PERENCANAAN AUDIT: BERBASIS RISIKO ATAU BERBASIS MASALAH?

Nirwan Ristiyanto*)

Abstrak
Desawa ini di kalangan APIP sedang digalakkan untuk menerapkan perencanaan audit
berbasis risiko. Risiko dimaksud adalah peluang terjadinya ancaman yang akan
menggagalkan upaya pencapaian tujuan. Perencanaan audit demikian dimaksudkan agar
APIP mampu memberikan kontribusi bagi peningkatan kinerja auditi. Jika risiko dimaksud
masih berifat potensi yang akan menggagalkan pencapaian tujuan, sebenarnya di sekitar kita
sudah sering, bahkan banyak terjadi permasalahan yang menunjukkan bahwa tujuan telah
gagal. Oleh karena itu perlu dipertanyakan, untuk membantu manajemen auditi, apakah APIP
cukup menyusun perencanaan auditnya berbasis risiko atau harus berbasis masalah yang
sudah benar-benar ada. Penulis mencoba membahas hal ini untuk dapat dipertimbangkan bagi
para manajemen APIP.

Pendahuluan

APIP masih cenderung mengagendakan auditnya secara konvensional, yakni hanya

melaksanakan audit yang sifatnya post-audit. Auditor internal masih sering melakukan
auditnya secara tradisional, berorientasi pada perolehan temuan yang mengarah pada
penyimpangan prosedur yang cenderung dipandang oleh auditi sebagai mencari-cari
kesalahan auditi tanpa memberikan nilai tambah bagi perbaikan kinerja auditi. Perencanaan
audit berbasis risiko pada dasarnya berusaha mengubah tradisi perencanaan di bidang audit
yang cenderung post-audit menjadi audit yang benar-benar memertimbangkan segi
kemanfaatan jasa yang diberikan APIP kepada pihak auditi.

Dewasa ini di lingkungan APIP sedang digalakkan pemahaman dan penerapan

Perencanaan Audit Berbasis Risiko. Badan Pengawasan Keuangan dan Pembangunan
(BPKP) sesuai dengan perannya, telah banyak memberikan pengarahan ke APIP lainnya
untuk menerapkan perencanaan audit berbasis risiko.

Permasalahan

Meski perencanaan audit berbasis risiko berupaya untuk memberikan nilai tambah
secara maksimal kepada auditi untuk memberikan jaminan bahwa kinerja auditi dapat

1
tercapai, namun menurut penulis, implementasinya mengalami birokrasi yang perlu
disederhanakan. Menyusun perencanaan audit berbasis risiko identik dengan menerawang
secara konseptual terhadap titik-titik kelemahan atas sistem pengendalian yang disusun oleh
manajemen auditi. Keharusan penerawangan tersebut dapat dilihat dari ketentuan yang
tercantum dalam Standar 1110 Peraturan Menteri Negara Pendayagunaan Aparatur Negara
Nomor: Per/05/M.Pan/03/2008 tentang Standar Audit Aparat Pengawasan Intern
Pemerintah. Dikemukakan bahwa penentuan prioritas kegiatan audit (harus) didasarkan pada
evaluasi risiko yang dilakukan oleh APIP dan memertimbangkan prinsip kewajiban untuk
menindaklanjuti pengaduan dari masyarakat.

Penyusunan rencana pengawasan tahunan tersebut didasarkan atas prinsip keserasian,

keterpaduan, menghindari tumpang tindih dan pemeriksaan berulang-ulang, serta
memerhatikan efisiensi dan efektifitas penggunaan sumber daya. Rencana strategis
sekurang-kurangnya berisi visi, misi, tujuan, strategi, program, dan kegiatan APIP selama
lima tahun.

