16

BAB III
LANDASAN TEORI DAN METODOLOGI

3.1. Auditing
3.1.1. Pengertian Auditing
Agak sulit untuk menyebutkan definisi yang tunggal dan tepat mengenai
istilah audit. Banyak pengarang terkemuka telah memberikan definisi auditing dan
masing-masing dari mereka menekankan pada aspek-aspek tertentu. Untuk
memperoleh pemahaman yang lebih mendalam, Penulis akan merujuk pada beberapa
definisi berikut ini.
Arens et al. (2006) mendefinisikan auditing sebagai berikut: Auditing is the
accumulation and evaluation of evidence about information to determine and report
on the degree of correspondence between the information and established criteria.
Auditing should be done by a competent, independent person. Definisi tersebut dapat
diartikan bahwa auditing adalah proses pengumpulan dan pengevaluasian bahan bukti
tentang informasi yang dapat diukur mengenai suatu entitas ekonomi untuk
menentukan dan melaporkan kesesuaian informasi yang dimaksud dengan kriteria-
kriteria yang dimaksud yang dilakukan oleh seorang yang kompeten dan
independen.Pengertian ini mencakup beberapa hal penting, antara lain: informasi
yang dapat diukur dan kriteria yang telah ditetapkan;aktivitas mengumpulkan dan
mengevaluasi bahan bukti; independensi dan kompetensi auditor; dan pelaporanhasil
audit.


17
Sementara Konrath (2002) mengungkapkan: Auditing is a systematic process
of objectively obtaining and evaluating evidence regarding assertions about
economic actions and events to ascertain and communicating the result to interested
users. Konrath melihat audit sebagai suatu proses sistematik dalam memperoleh dan
mengevaluasi asersi manajemen. Pengertian ini juga menambah satu aspek dalam
auditing, yaitu entitas ekonomi, meliputi kegiatan dan perilaku ekonomi.
Menurut Mulyadi(2002), auditing diartikan sebagai:Suatu proses sistematik
untuk memperoleh dan mengevaluasi bukti secara obyektif mengenai pernyataan-
pernyataan tentang kegiatan dan kejadian ekonomi, dengan tujuan untuk menetapkan
tingkat kesesuaian antara pernyataan-pernyataan tersebut dengan kriteria yang telah
ditetapkan, serta penyampaian hasil-hasilnya kepada pemakai yang berkepentingan.

3.1.2. Jenis-jenis Audit
Audit umumnya dibedakan menjadi tiga golongan, yaitu: audit operasional,
audit kepatuhan dan audit laporan keuangan.Berikut ini diberikan penjelasan singkat
mengenai ketiga golongan audit tersebut.
1. Audit Operasional (Operational Audit)
Audit operasional merupakanpemeriksaan atas semua atau sebagian prosedur
danmetode operasional suatu organisasi untuk menilai efisiensi, efektifitas, dan
keekonomiannya. Audit operasional dapat menjadi alat manajemen yang efektif
dan efisien untuk meningkatkan kinerja organisasi. Hasil dari audit operasional
berupa rekomendasi-rekomendasi perbaikan bagi manajemen sehingga audit
jenis ini lebih merupakan konsultasi manajemen.


18
2. Audit Kepatuhan (Compliance Audit)
Audit Ketaatan merupakan pemeriksaan untuk mengetahui apakah prosedur dan
aturan yang telah ditetapkan otoritas berwenang sudah ditaati oleh personil di
organisasi tersebut. Audit Ketaatan biasanya ditugaskan oleh otoritas berwenang
yang telah menetapkan prosedur/peraturan dalam organisasi sehingga hasil audit
jenis ini tidak untuk dipublikasikan tetapi untuk intern manajemen.
3. Audit Laporan Keuangan (Financial Statement Audit)
Pemeriksaan atas laporan keuangan merupakan evaluasi kewajaran laporan
keuangan yang disajikan oleh manajemen secara keseluruhan dibandingkan
dengan standar akuntansi keuangan yang berlaku umum. Dalam pengertiannya
apakah sebuah laporan keuangan secara umum merupakan informasi yang dapat
ditukar dan dapatdiverifikasi serta telah disajikan sesuai dengan kriteria tertentu.
Umumnya kriteria yang dimaksud adalah standar akuntansi yang berlaku umum
seperti prinsip akuntansi yang diterima umum. Hasil audit atas laporan keuangan
adalah opini auditor, yaitu Unqualified Opinion, Qualified Opinion, Disclaimer
Opinion dan AdverseOpinion.
Dalam Modul Auditing yang diterbitkan oleh Pusat Pendidikan dan Pelatihan
Pengawasan BPKP (2005), terdapat satu jenis audit lagi, yaitu:
4. Audit Investigatif
Audit investigatif adalah audit yang dilakukan berkaitan dengan adanya indikasi
tindak pidana korupsi dan/atau penyalahgunaan wewenang dan/atau
ketidaklancaran pembangunan.


