT_2011.pdf