Sekalipun ketentuan untuk menyusun perencanaan memang harus dilakukan dengan

mengidentifikasi terlebih dahulu berbagai peluang risiko yang ada di wilayah kerja APIP,
namun untuk ini cukup sulit karena memerlukan banyak enerji. Tingkat kesulitan ini akan
sangat terasa jika dibandingkan dengan perencanaan audit berbasis masalah. Untuk
perencanaan audit berbasis masalah, adanya kenyataan banyak masalah yang terjadi di
sekitar kita, sehingga sangat mudah untuk menginventarisasi masalah yang sudah benar-
benar ada.

Di sekeliling kita banyak kita jumpai adanya masalah-masalah nyata, yang jika ditelusuri
penyebabnya akan bermuara pada lemahnya pengendalian intern yang dibangun oleh
manajemen auditi. Sebagai contoh, permasalahan tersebut adalah: sering terjadinya banjir,
masih banyaknya anak-anak usia sekolah yang menggelandang di jalanan, adanya kemacetan
di kota-kota besar, dan sebagainya. Jika ditelusuri, penyebab adanya permasalahan tersebut
adalah lemahnya pengendalian manajemen atau kurangnya koordinasi dari institusi-institusi
yang memiliki tugas pokok dan fungsi untuk mengurusi hal itu.

Berdasar uraian di atas dapat dikemukakan rumusan masalah, yakni mengapa

perencanaan audit harus dilakukan dengan terlebih dahulu menerawang berbagai peluang

2
risiko terhadap suatu sistem pengendalian yang dirancang oleh manajemen? Bukankah di
sekitar kita banyak permasalahan nyata yang perlu segera dicarikan solusinya?

Konsepsi Risiko

RAIS yang mengambil dari The Oxford English Dictionary (Oxford University Press,
1971) mendefinisikan risiko sebagai “bahaya yang memungkinkan dapat mengganggu
tercapainya tujuan”. Ditinjau dari segi pihak yang menghadapinya, RAIS merincinya ke
dalam risiko yang berkaitan dengan aktivitas yang kita jalani (voluntarily) dan risiko yang
berkaitan dengan dampak buruk yang dapat menimpa kita semua, baik yang telah atau belum
teridentifikasi terlebih dahulu (involuntarily).

Risiko yang berkaitan dengan aktivitas yang kita jalani (voluntarily) meliputi risiko
langsung dengan kegiatan, seperti seorang pengendara mobil akan menghadapi risiko
kecelekaan di jalan, risiko merokok terhadap kesehatan diri seseorang, risiko jatuh dari
memanjat di ketinggian, dan sebagainya. Sedangkan risiko yang berkaitan dengan dampak
buruk terhadap kejadian yang dapat menimpa kita (involuntarily) tidak secara langsung
berhubungan dengan kegiatan yang dijalaninya, melainkan berkaitan dengan kejadian alam
pada umumnya seperti adanya sambaran petir, kebakaran, banjir, puting beliung, dan
sebagainya.

RAIS juga mengelompokkan risiko ke dalam risiko yang secara statistik dapat
diverifikasi (statistically verifiable) dan tidak dapat diverifikasi (statistically nonverifiable).
Risiko yang dapat diverifikasi, baik yang berkaitan dengan aktivitas maupun yang tidak
berhubungan dengan aktivitas (risiko kejadian alam) adalah risiko yang telah teridentifikasi
dari pengamatan secara langsung. Risiko yang telah terferifikasi dapat berasal dari risiko
voluntary maupun involuntary dan dapat diperbandingkan satu dengan yang lain. Sedangkan
risiko yang tidak terverifikasi adalah risiko yang berasal dari risiko involuntary. Tidak atau
belum terverifikasinya risiko ini berhubung karena langkanya suatu data dan atau belum
dapat dirumuskan secara matematis.