19

3.1.3. Jenis-jenisAuditor
Secara umum, auditor diklasifikasikan ke dalam tiga kelompok, yaitu:
1. Auditor Pemerintah
Adalah auditor yang bertugas melakukan audit terhadap instansi-instansi
pemerintah. Di Indonesia, auditor pemerintah dibagi menjadi dua jenis, yaitu:
a. Auditor Eksternal Pemerintah, yang dilaksanakan oleh Badan Pemeriksa
Keuangan (BPK) sebagai perwujudan dari Pasal 23E ayat (1) Undang-
undang Dasar 1945 yang berbunyi:Badan Pemeriksa Keuangan merupakan
badan yang tidak tunduk kepada pemerintah, sehingga diharapkan dapat
bersikap independen.
b. Auditor Intern Pemerintah atau yang lebih dikenal sebagai Aparat
Pengawasan Intern Pemerintah (APIP), yang dilaksanakan oleh Badan
Pengawasan Keuangan dan Pembangunan (BPKP), Inspektorat J enderal
Kementerian/Lembaga, dan Inspektorat Pemerintah
Provinsi/Kabupaten/Kota.
2. Auditor Intern
Merupakan auditor yang bekerja pada suatu organisasi dan oleh karenanya
berstatus sebagai pegawai pada organisasi tersebut. Tugas utamanya ditujukan
untuk membantu manajemen organisasi dimana ia bekerja dalam mencapai
tujuan organisasinya.



20
3. Auditor Independen atau Akuntan Publik
Adalah fungsi pengauditan atas laporan keuangan yang diterbitkan oleh
perusahaan. Pengauditan ini dilakukan pada perusahaan terbuka, yaitu
perusahaan yang go public, perusahaan-perusahaan besar dan juga perusahaan
kecil serta organisasi-organisasi yang tidak bertujuan mencari laba. Praktik
akuntan publik harus dilakukan melalui suatu Kantor Akuntan Publik (KAP).
Arens & Loebbecke (1996) dalam bukunya Auditing: Pendekatan Terpadu
yang diadaptasi oleh Amir Abadi J usuf, menambahkan satu lagi jenis auditor, yaitu:
4. Auditor Pajak
Auditor Pajak berada di bawah Direktorat J enderal Pajak (DJ P), Kementerian
Keuangan Republik Indonesia, yang bertanggungjawab atas penerimaan negara
dari sektor perpajakan dan penegakan hukum dalam pelaksanaan ketentuan
perpajakan. Aparat pelaksanaan DJ P dilapangan adalah Kantor Pelayanan Pajak
(KPP) dan Kantor Pemeriksaan dan Penyidikan Pajak (Karikpa).
Persamaan utama auditorintern dan auditor ekstern adalah sebagai berikut:
Baik auditor ekstern maupun auditor intern melaksanakan pengujian rutin dan
pengujian tersebut dapat mencakup, menguji dan menganalisis banyak transaksi;
Baik auditor intern maupun auditor ekstern akan khawatir apabila prosedur sangat
lemah dan/atau terdapat ketidaktaatan terhadap prosedur tersebut;
Baik auditor intern maupun auditor ekstern sangat terlibat dalam sistem informasi,
karena terdapat unsur dari pengendalian manajerial, dan juga mewujudkan hal
yang fundamental terhadap proses pelaporan keuangan;


21
Keduanya didasarkan pada disiplin profesional dan beroperasi berdasarkan
standar profesional;
Keduanya berusaha dapat bekerja sama secara aktif;
Keduanya sangat berhubungan dengan sistem pengendalian intern organisasi;
Keduanya memberi perhatian pada terjadinya dan dampak dari kesalahan (errors)
dan salah saji (misstatement) yang mempengaruhi laporan keuangan;
Keduanya menghasilkan laporan audit yang formal atas aktivitas mereka.
Namun, juga terdapat perbedaan pokok antara auditorintern dengan auditor
ekstern, yaitu:
Auditor ekstern adalah orang yang independen di luar organisasi, bukan
merupakan karyawan organisasi seperti auditor intern, walaupun auditor intern
harus tetap menjaga independensinya, baik dalam kenyataan maupun secara
mental. Namun sebagai catatan, terdapat organisasi dimana fungsi audit internnya
diberikan kepada badan eksternal;
Auditor ekstern melayani pihak ketiga yang memerlukan informasi keuangan
yang dapat diandalkan, sedangkan auditor intern melayani kebutuhan organisasi;
Auditor ekstern fokus pada kejadian-kejadian masa lalu yang dinyatakan dalam
laporan keuangan, sedangkan auditor intern fokus pada kejadian-kejadian di masa
depan untuk membantu pencapaian tujuan organisasi;




22
Auditor ekstern memberikan opini apakah laporan keuangan telah disajikan secara
wajar (true and fair view), sedangkan audit intern membentuk opini atas memadai
dan efektif tidaknya sistem manajemen risiko dan pengendalian intern.Banyak
pekerjaan auditor intern di luar sistem akuntansi utama.

3.2. Audit Intern
3.2.1. Pengertian Audit Intern
Pada 1978,The Institute of Internal Auditors(IIA) dalamInternational
Standards for the Professional Practice of the Internal Auditing, mendefinisikan audit
intern sebagai berikut: Internal auditing is an independent appraisal function
established within an organization to examine and evaluate its activities as a service
to the organization.(Audit intern adalah fungsi penilaian independen yang dbentuk
dalam perusahaan untuk memeriksa dan mengevaluasi aktivitas-aktivitasnya sebagai
pelayanan yang diberikan kepada organisasi.)
Tetapi dengan makin berkembangnya bisnis dan teknologi, definisi tersebut di
atas tidak lagi cukup untuk mengantisipasi kebutuhan stakeholders, sehingga IIA
pada J uli 1999, melakukan redefinisi internal auditing dengan suatu perubahan yang
cukup substansial, sebagai berikut:Internal auditing is an independent, objective
assurance and consulting activity designed to add value and improve an
organizationsoperatives. It helps an organization accomplish its objectives by
bringing a systematic, disciplined approach to evaluate and improve the effectiveness
of risk management, control and governance process.


23
Terjemahannya kira-kira sebagai berikut: audit intern adalah aktivitas
independen, keyakinan obyektif dan konsultasi yang dirancang untuk memberi nilai
tambah dan meningkatkan operasi organisasi. Audit tersebut membantu organisasi
mencapai tujuannya dengan menerapkan pendekatan yang sistematis dan berdisiplin
untuk mengevaluasi dan meningkatkan efektivitas proses pengelolaan risiko,
kecukupan pengendalian dan tata kelola organisasi.
Sementara itu, Sawyer (2005) menyatakan bahwa:Audit intern adalah sebuah
penilaian yang sistematis dan obyektif yang dilakukan auditor intern terhadap operasi
dan pengendalian yang berbeda-beda dalam organisasi untuk menentukan apakah (1)
informasi keuangan dan operasi telah akurat dan dapat diandalkan; (2) risiko yang
dihadapi perusahaan telah diidentifikasi dan diminimalisasi; (3) peraturan eksternal
serta kebijakan dan prosedur intern yang bisa diterima telah diikuti; (4) kriteria
operasi yang memuaskan telah dipenuhi; (5) sumber daya telah digunakan secara
efisien dan ekonomis; dan (6) tujuan organisasi telah dicapai secara efektif semua
dilakukan dengan tujuan untuk dikonsultasikan dengan manajemen dan membantu
organisasi dalam menjalankan tanggung jawabnya secara efektif.)
Sesuai definisi baru IIA, kegiatan audit intern bertujuan untuk memberikan
layanan kepada organisasi. Karena kegiatan ini, maka selain memiliki fungsi sebagai
pemeriksa, auditor intern juga sekaligus berfungsi sebagai mitra manajemen
(auditee). Fokus utama audit intern adalah membantu satuan kerja operasional
mengelola risiko dengan mengidentifikasi masalah dan menyarankan perbaikan yang
memberi nilai tambah untuk/atau memperkuat organisasi.


24
Secara detil perbedaan antara definisi baru dengan definisi lama dapat
diformulasikan sebagai berikut:

Tabel 3.1.Perbandingan Pengertian Audit Intern

Perbandingan Pengertian Audit Intern
Definisi Lama Definisi Baru
1. Fungsi penilaian 1. Aktivitas konsultasi dankeyakinan obyektif
yang dikelola secara independen
2. Mengkaji dan mengevaluasi aktivitas
organisasi sebagai bentuk jasa yang
diberikan bagi organisasi
2. Dirancang untuk memberikan suatu nilai
tambah serta meningkatkan kegiatan
operasional organisasi
3. Membantu para anggota organisasi agar
dapat menjalankan tanggung jawabnya
secara efektif
3. Membantu organisasi dalam usaha mencapai
tujuannya
4. Memberi hasil analisis, penilaian,
rekomendasi, konseling dan informasi
yang berkaitan dengan aktivitas yang dikaji
dan menciptakan pengendalian efektif
dengan biaya wajar
4. Memberikan suatu pendekatan disiplin yang
sistematis untuk mengevaluasi dan
meningkatkan keefektifan manajemen risiko,
pengendalian dan proses pengaturan dan
pengelolaan organisasi
Sumber: Tunggal, 2008 (diolah)

Aktivitas consulting akan memberikan nilai tambah bagi auditor intern karena
di samping memberikan jasa audit, pihak auditor intern juga bertindak sebagai
konsultan dan kolega bagi unit operasi (auditee) untuk membicarakan hal-hal yang
berkaitan dengan peningkatan efisiensi, efektivitas dan keekonomisan suatu proses
kerja, sehingga tidak hanya sekedar sebagai watchdog atau policeman yang selalu
mencari-cari kesalahan auditee.
Auditor intern harus melakukan risk assessment yaitu suatu proses yang
dilakukan secara sistematis untuk menilai dan sekaligus melakukan professional
judgment tentang kemungkinan terjadinya suatu kondisi dan kejadian yang tidak
diinginkan.Audit intern penting untuk memberikan validasi tentang efektivitas