3
Konsepsi Manajemen Risiko

Pada dasarnya, untuk merealisasikan tujuan organisasi, manajemen menyiapkan

perangkat sistem untuk dapat merealisasikan tujuan yang telah ditetapkan. Sistem yang
disiapkan tersebut sering disebut sebagai Sistem Pengendalian Manajemen (SPM), Sistem
Pengendalian Intern (SPI), dan masih ada lagi beberapa istilah lainnya. Terhadap sistem
yang telah dibangun tersebut, betapa baiknya sistem yang ada, selalu saja masih ada unsur
memungkinkan tidak tercapainya tujuan. Kemungkinan tersebut dapat terjadi karena adanya
keterbatasan dari sistem itu sendiri (Pusdiklatwas BPKP, Modul Diklat Sistem Pengendalian
Manajemen: 2008), misalnya karena: (1) adanya pertimbangan yang kurang matang waktu
menyusun sistem; (2) adanya kegagalan para pelaksana dalam menerjemahkan sistem yang
ada; (3) pengabaian manajemen yang berarti manajemen kurang berkomitmen terhadap
penerapan sistem; dan (4) ada kolusi di antara para pihak yang terkait dalam pelaksanaan
sistem.

Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern

Pemerintah pasal 7 huruf a menyebutkan bahwa menteri/pimpinan lembaga, gubernur, dan
bupati/walikota dalam melakukan pengendalian kegiatan pemerintahan wajib
memertimbangkan risiko dalam setiap pengambilan keputusan dengan cermat,
menganalisisnya, dan menentukan bagaimana risiko tersebut diminimalkan

Ditinjau dari sudut pandang auditi, mulai dari perencanaan hingga ke implementasi
kegiatan, auditi juga masih kurang memerhatikan peluang-peluang risiko yang mungkin
terjadi di kemudian hari. Akibatnya, auditi juga cenderung masih melaksanakan kegiatan
secara trdisional, kurang efisien dan efektif atas kegiatan yang dilakukannya.
Pertanggungjawaban auditi masih cenderung bersifat administratif formal dan kurang
mengarah pada akuntabilitas kinerjanya sebagai pelayan masyarakat.

Untuk dapat mengurangi risiko kegagalan dalam mencapai tujuan organisasi, pihak
auditi seharusnya menerapkan manajemen risiko. Dewasa ini telah banyak institusi,
khususnya di kalangan usaha, termasuk di kalangan badan usaha milik negara/daerah
(BUMN/BUMD) yang telah menerapkan manajemen risiko (Pusdiklatwas BPKP, Modul
Diklat Audit Berpeduli Risiko: 2007). Di institusi tersebut, penanganan risiko yang tadinya

4
dilakukan secara terpisah-pisah, saat ini telah terfokus, terkoordinasi, dan telah ditetapkan
kebijakan dalam penanganannya.

Konsepsi Perencanaan Audit Berbasis Risiko

Standar Audit butir 1110 mewajibkan APIP untuk menyusun rencana strategis lima
tahunan sesuai dengan peraturan perundang-undangan dan menyusun rencana pengawasan
tahunan dengan prioritas pada kegiatan yang mempunyai risiko terbesar dan selaras dengan
tujuan organisasi. Auditor intern mempunyai peran dalam membantu untuk memastikan
bahwa manajemen telah melakukan pengelolaan risiko organisasi secara memuaskan.

Sehubungan dengan peran tersebut, auditor intern harus melakukan identifikasi dan
evaluasi risiko signifikan yang dihadapi organisasi (Pusdiklatwas BPKP, Modul Diklat Audit
Berpeduli Risiko. 2007.) Untuk keperluan ini auditor intern perlu melakukan penaksiran
risiko terhadap kecukupan proses pengelolaan risiko yang dilakukan oleh manajemen auditi.
Pendekatan audit berbasis risiko menyarankan agar risiko-risiko yang mungkin dihadapi
pleh manajemen auditi diidentifikasi dan dilaporkan kepada pihak manajemen apakah risiko-
risiko tersebut telah dapat dikelola dengan baik atau bahkan sebaliknya.