25
pengendalian yang diimplementasikan untuk mengelola risiko. Audit intern
memberikan opini yang independen dan obyektif kepada manajemen suatu organisasi
mengenai apakah risiko organisasi telah dikelola pada tingkat yang diterima.
Penilaian terhadap control and governance process adalah salah satu aspek
penting yang menjadi fokus dan tanggung jawab auditor intern. Definisi baru audit
intern menyatakan bahwa dengan pelaksanaan governance yang baik akan lebih
meningkatkan fungsi pengendalian (control) yang pada akhirnya akan membantu
manajemen menangani risiko. Peran ini menjadi penting selaras dengan gencarnya
kampanye pelaksanaan good governance di Indonesia.
Ukuran keberhasilan auditor intern bukanlah jumlah temuan, melainkan
bagaimana ia mampu memberikan saran dan rekomendasi yang efektif untuk
membantu auditee menyelesaikan permasalahan yang dihadapi.
Audit intern berfungsi:
Memastikan bahwa risiko dikurangi pada tingkat yang dapat diterima.
Menentukan proses dan tujuan organisasi.
Melaporkan apakah risiko tidak secara memadai dikurangi oleh pengendalian.
Menguji pengendalian yang mengurangi risiko.
Bekerja dengan bisnis untuk mengidentifikasi risiko yang menghalangi proses.

3.2.2. Tujuan Audit Intern
Pada dasarnya, tujuan utama dari audit intern dalam suatu organisasi adalah
membantu organisasi mencapai tujuannya. Namun, secara luas tujuan yang ingin
dicapai oleh audit intern adalah:


26
Kebenaran dan kelengkapan informasi kegiatan organisasi.
Penyesuaian dan penerapan kebijakan organisasi, rencana kerja, prosedur dan hal-
hal yang diwajibkan dan hal-hal yang mencakup hukum dan peraturan yang berlaku.
Menjaga aset organisasi terhadap penggunaan yang salah atau sewenang-wenang
oleh pihak yang tidak berkepentingan.
Efektifitas, efisiensi dan kelengkapan organ operasi organisasi untuk mencapai
tujuan organisasi.
Internal controlyang ada harus mencakup pengendalian aktivitas organisasi,
pengendalian aktiva organisasi, bentuk informasi dan komunikasi, pengendalian
yang berkelanjutan atau monitoring, pengendalian lingkungan kerja dan
sekeliling, pengendalian terhadap bahaya, risiko yang diambil perusahaan.

3.2.3. Audit InternPemerintah
Menurut Standar Audit APIP yang dikeluarkan oleh Kementerian
Pendayagunaan Aparatur Negara, Audit adalah proses identifikasi masalah, analisis,
dan evaluasi bukti yang dilakukan secara independen, obyektif dan profesional
berdasarkan standar audit, untuk menilai kebenaran, kecermatan, kredibilitas, efektifitas,
efisiensi, dan keandalan informasi pelaksanaan tugas dan fungsi instansi pemerintah.
Kegiatan audit yang dapat dilakukan oleh APIP pada dasarnya dapat
dikelompokkan ke dalam tiga jenis audit berikut ini:


27
1. Audit atas laporan keuangan yang bertujuan untuk memberikan opini atas
kewajaran penyajian laporan keuangan sesuai dengan prinsip akuntansi yang
diterima umum.
2. Audit kinerja yang bertujuan untuk memberikan simpulan dan rekomendasi atas
pengelolaan instansi pemerintah secara ekonomis, efisien dan efektif.
3. Audit dengan tujuan tertentu yaitu audit yang bertujuan untuk memberikan
simpulan atas suatu hal yang diaudit. Yang termasuk dalam kategori ini adalah
audit investigatif, audit terhadap masalah yang menjadi fokus perhatian pimpinan
organisasi dan audit yang bersifat khas.

3.3. Audit InternBerbasis Risiko
3.3.1. Pengertian Risiko
Setiap organisasi pasti mempunyai tujuan, yang utamanya adalah membangun
nilai (value) kepada semua pihak yang berkepentingan (stakeholders), seperti:
memastikan operasi organisasi berjalan efektif dan efisien. Tujuan tersebut dapat
dicapai melalui proses, mulai dari penerapan strategi dan rencana kerja, upaya
merealisasi rencana tersebut, pengendaliannya dan menikmati hasil dari tujuan yang
telah ditetapkan.
Dalam upaya pencapaian tujuan tersebut, setiap organisasi sama-sama
menghadapi berbagai ketidakpastian. Ketidakpastian itu mengandung risiko potensial
yang dapat menghilangkan peluang untuk menghasilkan nilai tambah, bahkan dapat
mengurangi nilai yang telah ada bagi para stakeholders.


28
Dalam Kamus Besar Bahasa Indonesia (2008), risiko diartikan sebagai akibat
yang kurang menyenangkan (merugikan, membahayakan) dari suatu perbuatan atau
tindakan. Sedangkan BPKP (2007) mendefinisikan risiko sebagai suatu
kejadian/kondisi yang berkaitan dengan hambatan dalam pencapaian tujuan.
Menurut Griffiths (2006) dalam bukunya Risk-based Internal Auditing: An
Introduction, risiko didefinisikan sebagai suatu keadaan yang dapat menghambat
organisasi dalam mencapai tujuan yang telah ditetapkan. Oleh karena itu, semua
risiko yang ada dan akan terjadi harus dikelola dengan baik. Untuk mengelolanya
dituntut adanya suatu pendekatan pengelolaan risiko (risk management) yang sesuai
dengan perubahan lingkungan yang ada.
IIA mendefinisikan risiko sebagai berikut: Risk is the possibility of an event
occuring that will have an impact on the achievement of objectives. Risk is measured
in terms of impact and likelihood. (Risiko adalah kemungkinan terjadinya sesuatu
yang dapat berpengaruh pada pencapaian tujuan. Risiko dinyatakan dalam ukuran
konsekuensi dan kemungkinan.)
J enis-jenis risiko menurut Moeller (2007), yaitu:
1. Strategic Risks: external factor risks dan internal factor risks
2. Operation Risks: process risks, compliance risks, people risks
3. Finance Risks: treasury risks, credit risks, trading risks
4. Information Risks: financial risks, operational risks, technological risks
Seperti telah kita ketahui bahwa risiko akan menghambat tujuan. Tujuan
organisasi itu sendiri akan dapat dicapai melalui suatu proses. J adi, dalam hal ini


29
kadangkala lebih mudah untuk melihat suatu risiko sebagai hal yang akan
mengancam proses itu sendiri daripada tujuannya.
Hubungan antara risiko dan pengendalian intern berkaitan dengan tugas dan
fungsi audit intern dalam membantu manajemen mencapai tujuan yang telah
ditetapkan diperlihatkan pada Gambar 3.1. berikut (Tunggal, 2009):














Gambar 3.1.Hubungan Antara Risiko dan Pengendalian Intern
Dengan Tugas dan Fungsi Audit Intern


3.3.2. Penaksiran Risiko
Penaksiran risiko (risk assessment) merupakan proses identifikasi dan analisis
risiko yang relevan dalam pencapaian tujuan dan menciptakan dasar mengenai
bagaimana risiko harus dikelola. Penaksiran risiko mencakup identifikasi risiko (risk
identification) dan evaluasi risiko (risk evaluation). Yang perlu diperhatikan dalam
Manajemen suatu
organisasi
Audit Internal, memberikan suatu opini yang
independen dan obyektif kepada manajemen
apakah semua risiko telah dikelola ke tahap
yang dapat diterima
Tugas utama audit internal
yaitu membantu organisasi
untuk mencapai tujuannya
Tujuan
Pengendalian internal
yaitu suatu proses yang
mengelola risiko
Risiko adalah suatu
keadaan yang dapat
menghambat organisasi
mencapai tujuan


30
melakukan analisis dan mengukur risiko adalah faktor-faktor risiko, dampaknya dan
pemicu (driver) dari masing-masing risiko.
Kegiatan penaksiran risiko, terdiri atas:
Identifikasi entitas dan analisis terhadap risiko yang relevan untuk mencapai tujuan.
Membentuk suatu dasar untuk menentukan bagaimana risiko harus dikelola.
Menurut David McNamee dari IIA yang dikutip oleh Tampubolon (2005),
secara garis besar ada tiga langkah dalam melakukan risk assessment dengan
menggunakan pendekatan COSO, yaitu:
1. Menentukan sasaran dan tujuan organisasi.
2. Menilai risiko (terdiri atas: mengidentifikasi, menganalisis/mengukur dan
menetapkan prioritas risiko).
3. Menetapkan pengendalian yang dibutuhkan untuk mengendalikan risiko yang ada.
Identifikasi risiko berarti mengidentifikasikan kejadian atau peristiwa yang
mungkin timbul yang akan mengganggu atau menghambat upaya pencapaian sasaran
organisasi. Teknik identifikasi risiko, antara lain: brainstorming, workshop yang
difasilitasi, interview dan diskusi, kuesioner dan survei, analisis proses bisnis, dan
analisis event tree.Tahapan-tahapan dalam identifikasi risiko adalah: (a) Preliminary
list, (b) Analisis lanjutan, dan (c) Perumusan risiko.
Dalam mengevaluasi risiko, terdapat dua elemen dari risiko yang perlu
dipertimbangkan, yaitu:
1. Consequence atau dampak apabila risiko benar-benar terjadi, dan
2. Likelihood atau kemungkinan terjadinya risiko.


31
Audit intern dapat membantu manajemen dalam pengelolaan risiko dengan
memonitor bagaimana pelaksanaan pengelolaan risiko di tingkat operasional sehari-
hari. Oleh karena itu, pendekatan audit telah diarahkan agar dapat mengakomodasi
kebutuhan tersebut dengan menerapkan pendekatan audit yang berbasis risiko atau
yang disebut Risk-Based Auditing.