Perencana audit terlebih dahulu harus mengelompokkan sejumlah risiko yang

teridentifikasi, selanjutnya melakukan penaksiran risiko tersebut. Penaksiran risiko pada
dasarnya untuk menentukan besarnya tingkat kemungkinan terjadinya risiko serta pengaruh
atau akibat yang harus ditanggung oleh manajemen auditi. Penaksiran dilakukan dengan cara
menguantifikasi peluang risiko yang sebenarnya bersifat kualitatif.

Kuantifikasi tingkat risiko biasanya dilakukan dengan menyatakannya dalam bentuk

angka, biasanya dalam skala lima. Angka tersebut mewakili tingkat risiko yang
teridentifikasi, yakni: angka 5 menunjukkan risiko “sangat tinggi”, angka 4 “tinggi”, 3
“cukup tinggi”, 2 “rendah”, dan 1 “sangat rendah”. Untuk menentukan dapat diterima atau
tidaknya suatu risiko perlu dibuat suatu tabel untuk mengalikan tingkat kemungkinan
terjadinya risiko dengan taksiran dampak terjadinya risiko yang bersangkutan. Atas dasar
perhitungan risiko tersebut, selanjutnya ditentukan auditi mana yang akan diaudit. Semakin
tinggi tingkat risiko, semakin tinggi prioritasnya untuk diaudit.

5
Perencanaan Audit Berbasis Masalah

Jika konsep audit berbasis risiko mengatur tatacara pemilihan auditi yang akan ditetapkan
sebagai auditi terpilih, maka perencanaan audit berbasis masalah, pemilihan auditinya cukup
dilakukan secara sederhana dengan melihat fakta yang telah terjadi dan fakta tersebut tidak
dikehendaki keberadaannya. Fakta-fakata masalah yang dipilih adalah fakta yang
bertentangan dengan keinginan masyarakat pada umumnya. Contoh-contoh seperti
dikemukakan di atas, misalnya: terjadinya banjir, masih banyaknya anak-anak usia sekolah
yang menggelandang di jalanan, adanya kemacetan di kota-kota besar, masih adanya
pungutan liar dalam pelayanan publik, penebangan hutan secara liar, penambangan yang
merusak konservasi alam, dan masalah-masalah lain seperti itu banyak kita dijumpai.

Analisis Perencanaan Berbasis Risiko versus Berbasis Masalah

Jika tujuan audit intern pemerintah memang diharapkan untuk ikut membantu
meningkatkan kinerja institusi pemerintah, sebenarnya tidak perlu bersusah payah untuk
mencari auditi yang akan diberi bantuan. Masalah-masalah seperti pada contoh di atas, sudah
dapat dipastikan bersifat kontraproduktif terhadap tujuan pembangunan. Institusi pemerintah
yang terkait dengan masalah-masalah tersebut harus dibantu dalam mencari solusimya.

Jika ditelusuri apa yang menjadi penyebab terjadinya masalah, akan bermuara pada
buruknya sistem pengendalian yang ada. Sistem yang ada mungkin belum berorientasi pada
capaian kinerja yang mampu meningkatkan pelayanan kepada masyarakat. Sistem yang
buruk tersebut dapat berupa kurangnya perencanaan, kurangnya koordinasi antarinstitusi
terkait, kurangnya komitmen manajemen pada tingkatan strategis, kurangnya alokasi dana,
pembagian kerja yang buruk, dan sebagainya.

Dalam perencanaan audit berbasis risiko, secara makro orientasi pemilihan auditinya
cenderung bertolak dari keberadaan institusi, bahkan sangat mungkin hanya bertolak pada
SKPD pengguna anggaran. Pemilihan demikian akan memungkinkan lolosnya fakta-fakta
permasalahan yang ada untuk dijadikan sasaran audit. Sebagai contoh, di Jakarta sering
terjadi banjir. Dengan perencanaan audit berbasis risiko, ada kemungkinan APIP hanya akan

6
memilih satuan kerja perangkat daerah (SKPD) yang memiliki anggaran terkait dengan
penanganan banjir.