3.3.3. Audit InternBerbasis Risiko
Audit Intern Berbasis Risiko (Risk-based InternalAuditing) adalah audit yang
difokuskan dan diprioritaskan pada risiko bisnis dan prosesnya serta pengendalian
terhadap risiko yang dapat terjadi. Dalam konsep audit berbasis risiko, semakin tinggi
risiko suatu area maka harus semakin tinggi pula perhatian dalam audit area tersebut.
Untuk mengidentifikasi suatu risiko bisnis, auditor harus memahami aspek
pengendalian intern dari bisnis termasuk memahami risiko dan pengendalian dari
sistem dalam mencapai sasaran atau tujuan organisasi.
Tujuan audit intern berbasis risiko secara umum adalah dalam rangka
mengurangi risiko, mengantisipasi risiko potensial yang dapat merugikan operasi
organisasi dan melindungi organisasi dari kejadian tak terduga yang diantisipasi
sebelum kejadian tersebut benar-benar terjadi.
Perubahan pendekatan ke audit intern berbasis risiko adalah perubahan yang
fundamental sehingga memerlukan perubahan paradigma secara total dari para
pelakunya. Secara umum perubahan tersebut, yaitu:


32
1. perencanaan audit berbasis risiko dirancang untuk menggunakan waktu audit
lebih banyak pada area yang berisiko tinggi dan merupakan sasaran organisasi
yang paling penting.
2. adanya perubahan alokasi waktu dalam melakukan proses audit berbasis risiko
dengan lebih banyak melakukan evaluasi terhadap kecukupan dan efektivitas
pengendalian intern organisasi, tata kelola (governance) yang baik dan sistem
informasi yang mencakup:
efektivitas dan efisiensi operasi organisasi
kehandalan dan integritas dari informasi keuangan dan operasi
perlindungan terhadap aset organisasi
kepatuhan terhadap sistem dan prosedur, regulasi dan hukum
Perbedaan antara audit tradisional dengan audit berbasis risiko menurut Mark
Davies dalam artikelnya yang berjudul Auditing in the New Millennium yang dikutip
oleh Tunggal (2009) adalah sebagai berikut:

Tabel 3.2.Perbedaan Antara Audit Tradisional dengan Audit Berbasis Risiko

Kriteria Audit Tradisional Risk-Based Auditing
Fokus Sistem akuntansi Proses bisnis
Kerangka waktu Historikal Prospektif
Tim Terutama akuntan Multidisiplin
Informasi/Bukti Pihak ketiga/pengujian detil Client-based/pengujian pengendalian
Keluaran Opini, surat manajerial (fokus
pada fungsi keuangan)
Opini, surat manajerial (fokus pada isu
operasional)
Sumber: Tunggal, 2009 (diolah)



33
Dalam audit intern berbasis risiko, auditor lebih berfokus dalam tahap
penilaian risiko. Auditor mengidentifikasi risiko, mengukur risiko dan menetapkan
prioritas dalam usaha untuk meminimalisasi usaha. Hasil penilaian risiko menjadi
dasar bagi auditor untuk merencanakan audit secaramakro (universal dan jangka
panjang) dan mikro (audit individual).

3.3.4. Tahapan Audit InternBerbasis Risiko
Setidaknya, terdapat lima tahapan dalam melakukan Risk-Based Internal
Auditing (Tunggal, 2009):
1. Memastikan bahwa daftar risiko (risk register) yang sudah dimiliki oleh unit
organisasi sudah tepat dijadikan sebagai dasar perencanaan audit.
2. Memutuskan risiko yang dimiliki oleh manajemen untuk diberikan opini oleh
auditorintern.
3. Menyusun Rencana Audit Tahunan (Risk-Based Audit Planning Makro).
Tahapan risk-based audit planning makro dapat digambarkan sebagai berikut:




Gambar 3.2. Tahapan Risk-based Audit Planning Makro

Output risk-based audit planning makro adalah:
Audit Universe, mendefinisikan total universe dari unit/satuan kerja yang
dapat diaudit (Auditable Unit)
Tahap 1
Mengembangkan
pemahaman
bisnis entitas

Tahap 2
Mengidentifikasi risiko
yang
dihadapi entitas
Tahap 3
Menilai pengendalian
Tahap 4
Memilih area
yang akan
diaudit
Tahap 5
Persetujuan rencana
audit


34
Annual Audit Plan, merupakan subset dari audit universe yang mencerminkan
alokasi sumber daya dan tujuan serta sasaran fungsi audit intern dalam satu
tahun. Annual audit plan merupakan seri atas proses tertentu, program,
proyek, kelompok kerja dan lain-lain.
4. Menyusun rencana audit individual untuk setiap unit usaha (Risk-Based Audit
Planning Mikro).
Tahapan risk-based audit planning mikro dapat digambarkan sebagai berikut:




Gambar 3.3. Tahapan Risk-based Audit Planning Mikro

5. Menyampaikan laporan secara periodik kepada manajemen.

3.3.5. Perencanaan Audit InternBerbasis Risiko
Tahap yang paling menentukan dalam proses risk-based auditing adalah tahap
perencanaan. Hal ini merupakan langkah awal dan sekaligus penting dalam
menghasilkan proses dan hasil audit yang efisien dan efektif. Perencanaan yang
berbasis risiko (risk-based plan) adalah usaha penyiapan untuk suatu penugasan
dengan menggunakan basis risiko sebagai landasan menentukan tujuan, lingkup dan
prosedur pengujian yang akan dilakukan.
Tahap 1
Melakukan
wawancara dengan
pihak terkait
Tahap 2
Mendokumentasikan
pengendalian yang ada
Tahap 3
Melakukan analisis
atas informasi
Tahap 4
Pelaksanaan dan
pelaporan audit


35
Standar Kinerja IIA mewajibkan kepala eksekutif audit membuat rencana
berbasis risiko (risk-based plan) untuk menentukan prioritas dari aktivitas audit
intern, konsisten dengan tujuan organisasi.Ada beberapa prinsip yang perlu
diperhatikan dalam penyusunan rencana audit, sebagai berikut:
1. mengintegrasikan faktor risiko ke dalam setiap audit mulai dari yang memiliki
skor risiko lebih tinggi.
2. karena sumber daya untuk melaksanakan audit terbatas, tidak mungkin untuk
melakukan audit dengan cakupan seratus persen. Keterbatasan ini tercermin dari
pemakaian risk assessment guna menetapkan skala prioritas audit.
3. adanya inherent risk dan keterbatasan metode atau sistem penetapan prioritas audit
mengharuskan audit intern untuk secara berkala mengkaji semua faktor risiko
serta proses scoring(pemberian skor) yang ada dalam rangka menyempurnakan
rencana audit.
Risk assessment (penaksiran risiko) didefinisikan sebagai sebuah proses
estimasi skor risiko dari auditable units dalam organisasi. Risk assessment ini
digunakan untuk mengidentifikasi, mengukur dan menentukan prioritas dari risiko,
agar sebagian besar sumber daya diarahkan ke area layak audit dengan skor atau
bobot risiko tinggi. Tujuan utamanya adalah untuk menentukan prioritas risiko
masing-masing auditable units, yang pada giliran berikutnya akan menentukan
frekuensi, intensitas dan waktu audit, serta jumlah auditor yang diperlukan.
Auditable units adalah entitas terkecil dalam sebuah organisasi yang patut
dipertimbangkan untuk dilakukan risk assessment. Dari semua auditable units perlu


36
dikompilasi, disusun dan diorganisasikan dengan baik ke dalam apa yang dikenal
sebagai Audit Universe. Audit Universe merupakan kumpulan dari semua proses,
program, proyek dan audit organisasi lain yang relevan dengan rencana strategis dan
mempunyai skala kepentingan yang signifikan untuk mencapai rencana.Audit
Universe mewakili seluruh populasi dari subyek yang berpotensi atau layak untuk
diaudit karena memiliki karakterisktik yang serupa dan dapat dilakukan risk
assessment. Audit Universe ini harus disesuaikan, minimal setahun sekali agar
mencerminkan strategi dan arahan, penekanan dan fokus terkini dari organisasi.
Namun, mengingat audit universe merupakan bagian dari rencana audit yang
didasarkan pada risk assessment maka audit universe ini dapat juga dipengaruhi oleh
hasil dari proses manajemen risiko.
Kriteria auditable units, antara lain:
1) Memberikan kontribusi pada tujuan organisasi;
2) Mempunyai dampak cukup besar/nyata (materialitas/signifikan/dampak bisnis)
terhadap organisasi; dan
3) Cukup penting dalam menjustifikasi biaya pengendalian, yakni: yang memiliki
potensi kerugian yang lebih besar dari biaya yang dikeluarkan untuk pengendalian
(termasuk biaya audit).
Contoh dari subyek yang berpotensi atau layak untuk diaudit (auditable units)
adalah:
Satuan kerja dalam organisasi, seperti: Divisi, Grup, Bagian, Seksi.
Perhitungan penetapan harga, perhitungan gaji, peninjauan kontrak pegawai.


37
Sebuah pos dalam laporan keuangan, seperti: piutang dagang, hutang dagang.
Sebuah kasus kecurangan atau penggelapan.
Diperlukan dua tahap dalam proses penyusunan rencana audit (Tampubolon,
2005), yaitu:
1. Menemukan risiko apa saja yang ada.
Hal-hal yang dilakukan pada tahap ini, yaitu:
a. Melakukan penelaahan pendahuluan (preliminary review), mulai dari rencana
kerja dan anggaran organisasi, laporan keuangan, ketentuan hukum dan
regulasi yang berlaku, sistem informasi manajemen, kertas kerja audit yang
lalu, dan lain sebagainya.
b. Menyusunaudit universedan menetapkan auditable units yang ada di dalam
organisasi.
c. Melakukan risk assessment termasuk melakukan wawancara dengan
manajemen dari satuan kerja operasional.
Risk assessment dilakukan dengan cara, sebagai berikut:
1) Menetapkan dan merancang faktor-faktor risiko yang menjadi perhatian
manajemen;
2) Memilih format yang tepat untuk menilai faktor-faktor risiko tersebut
sehingga faktor risiko yang lebih penting akan memainkan peran yang
lebih penting dalam proses penilaian risiko dibandingkan faktor risiko
yang kurang penting;