Banjir di Jakarta merupakan permasalahan yang sangat kompleks. Penanganannya

memerlukan sejumlah SKPD, bahkan melibatkan pemerintah pusat.Untuk ini juga perlu
komitmen dari pucuk pimpinan, dan masih banyak lagi faktor penting lainnya. Mengingat
bahwa kenyataan Jakarta telah bertahun-tahun mengalami banjir, dapat diduga bahwa SKPD
pengguna anggaran yang dijadikan sasaran audit belum mampu menangani banjir dimaksud.
Sangat mungkin pula anggaran yang tersedia di SKPD tersebut kurang memadai. Dengan
anggaran yang ada, SKPD tersebut hanya mengagendakan sebagian kecil dari sekian banyak
kegiatan yang diperlukan. Sebagai SKPD pengguna anggaran, kegiatan-kegiatan yang
tercantum dalam DPA (dokumen pelaksanaan anggaran) merupakan kriteria yang harus
dilaksanakan.

Dengan perencanaan berbasis risiko, maka auditor yang mengaudit SKPD tersebut tidak
akan dapat berbuat banyak dibandingkan dengan permasalahan banjir yang sebenarnya.
Auditor juga akan memandang bahwa DPA merupakan kriteria bagi SKPD yang diauditnya.
Dalam keadaan demikian berarti auditor telah mengalami pergeseran kriteria. Dari kriteria
yang seharusnya adalah terselesaikannya masalah banjir, bergeser ke ketaatannya pada DPA.
Mengingat DPA dipandang sebagai kriteria, maka jika DPA telah dilaksanakan dengan
benar, maka auditor juga akan mengemukakan bahwa SKPD telah melaksanakan kegiatan
sebagaimana mestinya, sekalipun kegiatan yang dilaksanakan kenyataannya belum mampu
mengatasi banjir yang ada. Auditor tersebut paling jauh hanya akan menyampaikan
rekomendasi untuk menambah anggaran.

Sebaliknya, dengan perencanaan audit berbasis masalah, maka APIP tidak akan
menerbitkan surat penugasan audit untuk SKPD tertentu, melainkan penugasan untuk
penanganan banjir. Lokus yang dijadikan sasaran auditnya adalah Pemerintah Provinsi DKI
Jakarta sebagai pihak yang paling bertanggung jawab dalam penanganan banjir di Jakarta.
Dari sini auditor akan menemukan banyak kekurangan dalam penanganan banjir tersebut.
Dengan basis masalah, auditor tidak hanya melihat kegiatan yang ada pada satu atau dua
SKPD yang memiki anggaran untuk pengendalian banjir. Auditor akan menginventarisasi
faktor-faktor penyebab banjir, menghitung besarnya curah hujan, luapan air dari daerah lain,

7
dan akan membandingkannya dengan kapasitas drainase untuk menyalurkan limpahan air
yang ada. Selanjutnya auditor akan mengiventarisasi SKPD-SKPD yang seharusnya terlibat
dalam penanggulangan banjir, perencanaannya, koordinasinya, penjadwalannya, penyediaan
anggarannya, penanggung jawabnya, dan sebagainya. Seluruh kegiatan audit akan mengarah
hingga mampu memberikan jaminan bahwa sistem pengendalian yang ada mampu
menangani banjir yang selalu melanda Jakarta.

Jika perencanaan audit berbasis risiko terlebih dahulu harus menerawang titik-titik lemah
dari sistem pengendalian intern auditi, perencanaan berbasis masalah cukup dengan melihat
fakta-fakta yang ada di sekitar kita. Keluhan masyarakat tentang kondisi lingkungan
setempat yang tidak dikehendaki, pada dasarnya adalah masalah yang perlu diselesaikan.
Auditor internal dapat memberikan kontribusi untuk mengatasi masalah yang ada tersebut.