38
3) Membangun seperangkat aturan untuk masing-masing auditable unit yang
akan mencerminkan secara tepat kandungan risiko dari faktor-faktor
risiko yang telah ditetapkan dan sebuah metode penyusunan prioritas
audit untuk masing-masing auditable unit.
Penaksiran risiko akan menghasilkan skala prioritas auditable units, frekuensi
audit, intensitas audit dan waktu audit.
d. Membahas risk assessment dengan manajemen untuk mendapatkan validasi.
e. Menyusun rencana audit.
2. Menjalankan tugas audit, dalam rangka meyakinkan manajemen bahwa semua
risiko yang dapat diidentifikasi telah dikurangi ke tingkat yang dapat diterima.
Tahap ini memiliki tiga bagian yang ada kaitannya dengan tahap pertama:
a. Memecah sebuah satuan kerja menjadi satuan-satuan yang lebih kecil untuk dapat
dikelola. Satuan ini disebut juga sebagai satuan layak audit (auditable units).
b. Menentukan auditable units mana yang perlu diaudit, yang dapat mewakili
dalam hal mendapatkan keyakinan bahwa risiko-risiko utama telah dikurangi
secara memadai. Penentuan ini yang akan menghasilkan rencana audit.
c. Melaksanakan audit sesuai rencana yang telah disusun.

3.4. Metodologi Group Field Project
Setelah mendalami permasalahan yang ada dan berlandaskan teori-teori yang
telah disebutkan pada subbab sebelumnya, Penulis mencoba untuk
mengimplementasikannya dalam kegiatan Group Field Project (GFP) ini.


39
Pembahasan GFP ini dibatasi hanya sampai dengan perencanaan makro dari audit
berbasis risiko dengan tujuan akhir untuk menyusun Program Kerja Audit Tahunan
(PKAT) Inspektorat J enderal Kementerian Energi dan Sumber Daya Mineral.

3.4.1. Kerangka Pikir
Langkah-langkah yang ditempuh dalam pelaksanaan GFP ini digambarkan
pada diagram berikut ini.



Gambar 3.4. Kerangka Pikir Group Field Project

Diagram di atas dapat dijelaskan sebagai berikut:
1. Penelaahan pendahuluan terhadap proses bisnis Kementerian ESDM dilakukan
dengan menelaah Visi, Misi, Tugas dan Fungsi, Rencana Strategis, Rencana
Kerja dan Anggaran, dan Laporan Akuntabilitas Kinerja Instansi Pemerintah di
setiap unit organisasi di lingkungan Kementerian ESDM untuk memperoleh
gambaran umum mengenai sumber-sumber dan faktor-faktor risiko apa saja yang
dapat menghambat Kementerian ESDM dalam mencapai tujuannya.
2. Penyusunan audit universe dan penetapanauditable units di lingkungan
Kementerian ESDM akan didasarkan pada struktur organisasi, unit/satuan kerja
penghasil, kegiatan yang bersifat keproyekan dan kegiatan Dekonsentrasi.
Tahap 1
Penelaahan
Pendahuluan
Proses Bisnis

Tahap 2
Penyusunan
Audit Universe
dan Penetapan
Auditable Units
Tahap 3
Penaksiran
Risiko
Kementerian
ESDM
Tahap 4
Analisis Sumber Daya
Manusia, Waktu dan Biaya
Audit
Tahap 5
Program Kerja
Audit
Tahunan


40
3. Penaksiran risiko dilakukan dengan memberikan skor terhadap auditable units
yang ada berdasarkan sumber-sumber dan faktor-faktor risiko yang telah
ditentukan sebelumnya. Penaksiran risiko ini menghasilkan tingkatan prioritas
masing-masing auditable unit.
4. Proses selanjutnya adalah melakukan analisis untuk memperoleh estimasi sumber
daya manusia, waktu dan biaya audit optimal yang dibutuhkan dalam setiap
pelaksanaan audit.
5. Dari proses-proses yang dilakukan pada tahap 1 sampai dengan tahap 4,
dihasilkan Program Kerja Audit Tahunan Inspektorat Jenderal Kementerian ESDM.

3.4.2. Metode Pengumpulan dan Analisis Data
Pelaksanaan GFP ini menggunakan data primer dan data sekunder.
Pengumpulan data primer akan dilakukan dengan cara observasi, wawancara dan
Focus Discussion Group (FGD) dengan berbagai pihak yang terkait di lingkungan
Inspektorat J enderal Kementerian ESDM. Sedangkan data sekunder, terdiri dari:
1. Rencana Strategis (RENSTRA), Laporan Akuntabilitas Kinerja Instansi
Pemerintah (LAKIP), dan Rencana Kerja dan Anggaran (RKA)yang bersumber
dari seluruh organisasi utama di lingkungan Kementerian ESDM;
2. Program Kerja Pengawasan Tahunan (PKPT), Laporan Hasil Pemeriksaan
(LHP),Daftar Penilaian Obyek Pemeriksaan (DPOP), dan laporan-laporan terkait
lainnya yang bersumber dari Inspektorat J enderal Kementerian ESDM; dan
3. Studi literatur atas buku/jurnal/artikel dan peraturan perundang-undangan yang
terkait dengan kegiatan GFP ini.


41
Data-data yang telah dikumpulkan, diolah secara matematis dan dianalisis
secara secara deskriptif dalam bentuk tabel dan diagram yang disertai dengan
penjelasan.