Jika perencanaan audit berbasis risiko mendefinisikan risiko dengan “peluang” terjadinya
ancaman yang akan menggagalkan upaya pencapaian tujuan, sebaliknya perencanaan
berbasis masalah sudah benar-benar berdasar fakta yang “telah terjadi dan kejadiannya tidak
dikehendaki”. Jika peluang risiko terbesar yang teridentifikasi dalam perencanaan berbasis
risiko adalah “sangat berisiko” yang berarti masih berupa kemungkinan, perencanaan
berbasis masalah tingkat kemungkinannya adalah “sudah nyata” karena memang sudah
terjadi, bukan hanya “peluang”.

Memang, dari penerawangan potensi risiko, kita dapat mengidentifikasi celah-celah yang
mungkin terjadi risiko dan dengan cara demikian kita dapat melakukan perbaikan. Semakin
jeli kita dalam mendeteksi adanya peluang risiko, semakin baik pula antisipasi untuk
mengatasinya. Dengan demikian sebenarnya antara perencanaan audit berbasis risiko dan
berbasis masalah keberadaannya saling melengkapi. Karena APIP harus memberikan
jaminan bahwa tujuan organisasi auditi akan dapat dicapai, maka sekecil apa pun peluang
risiko yang akan berdampak pada gagalnya pencapaian tujuan harus dapat diantisipasi.

Untuk itu maka sebaiknya dua metode tersebut diterapkan secara bersama-sama.
Permasalahan yang sudah muncul dan perlu penyelesaian merupakan prioritas utama.
Prioritas berikutnya adalah potensi risiko yang “sangat mungkin terjadi” yang teridentifikasi
dari hasil penerawangan sistem pengendalian yang dibangun oleh manajemen auditi. Auditi
yang memiliki peluang risiko yang lebih rendah merupakan prioritas berikutnya lagi.

8
Simpulan

Perencanaan audit berbasis risiko memilih auditi berdasarkan urutan risiko yang paling
tinggi, perencanaan audit berbasis masalah memilih auditi berdasarkan fakta-fakta yang
sudah menjadi masalah yang harus diatasi. Baik masalah yang sudah muncul maupun risiko
yang masih bersifat peluang, dua-duanya harus dicarikan pemecahan dan atau antisipasinya.
Auditor internal selaku pembantu manajemen organisasi harus memberikan kontribusinya
dengan memberikan jaminan bahwa seluruh program pemerintah di lingkungan kerjanya
dapat tercapai dengan baik.

Dengan demikian, antara perencanaan audit berbasis risiko dan perencanaan berbasis
masalah keberadaannya saling melengkapi. Kedua metode tersebut semuanya dapat
diterapkan. Permasalahan yang sudah muncul harus dijadikan prioritas utama, sedangkan
prioritas berikutnya adalah bidang-bidang yang memiliki potensi risiko, diurutkan dari yang
memiliki risiko dan dampaknya yang paling besar.

Referensi:

Peraturan Menteri Negara Pendayagunaan Aparatur Negara Nomor: Per/05/M.Pan/03/2008

tentang Standar Audit Aparat Pengawasan Intern Pemerintah

Peraturan Pemerintah Nomor 60 Tahun 2008 tentang Sistem Pengendalian Intern

Pemerintah

Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan Dan

Pembangunan. Audit Berpeduli Risiko. 2007.

Pusat Pendidikan dan Pelatihan Pengawasan Badan Pengawasan Keuangan Dan

Pembangunan. Sistem Pengendalian Manajemen: 2008.

RAIS (The Risk Assessment Information System). What is Risk Assessment. 2013.
http://rais.ornl. gov/tutorials/whatisra.html

Ciawi, 14 Agustus 2013

*)
Nirwan Ristiyanto, Widyaiswara Utama pada Pusdiklat Pengawasan BPKP